КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
| від 9 жовтня 2020 р. № 943 Київ |
Деякі питання об’єктів критичної інформаційної інфраструктури
( Із змінами, внесеними згідно з Постановами КМ № 991 від 02.09.2022 № 447 від 28.03.2025 )
Відповідно до абзацу першого частини третьої статті 4 Закону України "Про основні засади забезпечення кібербезпеки України" Кабінет Міністрів України постановляє:
1. Затвердити такі, що додаються:
Порядок формування переліку об’єктів критичної інформаційної інфраструктури;
Порядок внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування.
2. Адміністрації Державної служби спеціального зв’язку та захисту інформації:
сформувати перелік об’єктів критичної інформаційної інфраструктури та внести в установленому порядку Кабінетові Міністрів України;
створити державний реєстр об’єктів критичної інформаційної інфраструктури та забезпечити його функціонування;
встановити форму подання відомостей до державного реєстру об’єктів критичної інформаційної інфраструктури.
3. Міністерствам та іншим органам виконавчої влади протягом шести місяців сформувати секторальні переліки об’єктів критичної інформаційної інфраструктури, що належать до сфери їх управління, забезпечити їх ведення та надання Адміністрації Державної служби спеціального зв’язку та захисту інформації відомостей про об’єкти критичної інформаційної інфраструктури.
4. Визнати такою, що втратила чинність, постанову Кабінету Міністрів України від 23 серпня 2016 р. № 563 "Про затвердження Порядку формування переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави" (Офіційний вісник України, 2016 р., № 69, ст. 2332).
| Прем'єр-міністр України | Д.ШМИГАЛЬ |
| Інд. 49 | |
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 9 жовтня 2020 р. № 943
ПОРЯДОК
формування переліку об’єктів критичної інформаційної інфраструктури
( У тексті Порядку слова "Оператор основних послуг", "оператор основних послуг" в усіх відмінках і формах числа замінено словами "Оператор критичної інфраструктури", "оператор критичної інфраструктури" у відповідному відмінку і числі; слова "Уповноважений орган", "уповноважений орган" в усіх відмінках і формах числа замінено словами "Секторальний орган у сфері захисту критичної інфраструктури", "секторальний орган у сфері захисту критичної інфраструктури" у відповідному відмінку і числі; слова "основних послуг" замінено словами "життєво важливих послуг та функцій" згідно з Постановою КМ № 447 від 28.03.2025 )
1. Цей Порядок визначає механізм формування національного та секторальних переліків об’єктів критичної інформаційної інфраструктури.
Дія цього Порядку не поширюється на банки, інші юридичні особи, що провадять діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, операторів платіжних систем та/або учасників платіжних систем, технологічних операторів платіжних послуг.
( Пункт 1 доповнено абзацом згідно з Постановою КМ № 447 від 28.03.2025 )
2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах", "Про основні засади забезпечення кібербезпеки України" та "Про критичну інфраструктуру".
( Пункт 2 в редакції Постанови КМ № 447 від 28.03.2025 )
3. Оператор критичної інфраструктури проводить ідентифікацію об’єктів критичної інформаційної інфраструктури, що забезпечують функціонування об’єкта критичної інфраструктури та надання ним життєво важливих послуг та функцій.
4. Ідентифікація об’єктів критичної інформаційної інфраструктури проводиться у такому порядку:
оператор критичної інфраструктури визначає всі об’єкти інформаційної інфраструктури (автоматизовані, інформаційні, електронні комунікаційні, інформаційно-комунікаційні системи, автоматизовані системи управління технологічними процесами), що експлуатуються на об’єкті критичної інфраструктури;
( Абзац другий пункту 4 із змінами, внесеними згідно з Постановою КМ № 991 від 02.09.2022 )
оператор критичної інфраструктури визначає, які з наведених об’єктів інформаційної інфраструктури необхідні для забезпечення безперервного та стійкого функціонування об’єкта критичної інфраструктури з точки зору надання ним життєво важливих послуг та функцій, та проводить оцінку їх критичності.
5. Для оцінки критичності об’єкта інформаційної інфраструктури оператор критичної інфраструктури використовує такі три критерії:
необхідність об’єкта інформаційної інфраструктури як для стійкого та безперервного функціонування об’єкта критичної інфраструктури, так і для надання ним життєво важливих послуг та функцій;
кібератака, кіберінцидент, інцидент з інформаційної безпеки на об’єкті інформаційної інфраструктури істотно впливає на безперервність та стійкість надання об’єктом критичної інфраструктури життєво важливих послуг та функцій;
у разі порушення безперервності та стійкості надання життєво важливих послуг та функцій об’єктом інформаційної інфраструктури відсутній альтернативний об’єкт (спосіб) для їх надання.
Об’єкти інформаційної інфраструктури, що відповідають всім трьом критеріям, визначаються оператором критичної інфраструктури як об’єкти критичної інформаційної інфраструктури. При цьому категорія критичності об’єкта критичної інформаційної інфраструктури встановлюється за категорією критичності об’єкта критичної інфраструктури.
6. Оператор критичної інфраструктури подає протягом 30 днів з дати визначення об’єкта критичної інформаційної інфраструктури відомості про об’єкти критичної інформаційної інфраструктури секторальному органу у сфері захисту критичної інфраструктури, який на їх основі формує секторальний перелік об’єктів критичної інформаційної інфраструктури. Відомості за формою згідно з додатком подаються у паперовій та/або в електронній формі. На відомості в електронній формі накладається кваліфікований електронний підпис керівника об’єкта критичної інфраструктури або уповноваженої на те особи і такі відомості надсилаються на електронному носії даних.
До секторального переліку подаються відомості про об’єкти критичної інформаційної інфраструктури I, II, III та IV категорій критичності.
7. Оператор критичної інфраструктури вживає заходів до актуалізації відомостей про об’єкти критичної інформаційної інфраструктури, що містяться у секторальному переліку об’єктів критичної інформаційної інфраструктури, у строк до десяти робочих днів з моменту їх настання у разі:
зміни відомостей, зазначених у додатку;
створення, модернізації, припинення функціонування об’єкта критичної інформаційної інфраструктури.
8. Секторальний орган у сфері захисту критичної інфраструктури розглядає надані відомості про об’єкти критичної інформаційної інфраструктури та у разі потреби надає зауваження та рекомендації щодо коректності та/або повноти наданих відомостей та має право запросити у оператора критичної інфраструктури інформацію стосовно наданих відомостей, зазначених у додатку.
9. Секторальний орган у сфері захисту критичної інфраструктури на підставі відомостей про об’єкти критичної інформаційної інфраструктури, що перебувають у його власності чи розпорядженні, та відомостей, отриманих від операторів критичної інфраструктури його сектору (підсектору), формує та веде секторальний перелік об’єктів критичної інформаційної інфраструктури.
10. Секторальний орган у сфері захисту критичної інфраструктури оновлює секторальний перелік об’єктів критичної інформаційної інфраструктури кожні два роки або протягом одного місяця у разі зміни відомостей, зазначених у додатку, що відбулися у критичній інформаційній інфраструктурі його сектору або підсектору.
11. Відомості про об’єкти критичної інформаційної інфраструктури I та II категорії критичності свого сектору (підсектору) критичної інфраструктури секторальний орган у сфері захисту критичної інфраструктури подає Адміністрації Держспецзв’язку у паперовій та електронній формі згідно з додатком та вживає заходів до актуалізації відомостей про об’єкти свого сектору (підсектору), що містяться у національному переліку, у разі:
зміни відомостей, зазначених у додатку;
створення, модернізації або припинення функціонування об’єкта I та II категорії критичності.
12. Протягом 10 робочих днів після внесення об’єкта критичної інформаційної інфраструктури до секторального переліку секторальний орган у сфері захисту критичної інфраструктури повідомляє про це оператору критичної інфраструктури для внесення оператором інформації про об’єкт критичної інформаційної інфраструктури до паспорта безпеки на об’єкт критичної інфраструктури.
( Пункт 12 із змінами, внесеними згідно з Постановою КМ № 447 від 28.03.2025 )
13. Адміністрація Держспецзв’язку на підставі відомостей із секторальних переліків об’єктів критичної інформаційної інфраструктури, отриманих від секторальних органів у сфері захисту критичної інфраструктури, формує та веде національний перелік об’єктів критичної інформаційної інфраструктури. До національного переліку вносяться відомості про об’єкти критичної інформаційної інфраструктури I та II категорії критичності.
( Пункт 13 із змінами, внесеними згідно з Постановою КМ № 447 від 28.03.2025 )
14. Адміністрація Держспецзв’язку розглядає надані відомості про об’єкти критичної інформаційної інфраструктури та у разі потреби надає зауваження та рекомендації щодо коректності та/або повноти наданих відомостей та має право запросити в секторального органу у сфері захисту критичної інфраструктури або у операторів критичної інфраструктури інформацію стосовно наданих відомостей, зазначених у додатку.
15. Оператор критичної інфраструктури здійснює базові заходи з кіберзахисту щодо власних об’єктів критичної інформаційної інфраструктури.
( Пункт 15 в редакції Постанови КМ № 447 від 28.03.2025 )
16. Відомості про об’єкти критичної інформаційної інфраструктури, включені до національного переліку, вносяться до державного реєстру об’єктів критичної інформаційної інфраструктури.
17. Відомості про об’єкти критичної інформаційної інфраструктури, що містяться у національному переліку та секторальних переліках об’єктів критичної інформаційної інфраструктури, є інформацією з обмеженим доступом, захист якої забезпечується відповідно до вимог законодавства у сфері захисту інформації.
Додаток
до Порядку формування переліку об’єктів
критичної інформаційної інфраструктури
ВІДОМОСТІ
про об’єкт критичної інформаційної інфраструктури
_____________________________________________
(найменування об’єкта)
для внесення до секторального/національного переліку об’єктів критичної інформаційної інфраструктури
( Додаток із змінами, внесеними згідно з Постановами КМ № 991 від 02.09.2022, № 447 від 28.03.2025 )
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 9 жовтня 2020 р. № 943
ПОРЯДОК
внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування
( У тексті Порядку слова "інформаційно-телекомунікаційна система" в усіх відмінках і формах числа замінено словами "інформаційно-комунікаційна система" у відповідному відмінку і числі згідно з Постановою КМ № 991 від 02.09.2022 )
1. Цей Порядок визначає механізм внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури (далі - реєстр), його формування та забезпечення функціонування.
2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах", "Про основні засади забезпечення кібербезпеки України" та "Про критичну інфраструктуру".
( Пункт 2 в редакції Постанови КМ № 447 від 28.03.2025 )
3. Реєстр формується з метою ведення обліку об’єктів критичної інформаційної інфраструктури об’єктів критичної інфраструктури I та II категорії критичності.
4. Реєстр є інформаційно-комунікаційною системою, в якій обробляються та зберігаються відомості про об’єкти критичної інформаційної інфраструктури об’єктів критичної інфраструктури I та II категорії критичності (далі - відомості реєстру).
5. Розпорядником інформаційно-комунікаційної системи реєстру та володільцем інформації (відомостей), що міститься у реєстрі, є Адміністрація Держспецзв’язку, яка:
вживає заходів до створення та адміністрування реєстру;
встановлює організаційні та методичні засади функціонування реєстру, а також забезпечує його функціонування;
встановлює порядок та форми подання відомостей до реєстру, а також визначає порядок доступу до відомостей реєстру;
на підставі отриманих відомостей забезпечує формування та оновлення відомостей реєстру;
забезпечує захист відомостей реєстру відповідно до вимог законодавства у сфері захисту інформації та державної таємниці;
проводить інші заходи щодо забезпечення функціонування реєстру.
6. Відомості, які подаються до реєстру, містять таку інформацію:
повне найменування юридичної особи, у власності (розпорядженні) якої перебуває об’єкт критичної інформаційної інфраструктури, місцезнаходження юридичної особи, код згідно з ЄДРПОУ, форма власності, прізвище, власне ім’я, по батькові (за наявності) керівника;
повна назва об’єкта критичної інфраструктури, до складу якого входить об’єкт критичної інформаційної інфраструктури, його призначення, сектор та підсектор, до якого він належить, перелік життєво важливих послуг та функцій, які він надає, категорія критичності;
( Абзац третій пункту 6 із змінами, внесеними згідно з Постановою КМ № 447 від 28.03.2025 )
повна назва об’єкта критичної інформаційної інфраструктури, його призначення, перелік життєво важливих послуг та функцій, надання яких він забезпечує, категорія критичності;
( Абзац четвертий пункту 6 із змінами, внесеними згідно з Постановою КМ № 447 від 28.03.2025 )
секторальний орган у сфері захисту критичної інфраструктури, до сектору (підсектору) критичної інфраструктури якого належить об’єкт критичної інфраструктури;
( Абзац п'ятий пункту 6 із змінами, внесеними згідно з Постановою КМ № 447 від 28.03.2025 )
вид інформації за порядком доступу, яка обробляється або планується для оброблення на об’єкті критичної інформаційної інфраструктури;
адреса місця фізичного розташування об’єкта критичної інформаційної інфраструктури;
наявність підключення об’єкта критичної інформаційної інфраструктури до Інтернету, інших інформаційно-комунікаційних систем, які не входять до його складу, та діапазон IР-адрес, що використовуються;
повне найменування юридичної особи постачальника (постачальників) електронних комунікаційних послуг, що надає (надають) послуги з доступу до Інтернету для об’єкта критичної інформаційної інфраструктури, місцезнаходження юридичної особи (юридичних осіб);
( Абзац дев'ятий пункту 6 із змінами, внесеними згідно з Постановою КМ № 991 від 02.09.2022 )
наявність взаємодії об’єкта критичної інформаційної інфраструктури з іншими об’єктами критичної інформаційної інфраструктури та/або щодо залежності функціонування об’єкта критичної інформаційної інфраструктури від інших таких об’єктів;
наявність атестата відповідності комплексної системи захисту інформації об’єкта критичної інформаційної інфраструктури або результатів незалежного аудиту інформаційної безпеки об’єкта критичної інфраструктури;
особи та/або підрозділ, відповідальні за стан захисту інформації (забезпечення інформаційної безпеки) та кіберзахисту об’єкта критичної інформаційної інфраструктури, у тому числі ті, на яких покладено функції служби захисту інформації;
відомості про виконання Загальних вимог до кіберзахисту об’єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19 червня 2019 р. № 518 (Офіційний вісник України, 2019 р., № 50, ст. 1697), на об’єкті критичної інформаційної інфраструктури.
7. Відомості до реєстру подаються операторами критичної інфраструктури до Адміністрації Держспецзв’язку в електронній формі, та надсилаються на електронному носії даних.
( Абзац перший пункту 7 із змінами, внесеними згідно з Постановою КМ № 447 від 28.03.2025 )
Відомості до реєстру подаються один раз на рік (станом на 31 грудня року, що минув) до 1 лютого поточного року за формою, встановленою Адміністрацією Держспецзв’язку, або протягом місяця - у разі зміни відомостей про об’єкт критичної інформаційної інфраструктури, визначених у пункті 6 цього Порядку, введення в експлуатацію нового або припинення функціонування об’єкта критичної інформаційної інфраструктури.
До реєстру подаються відомості про об’єкти критичної інформаційної інфраструктури I та II категорії критичності, які внесені до національного переліку об’єктів критичної інформаційної інфраструктури.
8. Відомості реєстру є інформацією з обмеженим доступом, захист якої забезпечується відповідно до вимог законодавства у сфері захисту інформації та державної таємниці.
9. Доступ до реєстру надається зовнішнім авторизованим користувачам за наявності визначених законом підстав з дотриманням вимог законодавства у сфері захисту інформації та державної таємниці.
10. Доступ до відомостей реєстру надається секторальному органу у сфері захисту критичної інфраструктури за його письмовим запитом у частині сфери його управління.
( Пункт 10 із змінами, внесеними згідно з Постановою КМ № 447 від 28.03.2025 )
11. Відомості реєстру надсилаються СБУ в електронній формі один раз на рік (до 1 березня поточного року), а також за окремим запитом (у разі виникнення додаткової потреби) з метою виконання завдань, покладених на СБУ відповідно до закону.
( Порядок доповнено пунктом 11 згідно з Постановою КМ № 447 від 28.03.2025 )