Порядок визначення власниками або розпорядниками інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об'єктів критичної інформаційної інфраструктури рівня ризику, пов'язаного з критичністю таких товарів, робіт, послуг для забезпечення функціонування та заходів безпеки, що відповідають такому ризику

ЗАТВЕРДЖЕНО

Наказ Адміністрації

Державної служби

спеціального зв'язку

та захисту інформації України

17 грудня 2025 року № 836

Зареєстровано в Міністерстві

юстиції України

31 грудня 2025 року

за № 1977/45383

Порядок

визначення власниками або розпорядниками інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об'єктів критичної інформаційної інфраструктури рівня ризику, пов'язаного з критичністю таких товарів, робіт, послуг для забезпечення функціонування та заходів безпеки, що відповідають такому ризику

1. Цей Порядок встановлює процедуру визначення власниками або розпорядниками інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об'єктів критичної інформаційної інфраструктури (далі — системи) рівня ризику, пов'язаного з критичністю таких товарів, робіт, послуг для забезпечення функціонування та заходів безпеки, що відповідають такому ризику.

2. Цей Порядок застосовується до постачальників товарів, робіт, послуг і власників або розпорядників систем в разі, якщо товари, роботи, послуги, які постачають постачальники, забезпечують функціонування систем.

3. У цьому Порядку під терміном «постачальник» розуміється будь-яка фізична або юридична особа, яка постачає товари, роботи і послуги власникам або розпорядникам систем.

Інші терміни вживаються у значенні, наведеному в Законах України «Про захист інформації в інформаційно-комунікаційних системах», «Про Державну службу спеціального зв'язку та захисту інформації України».

4. Власники або розпорядники систем зобов'язані визначити рівні ризику, пов'язані з критичністю товарів, робіт, послуг, що постачаються для забезпечення функціонування та заходів безпеки та відповідають такому ризику.

5. Ризики, пов'язані з критеріями критичності постачання товарів, робіт, послуг власникам або розпорядникам систем для забезпечення їх функціонування та заходів безпеки поділяються на такі рівні:

перший рівень ризику — товари, роботи і послуги за першим критерієм критичності, призначені для інформаційно-комунікаційних систем, де обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об'єктів критичної інформаційної інфраструктури;

другий рівень ризику — товари, роботи і послуги за другим критерієм критичності, призначені для інформаційно-комунікаційних систем, де обробляються державні інформаційні ресурси, об'єктів критичної інформаційної інфраструктури, інформація про яких віднесена до відкритої або конфіденційної інформації;

третій рівень ризику — товари, роботи і послуги за другим критерієм критичності, призначені для інформаційно-комунікаційних систем, де обробляються державні інформаційні ресурси, об'єктів критичної інформаційної інфраструктури, інформація про яких віднесена до службової інформації;

четвертий рівень ризику — товари, роботи і послуги за другим критерієм критичності, призначені для інформаційно-комунікаційних систем, де обробляються державні інформаційні ресурси, об'єктів критичної інформаційної інфраструктури, інформація про яких віднесена до інформації, що становить державну таємницю.

Директор Департаменту

захисту інформації

Адміністрації Держспецзв'язку

Андрій ГОЛОВЕНКО