Постановою КМУ від 13 листопада 2025 р. № 1471 затверджено Порядок взаємодії суб’єктів національної системи реагування на кіберінциденти, кібератаки та кіберзагрози. Цей документ детально описує механізм співпраці між основними командами реагування (такими як CERT-UA та CSIRT) та різними державними органами, включаючи правоохоронні, розвідувальні та контррозвідувальні структури.
Порядок встановлює правила обміну інформацією, критерії інформування про значні кіберінциденти (наприклад, СБУ, Національну поліцію, НАБУ), а також процедури проведення спільних заходів для локалізації загроз і розслідування. Взаємодія здійснюється в рамках національної системи реагування та системи обміну інформацією, з урахуванням вимог законодавства про захист інформації та кіберзахист. Документ також регулює участь цих суб’єктів у міжвідомчих групах для координації дій у кризових ситуаціях кібербезпеки.
Кабінет Міністрів України
Постанова
від 13 листопада 2025 р. № 1471
Київ
Про затвердження Порядку взаємодії суб’єктів національної системи реагування на кіберінциденти, кібератаки, кіберзагрози із суб’єктами забезпечення кібербезпеки, правоохоронними, контррозвідувальними, розвідувальними органами та суб’єктами оперативно-розшукової діяльності
Відповідно до частини третьої статей 5 і 9 Закону України “Про основні засади забезпечення кібербезпеки України” Кабінет Міністрів України постановляє:
Затвердити Порядок взаємодії суб’єктів національної системи реагування на кіберінциденти, кібератаки, кіберзагрози із суб’єктами забезпечення кібербезпеки, правоохоронними, контррозвідувальними, розвідувальними органами та суб’єктами оперативно-розшукової діяльності, що додається.
Прем’єр-міністр України Ю. СВИРИДЕНКО
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 13 листопада 2025 р. № 1471
ПОРЯДОК
взаємодії суб’єктів національної системи реагування на кіберінциденти, кібератаки, кіберзагрози із суб’єктами забезпечення кібербезпеки, правоохоронними, контррозвідувальними, розвідувальними органами та суб’єктами оперативно-розшукової діяльності
1. Цей Порядок визначає механізм взаємодії:
- національної команди реагування на кіберінциденти, кібератаки, кіберзагрози (CERT-UA) з правоохоронними, розвідувальними та контррозвідувальними органами, суб’єктами оперативно-розшукової діяльності;
- галузевих та регіональних команд реагування на кіберінциденти, кібератаки, кіберзагрози (CSIRT) з правоохоронними, розвідувальними та контррозвідувальними органами, суб’єктами оперативно-розшукової діяльності, іншими суб’єктами національної системи реагування на кіберінциденти, кібератаки, кіберзагрози;
- Національної поліції, СБУ з іншими суб’єктами національної системи реагування на кіберінциденти, кібератаки, кіберзагрози.
2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України “Про основні засади забезпечення кібербезпеки України”, “Про критичну інфраструктуру”, “Про захист інформації в інформаційно- комунікаційних системах”, “Про Державну службу спеціального зв’язку та захисту інформації України”, “Про оперативно-розшукову діяльність”, “Про розвідку” та Кримінальному процесуальному кодексі України.
3. Взаємодія суб’єктів національної системи реагування на кіберінциденти, кібератаки, кіберзагрози із суб’єктами забезпечення кібербезпеки здійснюється в рамках функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози (далі — національна система реагування) та національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози (далі — національна система обміну інформацією) відповідно до процедур, визначених національним планом реагування на кіберінциденти, кібератаки, кіберзагрози, затвердженим Кабінетом Міністрів України, та порядку обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, визначеного Адміністрацією Держспецзв’язку (далі — порядок обміну інформацією).
4. Взаємодія галузевих та регіональних команд реагування на кіберінциденти, кібератаки, кіберзагрози (CSIRT) із національною командою реагування на кіберінциденти, кібератаки, кіберзагрози (CERT-UA) та приватних команд реагування на кіберінциденти, кібератаки, кіберзагрози з іншими суб’єктами національної системи реагування здійснюється в порядку, встановленому Адміністрацією Держспецзв’язку.
5. Взаємодія суб’єктів національної системи реагування з правоохоронними, контррозвідувальними, розвідувальними органами та суб’єктами оперативно-розшукової діяльності здійснюється шляхом:
- обміну інформацією про кіберінциденти, кібератаки, кіберзагрози;
- проведення спільних заходів під час реагування на кіберінциденти, кібератаки, кіберзагрози;
- надання та отримання в установленому законодавством порядку доступу до технічних та інших деталей кіберінциденту чи кібератаки (відомостей про кіберінцидент чи кібератаку) для проведення слідчих (розшукових) дій, контррозвідувальних або оперативно-розшукових заходів;
- функціонування міжвідомчих груп із реагування на кіберінциденти, кібератаки, кіберзагрози або кризову ситуацію у сфері кібербезпеки.
6. Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози (CERT-UA), галузеві та регіональні команди реагування на кіберінциденти, кібератаки, кіберзагрози (CSIRT) в рамках функціонування національної системи реагування та національної системи обміну інформацією невідкладно інформують:
- Національний координаційний центр кібербезпеки — про всі значні кіберінциденти та кібератаки;
- СБУ — про значні кіберінциденти, кібератаки, кіберзагрози, виявлені або потенційні вразливості інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, а також об’єктів критичної інформаційної інфраструктури;
- Національну поліцію — про значні кіберінциденти та кібератаки щодо об’єктів критичної інформаційної інфраструктури;
розвідувальний орган згідно з його компетенцією — про зовнішні кіберзагрози, спрямовані проти національної безпеки, в яких виявлено ознаки дій або потенційних можливостей іноземних держав, організацій та осіб; - Державне бюро розслідувань — про кіберінциденти та кібератаки, якщо в ході реагування на них отримано ознаки кримінальних правопорушень, віднесених до підслідності Державного бюро розслідувань;
- Національне антикорупційне бюро — про кіберінциденти та кібератаки, якщо в ході реагування на них виявлено ознаки кримінальних
правопорушень, віднесених до підслідності Національного антикорупційного бюро; - БЕБ — про кіберінциденти, кібератаки, кіберзагрози, якщо в ході реагування на них виявлено ознаки кримінальних правопорушень, віднесених до підслідності БЕБ.
Критерії віднесення кіберінциденту до значного визначає Адміністрація Держспецзв’язку.
7. СБУ в межах повноважень, визначених законодавством, інформує інших суб’єктів національної системи реагування про актуальні кіберзагрози у сфері державної безпеки та взаємодіє з ними під час реагування на кіберінциденти, кібератаки, кіберзагрози з урахуванням особливостей, встановлених законодавством у зазначеній сфері.
Національна поліція в межах повноважень, визначених законодавством, інформує інших суб’єктів національної системи реагування про організацію, сили, засоби, методи, тактику дій злочинних угрупувань, що стали відомими в ході оперативно-розшукової діяльності та під час обміну інформацією з правоохоронними органами іноземних держав та міжнародними правоохоронними органами, правоохоронними і спеціальними службами інших держав та/або міжнародними правоохоронними організаціями.
Розвідувальні органи в межах повноважень, визначених законодавством, інформують суб’єктів національної системи реагування про зовнішні загрози національній безпеці у кіберпросторі, технічні розвідки іноземних держав, які діють у кіберпросторі, інші події і обставини, що стосуються сфери кібербезпеки.
8. Обмін інформацією про кіберінциденти, кібератаки, кіберзагрози здійснюється за умови дотримання вимог законодавства у сферах захисту інформації та кіберзахисту з урахуванням загальних правил обміну інформацією про кіберінциденти, кібератаки, кіберзагрози (протокол TLP), визначених Адміністрацією Держспецзв’язку.
9. Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози (CERT-UA), галузеві та регіональні команди реагування на кіберінциденти, кібератаки, кіберзагрози (CSIRT) проводять з правоохоронними, контррозвідувальними, розвідувальними органами та суб’єктами оперативно-розшукової діяльності спільні заходи під час реагування на кіберінциденти та кібератаки у разі необхідності здійснення ними своїх повноважень, визначених законом, зокрема спільне технічне дослідження кіберінциденту та кібератаки, аналіз обставин їх виникнення, збір технічних даних із скомпрометованих або уражених інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем та їх дослідження, а також збирання, фіксацію та збереження відомостей в електронній формі.
Організацію спільних заходів під час реагування на кіберінциденти та кібератаки забезпечує національна команда реагування на кіберінциденти, кібератаки, кіберзагрози (CERT-UA) або відповідна галузева та регіональна команда реагування на кіберінциденти, кібератаки, кіберзагрози (CSIRT).
Такі спільні заходи проводяться з урахуванням вимог кримінального процесуального законодавства та законодавства про контррозвідувальну діяльність та необхідності забезпечення для національної команди реагування на кіберінциденти, кібератаки, кіберзагрози (CERT-UA) або відповідної галузевої та регіональної команди реагування на кіберінциденти, кібератаки, кіберзагрози (CSIRT) безперервності реагування на кіберінциденти та кібератаки.
10. Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози (CERT-UA), галузеві та регіональні команди реагування на кіберінциденти, кібератаки, кіберзагрози (CSIRT) в установленому законодавством порядку надають правоохоронним органам та суб’єктам оперативно-розшукової діяльності доступ до технічних та інших деталей кіберінциденту чи кібератаки (відомостей про кіберінцидент чи кібератаку) з метою здійснення ними своїх повноважень, визначених законом.
11. Суб’єкти національної системи реагування та правоохоронні, контррозвідувальні, розвідувальні органи та суб’єкти оперативно- розшукової діяльності в межах повноважень, визначених законодавством, здійснюють взаємодію в межах функціонування міжвідомчих груп із реагування на кіберінциденти, кібератаки, кіберзагрози або кризову ситуацію у сфері кібербезпеки, зокрема в межах постійно діючої Об’єднаної групи реагування на кіберінциденти, кібератаки, кіберзагрози.
Взаємодія в межах функціонування міжвідомчих груп передбачає:
- обмін інформацією, технічними даними та результатами досліджень щодо кіберінцидентів, кібератак, кіберзагроз;
- узгодження та координацію дій з локалізації та нейтралізації кіберінцидентів та кібератак, усунення їх наслідків;
- визначення необхідності залучення додаткових ресурсів (фінансових, матеріально-технічних, людських тощо) суб’єктів національної системи реагування або міжнародних партнерів;
- проведення аналізу отриманої інформації, розроблення рекомендацій і пропозицій щодо подальших заходів реагування.