Кабінет Міністрів України постановляє:

Внести до Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 3 вересня 2014 р. № 411 (Офіційний вісник України, 2014 р., № 73, ст. 2066; 2018 р., № 31, ст. 1090; 2023 р., № 26, ст. 1474, № 65, ст. 3712; 2024 р., № 83, ст. 4951), зміни, що додаються.

1. Пункт 1 після абзацу п’ятого доповнити абзацами такого змісту:

"центральним органом виконавчої влади, який забезпечує здійснення Держспецзв’язку повноважень уповноваженого органу, що забезпечує функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози;

центральним органом виконавчої влади, який забезпечує здійснення Держспецзв’язку повноважень уповноваженого органу, що забезпечує функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози;".

У зв’язку з цим абзац шостий вважати абзацом восьмим.

2. У пункті 4:

1) підпункт 11 викласти в такій редакції:

"11) забезпечує функціонування державної системи урядового зв’язку, її безпеки, розвитку та готовності до роботи в особливий період і в разі виникнення надзвичайної ситуації;";

2) доповнити пункт підпунктами 15-2 і 15-3 такого змісту:

"15-2) забезпечує здійснення Держспецзв’язку передбачених Законом України "Про основні засади забезпечення кібербезпеки України" повноважень уповноваженого органу, що забезпечує функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози;

15-3) забезпечує здійснення Держспецзв’язку передбачених Законом України "Про основні засади забезпечення кібербезпеки України" повноважень уповноваженого органу, що забезпечує функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози;";

3) абзац п’ятий підпункту 16 після слів "ключових документів" доповнити словами "та державних шифрів";

4) підпункти 17 та 42 викласти в такій редакції:

"17) установлює порядок організації та проведення державної експертизи у сфері криптографічного та технічного захисту інформації, забезпечує організацію проведення державної експертизи щодо відсутності у програмному забезпеченні недокументованих функцій, проводить експертні та тематичні дослідження у сфері криптографічного захисту інформації, визначає криптографічні алгоритми як рекомендовані, надає допуск до експлуатації засобів криптографічного захисту інформації, видає експертні висновки за результатами державної експертизи у сфері криптографічного захисту інформації, свідоцтва про допуск до експлуатації засобів криптографічного захисту інформації, реєструє експертні висновки за результатами державної експертизи у сфері технічного захисту інформації, декларації та атестати відповідності комплексних систем захисту інформації;";

"42) установлює:

технічні вимоги до електронних комунікаційних мереж та об’єктів спеціального зв’язку;

порядок і забезпечує проведення експертизи інфраструктури електронних комунікацій проектів будівництва, реконструкції та модернізації електронних комунікаційних мереж, споруд спеціального зв’язку;";

5) доповнити пункт підпунктом 42-1 такого змісту:

"42-1) затверджує до використання переліки стандартів, настанов, рекомендацій, аналітичних оглядів та інших документів, розроблених та прийнятих іноземними та міжнародними організаціями з питань, що належать до повноважень Держспецзв’язку, в тому числі документів Міжнародної організації зі стандартизації (ISO), Європейського комітету зі стандартизації (CEN), Європейського інституту телекомунікаційних стандартів (ETSI), Міжнародного союзу електрозв’язку (ITU), Агентства Європейського Союзу з кібербезпеки (ENISA), Агентства з кібербезпеки та безпеки інфраструктури (CISA), Національного інституту стандартів та технологій (NIST), Організації Північноатлантичного договору (NATO), а також визнаних зазначеними організаціями процедур оцінки відповідності, у тому числі сертифікації, рекомендованої для застосування у сферах організації спеціального зв’язку, криптографічного та технічного захисту інформації, кіберзахисту;";

6) підпункти 77 та 81 викласти в такій редакції:

"77) установлює порядок організації та забезпечення служби з охорони об’єктів, приміщень, систем, мереж урядового і спеціального зв’язку, ключових документів та державних шифрів до засобів криптографічного захисту інформації; ";

"81) організовує відповідно до законодавства підготовку, перепідготовку та підвищення кваліфікації осіб у сферах криптографічного та технічного захисту інформації, кіберзахисту, електронних комунікацій та радіочастотного спектра;";

7) в абзаці третьому підпункту 87 слова ", засобів, комплексів та систем спеціального зв’язку" виключити;

8) підпункти 95-5і 95-6викласти в такій редакції:

"95-5) забезпечує методичне регулювання оцінювання стану кіберзахисту, стану захищеності інформації, проведення оцінювання стану кіберзахисту інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси, службова інформація та інформація, що становить державну таємницю, стану кіберзахисту об’єктів критичної інформаційної інфраструктури та об’єктів критичної інфраструктури;

95-6) встановлює вимоги до суб’єктів оцінювання стану кіберзахисту щодо оцінювання інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури;";

9) у підпункті 95-7 слова "урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA" замінити словами "національної команди реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA (національний CSIRT)";

10) доповнити пункт підпунктами 95-25-95-46 такого змісту:

"95-25) встановлює вимоги щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури. З метою встановлення зазначених вимог Адміністрація Держспецзв’язку:

визначає критерії критичності таких товарів, робіт, послуг;

встановлює порядок визначення власниками або розпорядниками інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури рівня ризику, пов’язаного з критичністю таких товарів, робіт, послуг для забезпечення функціонування та заходів безпеки, що відповідають такому ризику;

встановлює порядок підтвердження постачальниками товарів, робіт, послуг відповідності впроваджених заходів безпеки інформації встановленим вимогам відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт, послуг;

95-26) забезпечує реалізацію та дотримання порядку пошуку та/або виявлення потенційних вразливостей в інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, та на об’єктах критичної інформаційної інфраструктури;