Відповідно до частини четвертої статті 12 Закону України "Про критичну інфраструктуру" Кабінет Міністрів України постановляє:

1. Затвердити Порядок розроблення та погодження паспорта безпеки на об’єкт критичної інфраструктури, що додається.

2. Установити, що оператори критичної інфраструктури протягом трьох місяців з дня внесення відомостей про об’єкт критичної інфраструктури до Реєстру об’єктів критичної інфраструктури забезпечують подання на погодження паспорта безпеки на об’єкт критичної інфраструктури до відповідного державного органу, визначеного законодавством відповідальним за забезпечення формування та реалізацію державної політики у сфері захисту критичної інфраструктури в окремому секторі критичної інфраструктури.

1. Цей Порядок визначає вимоги до розроблення оператором критичної інфраструктури паспорта безпеки на об’єкт критичної інфраструктури (далі - паспорт безпеки) та його складових, а також механізм його погодження секторальними і функціональними органами у сфері захисту критичної інфраструктури.

Відомості, що містяться в паспорті безпеки та його складових, є інформацією з обмеженим доступом, вимога щодо захисту якої встановлена законом.

Обробка інформації, що міститься в паспорті безпеки, його складових та інших документах, які містять інформацію з обмеженим доступом, що створюється під час розроблення і погодження такого паспорта та його складових, проводиться відповідно до Законів України "Про доступ до публічної інформації" і "Про державну таємницю", Порядку організації та забезпечення режиму секретності в державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затвердженого постановою Кабінету Міністрів України від 18 грудня 2013 р. № 939, Типової інструкції про порядок ведення обліку, зберігання, використання і знищення документів та інших матеріальних носіїв інформації, що містять службову інформацію, затвердженої постановою Кабінету Міністрів України від 19 жовтня 2016 р. № 736 (Офіційний вісник України, 2016 р., № 85, ст. 2783), та цього Порядку.

Факсимільне відтворення підпису керівника оператора критичної інфраструктури, функціонального чи секторального органу або особи, що його заміщає, за допомогою засобів механічного або іншого копіювання на зазначених документах не допускається.

2. У цьому Порядку терміни вживаються в такому значенні:

власник об’єкта критичної інфраструктури - юридична особа будь-якої форми власності або фізична особа - підприємець, якій на правах власності або іншого речового права (господарського відання, оперативного управління) належить об’єкт критичної інфраструктури;

критичні елементи об’єкта критичної інфраструктури - технічні засоби та/або споруди, системи та/або їх сукупність, порушення у функціонуванні яких призведе до унеможливлення виконання життєво важливих функцій та/або надання послуг об’єктом критичної інфраструктури;

план захисту об’єкта критичної інфраструктури (далі - план захисту) - документ, що передбачає заходи із забезпечення безпеки об’єкта критичної інфраструктури та протидії проектним загрозам відповідно до режимів його функціонування.

Інші терміни вживаються у значенні, наведеному в Законах України "Про критичну інфраструктуру", "Про основні засади забезпечення кібербезпеки України", "Про інформацію", "Про транспорт".

3. Паспорт безпеки розробляється та затверджується оператором критичної інфраструктури (далі - оператор) на кожний об’єкт критичної інфраструктури.

Паспорт безпеки містить:

титульний аркуш, що оформлюється згідно з додатком 1;

загальну характеристику об’єкта критичної інфраструктури (далі - загальна характеристика);

плани захисту;

акти оцінки стану захищеності об’єкта критичної інфраструктури (далі - акти оцінки) (у разі наявності), складені за формою, визначеною в Порядку проведення моніторингу рівня безпеки об’єктів критичної інфраструктури, затвердженому постановою Кабінету Міністрів України від 22 липня 2022 р. № 821 (Офіційний вісник України, 2022 р., № 60, ст. 3599).

Контроль за своєчасним розробленням, затвердженням та поданням на погодження планів захисту та паспорта безпеки здійснюється секторальними органами.

4. Загальна характеристика складається оператором за формою згідно з додатком 2 та підписується керівником оператора або особою, що його заміщає.

5. План захисту (як складову паспорта безпеки) розробляє оператор за кожною із проектних загроз національного, секторального та об’єктового (у разі наявності) рівня відповідно до форм планів захисту та рекомендацій з розроблення планів захисту, що затверджуються відповідними функціональними органами у сфері захисту критичної інфраструктури (далі - функціональний орган) щодо кожної проектної загрози.

Під час воєнного стану оператор протягом місяця з дня внесення відомостей про об’єкт критичної інфраструктури до Реєстру об’єктів критичної інфраструктури розробляє план захисту (як складову паспорта безпеки), що передбачає заходи із захисту і протидії повітряному та артилерійському нападу.

Функціональні органи визначаються відповідно до проектних загроз.

6. Плани захисту підлягають обов’язковому погодженню відповідними функціональними органами, до яких, зокрема, належать МОЗ, Міноборони, Держспецзв’язку, ДСНС, Національна поліція.

У разі загрози диверсій, терористичних актів, актів кібертероризму проти систем управління, операційних та інших систем об’єктів критичної інфраструктури, надзвичайних ситуацій або інших небезпечних подій на об’єктах критичної інфраструктури, інцидентів, пов’язаних із порушеннями систем фізичної безпеки та кібербезпеки та інших проектних загроз національного, секторального та об’єктового (у разі наявності) рівня та потенційних негативних наслідків для об’єктів критичної інфраструктури плани захисту підлягають обов’язковому погодженню СБУ, Національною гвардією, іншими державними органами.

7. Для погодження плану захисту оператор подає функціональному органу такий план разом із супровідним листом і копією загальної характеристики.

Супровідний лист і план захисту підписує керівник оператора або особа, що його заміщає.

Плани захисту погоджуються у строк, що становить не більше як 10 робочих днів із дня їх реєстрації відповідними функціональними органами.

8. Функціональний орган перевіряє поданий оператором план захисту на відповідність вимогам до його розроблення, передбаченим пунктом 5 цього Порядку, а також щодо повноти відомостей і заходів із забезпечення безпеки та протидії відповідній проектній загрозі та їх ефективності.

У разі коли план захисту подано функціональному органу із порушенням вимог до його розроблення відповідно до форм планів захисту, передбачених пунктом 5 цього Порядку, що затверджуються відповідними функціональними органами, функціональний орган не пізніше ніж протягом двох робочих днів із дня реєстрації повертає його оператору разом із супровідним листом для приведення у відповідність із зазначеними вимогами.

У разі коли план захисту подано функціональному органу із порушенням вимог, передбачених пунктом 7 цього Порядку, функціональний орган відмовляє в реєстрації поданих документів і повертає їх (із зазначенням підстави повернення) для усунення оператором недоліків.

9. Свою позицію щодо плану захисту функціональний орган доводить до відома оператора шляхом надсилання листа, в якому зазначається інформація про погодження плану захисту без зауважень або про наявність зауважень (пропозицій) до плану захисту.

У разі відсутності зауважень (пропозицій) до плану захисту функціональний орган додає до такого листа погоджений ним план захисту та повертає інші документи, подані оператором разом із планом захисту.