Верховна Рада України постановляє:

I. Внести зміни до таких законів України:

1. У Законі України "Про захист інформації в інформаційно-комунікаційних системах" (Відомості Верховної Ради України, 2005 р., № 26, ст. 347 із наступними змінами):

1) у частині першій статті 1:

абзаци третій, сьомий і п’ятнадцятий викласти в такій редакції:

"виток інформації - результат дій або бездіяльності, внаслідок яких інформація, що обробляється в системі чи пристроєм обробки інформації, стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї";

"захист інформації в системі - діяльність, спрямована на запобігання порушенню цілісності, конфіденційності і доступності інформації в системі";

"обробка інформації в системі - виконання однієї або кількох операцій, зокрема збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація, приймання, отримання, передавання, що здійснюються в системі за допомогою технічних і програмних засобів або автономно (без підключення до інших засобів обробки інформації, ліній зв’язку або мереж передачі даних) пристроями обробки інформації";

доповнити з урахуванням алфавітного порядку термінами такого змісту:

"авторизація з безпеки - рішення щодо можливості функціонування (експлуатації) відповідної інформаційної, електронної комунікаційної, інформаційно-комунікаційної, технологічної системи з урахуванням її відповідності вимогам законодавства, національним стандартам та нормативним документам у сферах технічного захисту, криптографічного захисту та кіберзахисту, що приймається у встановленому законодавством порядку";

"авторизована система з безпеки - інформаційна, електронна комунікаційна, інформаційно-комунікаційна, технологічна система або її окремі елементи, об’єкт критичної інформаційної інфраструктури, в яких запроваджені заходи та/або системи з безпеки інформації, що пройшли авторизацію з безпеки";

"комплекс технічного захисту інформації - сукупність заходів, засобів технічного захисту інформації, призначених для захисту інформації від витоку технічними каналами в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах";

"пристрої обробки інформації - технічні пристрої (засоби) обробки інформації, в яких технічно неможливо реалізувати програмні процедури розмежування доступу користувачів та інші функціональні послуги безпеки";

"перелік авторизованих систем з безпеки - єдина електронна база даних, що містить відомості про авторизовані системи з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних та технологічних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, порядок ведення якої, порядок внесення даних щодо авторизованих систем з безпеки до якої та порядок доступу і надання інформації з якої визначаються спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації. Інформація про авторизовані системи з безпеки, що міститься в переліку, є відкритою, загальнодоступною та безоплатною, крім інформації з обмеженим доступом та інформації, доступ до якої обмежений відповідно до законодавства на період дії воєнного стану";

"технічний канал витоку інформації - взаємопов’язана сукупність джерела небезпечного сигналу, середовища його поширення та засобу технічної розвідки, спрямована на забезпечення витоку інформації";

2) статтю 8 викласти в такій редакції:

"Стаття 8. Умови обробки інформації в системі

Умови обробки інформації в системі, об’єкті критичної інформаційної інфраструктури визначаються власником або розпорядником відповідної системи з урахуванням вимог щодо захисту інформації, визначених законодавством.

Державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, у системах, об’єктах критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, мають оброблятися в авторизованих системах з безпеки або шляхом отримання сертифіката відповідності стандарту інформаційної безпеки, виданого органом з оцінки відповідності.

Авторизація з безпеки систем, об’єктів критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, а також підтвердження дотримання вимог з безпеки щодо таких систем, об’єктів критичної інформаційної інфраструктури протягом їх життєвого циклу здійснюються в порядку, встановленому Кабінетом Міністрів України.

Складовою такого порядку авторизації з безпеки має бути встановлення повідомного (декларативного) принципу щодо прийняття власником або розпорядником системи, об’єкта критичної інформаційної інфраструктури (крім тих, в яких обробляється інформація, що становить державну таємницю) рішення про здійснення авторизації з безпеки з урахуванням відповідних профілів безпеки, а також строки та порядок підтвердження дотримання вимог відповідно до базового, цільового та галузевого (за наявності) профілів безпеки протягом життєвого циклу відповідної системи, об’єкта критичної інформаційної інфраструктури.

Підтвердження відповідності стандарту інформаційної безпеки за результатами процедури з оцінки відповідності національним стандартам України здійснюється органом з оцінки відповідності, який акредитовано національним органом України з акредитації чи національним органом з акредитації іноземної держави, якщо національний орган України з акредитації та національний орган з акредитації відповідної держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності.

Процедура отримання сертифіката відповідності стандарту інформаційної безпеки не застосовується до систем, в яких обробляється інформація, що становить державну таємницю.

Авторизація з безпеки або отримання сертифіката відповідності стандарту інформаційної безпеки щодо систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, здійснюється за одночасного дотримання таких умов:

використання для захисту інформації в системах засобів технічного та/або криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації або документ про відповідність (крім систем, об’єктів критичної інформаційної інфраструктури, в яких обробляється службова інформація або інформація, що становить державну таємницю), виданий органом з оцінки відповідності, який акредитовано національним органом України з акредитації або національним органом з акредитації іноземної держави, якщо національний орган України з акредитації та національний орган з акредитації відповідної держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності;

жодний з елементів системи, об’єкта критичної інформаційної інфраструктури не розташований на тимчасово окупованій території України, на території держави, визнаної Верховною Радою України державою-агресором, або на території держави, яка входить до митного або воєнного союзу з такими державами;

власник або розпорядник жодного з елементів системи, об’єкта критичної інформаційної інфраструктури не є юридичною або фізичною особою, зареєстрованою на тимчасово окупованій території України, резидентом держави, визнаної Верховною Радою України державою-агресором, резидентом держави, яка входить до митного або воєнного союзу з такими державами або щодо якої застосовано санкції відповідно до Закону України "Про санкції";

власник або розпорядник системи, об’єкта критичної інформаційної інфраструктури або його представник, який надає послуги з використанням системи, об’єкта критичної інформаційної інфраструктури, елементи якої розміщуються поза межами України, є юридичною особою, зареєстрованою в Україні, або має свого офіційного представника в Україні;

виконання особливих вимог, встановлених Кабінетом Міністрів України до забезпечення захисту інформації в системах залежно від категорії державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, що обробляються.

Інформація, що становить державну таємницю, має оброблятися в системі, об’єкті критичної інформаційної інфраструктури із застосуванням комплексу технічного захисту інформації з підтвердженою відповідністю та за умови використання засобів криптографічного захисту суб’єктів господарювання, які провадять ліцензовану діяльність відповідно до законодавства. Порядок атестації такого комплексу технічного захисту інформації визначається спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації.

Програмне забезпечення, що забезпечує функціонування інформаційних, електронних комунікаційних, інформаційно-комунікаційних та технологічних систем, в яких обробляється інформація, що становить державну таємницю, використовується за умови проведення державної експертизи у сфері захисту інформації в порядку, встановленому Кабінетом Міністрів України.

Національний банк України визначає умови обробки інформації, використання засобів захисту інформації в системах у сфері надання платіжних, банківських та інших фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, валютного регулювання та валютного нагляду, а також у системі депозитарного обліку Національного банку України.

Власники або розпорядники систем, об’єктів критичної інформаційної інфраструктури для забезпечення їх належного функціонування та захисту інформації, що обробляється в них:

створюють резервні копії державних інформаційних ресурсів та систем із дотриманням встановлених для таких ресурсів, систем, об’єктів критичної інформаційної інфраструктури вимог щодо їх захисту, цілісності та конфіденційності;

забезпечують створення резервних копій державних інформаційних ресурсів, систем, об’єктів критичної інформаційної інфраструктури на окремих фізичних носіях у зашифрованому вигляді та їх подальшу передачу (переміщення) для зберігання в установленому законодавством порядку, у тому числі за межами України (зокрема в закордонних дипломатичних установах України), під час дії воєнного стану в Україні та протягом шести місяців з дня його припинення чи скасування;

забезпечують в установленому законодавством порядку передачу (переміщення) державних інформаційних ресурсів та їх резервних копій для розміщення на хмарних ресурсах та/або в центрах обробки даних, розташованих за межами України, під час дії воєнного стану в Україні та протягом шести місяців з дня його припинення чи скасування.

Розміщення систем, об’єктів критичної інформаційної інфраструктури або їх елементів та зберігання резервних копій державних інформаційних ресурсів на тимчасово окупованій території України, території держави, визнаної Верховною Радою України державою-агресором, або на території держави, яка входить до митного або воєнного союзу з такими державами, забороняється";

3) у статті 9:

частину першу після слова "власника" доповнити словами "або розпорядника";

у частині другій слова "службу захисту інформації" замінити словами "підрозділ із кіберзахисту";

4) у статті 10:

частину першу викласти в такій редакції:

"Мінімальні вимоги щодо заходів захисту як базовий профіль безпеки щодо систем, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом (крім вимог щодо забезпечення захисту інформації, встановлених законом у сфері надання платіжних, банківських та інших фінансових послуг), встановлюються Кабінетом Міністрів України";

у частині третій:

абзац шостий викласти в такій редакції:

"здійснює заходи щодо виявлення загроз державним інформаційним ресурсам від несанкціонованих дій та витоку інформації технічними каналами в інформаційних, електронних комунікаційних, інформаційно-комунікаційних та технологічних системах, надає рекомендації щодо запобігання таким загрозам";

після абзацу шостого доповнити трьома новими абзацами такого змісту:

"забезпечує реалізацію та здійснює методичне керівництво щодо підтвердження відповідності комплексної системи захисту інформації, авторизації з безпеки, порядок проведення яких затверджується Кабінетом Міністрів України;

затверджує порядок ведення переліку авторизованих систем з безпеки;

здійснює включення авторизованих систем з безпеки до переліку авторизованих систем з безпеки та виключення з такого переліку".

У зв’язку з цим абзац сьомий вважати абзацом десятим;

частини четверту і п’яту замінити чотирма новими частинами такого змісту:

"Органи державної влади, державні органи, органи місцевого самоврядування з урахуванням набору мінімальних вимог щодо заходів захисту (базового профілю безпеки), відповідних стандартів, політик безпеки, призначення системи, її структурно-функціональних характеристик, результатів аналізу ризиків безпеки та особливостей функціонування системи розробляють та затверджують цільові профілі безпеки для інформаційних, електронних комунікаційних, інформаційно-комунікаційних та технологічних систем, власником або розпорядником яких вони є.

Органи державної влади, державні органи в межах своїх повноважень у відповідній сфері або галузі розробляють та за погодженням із Державною службою спеціального зв’язку та захисту інформації України затверджують галузеві профілі безпеки для відповідної сфери або галузі з урахуванням мінімальних вимог щодо заходів захисту (базового профілю безпеки), а також відповідних стандартів, політик безпеки та особливостей функціонування системи у відповідній сфері або галузі.

Порядок затвердження цільових та галузевих профілів безпеки затверджується Кабінетом Міністрів України.

Національний банк України встановлює вимоги щодо забезпечення захисту інформації, вимоги щодо захисту якої встановлені законом у сфері надання платіжних, банківських та інших фінансових послуг (крім професійної діяльності на ринках капіталу та діяльності в системі накопичувального пенсійного забезпечення), державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, валютного регулювання та валютного нагляду, а також у системі депозитарного обліку Національного банку України".

У зв’язку з цим частину шосту вважати частиною восьмою;

5) у статті 13 "Прикінцеві положення":

назву викласти в такій редакції:

"Стаття 13. Прикінцеві та перехідні положення";

доповнити пунктом 1-1 такого змісту:

"1-1. Установити, що комплексні системи захисту інформації, системи управління інформаційною безпекою з підтвердженою відповідністю, створені до набрання чинності Законом України "Про внесення змін до деяких законів України щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури", застосовуються відповідно до умов їх створення та не потребують повторного підтвердження відповідності (авторизації)".

2. У Законі України "Про Державну службу спеціального зв’язку та захисту інформації України" (Відомості Верховної Ради України, 2014 р., № 25, ст. 890 із наступними змінами):

1) у частині першій статті 1:

абзаци шостий і сьомий викласти в такій редакції:

"допуск до експлуатації - комплекс організаційно-технічних заходів щодо проведення тематичних досліджень засобів криптографічного захисту інформації, криптографічних алгоритмів, призначених для захисту службової інформації або інформації, що становить державну таємницю, та державної експертизи результатів таких досліджень з метою встановлення можливості використання відповідних засобів, алгоритмів за призначенням;

експертні дослідження - дослідження та аналіз конкретних властивостей засобів криптографічного захисту інформації, криптографічних алгоритмів з метою перевірки їх на відповідність вимогам нормативно-правових актів, оцінки ступеня захищеності інформації або науково-технічного рівня таких засобів, алгоритмів";

абзаци дев’ятий і десятий виключити;

абзац сімнадцятий викласти в такій редакції:

"тематичні дослідження - дослідження щодо встановлення відповідності засобів криптографічного захисту інформації, криптосистем, криптографічних алгоритмів, призначених для захисту службової інформації або інформації, що становить державну таємницю, вимогам тактико-технічних завдань на їх створення, нормативно-правових актів у сфері криптографічного захисту інформації, а також вимогам із захисту від витоку інформації каналами побічних електромагнітних випромінювань і наведень";

доповнити з урахуванням алфавітного порядку термінами такого змісту:

"верифікація - комплекс заходів щодо перевірки відповідності програмних і технічних засобів вимогам, встановленим нормативними документами";

"засіб технічного захисту інформації - технічний або програмний засіб, у якому передбачено функції технічного захисту інформації або який спеціально розроблений для пошуку закладних пристроїв або контролю за ефективністю технічного захисту інформації";

"орган стандартизації криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам - наукова (науково-дослідна, науково-технологічна, науково-технічна, науково-практична) установа або організація Державної служби спеціального зв’язку та захисту інформації України, до функцій якої належить розроблення, прийняття, внесення змін, скасування, відновлення дії, оприлюднення, запровадження та застосування стандартів криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам";

"оцінювання стану кіберзахисту - процес перевірки обраних та/або запроваджених методів, заходів, засобів захисту інформації або кіберзахисту з метою визначення поточного та/або цільового стану захищеності або перевірки їх відповідності вимогам законодавства щодо повноти запроваджених заходів захисту інформації чи кіберзахисту або відповідності національним стандартам у сфері захисту інформації або кіберзахисту або стандартам, настановам, рекомендаціям, аналітичним оглядам та іншим документам, розробленим та прийнятим іноземними та міжнародними організаціями у сфері кібербезпеки";

"репозитарій інформації про кіберінциденти - електронна база даних, у якій накопичуються, зберігаються і систематизуються відомості про кіберінциденти у порядку, встановленому Державною службою спеціального зв’язку та захисту інформації України";

"спеціальна інформаційно-комунікаційна система - інформаційно-комунікаційна система, яка забезпечує обробку інформації, що становить державну таємницю, та іншої інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, із застосуванням технічних засобів електронних комунікацій і засобів криптографічного захисту інформації";

"стандарт криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам - стандарт, прийнятий органом стандартизації криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам, що встановлює для загального і неодноразового використання правила та настанови щодо діяльності у сферах криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам і спрямований на досягнення оптимального ступеня впорядкованості у зазначених сферах";

"стандартизація криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам - діяльність із встановлення для загального і неодноразового використання правил та настанов щодо наявних чи потенційних завдань, спрямована на досягнення оптимального ступеня впорядкованості у сферах криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам";

"таксономія кіберінцидентів - схема понять та класифікації кіберінцидентів, призначена для застосування під час обміну, повідомлення, зберігання інформації та підготовки звітів про кіберінциденти";

2) частину першу статті 3 після абзацу дев’ятого доповнити новим абзацом такого змісту:

"здійснення стандартизації у сферах криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам".

У зв’язку з цим абзац десятий вважати абзацом одинадцятим;

3) у частині першій статті 14:

у пункті 9 слова "засобів, комплексів та систем спеціального зв’язку" виключити;

пункти 13, 30 і 39 викласти в такій редакції:

"13) забезпечення функціонування державної системи урядового зв’язку, її безпеки, розвитку та готовності до роботи в особливий період і в разі виникнення надзвичайної ситуації";

"30) встановлення порядку організації та проведення державної експертизи у сфері криптографічного та технічного захисту інформації; забезпечення організації проведення державної експертизи щодо відсутності у програмному забезпеченні недокументованих функцій; проведення експертних та тематичних досліджень у сфері криптографічного захисту інформації; визначення криптографічних алгоритмів як рекомендованих; надання допуску до експлуатації засобів криптографічного захисту інформації; видача експертних висновків за результатами державної експертизи у сфері криптографічного захисту інформації, свідоцтва про допуск до експлуатації засобів криптографічного захисту інформації; реєстрація експертних висновків за результатами державної експертизи у сфері технічного захисту інформації, декларацій та атестатів відповідності комплексних систем захисту інформації";

"39) забезпечення функціонування CERT-UA";

пункт 48 після слів "ключових документів" доповнити словами "та державних шифрів";

пункти 50, 67 і 72 викласти в такій редакції:

"50) встановлення:

технічних вимог до електронних комунікаційних мереж та об’єктів спеціального зв’язку;

порядку і забезпечення проведення експертизи інфраструктури електронних комунікацій проектів будівництва, реконструкції та модернізації електронних комунікаційних мереж, споруд спеціального зв’язку";

"67) організація та забезпечення служби з охорони об’єктів, приміщень, систем, мереж урядового і спеціального зв’язку, ключових документів та державних шифрів до засобів криптографічного захисту інформації";

"72) здійснення відповідно до законодавства підготовки, перепідготовки та підвищення кваліфікації осіб у сферах криптографічного та технічного захисту інформації, кіберзахисту, електронних комунікацій та радіочастотного спектра";

доповнити пунктом 77-1 такого змісту:

"77-1) затвердження до використання переліків стандартів, настанов, рекомендацій, аналітичних оглядів та інших документів, розроблених та прийнятих іноземними та міжнародними організаціями з питань, що належать до повноважень Державної служби спеціального зв’язку та захисту інформації України, у тому числі документів Міжнародної організації зі стандартизації (ISO), Європейського комітету зі стандартизації (CEN), Європейського інституту телекомунікаційних стандартів (ETSI), Міжнародного союзу електрозв’язку (ITU), Агентства Європейського Союзу з кібербезпеки (ENISA), Агентства з кібербезпеки та безпеки інфраструктури (CISA), Національного інституту стандартів та технологій (NIST), Організації Північноатлантичного договору (NATO), а також визнаних зазначеними організаціями процедур оцінки відповідності, у тому числі сертифікації, рекомендованої для застосування у сферах організації спеціального зв’язку, криптографічного та технічного захисту інформації, кіберзахисту";

пункт 90 викласти в такій редакції:

"90) методичне регулювання оцінювання стану кіберзахисту, стану захищеності інформації, проведення оцінювання стану кіберзахисту інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси, службова інформація та інформація, що становить державну таємницю, стану кіберзахисту об’єктів критичної інформаційної інфраструктури та об’єктів критичної інфраструктури";

пункт 91 виключити;

доповнити пунктами 96-115 такого змісту:

"96) встановлення вимог щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури.

Такі вимоги щодо запровадження заходів безпеки застосовуються до постачальників товарів, робіт, послуг лише в разі, якщо товари, роботи, послуги, які вони постачають, забезпечують функціонування інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури.

З метою встановлення таких вимог Державна служба спеціального зв’язку та захисту інформації України визначає критерії критичності таких товарів, робіт, послуг; встановлює порядок визначення власниками або розпорядниками інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури рівня ризику, пов’язаного з критичністю таких товарів, робіт, послуг для забезпечення функціонування та заходів безпеки, що відповідають такому ризику; встановлює порядок підтвердження постачальниками товарів, робіт, послуг відповідності впроваджених заходів безпеки інформації встановленим вимогам відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт, послуг;

97) забезпечення реалізації та дотримання порядку пошуку та/або виявлення потенційних вразливостей в інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, та на об’єктах критичної інформаційної інфраструктури;

98) забезпечення організації та систематичного проведення консультацій (навчань) з питань захисту інформації та кіберзахисту та оцінювання стану кіберзахисту для осіб, які в межах своєї компетенції безпосередньо здійснюють заходи із захисту інформації або кіберзахисту в органах державної влади, державних органах, органах місцевого самоврядування, що є власниками або розпорядниками інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, та в юридичних особах, які є власниками або розпорядниками об’єктів критичної інформаційної інфраструктури;

99) розроблення та забезпечення оновлення методичних рекомендацій щодо проведення інструктажів та тренінгів щодо кібергігієни на період призначення на посади державних службовців, працівників органів державної влади та державних органів, військовослужбовців, керівників та працівників державних підприємств, установ та організацій;

100) надання з урахуванням професійних стандартів методичних рекомендацій щодо типових вимог до підрозділів із кіберзахисту, загальних вимог до керівників із кіберзахисту в органах державної влади, державних органах, державних установах, організаціях, а також до осіб, які виконують функції та завдання керівників із кіберзахисту в юридичних особах щодо об’єктів критичної інформаційної інфраструктури, власниками або розпорядниками яких вони є, та в органах місцевого самоврядування;

101) забезпечення нормативно-правового регулювання відносин у сферах стандартизації криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам;

102) забезпечення розроблення, прийняття, внесення змін, скасування, відновлення дії, оприлюднення та запровадження стандартів криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам у порядку, встановленому Кабінетом Міністрів України;

103) призначення органу стандартизації криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам із числа установ і організацій Державної служби спеціального зв’язку та захисту інформації України;

104) забезпечення реалізації та методичне керівництво авторизацією з безпеки, порядок проведення якої затверджується Кабінетом Міністрів України;

105) затвердження порядку ведення переліку авторизованих систем з безпеки, включення таких систем до переліку та виключення з нього, надання доступу до переліку та інформації з нього;

106) запровадження та забезпечення функціонування системи професійної кваліфікації за групами кваліфікації у сферах захисту інформації та кіберзахисту, системи оцінювання та визнання таких кваліфікацій на основі відповідних професійних стандартів, затвердження у встановленому порядку відповідних професійних стандартів, дотримання яких є обов’язковим в органах державної влади, державних органах, органах місцевого самоврядування, державних установах, організаціях та які рекомендуються до застосування на об’єктах критичної інфраструктури;

107) створення та забезпечення функціонування кваліфікаційного центру за групами кваліфікацій у сферах безпеки інформації та кіберзахисту;

108) забезпечення функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози;

109) координація діяльності об’єктів критичної інфраструктури з питань кіберзахисту у разі введення надзвичайного стану або воєнного стану;

110) забезпечення функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози;

111) забезпечення функціонування регіональних центрів кіберзахисту;

112) визначення для виконання завдання щодо функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози:

основних завдань, що можуть бути делеговані національною командою реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA галузевим та регіональним командам реагування на кіберінциденти, кібератаки, кіберзагрози, та порядку взаємодії команд реагування з CERT-UA;

вимог до організаційно-технічної спроможності, до сервісу, пов’язаного з реагуванням на кіберінциденти національної команди реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA, галузевих та регіональних команд реагування на кіберінциденти, кібератаки, кіберзагрози, а також інших команд реагування в частині виконання ними завдань галузевої або регіональної команди реагування або в частині надання ними сервісу, пов’язаного з реагуванням на кіберінциденти, органам державної влади, державним органам, органам місцевого самоврядування, операторам критичної інфраструктури, власникам або розпорядникам об’єктів критичної інформаційної інфраструктури;

порядку ведення репозитарію інформації про кіберінциденти, таксономій кіберінцидентів та їх версій;

порядку здійснення моніторингу за діяльністю національної команди реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA, галузевих та регіональних команд реагування на кіберінциденти, кібератаки, кіберзагрози, а також інших команд реагування в частині виконання ними завдань галузевої або регіональної команди реагування або в частині надання ними сервісу, пов’язаного з реагуванням на кіберінциденти, органам державної влади, державним органам, органам місцевого самоврядування, операторам критичної інфраструктури, власникам або розпорядникам об’єктів критичної інформаційної інфраструктури, зокрема щодо додержання вимог закону в частині функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози та національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози відповідно до сфери їхніх повноважень та надання вимог про усунення порушень;

порядку здійснення заходів реагування у кризовій ситуації в кіберпросторі;

підстав для надання на основі отриманої від CERT-UA інформації вимог про реагування власникам або розпорядникам інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури, операторам критичної інфраструктури, а також визначення строків та порядку реалізації визначених відповідною вимогою про реагування заходів реагування та подання звіту про їх виконання;

113) встановлення для виконання завдання щодо функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози:

порядку обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, форм повідомлення, національної таксономії кіберінцидентів;

критеріїв визначення значного кіберінциденту, у тому числі для цілей виконання зобов’язань, визначених законодавством про здійснення повідомлень про кіберінциденти;

114) запровадження організаційно-технічних заходів щодо створення національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози;

115) забезпечення функціонування платформи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози та встановлення порядку приєднання до такої платформи";

4) у частині першій статті 15:

доповнити пунктами 1-1 і 1-2 такого змісту:

"1-1) надавати обов’язкові до виконання вимоги про усунення встановлених відповідно до закону порушень законодавства щодо функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, щодо виконання вимог законодавства за результатами моніторингу в порядку, визначеному законодавством щодо діяльності команд реагування на кіберінциденти, кібератаки, кіберзагрози;

1-2) у визначених законодавством випадках вживати заходів оперативного реагування на кіберінциденти, кібератаки, кіберзагрози шляхом надання обов’язкових до виконання вимог про реагування власникам або розпорядникам інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, та власникам або розпорядникам об’єктів критичної інформаційної інфраструктури.

Таке оперативне реагування шляхом надання вимоги про реагування є актом організаційно-розпорядчого характеру, не є заходом державного контролю за технічним захистом інформації та кіберзахистом та здійснюється з метою запобігання або мінімізації негативних наслідків у зв’язку з кіберінцидентом, кібератакою або кіберзагрозою";

в абзаці третьому пункту 8 слова "засобів, комплексів та систем спеціального зв’язку" виключити;

пункт 22 після слів "ключових документів" доповнити словами "та державних шифрів".

3. У частині другій статті 2 Закону України "Про стандартизацію" (Відомості Верховної Ради України, 2014 р., № 31, ст. 1058; 2019 р., № 29, ст. 117; 2023 р., № 14, ст. 37) слова "військові стандарти, стандарти медичної допомоги" замінити словами "військові стандарти, стандарти криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам, стандарти медичної допомоги".

4. У Законі України "Про основні засади забезпечення кібербезпеки України" (Відомості Верховної Ради України, 2017 р., № 45, ст. 403 із наступними змінами):

1) у частині першій статті 1:

пункти 7 і 19 викласти в такій редакції:

"7) кіберзахист - сукупність організаційних, правових, інженерно-технічних заходів, а також заходів криптографічного та технічного захисту інформації, спрямованих на захист від кіберзагроз, забезпечення кібербезпеки, стійкості, цілісності, доступності та конфіденційності інформаційних ресурсів у кіберпросторі, а також здатності інфраструктури до їх обробки";

"19) об’єкт критичної інформаційної інфраструктури - інформаційна, електронна комунікаційна, інформаційно-комунікаційна або технологічна система, яка необхідна для стійкого та безперервного функціонування об’єкта критичної інфраструктури, істотно впливає на безперервність та стійкість процесу надання життєво важливих функцій та/або послуг та відсутній альтернативний об’єкт (спосіб) їх надання";

доповнити пунктами 24 і 25 такого змісту:

"24) кризова ситуація у сфері кібербезпеки - порушення або загроза порушення режиму функціонування інформаційних, електронних комунікаційних та/або інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, об’єктів критичної інформаційної інфраструктури у зв’язку з кіберінцидентом, кібератакою або кіберзагрозою, порушення функціонування яких може призвести до значних негативних наслідків для національної безпеки;

25) реагування на кіберінциденти - структурована сукупність дій, спрямованих на підготовку до кіберінцидентів, їх виявлення та аналіз, мінімізацію шкоди від кіберінциденту та запобігання їх повторенню у майбутньому";

2) пункт 2 частини першої статті 2 виключити;

3) у статті 4:

у пунктах 1 і 3 частини другої слова "комунікаційні системи" замінити словами "інформаційні, електронні комунікаційні та інформаційно-комунікаційні системи";

в абзаці першому частини третьої слова "перелік таких об’єктів" виключити;

доповнити частиною четвертою такого змісту:

"4. Обов’язковою умовою використання програмного забезпечення та комунікаційного (мережевого) обладнання в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, а також на об’єктах критичної інформаційної інфраструктури є відсутність таких продуктів та обладнання у відкритому переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання.

Порядок формування та ведення відкритого переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання затверджується Кабінетом Міністрів України.

Повноваження щодо забезпечення формування та ведення відкритого переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання покладаються на Державну службу спеціального зв’язку та захисту інформації України";

4) у статті 5:

частини другу і третю викласти в такій редакції:

"2. Національний координаційний центр кібербезпеки як робочий орган Ради національної безпеки і оборони України здійснює координацію та загальний контроль за діяльністю суб’єктів сектору безпеки і оборони, які забезпечують кібербезпеку, загальну координацію суб’єктів національної системи реагування на кіберінциденти, кібератаки, кіберзагрози; подає до Ради національної безпеки і оборони України пропозиції щодо оголошення кризової ситуації в кібербезпеці; координує реалізацію Стратегії кібербезпеки України, подає до Ради національної безпеки і оборони України пропозиції щодо формування та уточнення Стратегії, у тому числі з урахуванням положень Директиви Європейського Союзу щодо мережевої та інформаційної безпеки (NIS 2 Directive); визначає пріоритети, розробляє концептуальні засади та вносить Президентові України пропозиції щодо проведення кібероперацій стратегічного рівня в інтересах національної безпеки і оборони та забезпечує координацію суб’єктів сектору безпеки і оборони щодо їх проведення; координує стратегічні комунікації у сфері кібербезпеки.