Відповідно до абзацу другого частини першої статті 22 Закону України "Про критичну інфраструктуру" Кабінет Міністрів України постановляє:

Затвердити вимоги щодо управління ризиками безпеки на об’єктах критичної інфраструктури I категорії критичності, що додаються.

1. Ці вимоги встановлюються до управління ризиками безпеки на об’єктах критичної інфраструктури I категорії критичності, що здійснюється оператором критичної інфраструктури.

Дія цих вимог не поширюється на банки, інших осіб, які провадять діяльність на ринках фінансових послуг, платіжні організації, учасників платіжних систем, операторів послуг платіжної інфраструктури, державне регулювання, нагляд за діяльністю яких здійснює Національний банк.

2. Терміни, що вживаються у цих вимогах, мають таке значення:

ліміт ризику безпеки - обмеження, встановлені оператором критичної інфраструктури для контролю за величиною ризиків, які впливають на можливість виникнення інциденту безпеки критичної інфраструктури (далі - інцидент)/порушення стану захищеності критичної інфраструктури та відповідно виконання життєво важливих функцій та/або надання послуг об’єктом критичної інфраструктури;

ризик - можливість виникнення несприятливої (негативної) події або ряду таких подій, що визначається ймовірністю, джерелами і обставинами виникнення та наслідками;

ризик безпеки на об’єктах критичної інфраструктури (далі - ризик безпеки) - можливість виникнення інциденту безпеки критичної інфраструктури/порушення стану захищеності критичної інфраструктури, що становить загрозу для забезпечення функціональності, безперервності роботи, відновлюваності, цілісності та стійкості об’єктів критичної інфраструктури.

Інші терміни вживаються у значенні, наведеному в Законі України "Про критичну інфраструктуру" та постанові Кабінет Міністрів України від 4 серпня 2023 р. № 818 "Деякі питання паспортизації об’єктів критичної інфраструктури" (Офіційний вісник України, 2023 р., № 77, ст. 4366).

3. Управління ризиками безпеки на об’єктах критичної інфраструктури І категорії критичності (далі - управління ризиками безпеки) є діяльністю, спрямованою на запобігання виникненню інциденту та мінімізацію можливих наслідків у разі його настання.

Управління ризиками безпеки здійснюється із застосуванням національних та міжнародних стандартів управління ризиками безпеки, у тому числі методів, наведених у ДСТУ IEC/ISO 31010:2013 "Керування ризиками. Методи загального оцінювання ризиків", "Контроль безпеки та конфіденційності для державних інформаційних систем і організацій" (NIST Risk Management Framework SP 800-53).

4. Оператор критичної інфраструктури здійснює управління ризиками безпеки шляхом створення системи управління ризиками безпеки.

Система управління ризиками безпеки повинна відповідати таким принципам:

інтегрованість - полягає в охопленні системою управління ризиками безпеки всієї діяльності оператора критичної інфраструктури;

структурованість і комплексність - полягає в забезпеченні послідовного та взаємоузгодженого вжиття заходів в усіх сферах діяльності оператора критичної інфраструктури для досягнення цілей щодо забезпечення безпеки та стійкості критичної інфраструктури;

індивідуальність - полягає у врахуванні особливостей об’єкта критичної інфраструктури під час створення системи управління ризиками безпеки;

динамічність - полягає у належному реагуванні на зміну умов функціонування об’єкта критичної інфраструктури з метою забезпечення пропорційності та/або співрозмірності заходів реальним та потенційним ризикам;

належна поінформованість - полягає в організації постійного забезпечення оператора критичної інфраструктури актуальною, точною та повною інформацією для управління ризиками безпеки;

мінімізованість людського фактора - полягає у взаємопов’язаних заходах із зменшення участі людини в робочих процесах та процедурах з одночасним підвищенням рівня професійних навичок, знань, здібностей та покращенням морально-психологічного стану трудового колективу, що впливають на стійке функціонування об’єкта критичної інфраструктури.

5. Основними ризиками безпеки, зокрема, є:

1) матеріальні ризики - ризики настання інциденту як для об’єкта критичної інфраструктури, так і для критичних елементів об’єкта критичної інфраструктури, що можуть призвести до заподіяння їм шкоди, а також шкоди життю та здоров’ю людей;

2) ризики кібербезпеки та захисту інформації - ризики щодо забезпечення безпеки, функціональності, безперервності роботи, відновлюваності, цілісності і стійкості інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, електронних комунікаційних мереж;

3) ризики людського фактору - ризики порушення штатного режиму функціонування об’єкта критичної інфраструктури (у тому числі зриву та/або блокування роботи, та/або несанкціонованого управління його ресурсами) та безпосередньо пов’язані з працівниками об’єкта критичної інфраструктури, іншими особами, які перебувають на об’єкті, що можуть призвести до виникнення інциденту/порушення стану захищеності критичної інфраструктури та відповідно виконання життєво важливих функцій та/або надання послуг об’єктом критичної інфраструктури;

4) ризики порушення взаємозв’язків - ризики зриву, злочинного або ненавмисного порушення штатного режиму функціонування об’єкта критичної інфраструктури, що ставлять під загрозу його захищеність, виконання життєво важливих функцій та/або надання життєво важливих послуг, надання об’єктом критичної інфраструктури основних послуг іншим об’єктам критичної інфраструктури/отримання таких послуг від інших об’єктів критичної інфраструктури, що вплине на функціонування інших об’єктів критичної інфраструктури, призведе до порушення стійкості критичної інфраструктури;

5) ризики, пов’язані з процесами, - ризики щодо забезпечення безпеки, функціональності, безперервності роботи, відновлюваності, цілісності і стійкості об’єктів критичної інформаційної інфраструктури, спричинені неоптимальною організацією робочих процесів.

Оператор критичної інфраструктури визначає ризики безпеки для об’єкта критичної інфраструктури з обов’язковим урахуванням основних ризиків безпеки, визначених цим пунктом, а також інших ризиків, які можуть вплинути на забезпечення безпеки, функціональності, безперервності роботи, відновлюваності, цілісності і стійкості критичної інфраструктури.

6. Для управління ризиками безпеки оператор критичної інфраструктури:

1) забезпечує ресурсами, необхідними для організації управління ризиками безпеки, створений окремий структурний підрозділ або визначену особу, відповідальну за організацію захисту критичної інфраструктури та забезпечення постійного зв’язку з відповідними суб’єктами національної системи захисту критичної інфраструктури;

2) розробляє та затверджує документи (правила, політики тощо) щодо управління ризиками безпеки, що передбачають:

організацію управління ризиками безпеки;

оцінювання ризиків безпеки;

запобігання ризикам (мінімізація ризиків) безпеки;

моніторинг і контроль за ризиками безпеки та перегляд їх актуальності;

обмін інформацією та взаємодію із суб’єктами національної системи захисту критичної інфраструктури;

3) забезпечує:

визначення необхідного для сталого функціонування об’єкта критичної інфраструктури персоналу (працівників);

складення профілю ризиків безпеки об’єкта критичної інфраструктури;

створення належних умов праці на об’єкті критичної інфраструктури, зокрема для тривалого перебування в робочих приміщеннях;

визначення засобів зв’язку для оповіщення та інформування персоналу (працівників);

розроблення об’єктового плану заходів щодо забезпечення безпеки та стійкості критичної інфраструктури;

розроблення проектних загроз об’єктового рівня.

7. Для організації управління ризиками безпеки окремий структурний підрозділ оператора критичної інфраструктури або визначена ним особа, відповідальна за організацію захисту критичної інфраструктури та забезпечення постійного зв’язку з відповідними суб’єктами національної системи захисту критичної інфраструктури, забезпечує: