Відповідно до абзацу першого частини третьої статті 4 Закону України "Про основні засади забезпечення кібербезпеки України" Кабінет Міністрів України постановляє:

1. Затвердити такі, що додаються:

Порядок формування переліку об’єктів критичної інформаційної інфраструктури;

Порядок внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування.

2. Адміністрації Державної служби спеціального зв’язку та захисту інформації:

сформувати перелік об’єктів критичної інформаційної інфраструктури та внести в установленому порядку Кабінетові Міністрів України;

створити державний реєстр об’єктів критичної інформаційної інфраструктури та забезпечити його функціонування;

встановити форму подання відомостей до державного реєстру об’єктів критичної інформаційної інфраструктури.

3. Міністерствам та іншим органам виконавчої влади протягом шести місяців сформувати секторальні переліки об’єктів критичної інформаційної інфраструктури, що належать до сфери їх управління, забезпечити їх ведення та надання Адміністрації Державної служби спеціального зв’язку та захисту інформації відомостей про об’єкти критичної інформаційної інфраструктури.

4. Визнати такою, що втратила чинність, постанову Кабінету Міністрів України від 23 серпня 2016 р. № 563 "Про затвердження Порядку формування переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави" (Офіційний вісник України, 2016 р., № 69, ст. 2332).

1. Цей Порядок визначає механізм формування національного та секторальних переліків об’єктів критичної інформаційної інфраструктури.

Дія цього Порядку не поширюється на банки, інші юридичні особи, що провадять діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, операторів платіжних систем та/або учасників платіжних систем, технологічних операторів платіжних послуг.

2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах", "Про основні засади забезпечення кібербезпеки України" та "Про критичну інфраструктуру".

3. Оператор критичної інфраструктури проводить ідентифікацію об’єктів критичної інформаційної інфраструктури, що забезпечують функціонування об’єкта критичної інфраструктури та надання ним життєво важливих послуг та функцій.

4. Ідентифікація об’єктів критичної інформаційної інфраструктури проводиться у такому порядку:

оператор критичної інфраструктури визначає всі об’єкти інформаційної інфраструктури (автоматизовані, інформаційні, електронні комунікаційні, інформаційно-комунікаційні системи, автоматизовані системи управління технологічними процесами), що експлуатуються на об’єкті критичної інфраструктури;

оператор критичної інфраструктури визначає, які з наведених об’єктів інформаційної інфраструктури необхідні для забезпечення безперервного та стійкого функціонування об’єкта критичної інфраструктури з точки зору надання ним життєво важливих послуг та функцій, та проводить оцінку їх критичності.

5. Для оцінки критичності об’єкта інформаційної інфраструктури оператор критичної інфраструктури використовує такі три критерії:

необхідність об’єкта інформаційної інфраструктури як для стійкого та безперервного функціонування об’єкта критичної інфраструктури, так і для надання ним життєво важливих послуг та функцій;

кібератака, кіберінцидент, інцидент з інформаційної безпеки на об’єкті інформаційної інфраструктури істотно впливає на безперервність та стійкість надання об’єктом критичної інфраструктури життєво важливих послуг та функцій;

у разі порушення безперервності та стійкості надання життєво важливих послуг та функцій об’єктом інформаційної інфраструктури відсутній альтернативний об’єкт (спосіб) для їх надання.

Об’єкти інформаційної інфраструктури, що відповідають всім трьом критеріям, визначаються оператором критичної інфраструктури як об’єкти критичної інформаційної інфраструктури. При цьому категорія критичності об’єкта критичної інформаційної інфраструктури встановлюється за категорією критичності об’єкта критичної інфраструктури.

6. Оператор критичної інфраструктури подає протягом 30 днів з дати визначення об’єкта критичної інформаційної інфраструктури відомості про об’єкти критичної інформаційної інфраструктури секторальному органу у сфері захисту критичної інфраструктури, який на їх основі формує секторальний перелік об’єктів критичної інформаційної інфраструктури. Відомості за формою згідно з додатком подаються у паперовій та/або в електронній формі. На відомості в електронній формі накладається кваліфікований електронний підпис керівника об’єкта критичної інфраструктури або уповноваженої на те особи і такі відомості надсилаються на електронному носії даних.

До секторального переліку подаються відомості про об’єкти критичної інформаційної інфраструктури I, II, III та IV категорій критичності.

7. Оператор критичної інфраструктури вживає заходів до актуалізації відомостей про об’єкти критичної інформаційної інфраструктури, що містяться у секторальному переліку об’єктів критичної інформаційної інфраструктури, у строк до десяти робочих днів з моменту їх настання у разі:

зміни відомостей, зазначених у додатку;

створення, модернізації, припинення функціонування об’єкта критичної інформаційної інфраструктури.

8. Секторальний орган у сфері захисту критичної інфраструктури розглядає надані відомості про об’єкти критичної інформаційної інфраструктури та у разі потреби надає зауваження та рекомендації щодо коректності та/або повноти наданих відомостей та має право запросити у оператора критичної інфраструктури інформацію стосовно наданих відомостей, зазначених у додатку.

9. Секторальний орган у сфері захисту критичної інфраструктури на підставі відомостей про об’єкти критичної інформаційної інфраструктури, що перебувають у його власності чи розпорядженні, та відомостей, отриманих від операторів критичної інфраструктури його сектору (підсектору), формує та веде секторальний перелік об’єктів критичної інформаційної інфраструктури.

10. Секторальний орган у сфері захисту критичної інфраструктури оновлює секторальний перелік об’єктів критичної інформаційної інфраструктури кожні два роки або протягом одного місяця у разі зміни відомостей, зазначених у додатку, що відбулися у критичній інформаційній інфраструктурі його сектору або підсектору.

11. Відомості про об’єкти критичної інформаційної інфраструктури I та II категорії критичності свого сектору (підсектору) критичної інфраструктури секторальний орган у сфері захисту критичної інфраструктури подає Адміністрації Держспецзв’язку у паперовій та електронній формі згідно з додатком та вживає заходів до актуалізації відомостей про об’єкти свого сектору (підсектору), що містяться у національному переліку, у разі:

зміни відомостей, зазначених у додатку;

створення, модернізації або припинення функціонування об’єкта I та II категорії критичності.

12. Протягом 10 робочих днів після внесення об’єкта критичної інформаційної інфраструктури до секторального переліку секторальний орган у сфері захисту критичної інфраструктури повідомляє про це оператору критичної інфраструктури для внесення оператором інформації про об’єкт критичної інформаційної інфраструктури до паспорта безпеки на об’єкт критичної інфраструктури.

13. Адміністрація Держспецзв’язку на підставі відомостей із секторальних переліків об’єктів критичної інформаційної інфраструктури, отриманих від секторальних органів у сфері захисту критичної інфраструктури, формує та веде національний перелік об’єктів критичної інформаційної інфраструктури. До національного переліку вносяться відомості про об’єкти критичної інформаційної інфраструктури I та II категорії критичності.

14. Адміністрація Держспецзв’язку розглядає надані відомості про об’єкти критичної інформаційної інфраструктури та у разі потреби надає зауваження та рекомендації щодо коректності та/або повноти наданих відомостей та має право запросити в секторального органу у сфері захисту критичної інфраструктури або у операторів критичної інфраструктури інформацію стосовно наданих відомостей, зазначених у додатку.

15. Оператор критичної інфраструктури здійснює базові заходи з кіберзахисту щодо власних об’єктів критичної інформаційної інфраструктури.

16. Відомості про об’єкти критичної інформаційної інфраструктури, включені до національного переліку, вносяться до державного реєстру об’єктів критичної інформаційної інфраструктури.

17. Відомості про об’єкти критичної інформаційної інфраструктури, що містяться у національному переліку та секторальних переліках об’єктів критичної інформаційної інфраструктури, є інформацією з обмеженим доступом, захист якої забезпечується відповідно до вимог законодавства у сфері захисту інформації.