З метою виконання вимог статті 6 Закону України "Про основні засади забезпечення кібербезпеки України" та пункту 5 Методики категоризації об'єктів критичної інфраструктури, затвердженої постановою Кабінету Міністрів України від 09 жовтня 2020 року № 1109, а також відповідно до пункту 10 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411,

1. Затвердити Методичні рекомендації щодо категоризації об'єктів критичної інфраструктури, що додаються.

2. Опублікувати Методичні рекомендації щодо категоризації об'єктів критичної інфраструктури на офіційному сайті Державної служби спеціального зв'язку та захисту інформації України.

3. Контроль за виконанням цього наказу покласти на заступника Голови Державної служби спеціального зв'язку та захисту інформації України полковника Потія О.В.

1. Ці Методичні рекомендації розроблені на виконання вимог статті 6 Закону України "Про основні засади забезпечення кібербезпеки України" та пункту 5 Методики категоризації об'єктів критичної інфраструктури, затвердженої постановою Кабінету Міністрів України від 09 жовтня 2020 року № 1109 (далі - Постанова КМУ 1109).

2. Віднесення об'єктів до об'єктів критичної інфраструктури є обов'язковою умовою для формування цілісної системи захисту критичної інфраструктури, зокрема й у контексті захисту її від загроз у кіберпросторі, зважаючи на роль інформаційних технологій у процесах забезпечення функціонування сучасних інфраструктурних об'єктів.

З урахуванням потреб національної безпеки і необхідності запровадження системного підходу до вирішення завдань із захисту інфраструктурних об'єктів від сучасних загроз на загальнодержавному рівні вироблення критеріїв і визначення порядку віднесення об'єктів до об'єктів критичної інфраструктури є першим кроком на шляху створення цілісної системи захисту критичної інфраструктури.

3. Головним критерієм віднесення об'єктів до об'єктів критичної інфраструктури є визнання того, що наслідки порушення сталого функціонування одного або низки об'єктів критичної інфраструктури можуть спричинити надзвичайні ситуації та/або мати негативний вплив на стан екологічної, енергетичної, економічної, фінансової безпеки, на стан обороноздатності держави, порушити систему управління нею. Тому передусім необхідно визначити важливість інфраструктурних об'єктів для надання основних послуг у всіх секторах економіки та сферах діяльності задля впровадження низки заходів щодо захисту таких об'єктів від реалізації можливості виникнення кризових ситуацій.

4. Постанова КМУ 1109 визначає механізм і критерії віднесення об'єктів до об'єктів критичної інфраструктури, перелік секторів (підсекторів), основних послуг критичної інфраструктури держави та механізм віднесення об'єктів критичної інфраструктури до однієї з категорій критичності. Постанову КМУ 1109 розроблено з урахуванням вимог законодавства ЄС, зокрема:

Директиви Європейського Парламенту та Ради (ЄС) 2016/1148 від 06 липня 2019 року "Про заходи високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу";

Директиви Ради 2008/114/ЄС від 08 грудня 2008 року "Про ідентифікацію і визначення європейських критичних інфраструктур та оцінювання необхідності покращення їх охорони та захисту".

Постанова КМУ 1109 затверджує:

1) Порядок віднесення об'єктів до об'єктів критичної інфраструктури (далі - Порядок);

2) Перелік секторів (підсекторів), основних послуг критичної інфраструктури держави та уповноважених органів державної влади, визначених відповідальними за відповідний сектор (підсектор) критичної інфраструктури (далі - Перелік);

3) Методику категоризації об'єктів критичної інфраструктури (далі - Методика).

Порядок встановлює категорії критичності об'єктів критичної інфраструктури, механізм ідентифікації таких об'єктів уповноваженими органами державної влади, відповідальними за сектор (підсектор) критичної інфраструктури та їх категоризацію уповноваженими органами спільно з операторами основних послуг, а також визначає необхідність формування Національного переліку об'єктів критичної інфраструктури та секторальних переліків об'єктів критичної інфраструктури та посадових осіб, які будуть відповідальні за їх формування.

Перелік визначає перелік основних послуг, які надаються об'єктами критичної інфраструктури і є послугами та функціями, що надаються органами державної влади, державними установами, підприємствами та організаціями будь-якої форми власності, збої та переривання у наданні (виконанні) яких призводять до негативних наслідків для населення, суспільства, соціально-економічного стану та національної безпеки і оборони України.

Перелік визначає також сектори та підсектори, об'єкти інфраструктури яких належать до критичної інфраструктури, за умови, що такі об'єкти надають основні послуги, визначені для такого сектору або підсектору. Треба зазначити, що перелік секторів (підсекторів), основних послуг гармонізовано з відповідним переліком, який наведено в Директиві ЄС 2016/1148 .

Методика визначає процедуру віднесення об'єктів критичної інфраструктури до певної категорії критичності.

5. Для визначення категорії об'єкта критичної інфраструктури уповноважені органи у своїх секторах разом з операторами критичної інфраструктури проводять бальну оцінку критичності кожного об'єкта критичної інфраструктури за допомогою форм із секторальними та міжсекторальними критеріями визначення рівня негативного впливу, які наведені у додатках до Методики.

Зазначені критерії враховують важливість об'єкта критичної інфраструктури на основі аналізу потенційної шкоди, яку суспільство, навколишнє середовище, економіка та національна безпека держави можуть зазнати внаслідок порушення або припинення функціонування об'єкта інфраструктури. Важливість об'єктів інфраструктури оцінюється за допомогою низки секторальних та міжсекторальних критеріїв.

Сума всіх балів, що отримується під час оцінки об'єкта критичної інфраструктури згідно із секторальними та міжсекторальними критеріями визначення рівня негативного впливу, використовується для розрахунку узагальненої нормованої оцінки рівня критичності об'єкта за формулою та правилом, які наведені у Методиці.

6. Методика та категорії критичності об'єктів критичної інфраструктури є необхідними механізмами процедури віднесення об'єктів до об'єктів критичної інфраструктури та призначені для мінімізації витрат суб'єктами господарювання на заходи з кіберзахисту та визначення оптимальної моделі віднесення об'єктів до об'єктів критичної інфраструктури, за якої об'єктам критичної інфраструктури різної категорії будуть висуватися вимоги з кіберзахисту, що є адекватними рівню негативних наслідків для населення, суспільства, соціально-економічного стану та національної безпеки і оборони України у випадку порушення їх функціонування або збоїв чи переривань у наданні (виконанні) основних послуг.

7. Методичні рекомендації можуть бути використані для організації та проведення робіт, які проводяться уповноваженим органом державної влади, відповідальним за сектор (підсектор) критичної інфраструктури, з метою визначення (ідентифікації) та категоризації об'єктів критичної інфраструктури, що віднесені до сфери його управління.

1. В уповноваженому органі державної влади, відповідальному за сектор (підсектор) критичної інфраструктури, створюється постійно діюча робоча група з ідентифікації та категоризації об'єктів критичної інфраструктури. До складу робочої групи рекомендується включати співробітників уповноваженого органу, які відповідають за функціонування основних підрозділів уповноваженого органу. Керівником такої робочої групи має призначатися заступник керівника уповноваженого органу, який за розподілом обов'язків відповідає за забезпечення безпеки (інформаційної/кібербезпеки) уповноваженого органу або/та об'єктів критичної інфраструктури галузі.

2. Завданням робочої групи є:

1) ідентифікація об'єктів критичної інфраструктури у відповідному секторі критичної інфраструктури;

2) проведення категоризації об'єктів критичної інфраструктури;

3) підготовка секторального переліку об'єктів критичної інфраструктури;

4) подання відомостей щодо категорованих об'єктів критичної інфраструктури галузі до Національного переліку об'єктів критичної інфраструктури (у разі його створення).

3. До складу робочої групи уповноважений орган залучає представників об'єктів критичної інфраструктури.

4. У разі потреби робоча група може бути розділена на підгрупи з розподілом їх членів за профілем і належністю до певного сектору/сектору або виду основної послуги, які надають потенційні об'єкти критичної інфраструктури. Рішення щодо відокремлення підгруп приймає керівник уповноваженого органу в наказі про організацію робочої групи (це зазначається в наказі про утворення робочої групи).

5. У разі потреби до складу робочої групи можуть залучатися представники інших органів державної влади, установ та організацій різних форм власності. До них можуть належати СБУ, Адміністрація Держспецзв'язку, інші органи державної влади, установи НАН України, експертні організації тощо. Рекомендації, які надають залучені представники органів, установ та організацій, обов'язкові для розгляду робочою групою.

У разі потреби до робочої групи залучаються посадові особи з відповідною формою допуску до державної таємниці.

6. Вимоги до членів робочої групи:

опікування проблемами об'єктів критичної інфраструктури (забезпечення їх сталого функціонування охорони, оборони, забезпечення фізичного та інших видів захисту) сектору критичної інфраструктури для члена робочої групи має бути основною діяльністю за посадовими обов'язками;

знання вимог чинного законодавства України щодо забезпечення безпеки та стійкості критичної інфраструктури, а також основних вимог Постанови КМУ 1109 та Директиви Ради 2008/114/ЄС від 08 жовтня 2008 року про ідентифікацію і визначення європейських критичних інфраструктур та оцінювання необхідності покращення їх охорони та захисту.

1. Робота робочої групи проводиться у два етапи.

2. На першому етапі робоча група провадить діяльність з ідентифікації об'єктів критичної інфраструктури у відповідному секторі та категоризації об'єктів критичної інфраструктури у терміни, визначені наказом про утворення робочої групи.

Під час такої роботи до засідань робочої групи залучаються представники підприємств галузі як державної, так і приватної форми власності, які потенційно можна ідентифікувати як об'єкти критичної інфраструктури та щодо яких необхідно провести категоризацію.

3. Результатами роботи робочої групи на цьому етапі є:

сформований і затверджений керівником уповноваженого органу секторальний перелік об'єктів критичної інфраструктури;

класифіковані за сектором (підсектором), основними послугами та категоріями об'єкти критичної інфраструктури;

надані уповноваженому органу із захисту критичної інфраструктури відомості до Національного переліку об'єктів критичної інфраструктури (у разі його створення).

4. На другому етапі робоча група збирається у разі потреби (але не рідше ніж один раз на півроку) з метою ідентифікації нових об'єктів критичної інфраструктури в галузі та їх додавання до секторального переліку об'єктів критичної інфраструктури, з інших питань, що належать до компетенції робочої групи.

На цьому етапі здійснюється додавання вперше ідентифікованих об'єктів критичної інфраструктури до галузевого та Національного переліку об'єктів критичної інфраструктури, віднесення ідентифікованих об'єктів критичної інфраструктури до певної категорії критичності, зміна категорії критичності об'єктів критичної інфраструктури, вилучення об'єктів критичної інфраструктури із цього переліку.

Також на цьому етапі робоча група може розглядати пропозиції щодо формування нових критеріїв віднесення об'єктів до об'єктів критичної інфраструктури галузі у зв'язку з появою нових видів діяльності, встановленням нових основних послуг/функцій, щодо яких визначено завдання забезпечення їх захисту, необхідністю внесення змін до секторальних і міжсекторальних критеріїв визначення рівня негативного впливу тощо.

1. З метою якісного проведення ідентифікації та категоризації об'єктів критичної інфраструктури (послідовність дій із ідентифікації та категоризації наведено у додатку 3) робоча група має право:

запрошувати інформацію у власників об'єктів, які перебувають у сфері управління уповноваженого органу, проводити консультації разом з уповноваженими представниками потенційних об'єктів критичної інфраструктури задля віднесення підприємства до сектору (підсектору) критичної інфраструктури та визначення основної послуги (основних послуг), які таким підприємством надаються;

для отримання доступу до конфіденційної інформації приватних компаній ініціювати перед керівником уповноваженого органу підписання угоди з такими компаніями про нерозголошення інформації, отриманої членами робочої групи при роботі з віднесення об'єктів до об'єктів критичної інфраструктури та при роботі з їх класифікацією за категоріями критичності.

2. При визначенні сфери діяльності підприємства робоча група має враховувати дані:

Єдиного державного реєстру підприємств та організацій України та національного класифікатора видів економічної діяльності України ДК 009:2010;

ліцензій, сертифікатів та інших дозвільних документів на види діяльності;

установчих документів, статутів, положень організацій, де прописані основні і допоміжні види діяльності;

переліку секторів (підсекторів), основних послуг критичної інфраструктури держави.

3. Робоча група має надати на затвердження керівнику уповноваженого органу сформований перелік об'єктів критичної інфраструктури не пізніше ніж через півроку з початку своєї роботи.

4. Відповідальність за організацію роботи робочої групи та її матеріально-технічне забезпечення несе керівник уповноваженого органу.

Керівник уповноваженого органу повинен визначити відповідальний підрозділ, який забезпечує формування та супроводження секторального переліку об'єктів критичної інфраструктури.

1. Послідовність дій робочої групи з віднесення об'єктів до об'єктів критичної інфраструктури та їх категоризації повинна відповідати Порядку та Методиці, які затверджені Постановою КМУ 1109.

2. Приклад віднесення об'єкта до об'єкта критичної інфраструктури та його категоризації наведено в додатку 1 до цих Методичних рекомендацій. Під час розгляду кожного окремого потенційного об'єкта критичної інфраструктури залучаються його представники (представники оператора основних послуг), уповноваженні на прийняття рішення від імені цього об'єкта критичної інфраструктури (оператора основних послуг).

3. Рішення робочої групи щодо віднесення об'єкта до об'єкта критичної інфраструктури та певної категорії критичності оформлюється актом за прикладом, який наведено у додатку 2. Акт підписується членами робочої групи з категоризації, затверджується керівником або власником об'єкта критичної інфраструктури та заступником керівника уповноваженого органу за сектор (підсектор), відповідального за це питання, відповідно до розподілу обов'язків.

4. Відомості про об'єкти критичної інфраструктури, що належать до I, II, III та IV категорій критичності, вносяться до секторального переліку об'єктів критичної інфраструктури.

5. Уповноважений орган на підставі відомостей про об'єкти критичної інфраструктури, що перебувають у його власності чи розпорядженні, та відомостей, отриманих від операторів основних послуг його сектору (підсектору), рішення робочої групи формує та веде секторальний перелік об'єктів критичної інфраструктури відповідно до пункту 6 Порядку, затвердженого Постановою КМУ 1109.

6. Об'єкти критичної інфраструктури в секторальному переліку мають бути розподілені за категоріями критичності.

7. Керівник уповноваженого органу повинен визначити відповідальний підрозділ, який забезпечує формування та супроводження секторального переліку об'єктів критичної інфраструктури.

8. Крім цього, уповноважений орган повинен отримати від об'єкта критичної інфраструктури та зберігати належним чином інформацію, яка дозволила ідентифікувати об'єкт як об'єкт критичної інфраструктури, а також категоризувати його. Це дані щодо:

належності об'єкта критичної інфраструктури до певного сектору(ів) (підсектору(ів)) критичної інфраструктури;

типу основної послуги (основних послуг), яку(і) об'єкт критичної інфраструктури надає;

повної назви організації, форми власності, ЄДРПОУ власника (розпорядника) об'єкта критичної інфраструктури, місцезнаходження організації;

керівника власника (розпорядника) об'єкта критичної інфраструктури (прізвище, ім'я, по батькові, номери контактних телефонів, email);

найменування об'єкта критичної інфраструктури, фактичної адреси місцезнаходження об'єкта критичної інфраструктури;

отримання об'єктом критичної інфраструктури основних послуг від інших об'єктів критичної інфраструктури, ненадання яких вплине на функціонування об'єкта критичної інфраструктури;

надання об'єктом критичної інфраструктури основних послуг іншим об'єктам критичної інфраструктури, ненадання яких вплине на функціонування інших об'єктів критичної інфраструктури;

рівнів негативного впливу, які особа, суспільство, навколишнє природне середовище, економіка, національна безпека та обороноздатність країни можуть зазнати внаслідок порушення або припинення функціонування об'єкта критичної інфраструктури відповідно до критеріїв, зазначених у додатках 1 і 2 до Методики.

9. Уповноважений орган оновлює секторальний перелік об'єктів критичної інфраструктури кожні два роки або у разі суттєвих змін, що відбулися у критичній інфраструктурі його сектору або підсектору (створення, модернізація, припинення функціонування об'єктів критичної інфраструктури).

1. Категорія об'єкта критичної інфраструктури визначається за такою процедурою:

1) робоча група ідентифікує всі об'єкти критичної інфраструктури свого сектору (підсектору) критичної інфраструктури згідно з Порядком;

2) робоча група відповідно до Порядку для кожного об'єкта свого сектору (підсектору) критичної інфраструктури визначає, які основні послуги надає цей об'єкт;

3) робоча група разом з оператором основних послуг проводить оцінку критичності об'єкта критичної інфраструктури, використовуючи секторальні та міжсекторальні критерії визначення рівня негативного впливу, наведені у додатках 1 та 2 до Методики, які враховують:

рівень негативного впливу на надання основних послуг у разі знищення, пошкодження або порушення функціонування об'єкта критичної інфраструктури;

соціальну значущість об'єкта критичної інфраструктури;

суспільну значущість об'єкта критичної інфраструктури;

економічну значущість об'єкта критичної інфраструктури;

наявність взаємозв'язків між об'єктами критичної інфраструктури;

значущість об'єкта критичної інфраструктури для забезпечення національної безпеки та обороноздатності країни.

2. Під час заповнення форми додатка 1 до Методики обирається рівень негативного впливу в рамках сектору або підсектору об'єкта критичної інфраструктури та у графі "Оцінка РК i" виставляється бал, який відповідає рівню негативного впливу, опис якого характеризує наслідки, які можуть настати у разі порушення функціонування об'єкта критичної інфраструктури.