Відповідно до частини п’ятої статті 11 Закону України "Про критичну інфраструктуру" Кабінет Міністрів України постановляє:

1. Затвердити Порядок ведення Реєстру об’єктів критичної інфраструктури, включення таких об’єктів до Реєстру, доступу та надання інформації з нього, що додається.

2. Установити, що під час воєнного стану, а також протягом дванадцяти місяців після його припинення чи скасування:

безпосередній доступ до інформації, що міститься в Реєстрі об’єктів критичної інфраструктури (далі - Реєстр), в тому числі до інформації, яка розміщується на офіційному веб-сайті уповноваженого органу у сфері захисту критичної інфраструктури України, є обмеженим;

інформація з Реєстру надається посадовим/службовим особам суб’єктів національної системи захисту критичної інфраструктури за суб’єктом права чи за об’єктом критичної інфраструктури за письмовим запитом до Адміністрації Державної служби спеціального зв’язку та захисту інформації.

3. Міністерствам та іншим центральним органам виконавчої влади, визначеним відповідальними за забезпечення формування та реалізацію державної політики у сфері захисту критичної інфраструктури в окремому секторі критичної інфраструктури, протягом місяця з дня набрання чинності цією постановою подати до Адміністрації Державної служби спеціального зв’язку та захисту інформації відомості про об’єкти критичної інфраструктури, віднесені до I та II категорії критичності.

4. Адміністрації Державної служби спеціального зв’язку та захисту інформації під час воєнного стану, а також протягом дванадцяти місяців після його припинення чи скасування з дня набрання чинності цією постановою забезпечити:

функціонування, формування і ведення Реєстру в автоматизованій системі, що забезпечує роботу як одномашинний однокористувачевий комплекс, який обробляє інформацію однієї або кількох ступенів обмеження доступу;

внесення відомостей про об’єкти критичної інфраструктури до Реєстру.

1. Цей Порядок визначає процедури формування і ведення Реєстру об’єктів критичної інфраструктури (далі - Реєстр), включення об’єктів критичної інфраструктури до Реєстру, внесення до нього інформації про об’єкти критичної інфраструктури та їх виключення, доступу та надання інформації з Реєстру.

2. У цьому Порядку під терміном "власник об’єкта критичної інфраструктури" розуміється юридична особа будь-якої форми власності або фізична особа - підприємець, якій на праві власності належить об’єкт критичної інфраструктури.

Інші терміни вживаються у значенні, наведеному у Законах України "Про інформацію", "Про захист інформації в інформаційно-комунікаційних системах", "Про основні засади забезпечення кібербезпеки України", "Про доступ до публічної інформації", "Про критичну інфраструктуру", "Про публічні електронні реєстри", "Про електронні довірчі послуги".

3. Реєстр ведеться з метою:

узгодження дій суб’єктів національної системи захисту критичної інфраструктури, які приймаються на національному рівні;

функціонування системи обміну інформацією між суб’єктами національної системи захисту критичної інфраструктури;

здійснення оцінки захищеності об’єктів критичної інфраструктури;

створення бази даних щодо загроз і вразливостей критичній інфраструктурі;

підготовки та надання уповноваженим органом у сфері захисту критичної інфраструктури України висновків/рекомендацій власнику/оператору критичної інфраструктури;

забезпечення паспортизації та захисту об’єктів критичної інфраструктури;

проведення аналізу інформації, яка обробляється в Реєстрі.

4. Реєстр забезпечує включення, оброблення, виключення, захист, відображення та надання інформації про найбільш важливу для життєдіяльності суспільства та держави критичну інфраструктуру, щодо якої встановлюються особливі вимоги із забезпечення її безпеки та стійкості, здійснюється моніторинг їх дотримання.

Власником Реєстру є держава в особі уповноваженого органу у сфері захисту критичної інфраструктури України.

5. Держателем та адміністратором Реєстру є уповноважений орган у сфері захисту критичної інфраструктури України, який здійснює облік, узагальнення, систематизацію, аналіз та надання інформації, яка подається секторальним органом, включення об’єкта критичної інфраструктури до Реєстру, внесення інформації про об’єкт до Реєстру та/або виключення інформації з Реєстру, внесення змін до відомостей, що містяться в Реєстрі, здійснює інші повноваження, пов’язані з веденням Реєстру для забезпечення його функціонування.

6. Користувачами Реєстру є суб’єкти національної системи захисту критичної інфраструктури.

Посадовим/службовим особам суб’єктів національної системи захисту критичної інфраструктури у зв’язку із здійсненням ними повноважень, передбачених Законом України "Про критичну інфраструктуру", інформація з Реєстру надається за суб’єктом права чи за об’єктом критичної інфраструктури в електронній формі шляхом безпосереднього доступу до Реєстру за умови ідентифікації відповідної посадової/службової особи відповідно до вимог Закону України"Про електронні довірчі послуги".

7. Реєстр формується і ведеться уповноваженим органом у сфері захисту критичної інфраструктури України.

8. Обробка інформації в Реєстрі здійснюється відповідно до вимог Законів України "Про захист інформації в інформаційно-комунікаційних системах", "Про захист персональних даних", "Про основні засади забезпечення кібербезпеки України", "Про державну таємницю".

9. Інформація, що міститься в Реєстрі, є державним інформаційним ресурсом. Інформація про об’єкти критичної інфраструктури, що міститься в Реєстрі, є відкритою, загальнодоступною та безоплатною, крім інформації з обмеженим доступом.

10. Реєстр ведеться в електронній формі. Мовою ведення Реєстру є державна мова.

11. До Реєстру вносяться відомості про:

секторальний орган, який подає інформацію;

оператора критичної інфраструктури;

документ, на підставі якого ідентифіковано та категоризовано об’єкт критичної інфраструктури;

об’єкт критичної інфраструктури;

погодження (перегляд) паспорта безпеки на об’єкт критичної інфраструктури.

12. До відкритої інформації у Реєстрі віднесена інформація про:

секторальний орган, який подав інформацію до Реєстру;

найменування (прізвище, власне ім’я, по батькові (за наявності), місцезнаходження (адреса) та код згідно з ЄДРПОУ (РНОКПП - за наявності) оператора критичної інфраструктури, форму власності, країну реєстрації, КВЕД основної діяльності;

кінцевого бенефіціарного власника/контролера;

реєстровий номер об’єкта критичної інфраструктури;

дату внесення інформації про об’єкт критичної інфраструктури до Реєстру вперше.

13. До інформації з обмеженим доступом у Реєстрі віднесена інформація про об’єкт критичної інфраструктури, а саме:

назва об’єкта критичної інфраструктури;

категорія критичності;

дата останнього оновлення інформації про об’єкт критичної інфраструктури в Реєстрі;

дата затвердження паспорта безпеки на об’єкт критичної інфраструктури;