КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
| від 9 жовтня 2020 р. № 943 Київ |
Деякі питання об’єктів критичної інформаційної інфраструктури
( Із змінами, внесеними згідно з Постановами КМ № 991 від 02.09.2022 № 447 від 28.03.2025 № 1740 від 24.12.2025 )
Відповідно до абзацу першого частини третьої статті 4 Закону України "Про основні засади забезпечення кібербезпеки України" Кабінет Міністрів України постановляє:
1. Затвердити такі, що додаються:
( Абзац другий пункту 1 виключено на підставі Постанови КМ № 1740 від 24.12.2025 )( Абзац третій пункту 1 виключено на підставі Постанови КМ № 1740 від 24.12.2025 )
Порядок формування та забезпечення функціонування державного реєстру об’єктів критичної інформаційної інфраструктури.
( Пункт 1 доповнено абзацом згідно з Постановою КМ № 1740 від 24.12.2025 )
2. Адміністрації Державної служби спеціального зв’язку та захисту інформації:
сформувати перелік об’єктів критичної інформаційної інфраструктури та внести в установленому порядку Кабінетові Міністрів України;
створити державний реєстр об’єктів критичної інформаційної інфраструктури та забезпечити його функціонування;
встановити форму подання відомостей до державного реєстру об’єктів критичної інформаційної інфраструктури.
3. Міністерствам та іншим органам виконавчої влади протягом шести місяців сформувати секторальні переліки об’єктів критичної інформаційної інфраструктури, що належать до сфери їх управління, забезпечити їх ведення та надання Адміністрації Державної служби спеціального зв’язку та захисту інформації відомостей про об’єкти критичної інформаційної інфраструктури.
4. Визнати такою, що втратила чинність, постанову Кабінету Міністрів України від 23 серпня 2016 р. № 563 "Про затвердження Порядку формування переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави" (Офіційний вісник України, 2016 р., № 69, ст. 2332).
| Прем'єр-міністр України | Д.ШМИГАЛЬ |
| Інд. 49 | |
( Порядок формування переліку об’єктів критичної інформаційної інфраструктури виключено на підставі Постанови КМ № 1740 від 24.12.2025 )( Порядок внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування виключено на підставі Постанови КМ № 1740 від 24.12.2025 )
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 9 жовтня 2020 р. № 943
ПОРЯДОК
формування та забезпечення функціонування державного реєстру об’єктів критичної інформаційної інфраструктури
1. Цей Порядок визначає механізм віднесення інформаційних, електронних комунікаційних, інформаційно-комунікаційних або технологічних систем (далі - системи) до об’єктів критичної інформаційної інфраструктури та їх категоризації, внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування, а також формування переліку об’єктів критичної інформаційної інфраструктури.
Дія цього Порядку не поширюється на банки, інші юридичні особи, що провадять діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, операторів платіжних систем та/або учасників платіжних систем, технологічних операторів платіжних послуг.
2. У цьому Порядку терміни вживаються в такому значенні:
електронний кабінет - персональна веб-сторінка (веб-сервіс чи інший програмний інтерфейс) користувача, що пройшов електронну ідентифікацію та автентифікацію, призначена для забезпечення можливості створення, перегляду, подання, обміну інформацією та документами в державному реєстрі об’єктів критичної інформаційної інфраструктури;
державний реєстр об’єктів критичної інформаційної інфраструктури (далі - Реєстр) - інформаційно-комунікаційна система, що забезпечує збирання, накопичення, захист, облік, відображення, обробку реєстрових даних та надання інформації про об’єкти критичної інформаційної інфраструктури.
Інші терміни у цьому Порядку вживаються у значенні, наведеному у Законах України "Про основні засади забезпечення кібербезпеки України", "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах", "Про Державну службу спеціального зв’язку та захисту інформації України", "Про публічні електронні реєстри", "Про хмарні послуги" та "Про критичну інфраструктуру".
3. З метою визначення рівня вимог щодо забезпечення захисту систем відповідно до їх важливості для стійкого і безперервного функціонування об’єктів критичної інфраструктури Адміністрацією Держспецзв’язку разом із секторальними органами у сфері захисту критичної інфраструктури (далі - секторальні органи) за результатами ідентифікації об’єктів критичної інформаційної інфраструктури, проведеної операторами критичної інфраструктури, здійснюється віднесення таких систем до об’єктів критичної інформаційної інфраструктури, їх категоризація та внесення до Реєстру.
4. Реєстр формується та ведеться для узгодження дій:
суб’єктів національної системи захисту критичної інфраструктури;
основних суб’єктів національної системи кібербезпеки;
суб’єктів національної системи реагування на кіберінциденти, кібератаки, кіберзагрози.
Об’єктами Реєстру є об’єкти критичної інформаційної інфраструктури.
5. Власником Реєстру є держава в особі Адміністрації Держспецзв’язку.
Інформація, що міститься в Реєстрі, є державним електронним інформаційним ресурсом.
6. Держателем та адміністратором Реєстру є Адміністрація Держспецзв’язку.
Держатель Реєстру:
забезпечує створення, функціонування та ведення Реєстру;
встановлює форму внесення відомостей до Реєстру;
створює електронні кабінети, надає, припиняє доступ до них, управляє правами доступу користувачів та створювачів реєстрової інформації.
Створення (модернізація, модифікація, розвиток), адміністрування та забезпечення функціонування Реєстру, програмно-технічних засобів Реєстру здійснюється за рахунок коштів державного бюджету, коштів міжнародної технічної допомоги та інших джерел, не заборонених законом.
7. Технічний адміністратор Реєстру визначається Адміністрацією Держспецзв’язку.
8. Користувачами реєстрової інформації Реєстру є:
основні суб’єкти національної системи кібербезпеки;
секторальні органи;
національна, галузеві та регіональні команди реагування на кіберінциденти, кібератаки, кіберзагрози.
Публічними реєстратори Реєстру є уповноважені особи Адміністрації Держспецзв’язку.
Створювачами реєстрової інформації є визначені керівником секторального органу посадові особи такого органу, на яких відповідно до їх посадових обов’язків покладено функції з організації виконання секторальним органом завдань, передбачених Законом України "Про критичну інфраструктуру", на час виконання ними таких функцій.
9. Створювачі реєстрової інформації та користувачі реєстрової інформації отримують доступ до Реєстру через електронний кабінет з використанням Національної електронної комунікаційної мережі.
Електронна ідентифікація та автентифікація створювачів та користувачів реєстрової інформації здійснюється через електронний кабінет, зокрема за допомогою інтегрованої системи електронної ідентифікації, шляхом використання зазначеними особами кваліфікованого електронного підпису.
10. Для створення електронного кабінету користувачів реєстрової інформації суб’єкти, зазначені в пункті 8 цього Порядку, подають Адміністрації Держспецзв’язку інформацію про повну назву посади, прізвище, власне ім’я, по батькові (за наявності) таких посадових осіб.
11. Для створення електронного кабінету для створювачів реєстрової інформації секторальні органи подають Адміністрації Держспецзв’язку таку інформацію:
прізвище, власне ім’я, по батькові (за наявності), РНОКПП керівника структурного підрозділу, на якого покладено функції з організації виконання секторальним органом завдань, передбачених Законом України "Про критичну інфраструктуру", або посадової особи секторального органу, на яку відповідно до їх посадових обов’язків покладено зазначені функції;
прізвище, власне ім’я, по батькові (за наявності), РНОКПП посадової особи секторального органу, на яку відповідно до її посадових обов’язків покладено функції з організації виконання секторальним органом завдань, передбачених Законом України "Про критичну інфраструктуру", та уповноважену керівником зазначеного органу на внесення інформації до Реєстру.
12. До Реєстру вноситься така інформація:
секторальний орган, який подає інформацію;
найменування (прізвище, власне ім’я, по батькові (за наявності), місцезнаходження (адреса) оператора критичної інфраструктури, код згідно з ЄДРПОУ/РНОКПП (у разі наявності) оператора критичної інфраструктури, форма власності;
найменування (прізвище, власне ім’я, по батькові (за наявності), місцезнаходження (адреса) власника або розпорядника об’єкта критичної інформаційної інфраструктури, код згідно з ЄДРПОУ/РНОКПП (у разі наявності) власника або розпорядника об’єкта критичної інформаційної інфраструктури;
повна назва об’єкта критичної інформаційної інфраструктури, його призначення, перелік життєво важливих функцій та/або послуг, надання яких він забезпечує, категорія критичності;
повна назва об’єкта критичної інфраструктури, стійкість та безперервність функціонування якого забезпечується об’єктом критичної інформаційної інфраструктури, сектор, підсектор, тип основної послуги, перелік життєво важливих функцій та/або послуг, які він надає, секторальний орган, категорія критичності, реєстровий номер;
відомості про інформацію, яка обробляється на об’єкті критичної інформаційної інфраструктури (відкрита інформація або інформація з обмеженим доступом);
адреса місця фізичного розташування об’єкта критичної інформаційної інфраструктури;
наявність підключення об’єкта критичної інформаційної інфраструктури до Інтернету, інших об’єктів критичної інформаційної інфраструктури, які перебувають у власності або розпорядженні оператора критичної інфраструктури, інформаційно-комунікаційних систем, які не входять до його складу;
діапазон публічних IР-адрес та доменні імена (DNS), що використовуються об’єктом критичної інформаційної інфраструктури;
повне найменування юридичної особи постачальників електронних комунікаційних мереж та/або послуг (зокрема надання послуг за допомогою захищених вузлів доступу до глобальних мереж передачі даних із здійсненою авторизацією з безпеки або з отриманим сертифікатом відповідності стандарту інформаційної безпеки, виданим органом з оцінки відповідності відповідно до вимог статті 8, пункту 1-1 статті 13 Закону України "Про захист інформації в інформаційно-комунікаційних системах");
наявність повідомлення про включення об’єкта критичної інформаційної інфраструктури до переліку авторизованих систем з безпеки або сертифіката відповідності стандарту інформаційної безпеки, виданого органом з оцінки відповідності;
відомості про особу та/або підрозділ, відповідальні за стан захисту інформації (забезпечення інформаційної безпеки) та кіберзахисту об’єкта критичної інформаційної інфраструктури, зокрема, на яких покладено функції служби захисту інформації;
загальна функціональна схема об’єкта критичної інформаційної інфраструктури (зокрема із зазначенням ІР-адрес, типів з’єднання тощо).
13. Інформація в Реєстрі є інформацією з обмеженим доступом, захист та обробка якої забезпечується відповідно до вимог Закону України "Про захист інформації в інформаційно-комунікаційних системах".
До інформації з обмеженим доступом належить інформація про об’єкт критичної інформаційної інфраструктури, а саме:
назва об’єкта критичної інформаційної інфраструктури;
перелік життєво важливих функцій та/або послуг, надання яких він забезпечує;
категорія критичності;
повна назва об’єктів критичної інфраструктури, функціонування яких забезпечується об’єктом критичної інформаційної інфраструктури, сектори та підсектори, до яких вони входять, перелік життєво важливих функцій та/або послуг, які вони надають, категорія критичності;
місцезнаходження/адреса;
місцезнаходження/адреса власника або розпорядника.
14. Надання реєстрової інформації здійснюється з дотриманням встановлених правил роботи з документами, які містять інформацію з обмеженим доступом.
15. Мова відомостей, що вносяться до Реєстру, - українська, для технічних термінів - мова, використана в технічній документації.
16. Для віднесення систем до об’єктів критичної інформаційної інфраструктури, їх категоризації та внесення до Реєстру операторами критичної інфраструктури проводиться ідентифікація об’єктів критичної інформаційної інфраструктури щодо об’єктів критичної інфраструктури, які включені до Реєстру об’єктів критичної інфраструктури протягом 30 календарних днів з дня отримання повідомлення від секторальних органів про внесення відомостей про таких об’єктів критичної інфраструктури до зазначеного Реєстру.
Оператори критичної інфраструктури проводять ідентифікацію об’єктів критичної інформаційної інфраструктури щодо кожного об’єкта критичної інфраструктури, визначають категорію критичності ідентифікованого об’єкта та повідомляють секторальним органам про результати, а саме про наявність чи відсутність ідентифікованих об’єктів критичної інформаційної інфраструктури.
17. Під час ідентифікації об’єктів критичної інформаційної інфраструктури оператори критичної інфраструктури визначають системи, необхідні для стійкого та безперервного функціонування об’єктів критичної інфраструктури, істотно впливають на безперервність та стійкість виконання життєво важливих функцій та/або надання послуг об’єктом критичної інфраструктури, враховуючи відсутність альтернативної системи (способу) для забезпечення їх надання.
18. До об’єктів критичної інформаційної інфраструктури відносяться системи, що одночасно відповідають таким критеріям:
система необхідна для стійкого та безперервного функціонування об’єктів критичної інфраструктури та виконання ними життєво важливих функцій та/або надання послуг;
кібератака на систему, кіберінцидент щодо системи істотно впливає на безперервність та стійкість надання об’єктами критичної інфраструктури життєво важливих функцій та/або послуг;
у разі порушення безпеки, сталого, надійного та штатного режиму функціонування системи відсутні альтернативні системи для об’єктів критичної інфраструктури.
19. Оператори критичної інфраструктури визначають категорію критичності ідентифікованого об’єкта критичної інформаційної інфраструктури за категорією критичності об’єкта критичної інфраструктури, для стійкого та безперервного функціонування якого необхідний зазначений об’єкт критичної інформаційної інфраструктури.
У разі коли об’єкт критичної інформаційної інфраструктури необхідний для стійкого та безперервного функціонування кількох об’єктів критичної інфраструктури різної категорії критичності, категорія критичності об’єкта критичної інформаційної інфраструктури визначається за категорією критичності об’єкта критичної інфраструктури, який має вищу категорію критичності.
20. У разі наявності ідентифікованих об’єктів критичної інформаційної інфраструктури оператори критичної інфраструктури надсилають секторальним органам подання щодо віднесення системи до об’єктів критичної інформаційної інфраструктури разом із:
повідомленням про ідентифікацію системи як об’єкта критичної інформаційної інфраструктури за формою згідно з додатком;
довідковими та іншими інформаційно-аналітичними матеріалами, що обґрунтовують віднесення системи до об’єктів критичної інформаційної інфраструктури та визначення однієї з категорій критичності;
поданням та додатками до нього в електронній формі (у разі, коли подання підготовлено в паперовій формі).
Подання та додатки до нього підписує керівник оператора критичної інфраструктури або особа, яка його заміщає.
У разі відсутності ідентифікованих об’єктів критичної інформаційної інфраструктури оператори критичної інфраструктури подають секторальним органам інформацію про повну назву об’єктів критичної інфраструктури, щодо яких не ідентифіковано об’єкти критичної інформаційної інфраструктури, їх реєстрові номери, а також довідкові та інші інформаційно-аналітичні матеріалами, що обґрунтовують відсутність систем, необхідних для стійкого та безперервного функціонування об’єктів критичної інфраструктури, систем, що істотно впливають на безперервність та стійкість виконання життєво важливих функцій та/або надання послуг об’єктом критичної інфраструктури, враховуючи відсутність альтернативної системи (способу) для забезпечення їх надання.
Факсимільне відтворення підпису керівника оператора критичної інфраструктури або особи, яка його заміщає, за допомогою засобів механічного або іншого копіювання на зазначених документах не допускається.
21. Відповідальність за достовірність, своєчасність та повноту поданої інформації секторальному органу про об’єкти критичної інформаційної інфраструктури несе оператор критичної інфраструктури.
22. Оператори критичної інфраструктури подають оновлену інформацію про об’єкти критичної інформаційної інфраструктури до секторальних органів протягом 15 робочих днів з моменту їх настання в разі:
зміни інформації про об’єкт критичної інформаційної інфраструктури, визначеної у пункті 12 цього Порядку;
припинення функціонування об’єкта критичної інформаційної інфраструктури;
невідповідності такого об’єкта критичної інформаційної інфраструктури критеріям, визначеним у пункті 18 цього Порядку.
23. Секторальні органи протягом 15 робочих днів з дня отримання від операторів критичної інфраструктури подання, документів та матеріалів, передбачених пунктом 20 цього Порядку, розглядають їх, перевіряють на відповідність вимогам цього Порядку в частині:
повноти інформації, зазначеної в повідомленні про ідентифікацію системи як об’єкта критичної інформаційної інфраструктури;
обґрунтованості віднесення системи до об’єктів критичної інформаційної інфраструктури;
обґрунтованості визначення категорії критичності об’єкта критичної інформаційної інфраструктури.
У разі повноти наданих операторами критичної інфраструктури результатів ідентифікації об’єктів критичної інформаційної інфраструктури, обґрунтованості віднесення системи до об’єктів критичної інформаційної інфраструктури та визначення категорії критичності об’єкта критичної інформаційної інфраструктури секторальні органи (створювачі реєстрової інформації) подають до Реєстру повідомлення про внесення відомостей щодо об’єкта критичної інформаційної інфраструктури, окремо про кожен об’єкт критичної інформаційної інфраструктури за формою, визначеною Адміністрацією Держспецзв’язку.
У разі неповноти інформації, необґрунтованості віднесення системи до об’єктів критичної інформаційної інфраструктури відповідно до пункту 18 цього Порядку та визначення категорії критичності об’єкта критичної інформаційної інфраструктури секторальний орган повертає оператору критичної інфраструктури подання, документи та матеріали, передбачені пунктом 20 цього Порядку, не пізніше ніж протягом двох робочих днів із дня реєстрації разом із супровідним листом для приведення у відповідність із вимогами цього Порядку.
Після усунення невідповідностей або доповнення інформації оператор критичної інфраструктури повторно подає секторальному органу документи, передбачені пунктом 20 цього Порядку.
24. Секторальні органи складають переліки систем, ідентифікованих як об’єкти критичної інформаційної інфраструктури своїх секторів (підсекторів) критичної інфраструктури, та подають їх Адміністрації Держспецзв’язку.
Секторальні органи подають Адміністрації Держспецзв’язку оновлені секторальні переліки протягом двох робочих днів з дня внесення до них змін.
25. Створювачі реєстрової інформації за допомогою електронного кабінету за формою, визначеною Адміністрацією Держспецзв’язку, подають повідомлення про внесення відомостей щодо об’єкта критичної інформаційної інфраструктури до Реєстру з подальшим його підписанням кваліфікованим електронним підписом керівника структурного підрозділу, на якого покладено функції з організації виконання секторальним органом завдань, передбачених Законом України "Про критичну інфраструктуру", або посадової особи секторального органу, на яку відповідно до їх посадових обов’язків покладено такі функції.
Відповідальність за достовірність, своєчасність та повноту реєстрової інформації несе створювач.
26. Публічні реєстратори протягом 15 робочих днів з дня подання створювачами реєстрової інформації повідомлення перевіряє повноту заповнення визначених форм та вносить їх до Реєстру за допомогою електронного кабінету із підписанням такого внесення кваліфікованим електронним підписом.
У разі неповноти інформації, що міститься в поданому створювачами реєстрової інформації повідомленні про внесення відомостей щодо об’єкта критичної інформаційної інфраструктури, публічні реєстратори повертають його створювачам реєстрової інформації через електронний кабінет.
Після доповнення інформації створювач реєстрової інформації повторно подає повідомлення про внесення відомостей щодо об’єкта критичної інформаційної інфраструктури до Реєстру.
27. Під час внесення інформації про об’єкт критичної інформаційної інфраструктури до Реєстру кожному об’єкту присвоюється реєстровий номер.
Реєстровим номером об’єкта критичної інформаційної інфраструктури є унікальний реєстровий номер, який присвоюється кожному індивідуально визначеному об’єкту критичної інформаційної інфраструктури під час реєстрації вперше, не повторюється на всій території України, залишається незмінним протягом усього часу існування такого об’єкта критичної інформаційної інфраструктури та не змінюється у разі зміни оператора критичної інфраструктури, форми власності, кінцевого бенефіціарного власника/контролера.
З моменту присвоєння об’єкту критичної інфраструктури унікального реєстрового номера в Реєстрі він вважається таким, що набув правового статусу об’єкта критичної інформаційної інфраструктури, про що автоматично за допомогою електронного кабінету повідомляється створювач реєстрової інформації.
28. Секторальні органи протягом п’яти робочих днів з дня отримання інформації про внесення інформації про об’єкт критичної інформаційної інфраструктури до Реєстру повідомляють про це відповідним операторам критичної інфраструктури.
29. Секторальний орган протягом 15 робочих днів з дня отримання інформації та документів від оператора критичної інфраструктури про внесення змін до відомостей щодо об’єкта критичної інформаційної інфраструктури розглядає їх, перевіряє та подає до Реєстру повідомлення про внесення змін до відомостей щодо об’єкта критичної інформаційної інфраструктури за формою, визначеною Адміністрацією Держспецзв’язку та в порядку, передбаченому пунктами 25-28 цього Порядку.
30. Об’єкт критичної інформаційної інфраструктури виключається Адміністрацією Держспецзв’язку з Реєстру у разі:
невідповідності об’єкта критичної інформаційної інфраструктури критеріям, визначеним у пункті 18 цього Порядку, що встановлено (засвідчено) під час здійснення заходів державного контролю за додержанням вимог законодавства у сфері кіберзахисту відповідно до пункту 1 частини четвертої статті 15 Закону України "Про основні засади забезпечення кібербезпеки України", та відображено у відповідному акті за результатами такого контролю;
поданої створювачами реєстрової інформації оновленої інформації про об’єкт критичної інформаційної інфраструктури, в якій зазначаються відомості про об’єкт критичної інформаційної інфраструктури, який виключається з Реєстру.
31. Секторальні органи протягом п’яти робочих днів з дня отримання інформації від Адміністрації Держспецзв’язку про виключення об’єкта критичної інформаційної інфраструктури з Реєстру інформують про це відповідного оператора критичної інфраструктури.
32. Електронна інформаційна взаємодія може здійснюватися з використанням інших інформаційно-комунікаційних систем із дотриманням вимог щодо захисту інформації відповідно до вимог статті 8, пункту 1-1 статті 13 Закону України "Про захист інформації в інформаційно-комунікаційних системах".
33. До введення Реєстру в промислову експлуатацію секторальні органи подають до Адміністрації Держспецзв’язку повідомлення про внесення відомостей щодо об’єкта критичної інформаційної інфраструктури в паперовій та електронній формі в порядку, передбаченому пунктами 25-26 цього Порядку, та за формою, визначеною Адміністрацією Держспецзв’язку з дотриманням встановлених правил роботи з документами, які містять інформацію з обмеженим доступом.
Обробка та зберігання відомостей про об’єкти критичної інформаційної інфраструктури здійснюється в автоматизованій системі, що забезпечує роботу як одномашинний однокористувачевий комплекс, який обробляє відкриту інформацію та інформацію з обмеженим доступом (службова інформація).
У такому разі відомості Реєстру надсилаються СБУ в електронній формі один раз на рік (до 1 березня поточного року), а також за окремим запитом (у разі виникнення додаткової потреби) з метою виконання завдань, покладених на СБУ відповідно до законодавства.
34. Адміністрація Держспецзв’язку за допомогою Реєстру формує перелік об’єктів критичної інформаційної інфраструктури.
( Постанову доповнено Порядком згідно з Постановою КМ № 1740 від 24.12.2025 )
Додаток
до Порядку
ПОВІДОМЛЕННЯ
про ідентифікацію системи як об’єкта критичної інформаційної інфраструктури
( Див. текст )( Додаток в редакції Постанови КМ № 1740 від 24.12.2025 )