Постановою КМУ від 17 грудня 2025 р. № 1668 затверджено Порядок здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту. Порядок визначає механізм здійснення та форми заходів державного контролю за додержанням вимог законодавства у сфері кіберзахисту, процедури проведення перевірок додержання вимог законодавства у сфері кіберзахисту, права та обов’язки сторін під час здійснення зазначених заходів, а також вимоги до оформлення результатів перевірок. Це сприятиме наближенню практики контролю до стандартів Європейського Союзу, зокрема Директиви (ЄС) 2022/2555 (NIS2), та запровадженню єдиного підходу до державного контролю (інспекційної діяльності) у сфері кіберзахисту.
Перевіркам підлягатимуть органи державної влади, державні органи, органи місцевого самоврядування, утворені відповідно до закону військові формування, підприємства, установи, організації, які є власниками або розпорядниками інформаційних, електронних комунікаційних, інформаційно-комунікаційних та технологічних систем, в яких обробляються державні інформаційні ресурси або інформація, вимога щодо захисту якої встановлена законом, оператори критичної інфраструктури, власники або розпорядники об’єктів критичної інформаційної інфраструктури.
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 17 грудня 2025 р. № 1668
ПОРЯДОК
здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту
Загальна частина
1. Цей Порядок визначає механізм здійснення та форми заходів державного контролю за додержанням вимог законодавства у сфері кіберзахисту, процедури проведення перевірок додержання вимог законодавства у сфері кіберзахисту (далі — перевірка), права та обов’язки сторін під час здійснення зазначених заходів, а також вимоги до оформлення результатів перевірок.
Дія цього Порядку не поширюється на Національний банк, банки, інші установи та осіб, що провадять діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, а також на операторів платіжних систем, їх учасників та технологічних операторів платіжних послуг.
2. У цьому Порядку терміни вживаються у такому значенні:
відомості державного контролю — будь-які фактичні дані, отримані під час здійснення заходів державного контролю відповідно до законодавства, на підставі яких встановлюється наявність чи відсутність фактів та обставин, що мають значення під час проведення перевірок, складання актів за їх результатами, під час прийняття рішень на підставі актів перевірок щодо застосування заходів примусу та у процесі оскарження результатів таких перевірок;
методика здійснення заходу державного контролю за додержанням вимог законодавства у сфері кіберзахисту (далі — методика здійснення заходу державного контролю) — сукупність питань, що є предметом здійснення контролю, та підходів до їх розгляду, що визначаються залежно від форми заходу державного контролю, передбаченого цим Порядком, а також підходи до визначення рекомендацій щодо усунення виявлених недоліків та заходів, що мають бути виконані для підвищення рівня кіберзахисту на об’єкті контролю за результатами моніторингу, або визначення вимог про усунення виявлених порушень за результатами перевірки. Методика здійснення заходу державного контролю затверджується Адміністрацією Держспецзв’язку.
Інші терміни вживаються у значенні, наведеному в Законах України “Про основні засади забезпечення кібербезпеки України”, “Про критичну інфраструктуру”, “Про захист інформації в інформаційно-комунікаційних системах”, “Про Державну службу спеціального зв’язку та захисту інформації України”, “Про основні засади державного нагляду (контролю) у сфері господарської діяльності”, Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, затвердженого постановою Кабінету Міністрів України від 18 червня 2025 р. № 712 “Деякі питання захисту інформаційних, електронних комунікаційних, інформаційно- комунікаційних, технологічних систем” (Офіційний вісник України, 2025 р., № 57, ст. 3921).
3. Суб’єктами державного контролю за додержанням вимог законодавства у сфері кіберзахисту (далі — суб’єкти державного контролю) є органи державної влади, державні органи, органи місцевого самоврядування, утворені відповідно до закону військові формування, підприємства, установи, організації, які є власниками або розпорядниками інформаційних, електронних комунікаційних, інформаційно-комунікаційних та технологічних систем, в яких обробляються державні інформаційні ресурси або інформація, вимога щодо захисту якої встановлена законом, оператори критичної інфраструктури, власники або розпорядники об’єктів критичної інформаційної інфраструктури.
4. Об’єктами державного контролю за додержанням вимог законодавства у сфері кіберзахисту є інформаційні, електронні комунікаційні, інформаційно-комунікаційні та технологічні системи, в яких обробляються державні інформаційні ресурси або інформація, вимога щодо захисту якої встановлена законом, об’єкти критичної інфраструктури, об’єкти критичної інформаційної інфраструктури, процеси та процедури, що забезпечують реалізацію дотримання законодавчих вимог щодо кіберзахисту в системах суб’єктів державного контролю.
5. Державний контроль за додержанням вимог законодавства у сфері кіберзахисту здійснюється Адміністрацією Держспецзв’язку та її територіальними органами шляхом здійснення заходів державного контролю у формі моніторингу стану кіберзахисту та перевірок, метою яких є встановлення стану додержання вимог законодавства у сфері кіберзахисту, виявлення недоліків або порушень вимог законодавства у сфері кіберзахисту, надання рекомендацій та вимог щодо усунення таких порушень і запобігання таким порушенням.
Проведення моніторингу стану кіберзахисту
6. Моніторинг стану кіберзахисту передбачає здійснення збору та аналізу звітів про результати оцінювання стану кіберзахисту, які складаються відповідно до Порядку оцінювання стану кіберзахисту інформаційних, електронних комунікаційних та інформаційно- комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інфраструктури, об’єктів критичної інформаційної інфраструктури (крім систем та об’єктів банків), передбаченого частиною третьою статті 5 Закону України “Про основні засади забезпечення кібербезпеки України” (далі — звіти про оцінювання).
7. Подання звітів про оцінювання суб’єктами державного контролю для цілей моніторингу стану кіберзахисту здійснюється посадовою особою суб’єкта державного контролю з використанням інформаційної системи моніторингу стану кіберзахисту, функціонування якої забезпечується Адміністрацією Держспецзв’язку.
Власником (розпорядником) інформаційної системи моніторингу стану кіберзахисту є держава в особі Адміністрації Держспецзв’язку.
Користувачами інформаційної системи моніторингу стану кіберзахисту є суб’єкти державного контролю.
Положення про функціонування інформаційної системи моніторингу стану кіберзахисту затверджується Адміністрацією Держспецзв’язку.
До створення та початку функціонування інформаційної системи моніторингу стану кіберзахисту або у разі неможливості її використання (призупинення роботи) більш ніж на одну добу надсилання звітів про оцінювання здійснюється на адресу Адміністрації Держспецзв’язку:
з використанням системи електронної взаємодії органів виконавчої влади;
рекомендованим листом з повідомленням про вручення;
з використанням електронної пошти.
У разі коли звіти про оцінювання містять інформацію з обмеженим доступом, їх надсилання здійснюється з дотриманням встановлених правил роботи з документами, які містять інформацію з обмеженим доступом.
Робота з відомостями та документами, які містять інформацію з обмеженим доступом, проводиться відповідно до Законів України “Про доступ до публічної інформації” і “Про державну таємницю”, Порядку організації та забезпечення режиму секретності в державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затвердженого постановою Кабінету Міністрів України від 18 грудня 2013 р. № 939, Типової інструкції про порядок ведення обліку, зберігання, використання і знищення документів та інших матеріальних носіїв інформації, що містять службову інформацію, затвердженої постановою Кабінету Міністрів України від 19 жовтня 2016 р. № 736 (Офіційний вісник України, 2016 р., № 85, ст. 2783), та цього Порядку.
Факсимільне відтворення підпису керівника суб’єкта державного контролю або особи, що його заміщає, за допомогою засобів механічного або іншого копіювання на зазначених документах не допускається.
За результатами аналізу звітів про оцінювання суб’єктів державного контролю Адміністрація Держспецзв’язку та її територіальні органи подають суб’єкту державного контролю рекомендації щодо усунення недоліків, виявлених під час здійснення заходів з оцінювання стану кіберзахисту.
8. Результати моніторингу стану кіберзахисту враховуються Адміністрацією Держспецзв’язку під час основного (виконавчого) та заключного (підсумкового) етапів огляду стану кіберзахисту критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, що здійснюється відповідно до Порядку проведення огляду стану кіберзахисту критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, затвердженого постановою Кабінету Міністрів України від 11 листопада 2020 р. № 1176 (Офіційний вісник України, 2020 р., № 98, ст. 3187).
9. Під час проведення моніторингу стану кіберзахисту Адміністрація Держспецзв’язку може письмово запитувати у суб’єктів державного контролю інформацію та документи в паперовій або електронній формі, що підтверджують фактичний стан виконання вимог законодавства у сфері кіберзахисту в разі:
підготовки до проведення перевірки;
відсутності у звіті про оцінювання підтвердження здійснення заходів з кіберзахисту.
Суб’єкти державного контролю зобов’язані подати Адміністрації Держспецзв’язку запитувану інформацію та документи в паперовій або електронній формі у строк не пізніше 30 календарних днів з дня отримання відповідного запиту.
Невиконання вимоги щодо подання інформації та документів у паперовій або електронній формі тягне за собою накладення на посадових осіб суб’єкта державного контролю адміністративного стягнення.
Проведення перевірки
10. Перевірка є заходом державного контролю за додержанням вимог законодавства у сфері кіберзахисту, що здійснюється комісією, яка складається із посадових осіб Адміністрації Держспецзв’язку та/або її територіальних органів. У рамках підготовки до проведення перевірки Адміністрація Держспецзв’язку та/або її територіальний орган може запитувати звіти про оцінювання, інформацію та документи в паперовій або електронній формі, що стосуються об’єкта перевірки.
Голова комісії визначається Головою Держспецзв’язку або одним з його заступників, керівником територіального органу Адміністрації Держспецзв’язку, особою, що виконує його обов’язки, з числа посадових
осіб структурного підрозділу Адміністрації Держспецзв’язку та/або її територіального органу, на яких покладено виконання функцій щодо здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту. Інформація про це зазначається у посвідченні (направленні) про здійснення заходу державного контролю за додержанням вимог законодавства у сфері кіберзахисту (далі — посвідчення (направлення).
Членами комісії, що мають здійснювати заходи з державного контролю за додержанням вимог законодавства у сфері кіберзахисту, можуть бути посадові особи Адміністрації Держспецзв’язку або її територіального органу, що визначені наказом Адміністрації Держспецзв’язку і мають обов’язки, визначені частиною другою статті 8 Закону України “Про основні засади державного нагляду (контролю) у сфері господарської діяльності”. Комісія складається не менш як з трьох осіб.
До здійснення заходів державного контролю за додержанням вимог законодавства у сфері кіберзахисту за рішенням Адміністрації Держспецзв’язку можуть залучатися фахівці інших підрозділів Держспецзв’язку, а також органів державної влади, державних органів, органів місцевого самоврядування, суб’єктів забезпечення кібербезпеки за погодженням з їх керівниками.
11. Перевірки проводяться у формі планових та позапланових перевірок. Строк проведення планової та позапланової перевірки в органах державної влади, державних органах, органах місцевого самоврядування, військових формуваннях, утворених відповідно до законів, на підприємствах, в установах, організаціях державної та комунальної форми власності не може перевищувати 14 робочих днів. Для всіх інших суб’єктів державного контролю строк проведення планової та позапланової перевірки не може перевищувати 10 робочих днів.
12. Підставою проведення планової перевірки є річний план здійснення заходів державного контролю за додержанням вимог законодавства у сфері кіберзахисту, який затверджується Головою Держспецзв’язку або одним з його заступників не пізніше 1 грудня року, що передує плановому, та оприлюднюється на офіційному веб-сайті Держспецзв’язку.
Планова перевірка проводиться щодо одного суб’єкта державного контролю не частіше ніж раз на два роки.
Про проведення планової перевірки суб’єкт державного контролю повідомляється листом у паперовій або електронній формі не пізніше ніж за десять робочих днів до дати її початку.
Адміністрація Держспецзв’язку готує щороку до 1 квітня узагальнений звіт про результати проведення моніторингу стану кіберзахисту та виконання річного плану здійснення заходів державного контролю за додержанням вимог законодавства у сфері кіберзахисту, відкрита інформація з якого оприлюднюється на офіційному веб-сайті Держспецзв’язку.
13. Підставами проведення позапланової перевірки є:
1) звернення власника або розпорядника об’єкта державного контролю до Адміністрації Держспецзв’язку про необхідність проведення перевірки;
2) повідомлення органу державної влади, державного органу, правоохоронного або контррозвідувального органу, який під час здійснення своїх повноважень, визначених законодавством, встановив ознаки порушення вимог законодавства у сфері кіберзахисту, в тому числі ознаки порушення Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, затвердженого постановою Кабінету Міністрів України від 18 червня 2025 р. № 712;
3) неподання суб’єктом державного контролю Адміністрації Держспецзв’язку або її територіальному органу в установлені законодавством строки інформації про:
здійснення суб’єктом державного контролю щорічного оцінювання стану кіберзахисту відповідно до порядку оцінювання стану кіберзахисту інформаційних, електронних комунікаційних та інформаційно- комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інфраструктури, об’єктів критичної інформаційної інфраструктури (крім систем та об’єктів банків), передбаченого частиною третьою статті 5 Закону України “Про основні засади забезпечення кібербезпеки України”, для проведення моніторингу відповідно до цього Порядку;
проведення суб’єктом державного контролю планової або позапланової авторизації з безпеки системи відповідно до Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, затвердженого постановою Кабінету Міністрів України від 18 червня 2025 р. № 712;
проведення суб’єктом державного контролю оцінювання поточного стану кіберзахисту на підставі рекомендацій, поданих у встановленому законодавством порядку національною командою реагування на кіберінциденти, кібератаки, кіберзагрози (CERT-UA) або відповідною галузевою/регіональною командою реагування на кіберінциденти, кібератаки, кіберзагрози (CSIRT) у рамках функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози;
невиконання в установлені строки вимог, визначених в акті складеному, за результатами перевірки.
Рішення про проведення позапланової перевірки приймається Головою Держспецзв’язку або одним з його заступників.
Про проведення позапланової перевірки суб’єкт державного контролю повідомляється листом у паперовій або електронній формі за три робочих дні до дати її проведення.
Під час проведення позапланової перевірки з’ясовуються лише ті питання, необхідність перевірки яких стала підставою для її проведення, з обов’язковим зазначенням таких питань у посвідченні (направленні).
14. Планова та позапланова перевірка проводиться відповідно до посвідчення (направлення), яке є документальною підставою для проведення перевірки, що затверджується Головою Держспецзв’язку або одним з його заступників, керівником територіального органу Адміністрації Держспецзв’язку (особою, що виконує його обов’язки), документів, що засвідчують осіб, які прибули для проведення перевірки, а також за необхідності довідок про наявність допуску до державної таємниці за встановленою формою.
У посвідченні (направленні) зазначається інформація, визначена частиною третьою статті 7 Закону України “Про основні засади державного нагляду (контролю) у сфері господарської діяльності”.
15. Посвідчення (направлення) пред’являється у перший робочий день проведення перевірки головою комісії керівнику суб’єкта державного контролю або особі, що виконує його обов’язки.
У разі відсутності голови комісії посвідчення (направлення) пред’являється членом комісії керівнику суб’єкта державного контролю або особі, що виконує його обов’язки.
Керівник суб’єкта державного контролю або особа, що виконує його обов’язки, повинен ознайомитися з посвідченням (направленням) та засвідчити факт ознайомлення шляхом накладення особистого підпису у відповідній графі посвідчення (направлення), що вважається документом, на підставі якого можна почати проведення перевірки.
У разі відмови про ознайомлення з посвідченням (направленням) керівник суб’єкта державного контролю або особа, що виконує його обов’язки, може бути притягнута до адміністративної або іншої відповідальності відповідно до закону.
16. Планова та позапланова перевірка проводиться у присутності керівника з кіберзахисту або відповідальної особи, яка виконує функції та завдання керівника з кіберзахисту суб’єкта державного контролю.
У разі відсутності керівника з кіберзахисту або відповідальної особи, яка виконує функції та завдання керівника з кіберзахисту, перевірка проводиться у присутності керівника суб’єкта державного контролю або іншої уповноваженої особи, визначеної керівником суб’єкта державного контролю.
17. Посадові особи Адміністрації Держспецзв’язку та її територіальних органів, що є членами комісії та діють відповідно до посвідчення (направлення), під час проведення перевірки мають право:
1) ознайомлюватися з усіма документами та матеріалами, необхідними для проведення перевірки;
2) подавати письмові запити та отримувати інформацію, документи в паперовій та електронній формі, у тому числі з обмеженим доступом з дотриманням встановлених правил роботи з документами, які містять інформацію з обмеженим доступом, копії необхідних документів, письмові та усні пояснення посадових осіб з питань, що безпосередньо пов’язані із здійсненням заходів державного контролю;
3) отримувати доступ з дотриманням вимог законодавства у сфері охорони державної таємниці до території, будівлі, споруди, приміщення, робочого місця тощо, якщо такий доступ безпосередньо пов’язаний з об’єктом перевірки, з урахуванням методики здійснення заходу державного контролю;
4) проводити планову та позапланову перевірку суб’єкта державного контролю відповідно до вимог цього Порядку та методики здійснення заходу державного контролю, зокрема перевіряти документи та відомості, що стали підставою для проведення перевірки, з дотриманням встановлених правил роботи з документами, які містять інформацію з обмеженим доступом, отримувати відомості державного контролю, документувати та фіксувати засобами аудіо- та відеотехніки факт порушення вимог нормативно-правових актів із кіберзахисту;
5) здійснювати опитування посадових осіб суб’єкта державного контролю, тестування та/або випробування впроваджених заходів кіберзахисту з урахуванням методики здійснення заходів державного контролю;
6) перевіряти дотримання нормативно-правових актів щодо використання засобів технічного та криптографічного захисту інформації (зокрема у частині відповідності базовому та цільовому профілям безпеки, що затверджені в установленому законодавством порядку), а також програмного забезпечення, що виконує функції захисту інформації і використовується в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах суб’єктів контролю та на об’єктах критичної інформаційної інфраструктури (зокрема щодо відсутності їх у переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання);
7) складати акт перевірки за результатами її проведення;
8) складати протоколи про адміністративні правопорушення, отримувати персональні дані та інші дані, необхідні для складання такого протоколу;
9) складати за результатами перевірки припис суб’єкту державного контролю із зазначенням вимог щодо усунення встановлених порушень законодавства, а також граничних строків виконання таких вимог;
10) ініціювати призначення службових розслідувань щодо посадових осіб суб’єкта державного контролю для з’ясування причин та умов виникнення порушення вимог законодавства.
Суб’єкт державного контролю зобов’язаний подати комісії запитувану інформацію, що необхідна для проведення перевірки, у строк, що не перевищує трьох робочих днів.
18. Акт про результати перевірки оформлюється відповідно до уніфікованої форми, затвердженої Адміністрацією Держспецзв’язку.
До акта про результати перевірки за наявності додаються пояснення керівника суб’єкта державного контролю або особи, яка виконує його обов’язки.
19. Акт про результати перевірки складається у двох примірниках, які підписуються головою та членами комісії.
Перший примірник акта про результати перевірки надається суб’єкту державного контролю, другий — зберігається в Адміністрації Держспецзв’язку.
У разі проведення планової або позапланової перевірки територіальним органом Адміністрації Держспецзв’язку додатково складається третій примірник акта про проведення перевірки, який у п’ятиденний строк надсилається до Адміністрації Держспецзв’язку.
20. Факт ознайомлення з актом про результати перевірки керівник суб’єкта державного контролю або особа, яка виконує його обов’язки, засвідчує власним підписом. Якщо керівник суб’єкта державного контролю або особа, яка виконує його обов’язки, не погоджується з результатами перевірки, викладеними в акті про результати перевірки, він підписує такий акт із зауваженнями. Зауваження є невід’ємною частиною акта про результати перевірки.
У разі відмови керівника суб’єкта державного контролю або особи, яка виконує його обов’язки, засвідчити своїм підписом факт ознайомлення з актом про результати перевірки, голова комісії робить у такому акті запис “відмовлено в підписанні”, який засвідчується підписом голови та членів комісії.
21. Вимоги щодо приведення стану кіберзахисту у відповідність з нормами та вимогами, встановленими нормативно-правовими актами, викладені в акті про результати перевірки, є обов’язковими для виконання суб’єктом державного контролю.
Про результати виконання таких вимог суб’єкт державного контролю повідомляє Адміністрацію Держспецзв’язку або її територіальний орган у визначений в акті про результати перевірки строк. У разі неможливості своєчасного виконання таких вимог суб’єкт державного контролю письмово звертається до Адміністрації Держспецзв’язку або її територіального органу стосовно продовження строків виконання таких вимог з відповідним обґрунтуванням.
22. У разі виявлення за результатами перевірки ознак порушення вимог законодавства у сфері кіберзахисту, які є умовою для реалізації загрози безпечного функціонування відповідної інформаційної, електронної комунікаційної, інформаційно-комунікаційної системи, об’єкта критичної інфраструктури, об’єкта критичної інформаційної інфраструктури або технологічної системи суб’єкта державного контролю, або можуть призвести до завдання шкоди інтересам України, Адміністрація Держспецзв’язку має право порушувати перед відповідними державними та/або правоохоронними органами питання про проведення перевірки наявності ознак кримінальних правопорушень у діяльності суб’єктів державного контролю, або про порушення дисциплінарних проваджень за наявності ознак невиконання або неналежного виконання посадових обов’язків у частині виконання функцій та завдань з кіберзахисту у суб’єкта державного контролю.
Посадові особи Адміністрації Держспецзв’язку та її територіальних органів мають право складати протоколи про адміністративні правопорушення та надсилати до суду матеріали про адміністративні правопорушення.
23. Суб’єкт державного контролю забезпечує:
надання на запит голови комісії всіх необхідних для проведення перевірки документів та інформації в паперовій та електронній формі, зокрема з обмеженим доступом, з дотриманням встановлених правил роботи з документами, які містять інформацію з обмеженим доступом, копії необхідних документів, письмових та усних пояснень відповідних посадових осіб з питань, що безпосередньо пов’язані із здійсненням заходів державного контролю за додержанням вимог законодавства у сфері кіберзахисту;
доступ комісії до об’єктів, що підлягають перевірці;
безперешкодне збирання відомостей державного контролю;
надання на запит комісії необхідних персональних та інших даних для складання протоколу про адміністративне правопорушення.