Кабінет Міністрів України ухвалив постанову № 367 від 01.04.2025 «Про затвердження вимог щодо управління ризиками безпеки на об’єктах критичної інфраструктури I категорії критичності».
Документ, розроблений фахівцями Держспецзв’язку, визначає комплекс заходів, спрямованих на:
- ефективне зниження і контроль за ризиками безпеки;
- зниження ризиків реалізації можливих загроз;
- ліквідацію та мінімізацію наслідків реалізованих загроз, кризових ситуацій тощо.
Дія постанови поширюється на об’єкти критичної інфраструктури (ОКІ) I категорії критичності. Нагадаємо, це особливо важливі об’єкти, які мають загальнодержавне значення, значний вплив на інші об’єкти критичної інфраструктури та порушення функціонування яких призведе до виникнення кризової ситуації державного значення.
Документ визначає, що оператор критичної інфраструктури (КІ) здійснює управління ризиками безпеки шляхом створення системи управління ризиками безпеки. Вона повинна відповідати визначеним принципам, таким як інтегрованість, структурованість і комплексність, індивідуальність тощо.
Постанова визначає також основні ризики безпеки, серед яких:
- матеріальні ризики – ризики настання інциденту як для ОКІ, так і для його критичних елементів, що можуть призвести до заподіяння їм шкоди, а також шкоди життю та здоров’ю людей;
- ризики кібербезпеки та захисту інформації – ризики щодо забезпечення безпеки, функціональності, безперервності роботи, відновлюваності, цілісності і стійкості інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, електронних комунікаційних мереж;
- ризики людського фактору – ризики порушення штатного режиму функціонування об’єкта критичної інфраструктури, безпосередньо пов’язані з працівниками ОКІ, іншими особами, які перебувають на об’єкті, що можуть призвести до виникнення інциденту, порушення виконання життєво важливих функцій, надання послуг тощо.
Постановою затверджено вимоги як до операторів критичної інфраструктури, так і безпосередньо до їхніх окремих структурних підрозділів або працівників, відповідальних за організацію захисту критичної інфраструктури.
Зокрема, на оператора КІ покладаються обов’язки розробляти та затверджувати документи (правила, політики тощо) щодо управління ризиками безпеки; забезпечувати підрозділи необхідними ресурсами; забезпечувати складення профілю ризиків безпеки ОКІ, розроблення проєктних загроз об’єктового рівня та інші.
Своєю чергою структурні підрозділи забезпечують:
- своєчасне виявлення та оцінювання ризиків безпеки;
- організацію заходів, спрямованих на запобігання ризикам безпеки чи їх мінімізацію;
- моніторинг і контроль за ризиками безпеки та перегляд їхньої актуальності;
- обмін інформацією та взаємодію із суб’єктами національної системи захисту критичної інфраструктури;
- підготовку звітної та аналітичної інформації, інформування керівника ОКІ щодо ризиків безпеки та виконання інших завдань.
Із повним текстом постанови можна ознайомитися за посиланням https://zakon.rada.gov.ua/laws/show/367-2025-%D0%BF#Text
За інформацією Держспецзв'язку