Постанова Кабінету Міністрів України від 06.03.2026 № 337 "Про внесення змін до деяких постанов Кабінету Міністрів України щодо об'єктів критичної інфраструктури". Кабінет Міністрів України. 2026
Про внесення змін до деяких постанов Кабінету Міністрів України щодо об’єктів критичної інфраструктури
Кабінет Міністрів України постановляє:
Внести до постанов Кабінету Міністрів України щодо об’єктів критичної інфраструктури зміни, що додаються.
що вносяться до постанов Кабінету Міністрів України щодо об’єктів критичної інфраструктури
1. У постанові Кабінету Міністрів України від 9 жовтня 2020 р. № 1109 “Деякі питання об’єктів критичної інфраструктури” (Офіційний вісник України, 2020 р., № 93, ст. 2994; 2022 р., № 101, ст. 6303; 2024 р., № 15, ст. 962):
1) у Порядку віднесення об’єктів до критичної інфраструктури, затвердженому зазначеною постановою:
абзац другий пункту 1 викласти в такій редакції:
“Дія цього Порядку, крім абзаців першого - третього пункту 7, не поширюється на:”;
пункт 5 викласти в такій редакції:
“5. Секторальні органи у сфері захисту критичної інфраструктури разом із оператором критичної інфраструктури здійснюють категоризацію об’єктів критичної інфраструктури своїх секторів (підсекторів) критичної інфраструктури відповідно до Методики категоризації об’єктів критичної інфраструктури, затвердженої постановою Кабінету Міністрів України від 9 жовтня 2020 р. № 1109 “Деякі питання об’єктів критичної інфраструктури” (Офіційний вісник України, 2020 р., № 93, ст. 2994) (далі - Методика).
Уповноважений орган у сфері захисту критичної інфраструктури може ініціювати проведення повторної категоризації секторальним органом об’єкта критичної інфраструктури.
Повторна категоризація проводиться секторальним органом у сфері захисту критичної інфраструктури відповідно до Методики.
Секторальний орган у сфері захисту критичної інфраструктури має право ініціювати проведення повторної категоризації об’єкта критичної інфраструктури на підставі письмового звернення оператора критичної інфраструктури, що містить інформацію про зміни відомостей, що обґрунтовують віднесення об’єкта критичної інфраструктури до однієї з категорій критичності, але не частіше ніж два рази на рік.
У разі отримання письмового звернення оператора критичної інфраструктури секторальний орган у сфері захисту критичної інфраструктури протягом 10 робочих днів повідомляє оператору критичної інфраструктури про можливість проведення повторної категоризації.”;
пункт 6 і 7 викласти в такій редакції:
Відомості про об’єкти критичної інфраструктури, що віднесені до I, II, III і IV категорії критичності, вносяться секторальними органами у сфері захисту критичної інфраструктури до секторальних переліків об’єктів критичної інфраструктури, які ними складаються та ведуться за формою згідно з додатком.Виключення об’єкта критичної інфраструктури з секторального переліку об’єктів критичної інфраструктури здійснюється секторальним органом у сфері захисту критичної інфраструктури у разі:
невідповідності об’єкта критичної інфраструктури критеріям віднесення його до критичної інфраструктури за результатами повторної категоризації;
ненадання оператором критичної інфраструктури інформації на запит секторального органу у сфері захисту критичної інфраструктури, необхідної для проведення повторної категоризації об’єкта критичної інфраструктури, протягом 30 календарних днів з дня надсилання такого запиту або відмови оператора критичної інфраструктури від проведення повторної категоризації об’єкта критичної інфраструктури.
7. Секторальні органи у сфері захисту критичної інфраструктури подають уповноваженому органу у сфері захисту критичної інфраструктури секторальні переліки об’єктів критичної інфраструктури протягом 10 робочих днів з дня затвердження таких переліків.
У разі внесення змін до секторальних переліків об’єктів критичної інфраструктури секторальні органи у сфері захисту критичної інфраструктури подають уповноваженому органу у сфері захисту критичної інфраструктури оновлені секторальні переліки об’єктів критичної інфраструктури протягом 10 робочих днів з дня внесення змін до них.”;
пункт 8 доповнити абзацом такого змісту:
“Обмін відомостями про об’єкти критичної інфраструктури, що містяться у секторальних переліках об’єктів критичної інфраструктури, здійснюється з використанням засобів електронних комунікацій та/або в паперовій формі з дотримання законодавства у сфері захисту інформації та з дотриманням встановлених правил роботи з документами, що містять інформацію з обмеженим доступом.”;
2) у переліку секторів критичної інфраструктури, затвердженому зазначеною постановою:
графу “Тип основної послуги” підпункту 7 пункту 1 доповнити абзацом такого змісту:
“виробництво обмотувальних проводів для трансформаторів та реакторів”;
пункт 2 доповнити підпунктом 4 такого змісту:
пункт 3 викласти в такій редакції:
|
“3. Захист інформації |
1) крипто-графічний захист інформації |
розроблення, виробництво, постачання, монтаж (встановлення), налаштування, технічне обслуговування, ремонт та/або утилізація криптосистем і засобів криптографічного захисту інформації |
Держспецзв’язку”; |
|
оцінка відповідності засобів криптографічного захисту інформації |
|||
|
постачання ключових документів до засобів криптографічного захисту інформації |
|||
|
2) технічний захист інформації |
виробництво засобів технічного захисту інформації |
||
|
оцінка відповідності засобів технічного захисту інформації |
|||
|
створення, оцінювання відповідності та супроводження комплексів технічного захисту інформації, комплексних систем захисту інформації інформаційно-комунікаційних систем |
|||
|
3) спеціальний та конфіденційний зв’язок |
спеціальний зв’язок |
||
|
конфіденційний зв’язок |
|||
|
4) кіберзахист |
реагування на кіберінциденти |
||
|
надання захищеного доступу до Інтернету |
|||
|
розміщення активного мережевого та серверного (віртуального) обладнання |
|||
|
виділення ресурсу національного центру резервування державних інформаційних ресурсів для збереження резервних копій |
у графі “Тип основної послуги” підпункту 1 слова “забезпечення надання первинної медичної допомоги” виключити;
підпункт 3 викласти в такій редакції:
|
“3) судово-медична експертиза |
забезпечення проведення судово-медичних експертиз та судово-медичних досліджень”; |
у графі “Тип основної послуги” підпункту 2 пункту 9 слова “міські перевезення (автобуси, трамваї, тролейбуси)” замінити словами “автомобільний, міський електричний транспорт”;
пункт 11 викласти в такій редакції:
|
“11. Промисловість |
1) хімічна промисловість |
виробництво промислового газу |
Мінекономіки”; |
|
виробництво добрив або азотистих сполук |
|||
|
виробництво пестицидів або інших агрохімічних продуктів |
|||
|
виробництво основних органічних хімічних речовин |
|||
|
виробництво основних неорганічних речовин |
|||
|
зберігання небезпечних (особливо небезпечних) хімічних/вибухових речовин |
|||
|
2) металургійна промисловість |
гірничо-металургійний комплекс (металургійне виробництво та добування залізних руд) |
||
|
виробництво коксу та коксопродуктів |
пункт 12 доповнити підпунктом 3 такого змісту:
|
“3) експертна служба МВС |
забезпечення функціонування криміналістичних обліків та обліку знарядь кримінальних правопорушень, інших об’єктіви забезпечення органів досудового розслідування, суду, інших державних органів, а також юридичних і фізичних осіб незалежною, кваліфікованою та об’єктивною судовою експертизою”; |
||
пункт 13 викласти в такій редакції:
|
“13. Цивільний захист населення і територій |
атестовані аварійно-рятувальні служби |
проведення аварійно-рятувальних та інших невідкладних робіт, що спрямовані на пошук, рятування і захист населення, уникнення руйнувань і матеріальних збитків, локалізацію зони впливу небезпечних чинників, ліквідацію чинників, що унеможливлюють проведення таких робіт або загрожують життю рятувальників, гасіння пожеж”; |
доповнити перелік пунктом 15-1 такого змісту:
|
“15-1. Оборонно- промисловий комплекс |
1) оборонна промисловість |
розробка, виробництво, модернізація та утилізація продукції військового призначення; виробництво ракет, боєприпасів, вибухових речовин |
Міноборони”; |
|
2) космічна промисловість |
виробництво та постачання космічної техніки |
||
|
космічна діяльність, космічні технології та послуги |
|||
|
3) авіаційна промисловість |
виробництво та постачання продукції авіаційної промисловості |
||
|
4) суднобудівна промисловість |
суднобудування та постачання продукції суднобудування |
у графі “Сектор” пункту 20 слова “Фінансовий сектор” замінити словами “Фінансова та банківська діяльність”;
3) у Методиці категоризації об’єктів критичної інфраструктури, затвердженій зазначеною постановою:
пункт 3 доповнити абзацами такого змісту:
“Для віднесення об’єкта критичної інфраструктури до однієї з категорій критичності оператор критичної інфраструктури подає до секторального органу у сфері захисту критичної інфраструктури визначені секторальним органом пояснювальні, довідкові та інші інформаційно-аналітичні матеріали, необхідні для аналізу рівня негативного впливу відповідно до абзацу першого цього пункту та обґрунтування розрахунку віднесення об’єкта критичної інфраструктури до однієї з категорій критичності.
Інформацію про такі документи секторальний орган у сфері захисту критичної інфраструктури доводить до відома уповноваженого органу у сфері захисту критичної інфраструктури, який вивчає їх на предмет достатності для обґрунтування розрахунку віднесення об’єкта критичної інфраструктури до однієї з категорій критичності та у разі потреби може надавати конкретні рекомендації, спрямовані на забезпечення достатності відомостей для зазначеного обґрунтування.
Зазначені документи подаються в електронній формі з дотриманням вимог Законів України “Про електронні документи та електронний документообіг”, “Про електронну ідентифікацію та електронні довірчі послуги”, “Про захист інформації в інформаційно-комунікаційних системах” або у паперовій формі за підписом керівника оператора критичної інфраструктури або особи, яка його заміщає.
Факсимільне відтворення підпису керівника оператора критичної інфраструктури або особи, яка його заміщає, за допомогою засобів механічного або іншого копіювання на зазначених документах не допускається.
Для проведення категоризації об’єктів критичної інфраструктури своїх секторів (підсекторів) критичної інфраструктури та з метою забезпечення виконання інших завдань, передбачених секторальному органу Законом України “Про критичну інфраструктуру”, у секторальному органі може утворюватися робоча група, до складу якої також можуть входити представники уповноваженого органу у сфері захисту критичної інфраструктури, функціональних органів у сфері захисту критичної інфраструктури та інших державних органів.”;
абзац п’ятий підпункту 7 пункту 4 викласти в такій редакції:
“Залежно від сектору застосовуються 17 або 18 критеріїв. Для об’єктів критичної інфраструктури, що належать до секторів критичної інфраструктури згідно з пунктами 1 і 3, 5 і 6, 8-10, 22, 25 і 26, 29-30 додатка 1, максимальна можлива сума балів буде дорівнювати ΣРКmax = 18 x 4 = 72 бали. Для об’єктів критичної інфраструктури, що належать до секторів згідно з пунктами 2 і 4, 7, 11-21, 23 і 24, 27 і 28, 31-36 додатка 1, максимальна можлива сума балів буде дорівнювати ΣРКmax = 17 x 4 = 68 балів.”;
у додатках до Методики:
у додатку 1:
у графі “Рівень негативного впливу: значні наслідки (2 бали)”:
в абзаці другому пункту 9 слова “від доби до трьох діб” замінити словами “від трьох діб”;
в абзаці другому пункту 10 слова “доби до” виключити;
пункт 13 викласти в такій редакції:
|
“13. |
Послуги, що надаються підсектором автомобільного, міського електричного транспорту |
знищення, пошкодження або порушення функціонування об’єкта критичної інфраструктури |
блокування (припинення) дорожнього руху на мостах, шляхопроводах, міжнародних та національних дорогах більш як на 24 години за відсутності обхідного шляху або відсутність можливості відновлення дорожнього руху протягом не більш як 24 годин, або неможливість надання послуг з перевезення пасажирів та вантажів протягом 24 годин без можливості організації альтернативного способу надання послуг |
блокування (припинення) дорожнього руху на мостах, шляхопроводах, міжнародних та національних дорогах не більш як на 24 години за відсутності обхідного шляху, або неможливість надання послуг з перевезення пасажирів та вантажів протягом більш як 24 годин без можливості організації альтернативного способу надання послуг |
блокування (припинення) дорожнього руху на мостах, шляхопроводах, регіональних дорогах протягом не більш як 48 годин за відсутності обхідного шляху або відсутності можливості його відновлення протягом не більш як 48 годин, або неможливість надання послуг з перевезення пасажирів та вантажів протягом 24 годин з можливістю організації альтернативного способу надання послуги |
блокування (припинення) дорожнього руху на мостах, шляхопроводах, регіональних дорогах протягом не більш як 48 годин за відсутності обхідного шляху або неможливість надання послуг з перевезення пасажирів та вантажів протягом більш як 24 годин з можливістю організації альтернативного способу надання послуги”; |
|
у графі “Сектор/підсектор” пункту 21 слова “сектором цивільного захисту населення та територій” замінити словами “сектором цивільного захисту населення і територій”;
у графах “Рівень негативного впливу: значні наслідки (2 бали)” і “Рівень негативного впливу: незначні наслідки (1 бал)” пункту 23 слово “абонентів” замінити словом “жителів”;
доповнити додаток пунктом 29-1 такого змісту:
|
“29-1. |
Послуги, що надаються сектором державної реєстрації |
знищення, пошкодження або порушення функціонування об’єкта критичної інфраструктури призведе до ненадання об’єктом послуг державної реєстрації з використанням інформаційної системи єдиних та державних реєстрів, держателем яких є Мін’юст |
наслідком є припинення надання послуг державної реєстрації з використанням інформаційної системи єдиних та державних реєстрів, держателем яких є Мін’юст, більш як на 72 години |
наслідком є порушення надання послуг державної реєстрації з використанням інформаційної системи єдиних та державних реєстрів, держателем яких є Мін’юст, більш як на 24 години |
наслідком є припинення/ порушення надання послуг державної реєстрації з використанням інформаційної системи єдиних та державних реєстрів, держателем яких є Мін’юст, у двох чи більше публічних реєстрах інформаційної системи єдиних та державних реєстрів, держателем яких є Мін’юст |
наслідком є припинення/ порушення надання послуг державної реєстрації з використанням інформаційної системи єдиних та державних реєстрів, держателем яких є Мін’юст, в одному із публічних реєстрів інформаційної системи єдиних та державних реєстрів, держателем яких є Мін’юст |
|
|
|
|
|
час відновлення функціонування у штатному режимі може перевищувати 72 години |
час відновлення функціонування у штатному режимі може становити від 24 до 72 годин |
час відновлення функціонування у штатному режимі може становити від 24 до 72 годин |
час відновлення функціонування у штатному режимі не може перевищувати 24 години”; |
|
у графі “Сектор/підсектор” пункту 32 слова “сектором державної влади та місцевого самоврядування” замінити словами “сектором державної влади та сектором місцевого самоврядування”;
пункт 33 викласти в такій редакції:
|
“33. |
Послуги, які надаються підсектором криптографічного захисту інформації |
у разі знищення або пошкодження, порушення сталого функціонування об’єкта критичної інфраструктури |
припинення або порушення надання послуг, які надаються органам, що забезпечують діяльність Президента України, Верховної Ради України, Кабінету Міністрів України, для потреб сил безпеки і сил оборони, а також об’єктів критичної інфраструктури I категорії критичності |
припинення або порушення надання послуг, які надаються центральним органам виконавчої влади, іншим державним органам, органам державного управління, юрисдикція яких поширюється на всю територію України (крім сил безпеки і сил оборони), а також об’єктам критичної інфраструктури II категорії критичності |
припинення або порушення надання послуг, які надаються для функціонування обласної державної адміністрації, ситуаційних центрів районних державних адміністрацій, територіальних органів центральних органів виконавчої влади, а також об’єктів критичної інфраструктури III категорії критичності |
припинення або порушення надання послуг, які надаються для функціонування об’єктів критичної інфраструктури IV категорії критичності”; |
|
доповнити додаток пунктами 34-36 такого змісту:
|
“34. |
Послуги, які надаються підсектором технічного захисту інформації |
у разі знищення або пошкодження, порушення сталого функціонування об’єкта критичної інфраструктури |
припинення або порушення надання послуг, які надаються органам, що забезпечують діяльність Президента України, Верховної Ради України, Кабінету Міністрів України, для потреб сил безпеки і сил оборони, а також об’єктів критичної інфраструктури I категорії критичності |
припинення або порушення надання послуг, які надаються центральним органам виконавчої влади, іншим державним органам, органам державного управління, юрисдикція яких поширюється на всю територію України (сил безпеки і сил оборони), а також об’єктам критичної інфраструктури II категорії критичності |
припинення або порушення надання послуг, які надаються для функціонування обласної державної адміністрації, ситуаційних центрів районних державних адміністрацій, територіальних органів центральних органів виконавчої влади, а також об’єктів критичної інфраструктури III категорії критичності |
припинення або порушення надання послуг, які надаються для функціонування об’єктів критичної інфраструктури IV категорії критичності |
|
|
35. |
Послуги, які надаються підсектором спеціального та конфіденційного зв’язку |
у разі знищення або пошкодження, порушення сталого функціонування об’єкта критичної інфраструктури |
припинення або порушення надання послуг, які надаються для потреб Верховного Головнокомандувача Збройних Сил, Головнокомандувача Збройних Сил, Начальника Генерального штабу Збройних Сил, Офісу Президента України, Верховної Ради України, Кабінету Міністрів України, Ради національної безпеки та оборони України, Конституційного Суду України, Верховного Суду, їх ситуаційних центрів, органів, що забезпечують діяльність Президента України, Верховної Ради України, Кабінету Міністрів України, та об’єктів критичної інфраструктури I категорії критичності |
припинення або порушення надання послуг, які надаються центральним органам виконавчої влади, іншим державним органам, органам державного управління, юрисдикція яких поширюється на всю територію України, пунктів управління Сухопутних військ, Повітряних Сил, Військово-Морських Сил, окремих родів військ і сил Збройних Сил та об’єктам критичної інфраструктури II категорії критичності |
припинення або порушення надання послуг, які надаються для функціонування обласної державної адміністрації, ситуаційних центрів районних державних адміністрацій, територіальних органів центральних органів виконавчої влади та об’єктів критичної інфраструктури III, IV категорії критичності |
припинення або порушення надання послуг, які надаються для функціонування територіальних органів центральних органів виконавчої влади припинення або порушення роботи органів місцевого самоврядування |
|
|
36. |
Послуги, які надаються підсектором кіберзахисту |
у разі знищення або пошкодження, порушення сталого функціонування об’єкта критичної інфраструктури |
припинення надання послуг, які надаються на національному рівні (двом і більше) центральним органам виконавчої влади, державним органам, органам, що забезпечують діяльність Президента України, Верховної Ради України, Кабінету Міністрів України, Національному банку та об’єктам критичної інфраструктури I категорії критичності |
припинення надання послуг, які надаються на регіональному/ міжрегіональному, галузевому/ міжгалузевому рівні центральному органу виконавчої влади, визначеному відповідальним за забезпечення формування та реалізацію державної політики у сфері захисту критичної інфраструктури в окремому секторі, центральному органу виконавчої влади, двом та більше місцевим держадміністраціям (військово-цивільним адміністраціям - у разі створення), двом та більше місцевим органам виконавчої влади, об’єктам критичної інфраструктури II категорії критичності |
наслідком є припинення надання послуг, які надаються на місцевому рівні органу виконавчої влади (військово-цивільній адміністрації - у разі створення), органу місцевого самоврядування, об’єктам критичної інфраструктури III, IV категорії критичності |
припинення надання послуг операторам критичної інфраструктури на об’єктовому рівні”; |
|
у додатку 2:
графу “Рівень негативного впливу: критичні наслідки (3 бали)” пункту 3 після слів “центральних органів виконавчої влади” доповнити словами “, інших органів виконавчої влади із спеціальним статусом”;
пункт 5 викласти в такій редакції:
|
“5. |
Шкода інтересам інших держав - партнерів України |
так, принаймні двом країнам або порушення умов міжнародного договору, укладеного від імені України |
так, принаймні одній країні або порушення умов міжнародного договору, укладеного від імені Уряду України |
можливі негативні наслідки для інших держав у зв’язку з порушенням умов міжнародного договору, укладеного від імені міністерства, іншого центрального органу виконавчої влади, державного органу, але їх вплив навряд чи буде значним |
держави не постраждають або не має місце порушення умов міжнародного договору, укладеного від імені міністерства, іншого центрального органу виконавчої влади, державного органу |
не критично |
РК8 =”. |
2. У Порядку проведення моніторингу рівня безпеки об’єктів критичної інфраструктури, затвердженому постановою Кабінету Міністрів України від 22 липня 2022 р. № 821 (Офіційний вісник України, 2022 р., № 60, ст. 3599):
1) пункт 4 викласти в такій редакції:
“4. Моніторинг проводиться один раз на три роки шляхом проведення оцінки стану захищеності об’єктів критичної інфраструктури (далі - оцінка стану захищеності) секторальними та функціональними органами у сфері захисту критичної інфраструктури відповідно до їх повноважень, визначених Законом України “Про критичну інфраструктуру”.
Оцінка стану захищеності проводиться комісією з оцінки стану захищеності об’єктів критичної інфраструктури (далі - комісія), що утворюється секторальним органом у сфері захисту критичної інфраструктури, до складу якої входять представники секторального, функціональних органів у сфері захисту критичної інфраструктури та можуть входити представники уповноваженого органу у сфері захисту критичної інфраструктури.
Оцінка стану захищеності для банків, інших осіб, що провадять діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, платіжних організацій, учасників платіжних систем, операторів послуг платіжної інфраструктури проводиться у порядку, визначеному Національним банком.
Обмін інформацією між суб’єктами національної системи захисту критичної інфраструктури під час проведення моніторингу рівня безпеки об’єктів критичної інфраструктури здійснюється відповідно до Регламенту обміну інформацією між суб’єктами національної системи захисту критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 14 жовтня 2022 р. № 1174 (Офіційний вісник України, 2022 р., № 84, ст. 5184).”;
2) у пункті 5:
в абзаці першому слова “що складається суб’єктами моніторингу” замінити словами “який складається секторальним органом у сфері захисту критичної інфраструктури”;
абзац другий викласти в такій редакції:
“Річний план, погоджений з функціональними органами у сфері захисту критичної інфраструктури, надсилається до 30 грудня року, що передує плановому періоду, уповноваженому органу у сфері захисту критичної інфраструктури, а до 1 лютого року, що настає за плановим періодом, секторальний орган у сфері захисту критичної інфраструктури інформує уповноважений орган у сфері захисту критичної інфраструктури про результати його виконання.”;
абзац третій після слів “початку проведення оцінки” доповнити словами “стану захищеності”;
3) пункти 6-8 викласти в такій редакції:
“6. Оцінка стану захищеності проводиться комісією з урахуванням специфіки функціонування об’єкта критичної інфраструктури та відповідно до розробленого секторальним органом у сфері захисту критичної інфраструктури разом з функціональними органами у сфері захисту критичної інфраструктури плану роботи комісії, в якому визначаються критерії, за якими буде проводиться оцінка стану захищеності, та який доводиться до оператора критичної інфраструктури не пізніше ніж за 15 робочих днів до початку проведення такої оцінки.
7. Для узагальнення результатів оцінки стану захищеності об’єкта критичної інфраструктури функціональні органи у сфері захисту критичної інфраструктури надають секторальному органу у сфері захисту критичної інфраструктури інформацію у межах компетенції щодо фактичного стану захищеності об’єкта критичної інфраструктури, встановленого під час проведення такої оцінки.
За результатами оцінки стану захищеності секторальним органом у сфері захисту критичної інфраструктури не пізніше 14 робочих днів після закінчення такої оцінки складається акт оцінки стану захищеності (далі - акт) за формою згідно з додатком, в якому зазначаються:
критерії оцінки стану захищеності та результати оцінки за кожним критерієм;
дані про стан захищеності об’єкта критичної інфраструктури, який визначається відповідно до критеріїв оцінки стану захищеності та оцінюється як “забезпечує”, “обмежено забезпечує”, “не забезпечує”;
дані про невідповідність (у разі їх наявності) вимогам законодавства у сфері захисту критичної інфраструктури, а також інші недоліки, що впливають на захищеність об’єкта критичної інфраструктури;
результати оцінки стану безпеки об’єкта критичної інфраструктури функціональними органами у сфері захисту критичної інфраструктури;
пропозиції щодо удосконалення системи захисту об’єктів критичної інфраструктури, усунення невідповідностей вимогам законодавства у сфері захисту критичної інфраструктури, що не суперечать одна одній та не містять взаємовиключних положень, із зазначенням строків вжиття відповідних заходів;
інформація щодо здійснення заходів, рекомендованих оператору критичної інфраструктури за результатами проведення попереднього моніторингу рівня безпеки об’єкта критичної інфраструктури (у разі їх наявності).
Критерії оцінки стану захищеності, їх показники та методику оцінки стану захищеності визначає уповноважений орган у сфері захисту критичної інфраструктури.
8. Акт складається в трьох примірниках, які підписуються членами комісії.
Перший примірник акта залишається для зберігання у секторальному органі у сфері захисту критичної інфраструктури.
Другий примірник надсилається оператору критичної інфраструктури не пізніше 30 календарних днів з дня складення акта з метою проведення аналізу та оцінки загального стану захищеності об’єкта критичної інфраструктури, а також вжиття заходів, необхідних для забезпечення захисту, безпеки та стійкості такого об’єкта з урахуванням зауважень та пропозицій, викладених в акті.
Третій примірник надсилається уповноваженому органу у сфері захисту критичної інфраструктури не пізніше 30 календарних з дня складення акта з метою включення інформації до Реєстру об’єктів критичної інфраструктури, а також проведення аналізу та оцінки загального стану захищеності критичної інфраструктури.
Секторальний орган у сфері захисту критичної інфраструктури надсилає копію акта функціональним органам у сфері захисту критичної інфраструктури, представники яких були залучені до проведення оцінки стану захищеності об’єкта критичної інфраструктури.
Про результати виконання пропозицій щодо удосконалення системи захисту об’єкта критичної інфраструктури, а також про вжиття заходів до усунення виявлених невідповідностей вимогам законодавства у сфері захисту критичної інфраструктури (у разі їх наявності) оператор критичної інфраструктури інформує секторальний орган у сфері захисту критичної інфраструктури, функціональні органи у сфері захисту критичної інфраструктури та уповноважений орган у сфері захисту критичної інфраструктури у визначені в акті строки.”;
4) додаток до Порядку викласти в такій редакції:
оцінки стану захищеності об’єкта критичної інфраструктури”.
3. У Порядку ведення Реєстру об’єктів критичної інфраструктури, включення таких об’єктів до Реєстру, доступу та надання інформації з нього, затвердженому постановою Кабінету Міністрів України від 28 квітня 2023 р. № 415 (Офіційний вісник України, 2023 р., № 47, ст. 2567):
1) в абзаці другому пункту 2 слова “Про електронні довірчі послуги” замінити словами “Про електронну ідентифікацію та електронні довірчі послуги”;
2) пункт 5 доповнити абзацом такого змісту:
“Створювачами реєстрової інформації є секторальні органи.”;
3) в абзаці другому пункту 6 слова “Закону України “Про електронні довірчі послуги” замінити словами “Закону України “Про електронну ідентифікацію та електронні довірчі послуги”;
4) абзац дванадцятий пункту 13 після слів “критичної інфраструктури” доповнити словами “, яка визначається на рівні не нижче керівника оператора критичної інфраструктури (заступника керівника оператора критичної інфраструктури) або з числа посадових осіб оператора критичної інфраструктури, які відповідають професійним стандартам, затвердженим Адміністрацією Держспецзв’язку, або кваліфікаційним характеристикам професій працівників у сфері захисту та стійкості критичної інфраструктури, затвердженим Адміністрацією Держспецзв’язку, у разі відсутності відповідних професійних стандартів”;
5) у пункті 17:
абзац перший викласти в такій редакції:
“17. Секторальні органи на підставі матеріалів, поданих оператором критичної інфраструктури для категоризації об’єктів критичної інфраструктури, подають окремо про кожен об’єкт критичної інфраструктури повідомлення про внесення відомостей щодо об’єкта критичної інфраструктури до Реєстру за формою згідно з додатком 1 та додатки до нього в електронній формі з дотриманням вимог Законів України “Про електронну ідентифікацію та електронні довірчі послуги”, “Про захист інформації в інформаційно-комунікаційних системах” або у паперовій формі.”;
абзац четвертий викласти в такій редакції:
“До повідомлення про внесення відомостей щодо об’єкта критичної інфраструктури до Реєстру додаються документи, що обґрунтовують віднесення об’єкта критичної інфраструктури до однієї з категорій критичності відповідно до Методики категоризації об’єктів критичної інфраструктури, затвердженої постановою Кабінету Міністрів України від 9 жовтня 2020 р. № 1109 “Деякі питання об’єктів критичної інфраструктури” (Офіційний вісник України, 2020 р., № 93, ст. 2994) (далі - Методика)”;
після абзацу четвертого доповнити пункт новим абзацом такого змісту:
“Для банків, інших об’єктів, що провадять діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, платіжних організацій, учасників платіжних систем, операторів послуг платіжної інфраструктури, віднесення яких до критичної інфраструктури здійснюється в порядку, встановленому Національним банком, повідомлення про внесення відомостей щодо об’єкта критичної інфраструктури до Реєстру подаються без додатків, передбачених абзацом четвертим цього пункту Порядку.”.
У зв’язку з цим абзац п’ятий вважати абзацом шостим;
6) у пункті 18:
абзац другий викласти в такій редакції:
“Інформація до Реєстру вноситься відповідальною особою уповноваженого органу у сфері захисту критичної інфраструктури України (публічним реєстратором) за результатами перевірки повноти інформації, зазначеної в повідомленні про внесення відомостей щодо об’єкта критичної інфраструктури до Реєстру, обґрунтованості віднесення об’єкта критичної інфраструктури до однієї з категорій критичності відповідно до Методики, про що повідомляється секторальному органу, який подав таке повідомлення.”;
абзац п’ятий після слів “секторальний орган” доповнити словами і цифрами “протягом 10 робочих днів з дня отримання повідомлень, повернутих відповідно до цього абзацу,”;
доповнити пункт абзацами такого змісту:
“Уповноважений орган у сфері захисту критичної інфраструктури України повідомляє секторальному органу про внесення відомостей до Реєстру протягом п’яти робочих днів з дня їх внесення до Реєстру.
Секторальний орган протягом п’яти робочих днів з дня отримання від уповноваженого органу у сфері захисту критичної інфраструктури України інформації про внесення відомостей до Реєстру повідомляє про це оператора критичної інфраструктури.”;
7) пункт 19 викласти в такій редакції:
“19. Зміни і додаткові відомості про об’єкт критичної інфраструктури до Реєстру вносяться уповноваженим органом у сфері захисту критичної інфраструктури України та фіксуються програмними засобами Реєстру на підставі повідомлення про погодження (перегляд) паспорта безпеки на об’єкт критичної інфраструктури за формою згідно з додатком 2 та/або повідомлення про внесення змін до відомостей щодо об’єкта критичної інфраструктури за формою згідно з додатком 3, а також рішення уповноваженого органу у сфері захисту критичної інфраструктури України.
У разі виявлення секторальним органом зміни відомостей про об’єкт критичної інфраструктури під час заповнення повідомлення про погодження (перегляд) паспорта безпеки на об’єкт критичної інфраструктури з таким повідомленням подається повідомлення про внесення змін до відомостей щодо об’єкта критичної інфраструктури.
Уповноважений орган у сфері захисту критичної інфраструктури України повідомляє секторальному органу про внесення змін та додаткових відомостей до Реєстру протягом п’яти робочих днів з дня їх внесення до Реєстру.
Секторальний орган протягом п’яти робочих днів з дня отримання від уповноваженого органу у сфері захисту критичної інфраструктури України інформації про внесення змін і додаткових відомостей до Реєстру повідомляє про це оператора критичної інфраструктури.
У разі неповноти інформації, невідповідності відомостей про об’єкт критичної інфраструктури у повідомленні про погодження (перегляд) паспорта безпеки на об’єкт критичної інфраструктури та/або повідомленні про внесення змін до відомостей щодо об’єкта критичної інфраструктури, зокрема відомостям, що містяться у Реєстрі, уповноважений орган у сфері захисту критичної інфраструктури України повертає такі повідомлення до секторального органу.
Після усунення невідповідностей, доповнення інформації або приведення у відповідність, зокрема із відомостями, що містяться у Реєстрі, секторальний орган протягом 10 робочих днів з дня отримання повідомлень, повернутих відповідно до абзацу п’ятого цього пункту, повторно подає уповноваженому органу у сфері захисту критичної інфраструктури України повідомлення про погодження (перегляд) паспорта безпеки на об’єкт критичної інфраструктури та/або повідомлення про внесення змін до відомостей щодо об’єкта критичної інфраструктури.
Інформація про оцінку стану захищеності об’єкта критичної інфраструктури та її результати вносяться до Реєстру відповідальною особою уповноваженого органу у сфері захисту критичної інфраструктури України на підставі акта оцінки стану захищеності об’єкта критичної інфраструктури, складеного відповідно до Порядку проведення моніторингу рівня безпеки об’єктів критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 22 липня 2022 р. № 821 (Офіційний вісник України, 2022 р., № 60, ст. 3599).”;
8) пункт 20 доповнити абзацом такого змісту:
“У повідомленні про внесення змін до відомостей щодо об’єкта критичної інфраструктури до Реєстру заповнюються лише позиції про відомості, що змінилися.”;
9) пункт 23 після слів “функціонування Реєстру” доповнити словами “, а також створення програмно-технічних засобів Реєстру”.
4. У Порядку розроблення та погодження паспорта безпеки на об’єкт критичної інфраструктури, затвердженому постановою Кабінету Міністрів України від 4 серпня 2023 р. № 818 “Деякі питання паспортизації об’єктів критичної інфраструктури” (Офіційний вісник України, 2023 р., № 77, ст. 4366):
1) абзац четвертий пункту 1 викласти в такій редакції:
“Факсимільне відтворення підпису керівника оператора критичної інфраструктури або особи, яка його заміщає, керівника функціонального чи секторального органу або його заступника з використанням засобів механічного або іншого копіювання на зазначених документах не допускається.”;
2) у пункті 8:
абзац другий викласти в такій редакції:
“У разі коли план захисту подано функціональному органу із порушенням вимог до його розроблення відповідно до форм планів захисту, передбачених пунктами 5, 7 цього Порядку, що затверджуються відповідними функціональними органами, функціональний орган не пізніше ніж протягом 10 робочих днів із дня реєстрації повертає його оператору разом із супровідним листом для приведення у відповідність із зазначеними вимогами цього Порядку.”;
3) третє речення абзацу п’ятого пункту 9 виключити;
4) в абзаці другому пункту 14 слово “двох” замінити словом “п’яти”, а після слів “керівника секторального органу” доповнити словами “або його заступника згідно з розподілом повноважень (обов’язків)”;
5) в абзацах першому та третьому пункту 15 слова “керівник секторального органу” замінити словами “секторальний орган”.
Сигнальний документ —