КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
| від 22 липня 2022 р. № 821 Київ |
Про затвердження Порядку проведення моніторингу рівня безпеки об’єктів критичної інфраструктури
( Із змінами, внесеними згідно з Постановою КМ № 337 від 06.03.2026 )
Відповідно до частини четвертої статті 23 Закону України "Про критичну інфраструктуру" Кабінет Міністрів України постановляє:
Затвердити Порядок проведення моніторингу рівня безпеки об’єктів критичної інфраструктури, що додається.
| Прем'єр-міністр України | Д. ШМИГАЛЬ |
| Інд. 49 | |
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 22 липня 2022 р. № 821
ПОРЯДОК
проведення моніторингу рівня безпеки об’єктів критичної інфраструктури
1. Цей Порядок визначає механізм проведення моніторингу рівня безпеки об’єктів критичної інфраструктури та його періодичність.
Метою проведення моніторингу є встановлення відповідності стану захищеності об’єкта критичної інфраструктури вимогам законодавства, достовірності наданої інформації визначеним суб’єктам національної системи захисту критичної інфраструктури, надання методичної допомоги операторам об’єктів критичної інфраструктури в удосконаленні системи захисту критичної інфраструктури.
2. У цьому Порядку терміни вживаються у значенні, наведеному в Законі України "Про критичну інфраструктуру".
3. Моніторинг передбачає здійснення заходів, спрямованих на отримання, узагальнення, оброблення, збереження та проведення аналізу інформації про фактичний стан захищеності об’єкта критичної інфраструктури, дотримання вимог законодавства у сфері критичної інфраструктури, здійснення контролю за ризиками безпеки та удосконалення заходів, які здійснюються для забезпечення безпеки та стійкості об’єкта критичної інфраструктури, а також на визначення перспектив подальшого функціонування і розвитку національної системи захисту критичної інфраструктури.
4. Моніторинг проводиться один раз на три роки шляхом проведення оцінки стану захищеності об’єктів критичної інфраструктури (далі - оцінка стану захищеності) секторальними та функціональними органами у сфері захисту критичної інфраструктури відповідно до їх повноважень, визначених Законом України "Про критичну інфраструктуру".
Оцінка стану захищеності проводиться комісією з оцінки стану захищеності об’єктів критичної інфраструктури (далі - комісія), що утворюється секторальним органом у сфері захисту критичної інфраструктури, до складу якої входять представники секторального, функціональних органів у сфері захисту критичної інфраструктури та можуть входити представники уповноваженого органу у сфері захисту критичної інфраструктури.
Оцінка стану захищеності для банків, інших осіб, що провадять діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, платіжних організацій, учасників платіжних систем, операторів послуг платіжної інфраструктури проводиться у порядку, визначеному Національним банком.
Обмін інформацією між суб’єктами національної системи захисту критичної інфраструктури під час проведення моніторингу рівня безпеки об’єктів критичної інфраструктури здійснюється відповідно до Регламенту обміну інформацією між суб’єктами національної системи захисту критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 14 жовтня 2022 р. № 1174 (Офіційний вісник України, 2022 р., № 84, ст. 5184).
( Пункт 4 в редакції Постанови КМ № 337 від 06.03.2026 )
5. Оцінка стану захищеності проводиться відповідно до річного плану, який складається секторальним органом у сфері захисту критичної інфраструктури до 15 грудня року, що передує плановому періоду, та враховує результати моніторингу за поточний рік.
( Абзац перший пункту 5 із змінами, внесеними згідно з Постановою КМ № 337 від 06.03.2026 )
Річний план, погоджений з функціональними органами у сфері захисту критичної інфраструктури, надсилається до 30 грудня року, що передує плановому періоду, уповноваженому органу у сфері захисту критичної інфраструктури, а до 1 лютого року, що настає за плановим періодом, секторальний орган у сфері захисту критичної інфраструктури інформує уповноважений орган у сфері захисту критичної інфраструктури про результати його виконання.
( Абзац другий пункту 5 в редакції Постанови КМ № 337 від 06.03.2026 )
Витяги з річного плану проведення оцінки стану захищеності надсилаються операторам критичної інфраструктури у частині, що їх стосується, не пізніше ніж за 30 календарних днів до початку проведення оцінки стану захищеності відповідних об’єктів критичної інфраструктури.
( Абзац третій пункту 5 із змінами, внесеними згідно з Постановою КМ № 337 від 06.03.2026 )
6. Оцінка стану захищеності проводиться комісією з урахуванням специфіки функціонування об’єкта критичної інфраструктури та відповідно до розробленого секторальним органом у сфері захисту критичної інфраструктури разом з функціональними органами у сфері захисту критичної інфраструктури плану роботи комісії, в якому визначаються критерії, за якими буде проводиться оцінка стану захищеності, та який доводиться до оператора критичної інфраструктури не пізніше ніж за 15 робочих днів до початку проведення такої оцінки.
( Пункт 6 в редакції Постанови КМ № 337 від 06.03.2026 )
7. Для узагальнення результатів оцінки стану захищеності об’єкта критичної інфраструктури функціональні органи у сфері захисту критичної інфраструктури надають секторальному органу у сфері захисту критичної інфраструктури інформацію у межах компетенції щодо фактичного стану захищеності об’єкта критичної інфраструктури, встановленого під час проведення такої оцінки.
За результатами оцінки стану захищеності секторальним органом у сфері захисту критичної інфраструктури не пізніше 14 робочих днів після закінчення такої оцінки складається акт оцінки стану захищеності (далі - акт) за формою згідно з додатком, в якому зазначаються:
критерії оцінки стану захищеності та результати оцінки за кожним критерієм;
дані про стан захищеності об’єкта критичної інфраструктури, який визначається відповідно до критеріїв оцінки стану захищеності та оцінюється як "забезпечує", "обмежено забезпечує", "не забезпечує";
дані про невідповідність (у разі їх наявності) вимогам законодавства у сфері захисту критичної інфраструктури, а також інші недоліки, що впливають на захищеність об’єкта критичної інфраструктури;
результати оцінки стану безпеки об’єкта критичної інфраструктури функціональними органами у сфері захисту критичної інфраструктури;
пропозиції щодо удосконалення системи захисту об’єктів критичної інфраструктури, усунення невідповідностей вимогам законодавства у сфері захисту критичної інфраструктури, що не суперечать одна одній та не містять взаємовиключних положень, із зазначенням строків вжиття відповідних заходів;
інформація щодо здійснення заходів, рекомендованих оператору критичної інфраструктури за результатами проведення попереднього моніторингу рівня безпеки об’єкта критичної інфраструктури (у разі їх наявності).
Критерії оцінки стану захищеності, їх показники та методику оцінки стану захищеності визначає уповноважений орган у сфері захисту критичної інфраструктури.
( Пункт 7 в редакції Постанови КМ № 337 від 06.03.2026 )
8. Акт складається в трьох примірниках, які підписуються членами комісії.
Перший примірник акта залишається для зберігання у секторальному органі у сфері захисту критичної інфраструктури.
Другий примірник надсилається оператору критичної інфраструктури не пізніше 30 календарних днів з дня складення акта з метою проведення аналізу та оцінки загального стану захищеності об’єкта критичної інфраструктури, а також вжиття заходів, необхідних для забезпечення захисту, безпеки та стійкості такого об’єкта з урахуванням зауважень та пропозицій, викладених в акті.
Третій примірник надсилається уповноваженому органу у сфері захисту критичної інфраструктури не пізніше 30 календарних з дня складення акта з метою включення інформації до Реєстру об’єктів критичної інфраструктури, а також проведення аналізу та оцінки загального стану захищеності критичної інфраструктури.
Секторальний орган у сфері захисту критичної інфраструктури надсилає копію акта функціональним органам у сфері захисту критичної інфраструктури, представники яких були залучені до проведення оцінки стану захищеності об’єкта критичної інфраструктури.
Про результати виконання пропозицій щодо удосконалення системи захисту об’єкта критичної інфраструктури, а також про вжиття заходів до усунення виявлених невідповідностей вимогам законодавства у сфері захисту критичної інфраструктури (у разі їх наявності) оператор критичної інфраструктури інформує секторальний орган у сфері захисту критичної інфраструктури, функціональні органи у сфері захисту критичної інфраструктури та уповноважений орган у сфері захисту критичної інфраструктури у визначені в акті строки.
( Пункт 8 в редакції Постанови КМ № 337 від 06.03.2026 )
Додаток
до Порядку
(в редакції постанови Кабінету Міністрів України
)
АКТ
оцінки стану захищеності об’єкта критичної інфраструктури
( Див. текст )( Додаток в редакції Постанови КМ № 337 від 06.03.2026 )
