1490882

ПОРІВНЯЛЬНА ТАБЛИЦЯ
до проекту Закону України «Про внесення змін до деяких законів України щодо невідкладних заходів посилення
спроможностей із кіберзахисту державних інформаційних ресурсів та об'єктів критичної інформаційної
інфраструктури»
Зміст положення (норми) чинного акта законодавства Зміст відповідного положення (норми) проєкту акта
Закон України «Про Державну службу спеціального зв'язку та захисту інформації України»
(Відомості Верховної Ради України (ВВР), 2014, № 25, ст.890 із наступними змінами)
Стаття 1. Визначення термінів Стаття 1. Визначення термінів
1. У цьому Законі наведені нижче терміни вживаються в 1. У цьому Законі наведені нижче терміни вживаються в
таких значеннях: таких значеннях:
державна система урядового зв’язку - система Виключити

спеціального зв’язку, що функціонує в інтересах здійснення
управління державою у мирний час, в умовах надзвичайного
стану та в особливий період із забезпеченням додержання
вимог законодавства під час передавання, приймання та
оброблення інформації, що містить державну таємницю; …
… допуск до експлуатації - комплекс організаційно-технічних
заходів з проведення тематичних досліджень засобів
допуск до експлуатації - комплекс організаційно-
криптографічного захисту інформації, криптографічних
технічних заходів з проведення тематичних досліджень
алгоритмів, які призначені для захисту службової
засобів криптографічного захисту інформації,
інформації або інформації, що становить державну
криптографічних алгоритмів, засобів, систем і комплексів
1
спеціального зв’язку та державної експертизи їх результатів з таємницю, та державної експертизи їх результатів з метою
метою встановлення можливості їх використання за встановлення можливості їх використання за призначенням;
призначенням;
експертні дослідження - дослідження та аналіз конкретних
властивостей засобів криптографічного захисту інформації,
експертні дослідження - дослідження та аналіз криптографічних алгоритмів з метою перевірки їх
конкретних властивостей засобів криптографічного захисту відповідності вимогам нормативно-правових актів, оцінки
інформації, криптографічних алгоритмів, засобів, систем та захищеності інформації або їх науково-технічного рівня;
комплексів спеціального зв’язку з метою перевірки їх
відповідності вимогам нормативно-правових актів, оцінки …
захищеності інформації або їх науково-технічного рівня;
…
Виключити
засіб спеціального зв’язку - апаратний, апаратно-
програмний засіб, який призначений для обробки інформації з
обмеженим доступом у складі системи спеціального зв’язку, …
але не реалізує криптографічних перетворень інформації;
засіб технічного захисту інформації – технічний або
… програмний засіб, у якому передбачено функції технічного
захисту інформації, технічний або програмний засіб
Відсутнє
спеціально розроблений для пошуку закладних пристроїв
або контролю ефективності технічного захисту інформації;
Виключити
комплекс спеціального зв’язку - сукупність обладнання і
засобів криптографічного захисту інформації, засобів
спеціального зв’язку, технічно та функціонально поєднаних
для забезпечення захисту службової інформації та/або
інформації, що становить державну таємницю, призначений
для використання у складі системи спеціального зв’язку; національна система урядових електронних
комунікацій – загальнодержавна спеціальна
2
інформаційно-комунікаційна система, яка функціонує в
інтересах здійснення управління державою у мирний час, в
Відсутнє умовах надзвичайного стану та в особливий період із
забезпеченням передавання, приймання та оброблення
інформації, що становить державну таємницю, та іншої
інформації з обмеженим доступом, вимога щодо захисту
якої встановлена законом;
…
…
орган стандартизації криптографічного та технічного
захисту інформації, кіберзахисту, протидії технічним
розвідкам – науково-дослідна, науково-виробнича чи інша
Відсутнє установа або організація Державної служби спеціального
зв’язку та захисту інформації України, до функцій якої
віднесено розроблення, прийняття, внесення змін,
скасування, відновлення дії, оприлюднення,
запровадження та застосування стандартів
криптографічного та технічного захисту інформації,
кіберзахисту, протидії технічним розвідкам;
оцінка у сфері захисту інформації – процес перевірки

обраних та/або запроваджених методів, заходів, засобів
Відсутнє захисту інформації з метою встановлення їх відповідності
вимогам законодавства, національним або міжнародним
стандартам або іншим вимогам у сфері захисту інформації;
…
…
спеціальна інформаційно-комунікаційна система –
Відсутнє інформаційно-комунікаційна система, яка забезпечує
3
обробку інформації, що становить державну таємницю, та
іншої інформації з обмеженим доступом, вимога щодо
захисту якої встановлена законом, із застосуванням
технічних засобів електронних комунікацій і засобів
…
криптографічного захисту інформації;
…
Відсутнє
стандарт криптографічного та технічного захисту
інформації, кіберзахисту, протидії технічним розвідкам –
стандарт, прийнятий органом стандартизації
кіберзахисту, протидії технічним розвідкам, що
встановлює для загального і неодноразового використання
правила та настанови щодо діяльності у сферах
кіберзахисту, протидії технічним розвідкам і спрямований
Відсутнє на досягнення оптимального ступеня упорядкування у
зазначених сферах;
стандартизація криптографічного та технічного

захисту інформації, кіберзахисту, протидії технічним
розвідкам – діяльність, що полягає в установленні
положень для загального та неодноразового використання
щодо наявних чи потенційних завдань і спрямована на
досягнення оптимального ступеня упорядкування у
тематичні дослідження - дослідження щодо встановлення сферах криптографічного та технічного захисту
відповідності засобів криптографічного захисту інформації, інформації, кіберзахисту, протидії технічним розвідкам;
криптосистем, криптографічних алгоритмів, засобів, систем і
комплексів спеціального зв’язку вимогам тактико-технічних
завдань на їх створення, нормативно-правових актів у сфері тематичні дослідження - дослідження щодо встановлення
криптографічного захисту інформації, а також вимогам із відповідності засобів криптографічного захисту інформації,
криптосистем, криптографічних алгоритмів, які призначені
4
захисту від витоку інформації каналами побічних для захисту службової інформації або інформації, що
електромагнітних випромінювань і наведень; становить державну таємницю, вимогам тактико-технічних
завдань на їх створення, нормативно-правових актів у сфері
криптографічного захисту інформації, а також вимогам із
урядовий зв’язок - спеціальний зв’язок, надання якого захисту від витоку інформації каналами побічних
забезпечується державною системою урядового зв’язку; електромагнітних випромінювань і наведень;
… урядовий зв’язок - спеціальний зв’язок, надання якого

забезпечується національною системою урядових
електронних комунікацій;
Стаття 2. Статус Державної служби спеціального Стаття 2. Статус Державної служби спеціального
зв’язку та захисту інформації України зв’язку та захисту інформації України
1. Державна служба спеціального зв’язку та захисту 1. Державна служба спеціального зв’язку та захисту
інформації України є державним органом, який призначений інформації України є державним органом, який призначений
для забезпечення функціонування і розвитку державної для забезпечення функціонування і розвитку національної
системи урядового зв’язку, Національної системи системи урядових електронних комунікацій, Національної
конфіденційного зв’язку, формування та реалізації державної системи конфіденційного зв’язку, формування та реалізації
політики у сферах криптографічного та технічного захисту державної політики у сферах криптографічного та технічного
інформації, кіберзахисту, поштового зв’язку спеціального захисту інформації, кіберзахисту, поштового зв’язку
призначення, урядового фельд’єгерського зв’язку, активної спеціального призначення, урядового фельд’єгерського
протидії агресії у кіберпросторі, а також інших завдань зв’язку, активної протидії агресії у кіберпросторі, а також
відповідно до закону. інших завдань відповідно до закону.
…
…
5
Стаття 3. Основні завдання Державної служби Стаття 3. Основні завдання Державної служби
спеціального зв’язку та захисту інформації України спеціального зв’язку та захисту інформації України
1. Основними завданнями Державної служби 1. Основними завданнями Державної служби спеціального

спеціального зв’язку та захисту інформації України є: зв’язку та захисту інформації України є:
формування та реалізація державної політики у сферах формування та реалізація державної політики у сферах
криптографічного та технічного захисту інформації, криптографічного та технічного захисту інформації,
кіберзахисту, поштового зв’язку спеціального призначення, кіберзахисту, поштового зв’язку спеціального призначення,
урядового фельд’єгерського зв’язку, захисту державних урядового фельд’єгерського зв’язку, захисту державних
інформаційних ресурсів та інформації, вимога щодо захисту інформаційних ресурсів та інформації, вимога щодо захисту
якої встановлена законом, в інформаційних, електронних якої встановлена законом, в інформаційних, електронних
комунікаційних та інформаційно-комунікаційних системах комунікаційних та інформаційно-комунікаційних системах
(далі - інформаційно-комунікаційні системи) і на об’єктах (далі - інформаційно-комунікаційні системи) і на об’єктах
інформаційної діяльності, а також у сферах використання інформаційної діяльності, а також у сферах використання
державних інформаційних ресурсів в частині захисту державних інформаційних ресурсів в частині захисту
інформації, протидії технічним розвідкам, функціонування, інформації, протидії технічним розвідкам, функціонування,
безпеки та розвитку державної системи урядового зв’язку, безпеки та розвитку національної системи урядових
Національної системи конфіденційного зв’язку, активної електронних комунікацій, Національної системи
протидії агресії у кіберпросторі; конфіденційного зв’язку, активної протидії агресії у
кіберпросторі;
Відсутнє формування та реалізація державної політики у сфері
державного контролю за додержанням вимог
законодавства у сферах технічного захисту інформації та
кіберзахисту об'єктами державного контролю у сферах
технічного захисту інформації та кіберзахисту та оцінки у
Відсутнє сфері захисту інформації;
формування та реалізація державної політики у сфері
кіберзахисту щодо обміну інформацією про інциденти
Відсутнє кібербезпеки, кібератаки та кіберзагрози;
6
формування та реалізація державної політики у сфері
… кіберзахисту щодо реагування на кіберінциденти,
кібератаки, кіберзагрози;
Відсутнє
…
здійснення стандартизації у сферах криптографічного
та технічного захисту інформації, кіберзахисту, протидії
технічним розвідкам.
Стаття 7. Центральний орган виконавчої влади, що Стаття 7. Центральний орган виконавчої влади, що
забезпечує формування та реалізацію державної політики забезпечує формування та реалізацію державної політики
у сферах організації спеціального зв’язку, захисту у сферах організації спеціального зв’язку, захисту
інформації інформації
1. Центральний орган виконавчої влади, що забезпечує 1. Центральний орган виконавчої влади, що забезпечує
формування та реалізацію державної політики у сферах формування та реалізацію державної політики у сферах
організації спеціального зв’язку, захисту інформації, є організації спеціального зв’язку, захисту інформації, є
центральним органом виконавчої влади із спеціальним центральним органом виконавчої влади із спеціальним
статусом, що забезпечує формування та реалізацію державної статусом, що забезпечує формування та реалізацію державної
політики у сферах організації спеціального зв’язку, захисту політики у сферах організації спеціального зв’язку, захисту
інформації, спеціально уповноваженим центральним органом інформації, кіберзахисту, спеціально уповноваженим
виконавчої влади з питань організації спеціального зв’язку та центральним органом виконавчої влади з питань організації
захисту інформації, головним органом у системі центральних спеціального зв’язку та захисту інформації, головним органом
органів виконавчої влади з формування та забезпечення у системі центральних органів виконавчої влади з формування
реалізації державної політики у сферах організації та забезпечення реалізації державної політики у сферах
спеціального зв’язку та захисту інформації, поштового зв’язку організації спеціального зв’язку та захисту інформації,
спеціального призначення, урядового фельд’єгерського поштового зв’язку спеціального призначення, урядового
зв’язку, активної протидії агресії у кіберпросторі. фельд’єгерського зв’язку, активної протидії агресії у
кіберпросторі.
…
…
7
Стаття 9. Територіальні підрозділи Державної служби Стаття 9. Територіальні підрозділи Державної служби
1. Територіальні підрозділи Державної служби 1. Територіальні підрозділи Державної служби

призначені для: призначені для:
… …
забезпечення функціонування, безпеки та розвитку забезпечення функціонування, безпеки та розвитку

підсистеми урядового польового зв’язку як складової підсистеми польового урядового зв’язку як складової
державної системи урядового зв’язку. національної системи урядових електронних комунікацій.
… …
Стаття 14. Обов’язки Державної служби спеціального Стаття 14. Обов’язки Державної служби спеціального
1. На Державну службу спеціального зв'язку та захисту 1. На Державну службу спеціального зв'язку та захисту
інформації України відповідно до визначених завдань інформації України відповідно до визначених завдань
покладаються такі обов'язки: покладаються такі обов'язки:
1) формування та реалізація державної політики у сферах 1) формування та реалізація державної політики у сферах
криптографічного та технічного захисту інформації, захисту криптографічного та технічного захисту інформації, захисту
державних інформаційних ресурсів та інформації, вимога державних інформаційних ресурсів та інформації, вимога
щодо захисту якої встановлена законом, в інформаційно- щодо захисту якої встановлена законом, в інформаційно-
комунікаційних системах і на об’єктах інформаційної комунікаційних системах і на об’єктах інформаційної
діяльності, протидії технічним розвідкам, активної протидії діяльності, протидії технічним розвідкам, активної протидії
агресії у кіберпросторі; агресії у кіберпросторі; у сфері державного контролю за
додержанням вимог законодавства у сферах технічного
захисту інформації та кіберзахисту; у сфері кіберзахисту
щодо обміну інформації про інциденти кібербезпеки,
8
кібератаки та кіберзагрози, щодо реагування на
кіберінциденти, кібератаки, кіберзагрози;
…
…
9) встановлення порядку створення та допуску до
експлуатації, допуск до експлуатації засобів 9) встановлення порядку створення та допуску до
криптографічного захисту службової інформації та експлуатації, допуск до експлуатації засобів криптографічного
інформації, що становить державну таємницю, засобів, захисту службової інформації та інформації, що становить
комплексів та систем спеціального зв’язку, визначення державну таємницю, визначення криптографічних алгоритмів
криптографічних алгоритмів для застосування у засобах для застосування у засобах криптографічного захисту
криптографічного захисту інформації; інформації;
…
…
13) забезпечення функціонування, безпеки та розвитку
державної системи урядового зв’язку, її готовності до роботи 13) забезпечення функціонування національної системи
в особливий період і в разі виникнення надзвичайної ситуації; урядових електронних комунікацій у порядку,
визначеному Президентом України, її безпеки, розвитку та
… готовності до роботи в особливий період і в разі виникнення
надзвичайної ситуації;
19) вирішення в межах повноважень питань забезпечення …
зв’язку для потреб державної системи урядового зв’язку,
Національної системи конфіденційного зв’язку, відповідних 19) вирішення в межах повноважень питань забезпечення
державних органів згідно із законодавством; зв’язку для потреб національної системи урядових
електронних комунікацій, Національної системи
… конфіденційного зв’язку, відповідних державних органів
згідно із законодавством;
29) встановлення порядку здійснення державного
контролю і здійснення державного контролю за: …
…
29) встановлення порядку здійснення державного
контролю і здійснення державного контролю за:
9
додержанням вимог безпеки під час розроблення, …
виробництва, використання, експлуатації, сертифікаційних
випробувань, проведення тематичних досліджень, експертизи, додержанням вимог безпеки під час розроблення,
вивезення та знищення криптографічних систем і засобів виробництва, використання, експлуатації, сертифікаційних
криптографічного захисту інформації та обладнання випробувань, проведення тематичних досліджень, експертизи,
спеціального зв’язку, що мають гриф обмеження доступу; вивезення та знищення криптографічних систем і засобів
криптографічного захисту інформації, що мають гриф
обмеження доступу;
30) встановлення порядку організації та проведення

державної експертизи у сфері криптографічного та технічного
захисту інформації, проведення державної експертизи та 30) встановлення порядку організації та проведення
експертних досліджень у сфері криптографічного захисту державної експертизи у сфері криптографічного та технічного
інформації, визначення криптографічних алгоритмів як захисту інформації, державної експертизи щодо відсутності
рекомендованих, допуску до експлуатації засобів в програмному забезпеченні недокументованих функцій та
криптографічного захисту інформації, засобів, комплексів та їх проведення; проведення експертних та тематичних
систем спеціального зв’язку, надання та/або реєстрація досліджень у сфері криптографічного захисту інформації;
експертних висновків за результатами державної експертизи у визначення криптографічних алгоритмів як рекомендованих;
сфері криптографічного та технічного захисту інформації, допуск до експлуатації засобів криптографічного захисту
свідоцтв про допуск до експлуатації засобів криптографічного інформації; видача експертних висновків за результатами
захисту інформації, засобів, комплексів та систем державної експертизи у сфері криптографічного захисту
спеціального зв’язку, декларацій та атестатів відповідності інформації, свідоцтв про допуск до експлуатації засобів
комплексних систем захисту інформації; криптографічного захисту інформації; реєстрація експертних
висновків за результатами державної експертизи у сфері
технічного захисту інформації, декларацій та атестатів
відповідності комплексних систем захисту інформації;
…
39) забезпечення функціонування урядової команди …

реагування на комп’ютерні надзвичайні події України CERT-
UA. Накопичення та аналіз даних про вчинення та/або спроби 39) забезпечення функціонування CERT-UA;
вчинення несанкціонованих дій щодо державних
10
інформаційних ресурсів в інформаційно-комунікаційних
системах, а також про їх наслідки, інформування
правоохоронних органів для вжиття заходів із запобігання та
припинення кримінальних правопорушень у зазначеній сфері;
50) встановлення: 50) встановлення:
технічних вимог до електронних комунікаційних мереж, технічних вимог до електронних комунікаційних мереж та
систем і комплексів, засобів та об’єктів спеціального зв’язку; об’єктів спеціального зв’язку;
порядку і забезпечення проведення експертизи порядку і забезпечення проведення експертизи
інфраструктури електронних комунікацій проектів інфраструктури електронних комунікацій проектів
будівництва, реконструкції та модернізації електронних будівництва, реконструкції та модернізації електронних
комунікаційних мереж, споруд і засобів спеціального зв’язку; комунікаційних мереж, споруд;
…
67) організація та забезпечення служби з охорони …
об’єктів, приміщень, систем, мереж, комплексів, засобів 67) організація та забезпечення служби з охорони
урядового і спеціального зв’язку, ключових документів до об’єктів, приміщень, систем, мереж урядового і спеціального
засобів криптографічного захисту інформації; зв’язку, ключових документів до засобів криптографічного
захисту інформації;
…
77) погодження в порядку, встановленому …

законодавством, призначення керівників органів спеціального
зв’язку, підрозділів з питань зв’язку, інформатизації та захисту 77) погодження в порядку, встановленому
інформації державних органів, Національного банку України законодавством, призначення керівників органів спеціального
та Офісу Генерального прокурора; зв’язку, підрозділів з питань зв’язку, інформатизації та захисту
інформації державних органів, Національного банку України
Відсутнє та Офісу Генерального прокурора;
77-1) визначення переліків стандартів, настанов,

рекомендацій, аналітичних оглядів та інших документів,
розроблених та прийнятих європейськими, іноземними та
11
міжнародними організаціями з питань, що належать до
повноважень Державної служби спеціального зв’язку та
захисту інформації України (у тому числі та обмежуючись
документами The European Union Agency for Cybersecurity
(ENISA), The Cybersecurity and Infrastructure Security
Agency (CISA), National Institute of Standards and
Technology (NIST), Federal Information Processing Standards
… (FIPS)), дозволеними для використання у роботі у сферах
організації спеціального зв’язку, захисту інформації,
90) забезпечення впровадження системи аудиту кіберзахисту;
інформаційної безпеки на об’єктах критичної інфраструктури,
встановлення вимог до аудиторів інформаційної безпеки, їх …
атестації (переатестації);
90) методичне регулювання оцінки захисту інформації
та стану захищеності інформації, встановлення вимог до
суб'єктів оцінювачної діяльності у сфері захисту
інформації щодо захищенності інформаційних,
електронних комунікаційних та інформаційно-
комунікаційних систем, в яких обробляються державні
інформаційні ресурси або інформація з обмеженим
доступом, вимога щодо захисту якої встановлена законом,
91) координація, організація та проведення аудиту об'єктів критичної інформаційної інфраструктури,
захищеності комунікаційних і технологічних систем об’єктів реалізація інших повноважень, визначених спеціальним
критичної інфраструктури на вразливість; законом у сфері оцінки захисту інформації;
Виключити
92) забезпечення функціонування Державного центру
кіберзахисту;
93) створення та забезпечення функціонування системи

активної протидії агресії у кіберпросторі;
91) забезпечення функціонування Державного центру
12
94) створення та забезпечення функціонування Центру
активної протидії агресії у кіберпросторі.
92) створення та забезпечення функціонування системи
Відсутнє активної протидії агресії у кіберпросторі;
93) створення та забезпечення функціонування Центру

активної протидії агресії у кіберпросторі;
94) встановлення вимог до умов постачання товарів,

робіт, послуг, що забезпечують функціонування
інформаційних, електронних комунікаційних та
інформаційно-комунікаційних систем, в яких
обробляються державні інформаційні ресурси або
інформація з обмеженим доступом, вимога щодо захисту
якої встановлена законом, об'єктів критичної
інформаційної інфраструктури, що постачаються
замовникам, визначеним у частині першій статті 2 Закону
України "Про публічні закупівлі", та операторам об’єктів
Відсутнє
критичної інфраструктури, щодо впровадження
постачальниками та їх субпідрядниками заходів безпеки
інформації відповідно до рівня ризику, пов'язаного з
постачанням таких товарів, робіт, послуг;
95) визначення критеріїв товарів, робіт, послуг, що

забезпечують функціонування інформаційних,
операторів об'єктів критичної інформаційної
інфраструктури, постачання яких здійснюється
Відсутнє замовникам, визначеним у частині першій статті 2 Закону
України "Про публічні закупівлі", а також об’єктам
13
критичної інфраструктури, та закупівля яких вимагає
виконання вимог щодо впровадження постачальниками
та їх субпідрядниками заходів безпеки інформації
відповідно до рівня ризику, пов’язаного з постачанням
таких товарів, робіт та послуг;
96) встановлення порядку визначення замовниками,

визначеними у частині першій статті 2 Закону України
"Про публічні закупівлі", та операторами критичної
Відсутнє інфраструктури рівня ризику та відповідних такому
ризику заходів безпеки інформації, пов’язаного з
постачанням товарів, робіт та послуг, що забезпечують
функціонування інформаційних, електронних
комунікаційних та інформаційно-комунікаційних систем,
в яких обробляються державні інформаційні ресурси або
інформаційної інфраструктури;
97) встановлення порядку підтвердження відповідності

впроваджених заходів безпеки інформації встановленим
Відсутнє вимогам постачальниками та їх субпідрядниками, які
постачають товари, роботи, послуги, що забезпечують
функціонування інформаційних, електронних
інформаційної інфраструктури замовникам, визначеним у
частині першій статті 2 Закону України "Про публічні
Відсутнє закупівлі", та операторам критичної інфраструктури;
14
98) забезпечення функціонування відкритого реєстру
забороненного до використання програмного забезпечення
відповідно до порядку формування переліку забороненого
Відсутнє
до використання програмного забезпечення та внесення їх
до реєстру забороненного до використання програмного
забезпечення, а також порядку формування та
Відсутнє забезпечення функціонування реєстру забороненного до
використання програмного забезпечення, затверджених
Кабінетом Міністрів України;
99) встановлення порядку організації та проведення

Відсутнє державної експертизи у сфері захисту інформації щодо
відсутності в програмному забезпеченні недокументованих
функцій, видача висновків за результатами такої
державної експертизи;
100) створення та забезпечення функціонування

лабораторії з пошуку недокументованих функцій у
програмному забезпечені;
101) встановлення порядку пошуку та/або виявлення

потенційних вразливостей в інформаційно-
комунікаційних системах, в яких обробляються державні
Відсутнє інформаційні ресурси та/або інформація, вимога щодо
захист якої встановлена законом, а також на об'єктах
критичної інформаційної інфраструктури;
102) забезпечення організації та проведення

Відсутнє систематичних навчань із питань кіберзахисту для осіб, що
безпосередньо здійснюють у межах своєї компетенції
заходи з кіберзахисту в органах державної влади, що є
власниками / розпорядниками інформаційних,
15
Відсутнє комунікаційних систем, в яких обробляються державні
та на підприємствах, установах та організаціях, віднесених
Відсутнє до об’єктів критичної інфраструктури;
103) встановлення функцій, повноважень, загальних

вимог до підрозділів із кіберзахисту та їх співробітників,
особливостей правового статусу та загальних вимог до
Відсутнє офіцерів із кіберзахисту в державних органах, установах,
організаціях, органах місцевого самоврядування та на
об'єктах критичної інфраструктури;
104) погодження в порядку, встановленому

законодавством, призначення офіцерів із кіберзахисту, на
Відсутнє
яких покладається забезпечення захисту інформації та
кіберзахисту в державних органах, установах,
організаціях, органах місцевого самоврядування та на
Відсутнє
об'єктах критичної інфраструктури;
105) забезпечення нормативно-правового регулювання

Відсутнє
відносин у сферах стандартизації криптографічного та
технічного захисту інформації, кіберзахисту, протидії
технічним розвідкам;
Відсутнє 106) встановлення порядку розроблення, прийняття,
внесення змін, скасування, відновлення дії, оприлюднення,
запровадження та застосування стандартів
Відсутнє
кіберзахисту, протидії технічним розвідкам;
Відсутнє
16
107) визначення органу стандартизації
кіберзахисту, протидії технічним розвідкам з числа
науково-дослідних, науково-виробничих та інших установ
і організацій Державної служби спеціального зв’язку та
Відсутнє
захисту інформації України;
108) встановлення порядку та вимог створення заходів

Відсутнє та систем з безпеки інформації;
109) визначення порядку проведення авторизації

Відсутнє заходів та систем безпеки інформації;
110) визначення порядку ведення реєстру

Відсутнє авторизованих систем з безпеки інформації, включення та
виключення їх з цього реєстру та надання доступу та
інформації з нього;
111) виконання функцій головного уповноваженого

органу з авторизації;
Відсутнє 112) погодження призначення галузевих
уповноважених органів з авторизації;
113) впровадження та забезпечення функціонування

системи професійної кваліфікації за групами кваліфікації
у сферах захисту інформації та кіберзахисту, системи
оцінювання та визнання таких кваліфікацій на основі
відповідних професійних стандартів, затверджує в
установленому порядку відповідні професійні стандарти;
17
114) створення та забезпечення функціонування
кваліфікаційного центру за групами кваліфікацій у сферах
інформаціної безпеки та кіберзахисту;
115) забезпечення функціонування національної

системи реагування на інциденти кібербезпеки,
кібератаки;
116) координація діяльності об’єктів критичної

інфраструкури під час надзвичайного та воєнного стану з
питань кіберзахисту;
117) забезпечення функціонування національної

системи обміну інформацією про інциденти кібербезпеки,
кібератаки щодо інформаційно-комунікаційних систем, в
яких обробляються державні інформаційні ресурси,
об'єктів критичної інформаційної інфраструктури;
Відсутнє
118) проведення у встановленому законом порядку
судових експертиз та експертних досліджень у сферах
криптографічного захисту інформації, технічного захисту
інформації, протидії технічним розвідкам, кібербезпеки та
надання електронних довірчих послуг; в тому числі,
проведення інженерно-технічних судових експертиз та
експертних досліджень щодо:
верифікації програмних та технічних засобів;
аналізу наявності в програмних та технічних засобах

механізмів криптографічного захисту інформації
(застосованих криптографічних алгоритмів і
криптопротоколів та їх криптографічної стійкості);
18
проведення досліджень програмного забезпечення на
наявність/відсутність недокументованих функцій;
контрольної експертизи комплексних систем захисту

інформації інформаційно-комунікаційних систем та
засобів технічного і криптографічного захисту інформації
для перевірки висновку первинної експертизи;
аналізу наявності відомостей, що можуть становити

державну таємницю, в матеріальних носіях, що містять
відомості сфери технічного та криптографічного захисту
інформації, спеціального зв’язку;
аналізу належності програмних та технічних засобів

захисту інформації до товарів подвійного використання.
119) встановлення для виконання завдання щодо

функціонування національної системи реагування:
основних завдань, що можуть бути делеговані від

національної команди реагування до галузевих та
регіональних команд реагування та порядок взаємодії між
такими командами реагування з національною командою
реагування;
порядку надання приватними командами реагування

послуг з управління інцидентами кібербезпеки для
операторів критичної інфраструктури, органів державної
влади та місцевого самоврядування;
вимог до організаційно-технічної спроможності, до

Відсутнє сервісу з управління кіберінцидентом національної
19
команди реагування, галузевих, регіональних команд
порядку ведення репозитарію інформації про

інциденти кібербезпеки, таксономій інцидентів та їх
версій;
порядку здійснення контролю за діяльністю

національної команди реагування, галузевих та
регіональних команд реагування, а також приватних
Відсутнє
команд реагування, що надають послуги реагування для
операторів критичної інфраструктури щодо виконання
вимог закону відповідно до сфери своїх повноважень, та
надання вимог щодо усунення порушень;
Відсутнє
порядку здійснення заходів реагування у кризовій
ситуації у зв'язку з інцидентом кібербезпеки, кібератакою,
щодо інформаційних, електронних комунікаційних та
підстав надання на основі отриманої від CERT-UA

інформації директив про реагування власникам /
розпорядникам інформаційних, електронних
якої встановлена законом, та підприємствам, установам та
організаціям, віднесеним до об’єктів критичної
інфраструктури І-ІІ категорії критичності, а також
20
порядку та строків подання звіту про вжиті визначені
відповідною директивою заходи реагування;
120) встановлення для виконання завдання щодо

функціонування національної системи обміну
інфоромацією про інциденти кібербезпеки, кібератаки:
порядку обміну інформацією про інциденти

кібербезпеки, кібератаки, форм повідомлень, національної
таксономії інцидентів кібербезпеки, кібератак;
критеріїв для визначення значності впливу інциденту

кібербезпеки, кібератаки, в тому числі для цілей
визначення обов'язку здійснення повідомлень для
операторів критичної інфраструктури;
121) впровадження організаційно-технічних заходів

щодо створення національної системи обміну інформацією
про інциденти кібербезпеки, кібератаки;
122) забезпечення функціонування платформи обміну

інформацією про інциденти кібербезпеки, кібератаки та
встановлення порядку приєднання до такої платформи.
Стаття 15. Права Державної служби спеціального Стаття 15. Права Державної служби спеціального
1. Для забезпечення виконання покладених на неї 1. Для забезпечення виконання покладених на неї
обов’язків Державна служба спеціального зв’язку та захисту обов’язків Державна служба спеціального зв’язку та захисту
інформації України має право: інформації України має право:
21
1) одержувати в установленому порядку від органів 1) вимагати в установлені строки шляхом направлення
державної влади, органів місцевого самоврядування, письмового запиту надання від органів державної влади,
військових формувань, утворених відповідно до законів органів місцевого самоврядування, військових формувань,
України, підприємств, установ і організацій незалежно від утворених відповідно до законів України, підприємств,
форми власності інформацію, документи і матеріали, установ і організацій незалежно від форми власності
необхідні для виконання покладених на Державну службу інформацію, документи і матеріали, необхідні для виконання
спеціального зв’язку та захисту інформації України завдань; покладених на Державну службу спеціального зв’язку та
захисту інформації України завдань;
Відсутнє
1-1) надавати обов’язкові до виконання вимоги про
усунення порушень законодавства щодо функціонування
національної системи реагування, національної системи
обміну інформацією про інциденти кібербезпеки,
кібератаки, щодо невиконання вимог законодавства в
сферах захисту інформації та кіберзахисту відносно
якої встановлена законом, криптографічного захисту
інформації та протидії іноземним технічним розвідкам, а
також відносно об'єктів критичної інформаційної
інфраструктури.
Вимоги щодо усунення порушень законодавства

складаються за результатами здійснення відповідного
заходу державного контролю із додержанням вимог
Відсутнє законодавства та нормативних документів у сфері
технічного захисту інформації та кіберзахисту об'єктами
державного контролю у сфері технічного захисту
інформації та кіберзахисту;
22
1-2) у визначених законодавством випадках вживати
заходи оперативного реагування на кіберзагрози та
інциденти шляхом надання обов’язкових до виконання
директив про реагування, які є актами організаційно-
розпорядчого характеру, власникам / розпорядникам
… обробляються державні інформаційні ресурси або
8) зупиняти дію або скасовувати в порядку, встановленому якої встановлена законом, та підприємствам, установам та
центральним органом виконавчої влади, що забезпечує організаціям, віднесеним до об’єктів критичної
формування та реалізацію державної політики у сферах інфраструктури І-ІІ категорії критичності;
організації спеціального зв’язку, захисту інформації:
…
…
8) зупиняти дію або скасовувати в порядку, встановленому
свідоцтва про допуск до експлуатації засобів центральним органом виконавчої влади, що забезпечує
криптографічного захисту інформації, криптографічних формування та реалізацію державної політики у сферах
алгоритмів, засобів, комплексів та систем спеціального організації спеціального зв’язку, захисту інформації:
зв’язку, які призначені для захисту державних інформаційних
ресурсів та інформації, вимога щодо захисту якої встановлена
законом, і криптографічних алгоритмів;
…
…
свідоцтва про допуск до експлуатації засобів
10) залучати спеціальних і загальних користувачів криптографічного захисту інформації, криптографічних
радіочастотного спектра, підприємства, установи та алгоритмів, які призначені для захисту державних
організації незалежно від форм власності до виявлення та інформаційних ресурсів та інформації, вимога щодо захисту
усунення радіозавад радіоелектронним засобам державної якої встановлена законом, і криптографічних алгоритмів;
системи урядового зв’язку та Національної системи
конфіденційного зв’язку; …
… 10) залучати спеціальних і загальних користувачів

радіочастотного спектра, підприємства, установи та
23
21) орендувати в установленому порядку приміщення, організації незалежно від форм власності до виявлення та
майно, а також ресурси електронних комунікаційних мереж усунення радіозавад радіоелектронним засобам національної
для забезпечення потреб державної системи урядового зв’язку системи урядових електронних комунікацій та
і Національної системи конфіденційного зв’язку; Національної системи конфіденційного зв’язку;
… …
21) орендувати в установленому порядку приміщення,

майно, а також ресурси електронних комунікаційних мереж
для забезпечення потреб національної системи урядових
електронних комунікацій і Національної системи
конфіденційного зв’язку;
Розділ відсутній Розділ IX
ДЕРЖАВНИЙ КОНТРОЛЬ ЗА СТАНОМ

ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ ТА
КІБЕРЗАХИСТУ
Стаття 26. Основні засади здійснення державного

контролю
1. Державна служба спеціального зв'язку та захисту

інформації України здійснює державний контроль за
додержанням вимог законодавства у сферах технічного
захисту інформації та кіберзахисту об'єктами державного
контролю у сферах технічного захисту інформації та
кіберзахисту (далі – контроль за технічним захистом
інформації та кіберзахистом), а також у протидії іноземним
технічним розвідкам.
24
2. Контроль за технічним захистом інформації та
кіберзахистом здійснюється щодо виконання власниками,
розпорядниками інформаційно-комунікаційних систем, в
яких обробляються державні інформаційні ресурси та/або
інформація, вимога щодо захисту якої встановлена
законом, а також щодо операторів критичної
інфраструктури відносно захисту критичної технологічної
інформації та кіберзахисту критичної інформаційної
інфраструктури (крім об'єктів критичної інфраструктури
у банківській системі України), а також щодо
постачальників та їх субпідрядників, які поставляють
товари, роботи, послуги, що забезпечують функціонування
інформаційної інфраструктури замовникам, визначеним у
частині першій статті 2 Закону України "Про публічні
закупівлі", та операторам критичної інфраструктури (далі
– об'єкти контролю).
3. Загальною метою контролю за технічним захистом

інформації та кіберзахистом є дотримання вимог
законодавства щодо технічного захисту інформації,
кіберзахисту, запобігання порушень законодавства та
нормативних документів щодо технічного захисту
інформації та кіберзахисту.
4. Контроль за технічним захистом інформації та

кіберзахистом здійснюється шляхом здійснення
Державною службою спеціального зв'язку та захисту
25
інформації України, відповідних заходів контролю,
зокрема у формі планових та позапланових перевірок
об'єктів контролю, до яких, у разі обгрунтованої
необхідності, можуть бути залучені співробітники
основних суб'єктів забезпечення кібербезпеки України.
5. У разі виявлення порушення вимог законодавства та

нормативних документів у сфері технічного захисту
інформації та кіберзахисту складається припис про
усунення порушень. Вимоги припису про усунення
порушень є обов'язковими для виконання об'єктами
контролю.
6. Однією із форм заходів контролю за технічним

захистом інформації та кіберзахистом є запровадження
комплексу організаційно-технічних заходів із виявлення
вразливостей та недоліків у інформаційних, інформаційно-
комунікаційних системах, об'єктах критичної
інформаційної інфраструктури, а також в системах з
захисту інформації, запроваджених об'єктами контролю
(далі – спеціальні заходи контролю).
7. Особи, у тому числі, за обгрунтованої необхідності,

співробітники основних суб'єктів забезпечення
кібербезпеки України, уповноважені Головою або
заступником Голови Державної служби спеціального
зв'язку та захисту інформації України на безпосереднє
здійснення спеціальних заходів контролю, вважаються
такими, що мають дозвіл на тестування та доступ до
інформаційних, інформаційно-комунікаційних систем,
критичної інформаційної інфраструктури в межах наданих
повноважень.
26
8. Для здійснення спеціальних заходів контролю
Державна служба спеціального зв'язку та захисту
інформації України може створювати спеціалізовані
команди, до якої, у разі обгрунтованої необхідності, можуть
бути залучені відповідні співробітники основних суб'єктів
забезпечення кібербезпеки України.
9. Виявлення за результатами спеціальних заходів

контролю вразливостей та недоліків в інформаційних,
інформаційно-комунікаційних системах, об'єктах
критичної інформаційної інфраструктури, а також в
системах з захисту інформації, запроваджених об'єктами
контролю, є підставою складення обов'язкової до
виконання директиви про реагування в порядку,
визначеного законом щодо функціонування національної
системи реагування на інциденти кібербезпеки,
кібератаки, кіберзагрози.
10. Посадові особи Державної служби спеціального

зв'язку та захисту інформації України, уповноважені на
здійснення заходів контролю за технічним захистом
інформації та кіберзахистом, при здійсненні таких заходів
мають право:
1) встановлювати особу керівника об'єкта контролю
(особи, яка виконує його обов’язки) шляхом перевірки
документа, що засвідчує особу;
2) доступу (з урахуванням вимог нормативно-правових
актів щодо охорони державної таємниці в Україні) до
території, будівлі, споруди, приміщення, інших об'єктів
об'єкта контролю для вивчення питань, безпосередньо
27
пов’язаних з проведенням державного контролю за
технічним захистом інформації та кіберзахистом;
3) ознайомлюватися з усіма документами та
матеріалами, необхідними для проведення заходів
державного контролю за технічним захистом інформації та
кіберзахистом;
4) отримувати інформацію, в тому числі з обмеженим
доступом з дотриманням відповідних зобов'язань щодо її
охорони, копії необхідних документів, письмові та усні
пояснення посадових осіб з питань, що безпосередньо
пов’язаних з проведенням заходів державного контролю за
технічним захистом інформації та кіберзахистом;
5) здійснювати тестування та доступ до інформаційних,
інформаційно-комунікаційних систем, об'єктів критичної
інформаційної інфраструктури (у тому числі з
використанням спеціальних програмних засобів) об'єктів
контролю (крім операторів об'єктів критичної
інфраструктури ІІІ-ІV категорії критичності) на підставі та
в межах спеціальних повноважень, наданих відповідно до
цього Закону Головою або заступником Голови Державної
служби спеціального зв'язку та захисту інформації
України;
6) перевіряти законність використання програмного
забезпечення (зокрема, відсутність у реєстрі заборонених до
використання програмних продуктів, проведення державної
експертизи на відсутність недокументованих функцій), у
тому числі тих, що виконують функції захисту інформації,
які використовуються в інформаційно-комунікаційних
системах суб’єктів контролю та на об'єктах критичної
28
7) отримувати та безпосередньо фіксувати інформацію, в
тому числі з обмеженим доступом з дотриманням
відповідних зобов'язань щодо її охорони, про порушення
умов експлуатації інформаційних, інформаційно-
комунікаційних систем та об'єктів критичної
інформаційної інфраструктури шляхом створення
скріншотів та використання засобів фото-, відеозйомки з
урахуванням вимог щодо охорони державної таємниці;
8) за результатами здійснених контрольних заходів
складати приписи з вимогами про усунення порушень та
приведення стану технічного захисту інформації та
кіберзахисту у відповідність до вимог законодавства,
здійснювати контроль за ходом їх виконання;
9) складати протоколи про адміністративні
правопорушення, отримувати персональні дані та інші дані,
необхідні для складання такого протоколу, та надсилати до
суду матеріали про адміністративні правопорушення.
11. У разі виявлення заходами державного контролю

порушення законодавства та/або нормативно-правових
актів у сферах технічного захисту інформації та
кіберзахисту або у разі невиконання законних вимог за
складеними приписами, винні особи притягуються до
відповідальності відповідно до закону.
12. Порядок здійснення контролю за технічним

захистом інформації та кіберзахистом, у тому числі
порядок здійснення спеціальних заходів контролю,
затверджується Кабінетом Міністрів України.
Закон України «Про основні засади забезпечення кібербезпеки України»
29
(Відомості Верховної Ради (ВВР), 2017, № 45, ст.403 із наступними змінами)
У цьому Законі наведені нижче терміни вживаються в У цьому Законі наведені нижче терміни вживаються в
такому значенні: такому значенні:
… …
7) кіберзахист – сукупність організаційних, правових, 7) кіберзахист – сукупність організаційних, правових,

інженерно-технічних заходів, а також заходів інженерно-технічних заходів, а також заходів
криптографічного та технічного захисту інформації, криптографічного та технічного захисту інформації,
спрямованих на запобігання кіберінцидентам, виявлення та спрямованих на захист від кіберзагроз, забезпечення
захист від кібератак, ліквідацію їх наслідків, відновлення кібербезпеки та стійкості, цілісності, доступності і
сталості і надійності функціонування комунікаційних, конфіденційності національних інформаційних ресурсів у
технологічних систем; кіберпросторі, а також працездатності інфраструктури їх
обробки;
…
…
17) Національна телекомунікаційна мережа – сукупність
спеціальних телекомунікаційних систем (мереж), систем 17) Національна телекомунікаційна мережа – сукупність
спеціального зв’язку, інших комунікаційних систем, які спеціальних електронних комунікаційних систем (мереж),
використовуються в інтересах органів державної влади та систем спеціального зв’язку, інших електронних
органів місцевого самоврядування, правоохоронних органів та комунікаційних систем, які використовуються в інтересах
військових формувань, утворених відповідно до закону, органів державної влади та органів місцевого самоврядування,
призначена для обігу (передавання, приймання, створення, правоохоронних органів та військових формувань, утворених
оброблення, зберігання) та захисту національних відповідно до закону, призначена для обігу (передавання,
інформаційних ресурсів, забезпечення захищених приймання, створення, оброблення, зберігання) та захисту
електронних комунікацій, надання спектра сучасних національних інформаційних ресурсів, забезпечення
захищених інформаційно-комунікаційних (мультисервісних) захищених електронних комунікацій, надання спектра
послуг в інтересах здійснення управління державою у мирний сучасних захищених інформаційно-комунікаційних
(мультисервісних) послуг в інтересах здійснення управління
30
час, в умовах надзвичайного стану та в особливий період, та державою у мирний час, в умовах надзвичайного стану та в
яка є мережею (системою) подвійного призначення з особливий період, та яка є мережею (системою) подвійного
використанням частини її ресурсу для надання послуг, призначення з використанням частини її ресурсу для надання
зокрема з кіберзахисту, іншим споживачам; послуг, зокрема з кіберзахисту, іншим споживачам;
…
…
Відсутнє
24) кризова ситуація у сфері кібербезпеки – порушення
або загроза порушення режиму функціонування
інформаційної інфраструктури у зв'язку з інцидентом
кібербезпеки, кібератакою або кіберзагрозою, переривання
Відсутнє яких може призвести до значних негативних наслідків для
національної безпеки;
25) реагування на інциденти кібербезпеки – це

структурована сукупність дій, спрямована на підготовку
… до інциденту кібербезпеки, виявлення та аналіз інціденту,
мінімізації шкоди від інциденту та попередження
повторення інциденту у майбутньому.
Стаття 2. Принципи застосування Закону Стаття 2. Принципи застосування Закону
1. Цей Закон не поширюється на: 1.Цей Закон не поширюється на:
виключити
31
2) діяльність, пов’язану із захистом інформації, що
становить державну таємницю, комунікаційні та технологічні
системи, призначені для її оброблення;
Стаття 4. Об’єкти кібербезпеки та кіберзахисту Стаття 4. Об’єкти кібербезпеки та кіберзахисту
… …
Відсутнє 4. Обов’язковою умовою використання програмних

продуктів в інформаційних, інформаційно-комунікаційних
системах, в яких обробляються державні інформаційні
ресурси, інформація з обмеженим доступом, вимога щодо
захисту якої встановлена законом, та на об’єктах
критичної інформаційної інфраструктури, є відсутність
таких продуктів у реєстрі забороненого до використання
програмного забезпечення.
Порядок формування переліку забороненого до

використання програмного забезпечення та внесення їх до
реєстру забороненого до використання програмного
забезпечення, а також порядок формування та
забезпечення функціонування реєстру забороненого до
використання програмного забезпечення затверджуються
Кабінетом Міністрів України.
Повноваження щодо забезпечення функціонування

реєстру забороненого до використання програмного
Відсутнє
забезпечення покладаються на Державну службу
спеціального зв’язку та захисту інформації України.
5. Програмне забезпечення, яке забезпечує

функціонування інформаційних, інформаційно-
32
комунікаційних систем, в яких обробляється державна
таємниця, використовується за умови відсутності в ньому
недокументованих функцій, що підтверджується
результатами державної експертизи у сфері захисту
інформації, здійсненою Державною службою спеціального
зв’язку та захисту інформації України.
Порядок здійснення державної експертизи у сфері

захисту інформації щодо відсутності в програмному
забезпеченні недокументованих функцій затверджується
Кабінетом Міністрів України.
Стаття 5. Суб'єкти забезпечення кібербезпеки Стаття 5. Суб'єкти забезпечення кібербезпеки
… …
2. Національний координаційний центр кібербезпеки як 2. Національний координаційний центр кібербезпеки як

робочий орган Ради національної безпеки і оборони України робочий орган Ради національної безпеки і оборони України,
здійснює координацію та контроль за діяльністю суб’єктів здійснює координацію та контроль за діяльністю суб’єктів
сектору безпеки і оборони, які забезпечують кібербезпеку, сектору безпеки і оборони, які забезпечують кібербезпеку,
вносить Президентові України пропозиції щодо формування координацію суб'єктів національної системи реагування,
та уточнення Стратегії кібербезпеки України. зокрема під час функціонування національної системи
обміну інформацією, оголошує кризову ситуацію у сфері
кібербезпеки, координує реалізацію Стратегії
кібербезпеки України, надає Раді національної безпеки і
оборони України пропозиції щодо її формування та
уточнення.
3. Кабінет Міністрів України забезпечує формування та
реалізацію державної політики у сфері кібербезпеки, захист 3. Кабінет Міністрів України забезпечує формування та
прав і свобод людини і громадянина, національних інтересів реалізацію державної політики у сфері кібербезпеки, захист
України у кіберпросторі, боротьбу з кіберзлочинністю; прав і свобод людини і громадянина, національних інтересів
організовує та забезпечує необхідними силами, засобами і України у кіберпросторі, боротьбу з кіберзлочинністю;
33
ресурсами функціонування національної системи організовує та забезпечує необхідними силами, засобами і
кібербезпеки; формує вимоги та забезпечує функціонування ресурсами функціонування національної системи
системи аудиту інформаційної безпеки на об’єктах критичної кібербезпеки; забезпечує функціонування системи оцінки
інфраструктури (крім об’єктів критичної інфраструктури у стану захищеності інформаційних, електронних
банківській системі України). комунікаційних та інформаційно-комунікаційних систем,
інформаційної інфраструктури на об’єктах критичної
інфраструктури (крім об’єктів критичної інфраструктури у
банківській системі України), зокрема шляхом видання
постанов та розпоряджень; встановлює порядок взаємодії
суб'єктів, що входять до складу національної системи
4. Суб’єктами, які безпосередньо здійснюють у межах реагування, їх взаємодії з суб'єктами забезпечення
своєї компетенції заходи із забезпечення кібербезпеки, є: кібербезпеки, з правоохоронними та суб'єктами
оперативно-розшукової діяльності.
…
4. Суб’єктами, які безпосередньо здійснюють у межах своєї
7) підприємства, установи та організації, віднесені до
компетенції заходи із забезпечення кібербезпеки, є:
об’єктів критичної інфраструктури;
…
…
7) оператори критичної інфраструктури;
Стаття відсутня Стаття 51. Підрозділи із кіберзахисту, офіцери із

кіберзахисту
1. В органах державної влади, що є власниками або

розпорядниками інформаційних, електронних
34
якої встановлена законом, утворюються підрозділи із
кіберзахисту та призначаються офіцери із кіберзахисту,
яким безпосередньо підпорядковуються підрозділи із
кіберзахисту.
Оператори критичної інфраструктури призначають

відповідальну особу, яка виконує завдання офіцера із
кіберзахисту, та за необхідності з метою належного
виконання основних вимог з кіберзахисту створюють
підрозділ із кіберзахисту.
Призначення офіцера із кіберзахисту на посаду в

органах державної влади, на об'єктах критичної
інфраструктури І та ІІ категорії критичності та його
посадові інструкції погоджуються Адміністрацією
Держспецзв’язку, після перевірки в межах своїх
повноважень Службою безпеки України.
2. Офіцери із кіберзахисту забезпечують керівництво,

координацію та контроль з питань кіберзахисту
відповідного об’єкта критичної інформаційної
інфраструктури або органу державної влади, що є
власником або розпорядником інформаційних,
в тому числі, під час воєнного стану.
3. Посадові оклади співробітників підрозділів із

кіберзахисту та офіцерів із кіберзахисту в органах
35
державної влади та місцевого самоврядування
встановлюються відповідно до розмірів посадових окладів,
встановлених Кабінетом Міністрів України для
відповідних посад державної служби та посад інших
категорій працівників у центральних органах виконавчої
влади зі спеціальним статусом, посад військовослужбовців
Збройних Сил України та співробітників правоохоронних
органів із коефіцієнтом:
для співробітників кадрового складу - 2,0;
для співробітників, які не належать до кадрового

складу, - 1,5.
4. Посадові оклади співробітників підрозділів із

кібербезпеки у військових формуваннях та
правоохоронних органів встановлюються відповідно до
розмірів посадових окладів, встановлених Кабінетом
Міністрів України для відповідних посад державної
служби та посад інших категорій працівників у
центральних органах виконавчої влади зі спеціальним
статусом, посад військовослужбовців Збройних Сил
України та співробітників правоохоронних органів із
коефіцієнтом:
для співробітників кадрового складу - 2,0;
для співробітників, які не належать до кадрового

складу, - 1,5.
5. Функції, повноваження, загальні вимоги до

підрозділів із кіберзахисту та їх співробітників, а також
особливості правового статусу та загальні вимоги до
36
офіцерів із кіберзахисту визначаються Державною
службою спеціального зв'язку та захисту інформації
України.
Стаття 6. Об’єкти критичної інфраструктури Стаття 6. Об’єкти критичної інфраструктури
1. Віднесення об’єктів до об’єктів критичної Викласти в новій редакції:

інфраструктури та формування Реєстру об’єктів критичної
інфраструктури здійснюються відповідно до Закону України 1. Власники та посадові особи операторів критичної
"Про критичну інфраструктуру". інфраструктури зобов'язані виконувати основні вимоги
щодо кіберзахисту об'єктів критичної інфраструктури,
2. Критерії та порядок віднесення об’єктів до об’єктів надання обов'язкових повідомлень про інциденти
критичної інфраструктури, перелік таких об’єктів, загальні кібербезпеки, кіберзагрози, кібератаки та виконувати інші
вимоги до їх кіберзахисту, у тому числі щодо застосування зобов'язання щодо захисту інформації та кіберзахисту
індикаторів кіберзагроз, та вимоги до проведення незалежного відповідно до законодавства та несуть відповідальність за
аудиту інформаційної безпеки затверджуються Кабінетом їх невиконання відповідно до закону.
Міністрів України, а щодо банків, інших осіб, що здійснюють
діяльність на ринках фінансових послуг, державне 2. Оцінка стану захищеності інформації на об'єктах
регулювання та нагляд за діяльністю яких здійснює критичної інформаційної інфраструктури здійснюється з
Національний банк України, операторів платіжних систем урахуванням методичного регулювання оцінки захисту
та/або учасників платіжних систем, технологічних операторів інформації та стану захищеності інформації, вимог до
платіжних послуг - Національним банком України. суб'єктів оцінювачної діяльності у сфері захисту
інформації, визначених Державною службою спеціального
3. Вимоги і порядок проведення незалежного аудиту зв'язку та захисту інформації, а також з урахуванням
інформаційної безпеки на об’єктах критичної інфраструктури особливостей визначених спеціальним законом у сфері
встановлюються відповідними нормативно-правовими актами оцінки захисту інформації.
з аудиту інформаційної безпеки, що затверджуються
Кабінетом Міністрів України. 3. Вимоги до заходів безпеки інформації, які повинні
бути впроваджені постачальниками, включаючи їх
Розроблення нормативно-правових актів з незалежного субпідрядників, товарів, робіт та послуг, що забезпечують
аудиту інформаційної безпеки на об’єктах критичної функціонування інформаційних, електронних
інфраструктури здійснюється на основі міжнародних комунікаційних та інформаційно-комунікаційних систем,
37
стандартів, стандартів Європейського Союзу та НАТО з в яких обробляються державні інформаційні ресурси або
обов’язковим залученням представників основних суб’єктів інформація з обмеженим доступом, вимога щодо захисту
національної системи кібербезпеки, наукових установ, якої встановлена законом, об'єктів критичної
незалежних аудиторів та експертів у сфері кібербезпеки, інформаційної інфраструктури замовникам, визначеним у
громадських організацій. частині першій статті 2 Закону України "Про публічні
закупівлі", та операторам критичної інфраструктури,
порядок визначення рівня ризику, пов’язаного з
постачанням таких товарів, робіт та послуг, та порядок
4. Відповідальність за забезпечення кіберзахисту
підтвердження постачальниками відповідності щодо
комунікаційних і технологічних систем об’єктів критичної
впроваджених заходів безпеки інформації,
інфраструктури, захисту технологічної інформації відповідно
встановлюються Державною службою спеціального
до вимог законодавства, за невідкладне інформування
зв’язку та захисту інформації України.
урядової команди реагування на комп’ютерні надзвичайні
події України CERT-UA про інциденти кібербезпеки, за
організацію проведення незалежного аудиту інформаційної
безпеки на таких об’єктах покладається на власників та/або
керівників підприємств, установ та організацій, віднесених до
об’єктів критичної інфраструктури.
5. Обмін інформацією про інциденти кібербезпеки, що

містить персональні дані, здійснюється з дотриманням
вимог Закону України "Про захист персональних даних".
Стаття 8. Національна система кібербезпеки Стаття 8. Національна система кібербезпеки
… …
2. Основними суб'єктами національної системи 2. Основними суб'єктами національної системи

кібербезпеки є Державна служба спеціального зв'язку та кібербезпеки є Державна служба спеціального зв'язку та
захисту інформації України, Національна поліція України, захисту інформації України, Національна поліція України,
Служба безпеки України, Міністерство оборони України та Служба безпеки України, Міністерство оборони України та
Генеральний штаб Збройних Сил України, розвідувальні Генеральний штаб Збройних Сил України, розвідувальні
органи, Національний банк України, які відповідно органи, Національний банк України, Міністерство
38
до Конституції і законів України виконують в установленому закордонних справ України, які відповідно до Конституції і
порядку такі основні завдання: законів України виконують в установленому порядку такі
основні завдання:
1) Державна служба спеціального зв'язку та захисту
інформації України забезпечує формування та реалізацію 1) Державна служба спеціального зв'язку та захисту
державної політики щодо захисту у кіберпросторі державних інформації України забезпечує формування та реалізацію
інформаційних ресурсів та інформації, вимога щодо захисту державної політики щодо захисту у кіберпросторі державних
якої встановлена законом, кіберзахисту об'єктів критичної інформаційних ресурсів та інформації, вимога щодо захисту
інформаційної інфраструктури, здійснює державний контроль якої встановлена законом, кіберзахисту об'єктів критичної
у цих сферах; координує діяльність інших суб'єктів інформаційної інфраструктури; здійснює державний
забезпечення кібербезпеки щодо кіберзахисту; забезпечує контроль за додержанням вимог законодавства у сфері
створення та функціонування Національної технічного захисту інформації та кіберзахисту об'єктами
телекомунікаційної мережі, впровадження організаційно- державного контролю у сфері технічного захисту
технічної моделі кіберзахисту; здійснює організаційно- інформації та кіберзахисту; здійснює стандартизацію у
технічні заходи із запобігання, виявлення та реагування на сфері криптографічного та технічного захисту інформації,
кіберінциденти і кібератаки та усунення їх наслідків; кіберзахисту, протидії технічним розвідкам; забезпечує
інформує про кіберзагрози та відповідні методи захисту від створення та функціонування національної системи
них; забезпечує впровадження аудиту інформаційної безпеки реагування на інциденти кібербезпеки, кібератаки,
на об'єктах критичної інфраструктури, встановлює вимоги до національної системи обміну інформацією; координує
аудиторів інформаційної безпеки, визначає порядок їх діяльність інших суб'єктів забезпечення кібербезпеки щодо
атестації (переатестації); координує, організовує та проводить кіберзахисту; забезпечує створення та функціонування
аудит захищеності комунікаційних і технологічних систем Національної телекомунікаційної мережі, впровадження
об'єктів критичної інфраструктури на вразливість; забезпечує організаційно-технічної моделі кіберзахисту; забезпечує
функціонування Державного центру кіберзахисту та Центру функціонування Державного центру кіберзахисту та Центру
активної протидії агресії у кіберпросторі, урядової команди активної протидії агресії у кіберпросторі, урядової команди
реагування на комп'ютерні надзвичайні події України CERT- реагування на комп'ютерні надзвичайні події України CERT-
UA; UA; організовує та проводить систематичні навчання із
питань кіберзахисту для осіб, що безпосередньо
здійснюють у межах своєї компетенції заходи з
кіберзахисту в органах державної влади, що є власниками
/ розпорядниками інформаційних, електронних
39
якої встановлена законом, та на підприємствах, установах
та організаціях, віднесених до об’єктів критичної
інфраструктури; забезпечує функціонування системи
професійної кваліфікації за групами кваліфікацій у сферах
інформаційної безпеки та кіберзахисту; здійснює
методичне регулювання оцінки захисту інформації та
стану захищеності інформації, встановлює вимоги до
суб'єктів оцінювачної діяльності у сфері захисту
інформації щодо захищенності інформаційних,
об'єктів критичної інформаційної інфраструктури об'єктів
2) Національна поліція України забезпечує захист прав і критичної інфраструктури, а також виконує інші завдання
свобод людини і громадянина, інтересів суспільства і держави та здійснює інші повноваження відповідно до закону;
від кримінально протиправних посягань у кіберпросторі;
здійснює заходи із запобігання, виявлення, припинення та
розкриття кіберзлочинів, підвищення поінформованості 2) Національна поліція України в рамках та в порядку
громадян про безпеку в кіберпросторі; встановленому закономи України, що регламентують
правові засади організації та діяльності цього органу,
забезпечує захист прав і свобод людини і громадянина,
інтересів суспільства і держави від кримінально протиправних
посягань у кіберпросторі; здійснює заходи із запобігання,
виявлення, припинення та розкриття кіберзлочинів; здійснює
запобігання, виявлення, припинення та розкриття
кримінальних правопорушень щодо об’єктів критичної
3) Служба безпеки України здійснює запобігання, інфраструктури; здійснює заходи з інформування
виявлення, припинення та розкриття кримінальних громадян про безпеку в кіберпросторі;
правопорушень проти миру і безпеки людства, які вчиняються
40
у кіберпросторі; здійснює контррозвідувальні та оперативно-
розшукові заходи, спрямовані на боротьбу з кібертероризмом
та кібершпигунством, негласно перевіряє готовність об’єктів 3) Служба безпеки України в рамках та в порядку
критичної інфраструктури до можливих кібератак та встановленому закономи України, що регламентують
кіберінцидентів; протидіє кіберзлочинності, наслідки якої правові засади її організації та діяльності, здійснює
можуть створити загрозу життєво важливим інтересам запобігання, виявлення, припинення та розкриття
держави; розслідує кіберінциденти та кібератаки щодо кримінальних правопорушень проти миру і безпеки людства,
державних електронних інформаційних ресурсів, інформації, які вчиняються у кіберпросторі; здійснює контррозвідувальні
вимога щодо захисту якої встановлена законом, критичної та оперативно-розшукові заходи, спрямовані на боротьбу з
інформаційної інфраструктури; забезпечує реагування на кібертероризмом та кібершпигунством, негласно перевіряє
кіберінциденти у сфері державної безпеки; готовність об’єктів критичної інфраструктури до можливих
кібератак та кіберінцидентів; протидіє кіберзлочинності,
наслідки якої можуть створити загрозу життєво важливим
інтересам держави; розслідує кіберінциденти та кібератаки
щодо державних електронних інформаційних ресурсів,
інформації, вимога щодо захисту якої встановлена законом,
4) Міністерство оборони України, Генеральний штаб
критичної інформаційної інфраструктури; забезпечує
Збройних Сил України відповідно до компетенції здійснюють
реагування на кіберінциденти у сфері державної безпеки;
заходи з підготовки держави до відбиття воєнної агресії у
здійснює аналітичне та криміналістичне забезпечення
кіберпросторі (кібероборони); здійснюють військову
контррозвідувального захисту кібербезпеки держави;
співпрацю з НАТО та іншими суб’єктами оборонної сфери
щодо забезпечення безпеки кіберпростору та спільного 4) Міністерство оборони України, Генеральний штаб
захисту від кіберзагроз; впроваджують заходи із забезпечення Збройних Сил України відповідно до компетенції здійснюють
кіберзахисту критичної інформаційної інфраструктури в заходи з підготовки держави до відбиття воєнної агресії у
умовах надзвичайного і воєнного стану; кіберпросторі (кібероборони); здійснюють військову
співпрацю з НАТО та іншими суб’єктами оборонної сфери
…
щодо забезпечення безпеки кіберпростору та спільного
Відсутнє захисту від кіберзагроз;
41
7) Міністерство закордонних справ України сприяє
поглибленню євроінтеграційних процесів щодо підходів,
методів, засобів забезпечення кібербезпеки, вжиттю
узгоджених із ключовими міжнародними партнерами
заходів, спрямованих на посилення кіберстійкості України
та розвитку спроможностей національної системи
кібербезпеки; забезпечує координацію відносин з
міжнародними партнерами для спільної відповіді на
кібератаки і подолання кризових ситуацій у кібербезпеці, а
також спрямованих на практичну співпрацю; забезпечує
активну участь України у діалозі в рамках міжнародних
організацій щодо спільного вироблення норм поведінки у
кіберпросторі та вдосконалення відповідної міжнародної
нормативно-правової бази; сприяє проведенню спільних з
ЄС заходів, спрямованих на підвищення стійкості в
кіберпросторі та спроможності розслідувати,
переслідувати кіберзлочинність та реагувати на
3. Функціонування національної системи кібербезпеки кіберзагрози; координує запровадження гармонізованного
забезпечується шляхом: з євроатлантичною спільнотою підходу до застосування
… санкцій у відповідь на підривну діяльність у кіберпросторі,
узгодження з іноземними партнерами механізму спільних
Відсутнє дипломатичних дій і заходів у відповідь на деструктивну
кіберактивність, виконує інші завдання відповідно до
закону.
3. Функціонування національної системи кібербезпеки

забезпечується шляхом:
…
61) проведення систематичних навчань із питань

кіберзахисту для осіб, що безпосередньо здійснюють у
межах своєї компетенції заходи з кіберзахисту в органах
42
7) функціонування системи аудиту інформаційної державної влади, що є власниками або розпорядниками
безпеки, запровадження кращих світових практик і інформаційних, електронних комунікаційних та
міжнародних стандартів з питань кібербезпеки та інформаційно-комунікаційних систем, в яких
кіберзахисту; обробляються державні інформаційні ресурси або
8) розвитку мережі команд реагування на комп’ютерні інформація з обмеженим доступом, вимога щодо захисту
надзвичайні події; якої встановлена законом, та на підприємствах, установах
та організаціях, віднесених до об’єктів критичної
… інфраструктури;
12) обміну інформацією про інциденти кібербезпеки між 7) функціонування національної системи оцінки захисту
суб’єктами забезпечення кібербезпеки у порядку, інформації, запровадження кращих світових практик і
визначеному законодавством; міжнародних стандартів з питань кібербезпеки та
…
Відсутнє 8) функціонування національної системи реагування на

інциденти кібербезпеки, кібератаки;
….
…
12) функціонування національної системи обміну
5. Впровадження організаційно-технічної моделі інформацією про інциденти кібербезпеки, кібератаки;
кібербезпеки як складової національної системи кібербезпеки
….
здійснюється Державним центром кіберзахисту, який
забезпечує створення та функціонування основних складових 26) належного планування витрат та здійснення
системи захищеного доступу державних органів до мережі достатнього фінансування органами державної влади,
Інтернет, системи антивірусного захисту національних місцевого самоврядування, об'єктами критичної
інформаційних ресурсів, аудиту інформаційної безпеки та інфраструктури заходів кіберзахисту, передбачених
стану кіберзахисту об’єктів критичної інформаційної законодавством.
інфраструктури, системи виявлення вразливостей і реагування
на кіберінциденти та кібератаки щодо об’єктів кіберзахисту, …
системи взаємодії команд реагування на комп’ютерні
надзвичайні події, а також у взаємодії з іншими суб’єктами 5. Впровадження організаційно-технічної моделі
кібербезпеки як складової національної системи кібербезпеки
43
забезпечення кібербезпеки розробляє сценарії реагування на здійснюється Державним центром кіберзахисту, яка
кіберзагрози, заходи щодо протидії таким загрозам, програми забезпечує створення та функціонування основних складових
та методики проведення кібернавчань. системи захищеного доступу державних органів до мережі
Інтернет, системи антивірусного захисту національних
… інформаційних ресурсів, оцінки у сфері захисту інформації
та стану кіберзахисту об’єктів критичної інформаційної
Відсутнє
інфраструктури, системи виявлення вразливостей і реагування
на кіберінциденти, кібератаки та кіберзагрози щодо об’єктів
кіберзахисту, системи взаємодії команд реагування на
комп’ютерні надзвичайні події, а також у взаємодії з іншими
суб’єктами забезпечення кібербезпеки розробляє сценарії
реагування на кіберзагрози, заходи щодо протидії таким
загрозам, програми та методики проведення кібернавчань.
7. Розробка та застосування порядку, положення, умов

пошуку та/або виявлення потенційних вразливостей (як
безоплатних, так і оплатних) в інформаційно-
інформаційні ресурси та/або інформація, вимога щодо
захисту якої встановлена законом, а також на об'єктах
критичної інформаційної інфраструктури, повинні
здійснюватися відповідно до порядку пошуку та/або
виявлення потенційних вразливостей, встановленого
інформації України.
Однією із складових такого порядку пошуку та/або

виявлення потенційних вразливостей в інформаційно-
44
критичної інформаційної інфраструктури має бути
порядок розробки та проведення програм пошуку та
виявлення вразливостей за винагороду (Bug Bounty), а
також порядок узгодженого розкриття вразливостей
відповідно до стандартів ISO.
Викласти в новій редакції:
Стаття 9. Урядова команда реагування на Стаття 9. Національна система реагування на

комп’ютерні надзвичайні події України CERT-UA інциденти кібербезпеки, кібератаки, кіберзагрози
1. Завданнями CERT-UA є:
1. В Україні створюється та забезпечується
1) накопичення та проведення аналізу даних про функціонування національної системи реагування на
кіберінциденти, ведення державного реєстру кіберінцидентів; інциденти кібербезпеки, кібератаки відносно
2) надання власникам об’єктів кіберзахисту практичної інформаційних, електронних комунікаційних та
допомоги з питань запобігання, виявлення та усунення інформаційно-комунікаційних систем, в яких оброблються
наслідків кіберінцидентів щодо цих об’єктів; державні інформаційні ресурси або інформація з
обмеженим доступом, вимога щодо захисту якої
3) організація та проведення практичних семінарів з встановлена законом, об'єктів критичної інформаційної
питань кіберзахисту для суб’єктів національної системи інфраструктури.
кібербезпеки та власників об’єктів кіберзахисту;
4) підготовка та розміщення на своєму офіційному веб-
сайті рекомендацій щодо протидії сучасним видам кібератак
та кіберзагроз;
5) взаємодія з правоохоронними органами, забезпечення
їх своєчасного інформування про кібератаки;
6) взаємодія з іноземними та міжнародними
організаціями з питань реагування на кіберінциденти, зокрема
45
в рамках участі у Форумі команд реагування на інциденти
безпеки FIRST із сплатою щорічних членських внесків;
7) взаємодія з українськими командами реагування на
комп’ютерні надзвичайні події, а також іншими
підприємствами, установами та організаціями незалежно від
форми власності, які провадять діяльність, пов’язану із
забезпеченням безпеки кіберпростору;
8) опрацювання отриманої від громадян інформації про
кіберінциденти щодо об’єктів кіберзахисту;
9) сприяння державним органам, органам місцевого
самоврядування, військовим формуванням, утвореним
відповідно до закону, підприємствам, установам та
організаціям незалежно від форми власності, а також
громадянам України у вирішенні питань кіберзахисту та
протидії кіберзагрозам.
2. Забезпечення функціонування CERT-UA здійснює 2. Уповноваженим органом, що здійснює забезпечення
Державна служба спеціального зв’язку та захисту інформації функціонування національної системи реагування на
України у межах штатної чисельності та виділених обсягів інциденти кібербезпеки, кібератаки, є Державна служба
фінансування. спеціального зв'язку та захисту інформації України.
3. До складу національної системи реагування на

Відсутнє інциденти кібербезпеки, кібератаки, входять:
CERT-UA, який є національною командою реагування

на інциденти кібербезпеки, кібератаки (національний
CSIRT), діяльність якого забезпечується Державною
України, та має наступні завдання:
46
1) моніторинг, накопичення та проведення аналізу
даних про інциденти кібербезпеки, кібератаки на
національному, секторальному, регіональному рівнях;
2) отримання та опрацювання в установленому

порядку обов'язкових та інших повідомлень, здійснених в
межах національної системи обміну інформацією
відповідно до цього закону;
3) здійснення заходів попередження та інформування

щодо інцидентів кібербезпеки та вразливостей;
4) надання в установленому порядку сервісу з

реагування та, рекомендацій з реагування для власників /
розпорядників інформаційних, електронних
якої встановлена законом, операторів критичної
інфраструктури, та за необхідності, для інших суб'єктів;
5) інформування в установленому порядку Державної

служби спеціального зв'язку та захисту інформації України
про інциденти кібербезпеки, кібератаки, кіберзагрози,
виявлені або потенційні вразливості в інформаційних,
критичної інфраструктури І-ІІ категорії критичності із
зазначенням обов'язкових та/або рекомендованих заходів
реагування для видання директиви про реагування;
47
6) здійснення аналізу ризиків у зв'язку з інцидентом
кібербезпеки та надання рекомендацій щодо їх усунення;
7) забезпечення в установленому порядку

функціонування репозитарію інформації про інциденти
кібербезпеки, таксономій інцидентів кібербезпеки та їх
версій;
8) взаємодія в установленому порядку з іншими

суб'єктами національної системи реагування;
9) взаємодія в установленому порядку з суб'єктами

національної системи обміну інформацією про інциденти
кібербезпеки, кібератаки;
10) взаємодія в установленому порядку з

правоохоронними, розвідувальними та
контррозвідувальними органами, суб'єктами оперативно-
розшукової діяльності в межах, необхідних для виконання
ними повноважень, встановлених законом;
11) виконання функцій національного

контактного центру відповідно до NIS Директиви;
12) взаємодія з іноземними та міжнародними

організаціями з питань реагування, зокрема в рамках
участі у Форумі команд реагування на інциденти безпеки
FIRST зі сплатою щорічних членських внесків;
48
13) взаємодія в установленому порядку з
суб'єктами приватного сектору, в тому числі, з іноземними
суб'єктами господарювання, з питань реагування.
Галузеві та регіональні команди реагування на

інциденти кібербезпеки, кібератаки (галузевий та
регіональний CSIRT) створюються органами державної
влади або місцевого самоврядування з метою посилення
спроможності національної системи реагування у
відповідній галузі, сфері або регіоні з урахуванням вимог
до організаційно-технічної спроможності, встановлених
інформації України, а також взаємодіють з іншими
суб'єктами національної системи реагування в порядку,
встановленому Кабінетом Міністрів України.
Галузевим та регіональним CSIRT в порядку,

визначеному Державною службою спеціального зв'язку та
захисту інформації України, делегуються відповідні
завдання від національного CSIRT щодо:
1) моніторингу та проведення аналізу даних про

інциденти кібербезпеки, кібератакиу відповідній галузі або
регіоні;
2) отримання та опрацювання в установленому

порядку обов'язкових та інших повідомлень у відповідній
галузі або регіоні, здійснених в національній системи
обміну інформацією відповідно до цього закону;
3) здійснення заходів попередження та інформування

щодо інцидентів кібербезпеки та вразливостей;
49
4) надання в установленому порядку сервісу з
реагування на інциденти кібербезпеки;
5) здійснення аналізу ризиків у зв'язку з інцидентом

кібербезпеки та надання рекомендацій щодо їх усунення.
Галузеві та регіональні CSIRT здійснюють в

установленому порядку обмін інформацією з іншими
суб'єктами національної системи обміну інформацією,
координують свою діяльність та інформують національний
CSIRT щодо заходів реагування.

інформації України має право надавати вимоги про
усунення порушень у діяльності галузевого або
регіонального CSIRT у разі невідповідності вимогам щодо
наявності організаційно-технічної спроможності або
порушення встановлених порядків функціонування
національної системи обміну інформацією або
національної системи реагування.
Центр кіберзахисту Національного банку України

(CSIRT-NBU) є галузевим CSIRT та діє у складі
національних систем обміну інформацією та реагування з
урахуванням постанов Національного банку України в
частині, що не суперечить цьому закону.
Національна поліція України, Служба безпеки України

взаємодіють в рамках національної системи реагування на
інциденти кібербезпеки, кібератаки з іншими суб'єктами
національної системи реагування в порядку,
50
встановленому Кабінетом Міністрів України з
урахуванням вимог цього закону та в межах своїх
повноважень, визначених законами України.
Об'єднана група реагування на інциденти кібербезпеки,

кібератаки, кіберзагрози, що створюється з представників
Національного координаційного центру кібербезпеки,
Державної служби спеціального зв'язку та захисту
інформації України, Національної поліції України,
Служби безпеки України для реагувань у разі настання
кризової ситуації у сфері кібербезпеки та задіюється за
відповідним рішенням Національного координаційного
центру кібербезпеки.
Персональний склад Об'єднаної групи реагування

затверджується Національним координаційним центром з
кібербезпеки із представників відповідних органів за
посадами.
Керівництво Об'єднаної групи реагування

здійснюється відповідним заступником керівника
Національного координаційного центру кібербезпеки
України.
До завдань Об'єднаної групи реагування належить:
1) взаємодія з власниками, розпорядниками

якої встановлена законом, операторами критичної
інфраструктури, відносно яких відбувся інцидент
51
кібербезпеки, кібератака, або існує кіберзагроза, що стали
підставою для оголошення кризової ситуації, а також з
постачальниками, товари, роботи, послуги яких можуть
бути пов'язані з такими інцидентами кібербезпеки,
кібератаками, кіберзагрозами та які мають бути залучені
для належного здійснення заходів реагування;
2) вжиття невідкладних заходів для координованого

аналізу кризової ситуації, вироблення рекомендацій щодо
реагування для всіх суб'єктів національної системи
реагування, власників та розпорядників інформаційних,
операторів критичної інфраструктури з урахуванням
порядку щодо здійснення заходів реагування в кризовій
ситуації у зв'язку з інцидентом кібербезпеки, кібератакою,
кіберзагрозою, встановленого Державною службою
спеціального зв'язку та захисту інформації України;
3) залучення за необхідності додаткових сил та ресурсів

суб'єктів національної системи реагування або інших
суб'єктів забезпечення кібербезпеки.
У випадках та порядку, встановлених Кабінетом

Міністрів України, для виконання завдань, визначених
цим Законом і з метою локалізації кібератак і
кіберінцидентів, наслідки яких можуть призвести чи
призвели до кризової ситуації, членам Об’єднаної групи
реагування надається право безперешкодного доступу до
52
інформаційно-комунікаційних і технологічних систем,
незалежно від розміщення їх компонентів:
 органів державної влади, органів місцевого

самоврядування, військових формувань,
утворених відповідно до закону;
 операторів об’єктів критичної інфраструктури
будь-якої категорії критичності об'єктів
критичної інформаційної інфраструктури, де
органам державної влади, органам місцевого
самоврядування прямо чи опосоредковано
належить частка у статутному капіталі такого
оператора об’єкта критичної інфраструктури у
розмірі більше ніж 50 відсотків, або такі органи
прямо чи опосоредковано володіють більшістю
голосів у вищому органі такого оператора
об’єкта критичної інфраструктури чи правом
призначати більше половини складу
виконавчого органу або наглядової ради такого
оператора об’єкта критичної інфраструктури;
 інших операторів об’єктів критичної
інфраструктури І та ІІ категорії критичності.
Приватні команди реагування, що можуть надавати

послуги з управління інцидентами кібербезпеки для
операторів критичної інфраструктури, органів державної
влади та місцевого самоврядування, а також взаємодіяти з
іншими суб'єктами національної системи реагування, в
тому числі щодо обміну інформацією про інциденти
кібербезпеки, кібератаки, з урахуванням вимог до
організаційно-технічної спроможності та в порядку,
53
встановленому Державною службою спеціального зв'язку
та захисту інформації України.
Суб'єкти національної системи реагування

забезпечують відповідно до законодавства захист
інформації з обмеженим доступом, отриманої у зв'язку зі
своєю діяльністю, та несуть кримінальну, адміністративну,
цивільно-правову відповідальність за її неправомірне
розголошення, неправомірне розкриття, неправомірне
використання та інші неправомірні дії з такою категорією
інформації відповідно до закону.

інформації України може надавати обов’язкові до
виконання директиви про реагування власникам /
розпорядникам інформаційних, електронних
якої встановлена законом, та підприємствам, установам та
організаціям, віднесеним до об’єктів критичної
інфраструктури І-ІІ категорії критичності, на основі
отриманої від CERT-UA інформації або за результатами
здійснення спеціальних заходів контролю.
Власники / розпорядники інформаційних, електронних

якої встановлена законом, та підприємства, установи та
організації, віднесені до об’єктів критичної
інфраструктури І-ІІ категорії критичності, зобов’язані
вжити визначені відповідною директивою заходи
54
реагування та подати в строки і в порядку, встановлені
Державною службою спеціального зв’язку та захисту
інформації України, звіт про вжиті заходи реагування.
Підстави надання директив про реагування, строки і

порядок подання звіту про вжиті заходи реагування
встановлюються Державною службою спеціального
зв'язку та захисту інформації України.
Національний координаційний центр кібербезпеки

здійснює загальну координацію функціонування суб'єктів
національної системи реагування на інциденти
кібербезпеки та кібератаки та для виконання своїх завдань
має наступні повноваження:
1) отримання від інших суб'єктів національної системи

обміну інформації про кіберінциденти, кібератаки,
кіберзагрози з метою:
- аналізу стану кіберзахисту інформаційних,

доступом, вимога щодо захисту якої встановлена
законом, об'єктів критичної інформаційної
інфраструктури;
- визначення наявності ознак кризової ситуації у
зв'язку з інцидентом кібербезпеки, кібератакою,
кіберзагрозою;
- здійснення координації між суб'єктами
національної системи обміну інформацією та
національної системи реагування;
55
- обмін інформацією про інциденти кібербезпеки
та кібератаки, індикатори кіберзагроз між суб'єктами
забезпечення кібербезпеки на базі технологічної
платформи Національного координаційного центру
кібербезпеки;
- впровадження механізмів взаємодії основних
суб'єктів національної системи кібербезпеки;
2) прийняття рішення про оголошення кризової

ситуації у зв'язку з інцидентом кібербезпеки або
кібератакою;
3) прийняття рішення про задіяння Об'єднаної групи

4) здійснення координації між суб'єктами національної

системи обміну інформацією та національної системи
реагування у разі оголошення кризової ситуації.
Стаття відсутня Стаття 91. Обмін інформацією про інциденти

кібербезпеки та кібератаки
1. В Україні створюється та забезпечується

інформацією про інциденти кібербезпеки, кібератаки щодо
інформаційної інфраструктури.
56
2. Уповноваженим органом, що здійснює забезпечення
інформацією про інциденти кібербезпеки, кібератаки, є
інформації України (далі – Уповноважений орган).
Уповноважений орган визначає порядок, форми

здійснення повідомлень про інциденти кібербезпеки,
кібератаки національну таксономію інцидентів
кібербезпеки, кібератак та їх версій, впроваджує
організаційно-технічні заходи щодо створення системи
обміну інформацією, забезпечує функціонування
платформи обміну інформацією та порядку приєднання до
такої платформи.
3. Власники та розпорядники інформаційних,

об'єктів критичної інформаційної інфраструктури,
зобов'язані повідомляти про всі інциденти кібербезпеки,
кібератаки,.
Оператори критичної інфраструктури зобов'язані

повідомляти про всі значні інциденти кібербезпеки,
кібератаки, відносно об'єктів критичної інформаційної
інфраструктури.
Іншими законами можуть бути встановлені

зобов'язання для інших суб'єктів надавати обов'язкові
повідомлення про інциденти кібербербезпеки, кібератаки,
57
що є підставою для приєднання в установленому порядку
до національної системи обміну інформацією відповідно до
цього закону.
Інші суб'єкти мають право приєднатись до

національної системи обміну інформацією та здійснювати
добровільний обмін інформацією про інциденти
кібербезпеки, кібератаки відповідно до встановленої
національної таксономії та в порядку, визначеному
Уповноваженим органом.
4. Всі обов'язкові повідомлення суб'єктами,

визначеними відповідно до цієї статті, подаються в строки
та в порядку, визначеному Уповноваженим органом.
5. Уповноважений орган визначає критерії значності

впливу кіберінцидентів, кібератак, що призводить до
обов'язку надавати обов'язкові повідомлення для
операторів критичної інфраструктури відповідно до цього
закону.
6. Посадові особи власників, розпорядників

якої встановлена законом, операторів критичної
інфраструктури, несуть адміністративну відповідальність
відповідно до закону за невиконання або невиконання у
встановлені строки обов'язку надання обов'язкових
повідомлень про інциденти кібербезпеки, кібератаки.
58
7. Інформація про інцидент кібербезпеки, кібератаку
щодо інформаційних, електронних комунікаційних та
інформаційної інфраструктури, є інформацією з
обмеженим доступом, крім випадків, коли порядком
обміну такою інформацією або на підставі інших вимог
законодавства передбачається обов'язок щодо її розкриття
з визначеною метою.
Стаття 15. Контроль за законністю заходів із Стаття 15. Контроль за законністю заходів із
забезпечення кібербезпеки України забезпечення кібербезпеки України
… …
Відсутнє 4. Державна служба спеціального зв'язку та захисту

інформації України здійснює державний контроль за
додержанням вимог законодавства у сфері кіберзахисту
власниками, розпорядниками інформаційно-
захисту якої встановлена законом, а також операторами
критичної інфраструктури в частині використання ними
комунікаційних та технологічних систем (крім об'єктів
критичної інфраструктури у банківській системі України).
Основні засади здійснення державного контролю за

додержанням вимог законодавства та нормативно-
правових актів у сфері кіберзахисту встановлюються у
59
Законі Україні "Про Державну службу спеціального
зв'язку та захисту інформації України".
Закон України «Про захист інформації в інформаційно-комунікаційних системах»
(Відомості Верховної Ради України (ВВР), 2005 р., № 26, ст. 347 із наступними змінами)
ЗАКОН УКРАЇНИ ЗАКОН УКРАЇНИ
Про захист інформації в інформаційно-комунікаційних Про захист інформації в інформаційно-комунікаційних

системах системах та на об’єктах інформаційної діяльності
Цей Закон регулює відносини у сфері захисту інформації Цей Закон регулює відносини у сфері захисту інформації в
в інформаційних, електронних комунікаційних та інформаційних, електронних комунікаційних та
інформаційно-комунікаційних системах (далі - система). інформаційно-комунікаційних системах (далі - система) та на
об’єктах інформаційної діяльності.
У цьому Законі наведені нижче терміни вживаються в У цьому Законі наведені нижче терміни вживаються в
такому значенні: такому значенні:
Відсутнє авторизація – процедура підтвердження відповідності

заходів та систем з безпеки інформації положенням
законодавства, національних стандартів та нормативних
документів із захисту інформації та створення систем з
безпеки інформації, порядок проведення якої визначається
спеціально уповноваженим центральним органом
виконавчої влади з питань організації спеціального зв'язку
Відсутнє та захисту інформації;
60
авторизована система з безпеки інформації –
інформаційна, інформаційно-комунікаційна, електронна
комунікаційна, технологічна система або їх окремі
компоненти, в яких запроваджені заходи та/або системи з
безпеки інформації, що пройшли авторизацію;
…
…
виток інформації - результат дій, внаслідок яких
інформація в системі стає відомою чи доступною фізичним виток інформації ‒ результат дій, внаслідок яких
та/або юридичним особам, що не мають права доступу до неї; інформація, що обробляється в системі або пристроєм
обробки інформації або озвучується на об’єкті
інформаційної діяльності, стає відомою чи доступною
… фізичним та/або юридичним особам, що не мають права
доступу до неї;
Відсутнє
….
власник об’єкта інформаційної діяльності ‒ фізична або

… юридична особа, якій належить право власності на об’єкт
інформаційної діяльності;
захист інформації в системі - діяльність, спрямована на …
запобігання несанкціонованим діям щодо інформації в
системі; захист інформації в системі або на об’єкті інформаційної
діяльності ‒ діяльність, спрямована на запобігання витоку
інформації, що обробляється в системі або пристроєм
обробки інформації або озвучується на об’єкті
… інформаційної діяльності;
Відсутнє …
комплекс технічного захисту інформації ‒

взаємопов’язана сукупність організаційних та інженерно-
61
технічних заходів, засобів технічного захисту інформації,
призначена для захисту інформації від витоку технічними
… каналами в інформаційно-комунікаційних системах та на
об’єктах інформаційної діяльності;
обробка інформації в системі – виконання однієї або
кількох операцій, зокрема: збирання, введення, записування, …
перетворення, зчитування, зберігання, знищення, реєстрації,
приймання, отримання, передавання, які здійснюються в обробка інформації в системі - виконання однієї або
системі за допомогою технічних і програмних засобів; кількох операцій, зокрема: збирання, введення, записування,
перетворення, зчитування, зберігання, знищення, реєстрації,
приймання, отримання, передавання, які здійснюються в
системі за допомогою технічних і програмних засобів, або
автономно (без підключення до інших засобів обробки
Відсутнє
інформації, ліній зв’язку або мереж передачі даних)
пристроями обробки інформації;
об’єкт інформаційної діяльності ‒ інженерно-технічна

Відсутнє споруда (будівля, приміщення тощо), відокремлена
територія (зона), транспортний засіб, намет, де
провадиться діяльність, пов’язана з державними
інформаційними ресурсами та інформацією, вимога щодо
захисту якої встановлена законом;
Відсутнє
озвучування інформації на об’єкті інформаційної
діяльності ‒ процес формування голосовим апаратом
людини або відтворення (підсилення) акустичними
технічними засобами і поширення на об’єкті
інформаційної діяльності акустичного сигналу
Відсутнє (акустичного поля), що несе інформацію;
орган з авторизації – головний уповноважений орган з

авторизації (спеціально уповноважений центральний
62
орган виконавчої влади з питань організації спеціального
зв'язку та захисту інформації) та галузеві уповноважені
Відсутнє органи з авторизації;
пристрої обробки інформації – технічні пристрої

(засоби) обробки інформації, в яких технічно неможливо
реалізація програмних процедур розмежування доступу
користувачів та інших функціональних послуг безпеки;
реєстр авторизованих систем з безпеки інформації –

єдина електронна база даних, що містить відомості про
авторизовані системи з безпеки інформації, порядок
ведення якої, включення авторизованих систем з безпеки
інформації, доступу та надання інформації з якого
визначає спеціально уповноважений центральний орган
Відсутнє
та захисту інформації; Інформація про авторизовані
… системи з безпеки інформації, що міститься в Реєстрі, є
відкритою, загальнодоступною та безоплатною, крім
інформації з обмеженим доступом. Орган з авторизації
забезпечує цілодобовий доступ до відкритої інформації
реєстру авторизованих систем з безпеки інформації на
своєму офіційному веб-сайті;
технічний канал витоку інформації – взаємопов’язана

сукупність джерела небезпечного сигналу, середовища
його поширення та засобу технічної розвідки, що
спрямована на забезпечення витоку інформації.
Стаття 2. Об'єкти захисту в системі Стаття 2. Об'єкти захисту в системі
63
Об'єктами захисту в системі є інформація, що Об'єктами захисту в системі та на об’єкті інформаційної
обробляється в ній, та програмне забезпечення, яке діяльності є інформація, що обробляється або озвучується,
призначено для обробки цієї інформації. та програмне забезпечення, яке призначено для обробки
цієї інформації.
Стаття 3. Суб'єкти відносин Стаття 3. Суб'єкти відносин
Суб'єктами відносин, пов'язаних із захистом інформації в Суб'єктами відносин, пов'язаних із захистом інформації в
системах, є: системах та на об’єктах інформаційної діяльності, є:
… …
власники системи; власники системи;
Відсутнє власники об’єкта інформаційної діяльності;
… …
На підставі укладеного договору або за дорученням На підставі укладеного договору або за дорученням
власник системи може надати право розпоряджатися власник системи (власник об’єкта інформаційної
системою іншій фізичній або юридичній особі - розпоряднику діяльності) може надати право розпоряджатися системою
системи. (об’єктом інформаційної діяльності) іншій фізичній або
юридичній особі - розпоряднику системи (розпоряднику
об’єкта інформаційної діяльності).
Стаття 8. Умови обробки інформації в системі Стаття 8. Умови обробки інформації в системі
… …
Державні інформаційні ресурси або інформація з Державні інформаційні ресурси або інформація з
обмеженим доступом, вимога щодо захисту якої встановлена обмеженим доступом, вимога щодо захисту якої встановлена
законом, повинні оброблятися в системі із застосуванням законом, повинні оброблятися в системі із застосуванням
комплексної системи захисту інформації з підтвердженою комплексної системи захисту інформації з підтвердженою
64
відповідністю. Підтвердження відповідності комплексної відповідністю. Підтвердження відповідності комплексної
системи захисту інформації здійснюється за результатами системи захисту інформації здійснюється за результатами
державної експертизи, яка проводиться з урахуванням державної експертизи, яка проводиться з урахуванням
галузевих вимог та норм інформаційної безпеки у порядку, галузевих вимог та норм інформаційної безпеки у порядку,
встановленому законодавством. встановленому законодавством.
Відсутнє Державні інформаційні ресурси або інформація з

обмеженим доступом, вимога щодо захисту якої
встановлена законом, крім державної таємниці можуть
оброблятися в системі із застосуванням системи з безпеки
інформації з підтвердженою відповідністю. Підтвердження
відповідності систем з безпеки інформації здійснюється за
результатами авторизації.
Підтвердження відповідності та проведення державної
експертизи засобів технічного і криптографічного захисту Підтвердження відповідності та проведення державної
інформації здійснюються в порядку, встановленому експертизи засобів технічного і криптографічного захисту
законодавством. Для створення комплексної системи захисту інформації здійснюються в порядку, встановленому
державних інформаційних ресурсів або інформації з законодавством. Для створення комплексної системи захисту
обмеженим доступом, вимога щодо захисту якої встановлена державних інформаційних ресурсів або інформації з
законом, використовуються засоби криптографічного захисту обмеженим доступом, вимога щодо захисту якої встановлена
інформації, які мають позитивний експертний висновок за законом, системи з безпеки інформації, використовуються
результатами державної експертизи у сфері криптографічного засоби криптографічного захисту інформації, які мають
захисту інформації, та засоби технічного захисту інформації, позитивний експертний висновок за результатами державної
які мають позитивний експертний висновок за результатами експертизи у сфері криптографічного захисту інформації, та
державної експертизи у сфері технічного захисту інформації засоби технічного захисту інформації, які мають позитивний
або сертифікат відповідності, виданий органом з оцінки експертний висновок за результатами державної експертизи у
відповідності, який акредитовано: сфері технічного захисту інформації або сертифікат
відповідності, виданий органом з оцінки відповідності, який
національним органом України з акредитації; акредитовано:
чи національним органом з акредитації іншої держави, національним органом України з акредитації;
якщо і національний орган України з акредитації, і
національний орган з акредитації такої держави є членами
65
міжнародної або регіональної організації з акредитації та/або чи національним органом з акредитації іншої держави,
уклали з такою організацією угоду про взаємне визнання щодо якщо і національний орган України з акредитації, і
оцінки відповідності. національний орган з акредитації такої держави є членами
міжнародної або регіональної організації з акредитації та/або
… уклали з такою організацією угоду про взаємне визнання щодо
оцінки відповідності.
Відсутнє
…
Інформація, що становить державну таємницю,

повинна оброблятися в системі, до складу комплексної
системи захисту інформації якої входить комплекс
технічного захисту інформації від витоку технічними
каналами з підтвердженою відповідністю. Підтвердження
відповідності комплексу технічного захисту інформації
Відсутнє здійснюється за результатами атестації. Порядок атестації
комплексу технічного захисту інформації визначається
Відсутнє та захисту інформації .
Захист від витоку технічними каналами в системі іншої
інформації з обмеженим доступом здійснюється за
рішенням володільця інформації.
Інформація з обмеженим доступом, вимога щодо

захисту якої встановлена законом, обробляється на об’єкті
інформаційної діяльності автономно пристроями обробки
Відсутнє інформації за умов забезпечення режимними
(організаційними) заходами захисту від витоку такої
інформації а, у разі обробки секретної інформації,
застосування комплексу технічного захисту інформації від
66
витоку технічними каналами з підтвердженою
відповідністю.
Обов’язковою умовою використання програмних

Відсутнє продуктів в інформаційних, інформаційно-комунікаційних
системах, в яких обробляються державні інформаційні
ресурси, інформація з обмеженим доступом, вимога щодо
захисту якої встановлена законом, та на об’єктах
критичної інформаційної інфраструктури, є відсутність
таких продуктів у відкритому реєстрі заборонених до
використання програмних продуктів, функціонування
якого забезпечує Державна служба спеціального зв'язку та
захисту інформації України.
Комп'ютерні програми, які забезпечують

функціонування інформаційних, інформаційно-
комунікаційних системах, в яких обробляються державна
таємниця, використовуються за умови відсутності в них
недокументованих функцій, що підтверджується
результатами державної експертизи у сфері захисту
інформації, здійсненою в порядку, встановленого
та захисту інформації.
Стаття відсутня Стаття 8І. Умови озвучування інформації на об’єкті

інформаційної діяльності
Інформація, що становить державну таємницю,
повинна озвучуватися на об’єкті інформаційної діяльності
із застосуванням комплексу технічного захисту інформації
з підтвердженою відповідністю. Підтвердження
відповідності комплексу технічного захисту інформації
67
здійснюється за результатами атестації. Порядок атестації
комплексу технічного захисту інформації визначається
та захисту інформації. Для створення комплексу
технічного захисту інформації використовуються засоби
технічного захисту інформації, які мають позитивний
експертний висновок за результатами державної
експертизи у сфері технічного захисту інформації або
документ про відповідність, виданий органом з оцінки
відповідності, який акредитовано національним органом
України з акредитації.
Озвучування на об’єкті інформаційної діяльності іншої
інформації з обмеженим доступом із застосуванням
комплексу технічного захисту інформації з підтвердженою
відповідністю може здійснюватися за рішенням володільця
інформації.
Порядок створення, атестації та експлуатації
комплексів технічного захисту інформації визначається
спеціально уповноваженим центральний органом
та захисту інформації.
Стаття 9. Забезпечення захисту інформації в системі Стаття 9. Забезпечення захисту інформації в системі та
на об’єкті інформаційної діяльності
…
…
Власник системи, в якій обробляються державні
Власник системи, в якій обробляються державні інформаційні ресурси або інформація з обмеженим доступом,
інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює
вимога щодо захисту якої встановлена законом, утворює підрозділ із кіберзахисту або призначає осіб, на яких
68
службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за
покладається забезпечення захисту інформації та контролю за ним.
ним.
…
…
Розробка та застосування порядку, положення, умов
Відсутнє пошуку та/або виявлення потенційних вразливостей (як
безоплатних, так і оплатних) в інформаційно-
захисту якої встановлена законом, повинні здійснюватися
відповідно до порядку пошуку та/або виявлення
потенційних вразливостей, встановленого Державною
Відсутнє України.
Відповідальність за забезпечення захисту інформації,

що озвучується на об’єкті інформаційної діяльності,
Відсутнє покладається на власника об’єкта інформаційної
діяльності.
Власник об’єкта інформаційної діяльності, на якому

озвучується інформація, що становить державну
таємницю, утворює підрозділ з технічного захисту
інформації або призначає осіб, на яких покладається
забезпечення захисту інформації від витоку технічними
каналами та контролю за ним.
Стаття 10. Повноваження державних органів у сфері Стаття 10. Повноваження державних органів у сфері
захисту інформації в системах захисту інформації в системах та на об’єктах
інформаційної діяльності
Вимоги до забезпечення захисту державних
інформаційних ресурсів або інформації з обмеженим
69
доступом, вимога щодо захисту якої встановлена законом, Вимоги до забезпечення захисту в системах державних
встановлюються Кабінетом Міністрів України. інформаційних ресурсів або інформації з обмеженим
Спеціально уповноважений центральний орган встановлюються Кабінетом Міністрів України.
виконавчої влади з питань організації спеціального зв'язку та
захисту інформації: Спеціально уповноважений центральний орган виконавчої
влади з питань організації спеціального зв'язку та захисту
… інформації:
здійснює контроль за забезпеченням захисту державних …
інформаційних ресурсів або інформації з обмеженим
доступом, вимога щодо захисту якої встановлена законом; здійснює державний контроль за додержанням вимог
законодавства у сфері технічного захисту інформації та
кіберзахисту власниками, розпорядниками інформаційно-
захисту якої встановлена законом, а також операторами
критичної інфраструктури в частині використання ними
комунікаційних та технологічних систем (крім об'єктів
критичної інфраструктури у банківській системі України);
здійснює заходи щодо виявлення загрози державним
інформаційним ресурсам від несанкціонованих дій в здійснює заходи щодо виявлення загроз державним
інформаційних, електронних комунікаційних та інформаційним ресурсам від несанкціонованих дій та від
інформаційно-комунікаційних системах та дає рекомендації з витоку технічними каналами в інформаційних,
питань запобігання такій загрозі; комунікаційних та інформаційно-комунікаційних
системах, а також витоку технічними каналами на
об’єктах інформаційної діяльності та дає рекомендації з
Відсутнє питань запобігання таким загрозам;
Відсутнє встановлює вимоги та порядок створення, атестації та
експлуатації комплексів технічного захисту інформації;
70
Відсутнє організовує проведення атестації комплексів
технічного захисту інформації;
Відсутнє
визначає вимоги та порядок створення системи з
безпеки інформації;
Відсутнє визначає порядок проведення авторизації систем з
безпеки інформації;
визначає порядок ведення реєстру авторизованих

Відсутнє
систем з безпеки інформації;
Відсутнє
виконує функції головного уповноваженого органу з
авторизації:
Відсутнє погоджує визначення галузевих уповноважених органів

з авторизації;
здійснює включення систем з безпеки інформації до

реєстру авторизованих систем з безпеки інформації та
виключення з нього.
Стаття 11. Відповідальність за порушення Стаття 11. Відповідальність за порушення

законодавства про захист інформації в системах законодавства про захист інформації в системах та на
об’єктах інформаційної діяльності
Особи, винні в порушенні законодавства про захист
інформації в системах, несуть відповідальність згідно із Особи, винні в порушенні законодавства про захист
законом. інформації в системах та на об’єктах інформаційної
діяльності, несуть відповідальність згідно із законом.
Закон України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності»
71
Стаття 2. Сфера дії цього Закону Стаття 2. Сфера дії цього Закону
… …
Дія цього Закону не поширюється на відносини, що Дія цього Закону не поширюється на відносини, що
виникають під час здійснення заходів валютного виникають під час здійснення заходів валютного
нагляду, податкового контролю, митного контролю, нагляду, податкового контролю, митного контролю,
державного експортного контролю (крім здійснення державного експортного контролю (крім здійснення
державного нагляду (контролю) за дотриманням суб'єктами державного нагляду (контролю) за дотриманням суб'єктами
космічної діяльності України приватної форми власності космічної діяльності України приватної форми власності
законодавства про космічну діяльність в Україні), контролю за законодавства про космічну діяльність в Україні), контролю за
дотриманням бюджетного законодавства, державного нагляду дотриманням бюджетного законодавства, державного нагляду
на ринках фінансових послуг, державного контролю за на ринках фінансових послуг, державного контролю за
дотриманням законодавства про захист економічної дотриманням законодавства про захист економічної
конкуренції, державного нагляду (контролю) в галузі конкуренції, державного нагляду (контролю) в галузі
телебачення і радіомовлення, державного нагляду (контролю) телебачення і радіомовлення, державного нагляду (контролю)
за дотриманням суб'єктами господарювання, що провадять за дотриманням суб'єктами господарювання, що провадять
діяльність у сферах енергетики та комунальних послуг, діяльність у сферах енергетики та комунальних послуг,
законодавства у сферах енергетики та комунальних послуг, законодавства у сферах енергетики та комунальних послуг,
державного ринкового нагляду та контролю нехарчової державного ринкового нагляду та контролю нехарчової
продукції, державного нагляду (контролю) за дотриманням продукції, державного нагляду (контролю) за дотриманням
суб'єктами господарювання, що провадять діяльність у сфері суб'єктами господарювання, що провадять діяльність у сфері
автомобільного транспорту, під час рейдових перевірок автомобільного транспорту, під час рейдових перевірок
(перевірок на дорозі), що проводяться з урахуванням (перевірок на дорозі), що проводяться з урахуванням
особливостей, визначених Законом України "Про особливостей, визначених Законом України "Про
автомобільний транспорт", державного нагляду за автомобільний транспорт", державного нагляду за
дотриманням вимог безпеки використання ядерної енергії, дотриманням вимог безпеки використання ядерної енергії,
державного нагляду (контролю) у сфері безпеки державного нагляду (контролю) у сфері безпеки торговельного
торговельного мореплавства і судноплавства на внутрішніх мореплавства і судноплавства на внутрішніх водних шляхах (у
водних шляхах (у частині нагляду (контролю) за суднами). частині нагляду (контролю) за суднами), державного
72
контролю за додержанням вимог законодавства у сферах
технічного захисту інформації та кіберзахисту власниками,
розпорядниками інформаційно-комунікаційних систем, в
яких обробляються державні інформаційні ресурси та/або
інформація, вимога щодо захист якої встановлена законом,
а також операторами критичної інфраструктури, що
здійснюється Державною службою спеціального зв'язку та
захисту інформації України.
Закон України «Про судову експертизу»
(Відомості Верховної Ради України (ВВР), 1994, № 28, ст. 232 із наступними змінами)
Стаття 7. Суб’єкти судово-експертної діяльності Стаття 7. Суб’єкти судово-експертної діяльності
… …
До державних спеціалізованих установ належать: До державних спеціалізованих установ належать:
… …
експертні служби Міністерства внутрішніх справ України, експертні служби Міністерства внутрішніх справ України,
Міністерства оборони України, Служби безпеки України та Міністерства оборони України, Служби безпеки України,
Державної прикордонної служби України. Державної прикордонної служби України та Державної
служби спеціального зв’язку та захисту інформації
… України.
Закон України «Про державну таємницю»
73
(Відомості Верховної Ради України, 1999 р., № 49, ст. 428 із наступними змінами)
Стаття 8. Інформація, що може бути віднесена до Стаття 8. Інформація, що може бути віднесена до
державної таємниці державної таємниці
До державної таємниці у порядку, встановленому цим До державної таємниці у порядку, встановленому цим
Законом, відноситься інформація: Законом, відноситься інформація:
… …
4) у сфері державної безпеки та охорони правопорядку: 4) у сфері державної безпеки та охорони правопорядку:
… …
про систему урядового та спеціального зв'язку; про систему спеціального зв’язку та національну
систему урядових електронних комунікацій;
про організацію, стан, плани розвитку, заходи і порядок

Відсутнє здійснення кіберзахисту, кіберрозвідки, кібероборони,
забезпечення кібербезпеки, протидії кібертероризму та
кібершпигунству в суб’єктах забезпечення кібербезпеки,
визначених Законом України «Про основні засади
забезпечення кібербезпеки України»;
…
…
Закон України «Про функціонування паливно-енергетичного комплексу в особливий період»
74
Стаття 5. Планування роботи підприємств, установ та Стаття 5. Планування роботи підприємств, установ та
організацій паливно-енергетичного комплексу в організацій паливно-енергетичного комплексу в
особливий період особливий період
… …
Постачання продукції підприємств паливно- Постачання продукції підприємств паливно-енергетичного

енергетичного комплексу в особливий період здійснюється у комплексу в особливий період здійснюється у такій
такій послідовності: послідовності:
… …
постачальники електронних комунікаційних мереж та/або постачальники електронних комунікаційних мереж та/або
послуг, що забезпечують зв'язок для потреб державної послуг, що забезпечують зв'язок для потреб національної
системи урядового зв'язку, національної системи системи урядових електронних комунікацій, національної
конфіденційного зв'язку; системи конфіденційного зв'язку;
… …
Закон України «Про національну безпеку України»
Стаття 22. Державна служба спеціального зв’язку та Стаття 22. Державна служба спеціального зв’язку та
захисту інформації України захисту інформації України
1. Державна служба спеціального зв’язку та захисту 1. Державна служба спеціального зв’язку та захисту
інформації України є державним органом, призначеним для інформації України є державним органом, призначеним для
забезпечення функціонування і розвитку державної системи забезпечення функціонування і розвитку національної
урядового зв’язку, Національної системи конфіденційного системи урядових електронних комунікацій, Національної
зв’язку, формування та реалізації державної політики у сферах системи конфіденційного зв’язку, формування та реалізації
кіберзахисту критичної інформаційної інфраструктури, державної політики у сферах кіберзахисту критичної
75
державних інформаційних ресурсів та інформації, вимога інформаційної інфраструктури, державних інформаційних
щодо захисту якої встановлена законом, криптографічного та ресурсів та інформації, вимога щодо захисту якої встановлена
технічного захисту інформації, телекомунікацій, законом, криптографічного та технічного захисту інформації,
користування радіочастотним ресурсом України, поштового телекомунікацій, користування радіочастотним ресурсом
зв’язку спеціального призначення, урядового України, поштового зв’язку спеціального призначення,
фельд’єгерського зв’язку, а також інших завдань відповідно до урядового фельд’єгерського зв’язку, а також інших завдань
закону. відповідно до закону.
… …
Закон України «Про стандартизацію»
(Відомості Верховної Ради (ВВР), 2014, № 31, ст.1058 із наступними змінами)
Стаття 2. Сфера дії Закону Стаття 2. Сфера дії Закону
1. Цей Закон регулює відносини, пов’язані з діяльністю у 1. Цей Закон регулює відносини, пов’язані з діяльністю у
сфері стандартизації та застосуванням її результатів. сфері стандартизації та застосуванням її результатів.
2. Дія цього Закону не поширюється на санітарні заходи 2. Дія цього Закону не поширюється на санітарні заходи
безпечності харчових продуктів, ветеринарно-санітарні та безпечності харчових продуктів, ветеринарно-санітарні та
фітосанітарні заходи, будівельні норми, авіаційні правила фітосанітарні заходи, будівельні норми, авіаційні правила
України, розроблені відповідно до нормативних актів України, розроблені відповідно до нормативних актів
Європейського агентства з безпеки польотів, які визначають Європейського агентства з безпеки польотів, які визначають
стандарти та вимоги для сертифікації, нагляду та експлуатації стандарти та вимоги для сертифікації, нагляду та експлуатації
повітряних суден та є нормативно-технічними документами, повітряних суден та є нормативно-технічними документами,
лікарські засоби, військові стандарти, стандарти медичної лікарські засоби, військові стандарти, стандарти
допомоги, бухгалтерського обліку, оцінки майна, освіти та криптографічного та технічного захисту інформації,
інші соціальні стандарти, передбачені законодавством. кіберзахисту, протидії технічним розвідкам, стандарти
медичної допомоги, бухгалтерського обліку, оцінки майна,
76
освіти та інші соціальні стандарти, передбачені
законодавством.
Закон України «Про управління об'єктами державної власності»
Стаття 11-1. Особливості відрахування Стаття 11-1. Особливості відрахування державними

державними підприємствами частини прибутку підприємствами частини прибутку (доходу)
(доходу)
1. Державні унітарні підприємства (крім державних
1. Державні унітарні підприємства (крім державних некомерційних підприємств, державного підприємства
некомерційних підприємств, державного підприємства обслуговування повітряного руху України "Украерорух"
обслуговування повітряного руху України "Украерорух" відповідно до Закону України "Про приєднання України до
відповідно до Закону України "Про приєднання України до Багатосторонньої угоди про сплату маршрутних зборів",
Багатосторонньої угоди про сплату маршрутних зборів", державного підприємства із забезпечення функціонування
державного підприємства із забезпечення функціонування дипломатичних представництв та консульських установ
дипломатичних представництв та консульських установ іноземних держав, представництв міжнародних міжурядових
іноземних держав, представництв міжнародних міжурядових організацій в Україні Державного управління справами,
організацій в Україні Державного управління справами, державних комерційних підприємств та казенних підприємств,
державних комерційних підприємств та казенних які відповідно до статті 1 Закону України "Про наукову і
підприємств, які відповідно до статті 1 Закону України "Про науково-технічну діяльність" належать до наукових установ, а
наукову і науково-технічну діяльність" належать до наукових також науково-технологічних комплексів, заснованих на
установ, а також науково-технологічних комплексів, державній власності, державного підприємства
заснованих на державній власності, а також державних "Український державний центр радіочастот", а також
підприємств "Міжнародний дитячий центр "Артек" і державних підприємств "Міжнародний дитячий центр "Артек"
"Український дитячий центр "Молода гвардія") та їх і "Український дитячий центр "Молода гвардія") та їх
об’єднання зобов’язані спрямувати частину чистого прибутку об’єднання зобов’язані спрямувати частину чистого прибутку
(доходу) до Державного бюджету України у розмірі не менше (доходу) до Державного бюджету України у розмірі не менше
30 відсотків у порядку, визначеному Кабінетом Міністрів 30 відсотків у порядку, визначеному Кабінетом Міністрів
України. України.
77
II. ПРИКІНЦЕВІ ПОЛОЖЕННЯ
Відсутнє 1. Цей Закон набирає чинності з дня, наступного за днем

його опублікування, крім пункту 5 частини другої розділу
І цього Закону, який набирає чинності з 15 червня 2023
року.
2. Кабінету Міністрів України у тримісячний строк з

дня опублікування цього Закону:
привести свої нормативно-правові акти у відповідність
із цим Законом;
забезпечити приведення міністерствами, іншими
центральними органами виконавчої влади своїх
нормативно-правових актів у відповідність із цим
Законом.
3. Кабінету Міністрів України, Адміністрації Державної
служби спеціального зв'язку та захисту інформації
України забезпечити прийняття нормативно-правових
актів, передбачених цим Законом.
Народний депутати України

Федієнко О.П.
78

1490882

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

1490882

Uploaded by

Copyright:

Available Formats

ПОРІВНЯЛЬНА ТАБЛИЦЯ

Стаття 1. Визначення термінів Стаття 1. Визначення термінів

державна система урядового зв’язку - система Виключити

оцінка у сфері захисту інформації – процес перевірки

стандартизація криптографічного та технічного

… урядовий зв’язок - спеціальний зв’язок, надання якого

1. Основними завданнями Державної служби 1. Основними завданнями Державної служби спеціального

1. Територіальні підрозділи Державної служби 1. Територіальні підрозділи Державної служби

забезпечення функціонування, безпеки та розвитку забезпечення функціонування, безпеки та розвитку

30) встановлення порядку організації та проведення

39) забезпечення функціонування урядової команди …

50) встановлення: 50) встановлення:

77) погодження в порядку, встановленому …

77-1) визначення переліків стандартів, настанов,

93) створення та забезпечення функціонування системи

93) створення та забезпечення функціонування Центру

94) встановлення вимог до умов постачання товарів,

95) визначення критеріїв товарів, робіт, послуг, що

96) встановлення порядку визначення замовниками,

97) встановлення порядку підтвердження відповідності

99) встановлення порядку організації та проведення

100) створення та забезпечення функціонування

101) встановлення порядку пошуку та/або виявлення

102) забезпечення організації та проведення

103) встановлення функцій, повноважень, загальних

104) погодження в порядку, встановленому

105) забезпечення нормативно-правового регулювання

108) встановлення порядку та вимог створення заходів

109) визначення порядку проведення авторизації

110) визначення порядку ведення реєстру

111) виконання функцій головного уповноваженого

113) впровадження та забезпечення функціонування

115) забезпечення функціонування національної

116) координація діяльності об’єктів критичної

117) забезпечення функціонування національної

верифікації програмних та технічних засобів;

аналізу наявності в програмних та технічних засобах

контрольної експертизи комплексних систем захисту

аналізу наявності відомостей, що можуть становити

аналізу належності програмних та технічних засобів

119) встановлення для виконання завдання щодо

основних завдань, що можуть бути делеговані від

порядку надання приватними командами реагування

вимог до організаційно-технічної спроможності, до

порядку ведення репозитарію інформації про

порядку здійснення контролю за діяльністю

підстав надання на основі отриманої від CERT-UA

120) встановлення для виконання завдання щодо

порядку обміну інформацією про інциденти

критеріїв для визначення значності впливу інциденту

121) впровадження організаційно-технічних заходів

122) забезпечення функціонування платформи обміну

Вимоги щодо усунення порушень законодавства

… 10) залучати спеціальних і загальних користувачів

21) орендувати в установленому порядку приміщення,

Розділ відсутній Розділ IX

ДЕРЖАВНИЙ КОНТРОЛЬ ЗА СТАНОМ

Стаття 26. Основні засади здійснення державного

1. Державна служба спеціального зв'язку та захисту

3. Загальною метою контролю за технічним захистом

4. Контроль за технічним захистом інформації та

5. У разі виявлення порушення вимог законодавства та

6. Однією із форм заходів контролю за технічним

7. Особи, у тому числі, за обгрунтованої необхідності,