Про затвердження Порядку ведення Реєстру об’єктів критичної інфраструктури, включення таких об’єктів до Реєстру, доступу та надання інформації з нього
Відповідно до частини п’ятої статті 11 Закону України “Про критичну інфраструктуру” Кабінет Міністрів України постановляє:
1. Затвердити Порядок ведення Реєстру об’єктів критичної інфраструктури, включення таких об’єктів до Реєстру, доступу та надання інформації з нього, що додається.
2. Установити, що під час воєнного стану, а також протягом дванадцяти місяців після його припинення чи скасування:
безпосередній доступ до інформації, що міститься в Реєстрі об’єктів критичної інфраструктури (далі - Реєстр), в тому числі до інформації, яка розміщується на офіційному веб-сайті уповноваженого органу у сфері захисту критичної інфраструктури України, є обмеженим;
інформація з Реєстру надається посадовим/службовим особам суб’єктів національної системи захисту критичної інфраструктури за суб’єктом права чи за об’єктом критичної інфраструктури за письмовим запитом до Адміністрації Державної служби спеціального зв’язку та захисту інформації.
3. Міністерствам та іншим центральним органам виконавчої влади, визначеним відповідальними за забезпечення формування та реалізацію державної політики у сфері захисту критичної інфраструктури в окремому секторі критичної інфраструктури, протягом місяця з дня набрання чинності цією постановою подати до Адміністрації Державної служби спеціального зв’язку та захисту інформації відомості про об’єкти критичної інфраструктури, віднесені до I та II категорії критичності.
4. Адміністрації Державної служби спеціального зв’язку та захисту інформації під час воєнного стану, а також протягом дванадцяти місяців після його припинення чи скасування з дня набрання чинності цією постановою забезпечити:
функціонування, формування і ведення Реєстру в автоматизованій системі, що забезпечує роботу як одномашинний однокористувачевий комплекс, який обробляє інформацію однієї або кількох ступенів обмеження доступу;
внесення відомостей про об’єкти критичної інфраструктури до Реєстру.
ПОРЯДОК
ведення Реєстру об’єктів критичної інфраструктури, включення таких об’єктів до Реєстру, доступу та надання інформації з нього
1. Цей Порядок визначає процедури формування і ведення Реєстру об’єктів критичної інфраструктури (далі - Реєстр), включення об’єктів критичної інфраструктури до Реєстру, внесення до нього інформації про об’єкти критичної інфраструктури та їх виключення, доступу та надання інформації з Реєстру.
2. У цьому Порядку під терміном “власник об’єкта критичної інфраструктури” розуміється юридична особа будь-якої форми власності або фізична особа - підприємець, якій на праві власності належить об’єкт критичної інфраструктури.
Інші терміни вживаються у значенні, наведеному у Законах України “Про інформацію”, “Про захист інформації в інформаційно-комунікаційних системах”, “Про основні засади забезпечення кібербезпеки України”, “Про доступ до публічної інформації”, “Про критичну інфраструктуру”, “Про публічні електронні реєстри”, “Про електронні довірчі послуги”.
узгодження дій суб’єктів національної системи захисту критичної інфраструктури, які приймаються на національному рівні;
функціонування системи обміну інформацією між суб’єктами національної системи захисту критичної інфраструктури;
здійснення оцінки захищеності об’єктів критичної інфраструктури;
створення бази даних щодо загроз і вразливостей критичній інфраструктурі;
підготовки та надання уповноваженим органом у сфері захисту критичної інфраструктури України висновків/рекомендацій власнику/оператору критичної інфраструктури;
забезпечення паспортизації та захисту об’єктів критичної інфраструктури;
проведення аналізу інформації, яка обробляється в Реєстрі.
4. Реєстр забезпечує включення, оброблення, виключення, захист, відображення та надання інформації про найбільш важливу для життєдіяльності суспільства та держави критичну інфраструктуру, щодо якої встановлюються особливі вимоги із забезпечення її безпеки та стійкості, здійснюється моніторинг їх дотримання.
Власником Реєстру є держава в особі уповноваженого органу у сфері захисту критичної інфраструктури України.
5. Держателем та адміністратором Реєстру є уповноважений орган у сфері захисту критичної інфраструктури України, який здійснює облік, узагальнення, систематизацію, аналіз та надання інформації, яка подається секторальним органом, включення об’єкта критичної інфраструктури до Реєстру, внесення інформації про об’єкт до Реєстру та/або виключення інформації з Реєстру, внесення змін до відомостей, що містяться в Реєстрі, здійснює інші повноваження, пов’язані з веденням Реєстру для забезпечення його функціонування.
6. Користувачами Реєстру є суб’єкти національної системи захисту критичної інфраструктури.
Посадовим/службовим особам суб’єктів національної системи захисту критичної інфраструктури у зв’язку із здійсненням ними повноважень, передбачених Законом України “Про критичну інфраструктуру”, інформація з Реєстру надається за суб’єктом права чи за об’єктом критичної інфраструктури в електронній формі шляхом безпосереднього доступу до Реєстру за умови ідентифікації відповідної посадової/службової особи відповідно до вимог Закону України “Про електронні довірчі послуги”.
7. Реєстр формується і ведеться уповноваженим органом у сфері захисту критичної інфраструктури України.
8. Обробка інформації в Реєстрі здійснюється відповідно до вимог Законів України “Про захист інформації в інформаційно-комунікаційних системах”, “Про захист персональних даних”, “Про основні засади забезпечення кібербезпеки України”, “Про державну таємницю”.
9. Інформація, що міститься в Реєстрі, є державним інформаційним ресурсом. Інформація про об’єкти критичної інфраструктури, що міститься в Реєстрі, є відкритою, загальнодоступною та безоплатною, крім інформації з обмеженим доступом.
10. Реєстр ведеться в електронній формі. Мовою ведення Реєстру є державна мова.
11. До Реєстру вносяться відомості про:
секторальний орган, який подає інформацію;
оператора критичної інфраструктури;
документ, на підставі якого ідентифіковано та категоризовано об’єкт критичної інфраструктури;
об’єкт критичної інфраструктури;
погодження (перегляд) паспорта безпеки на об’єкт критичної інфраструктури.
12. До відкритої інформації у Реєстрі віднесена інформація про:
секторальний орган, який подав інформацію до Реєстру;
найменування (прізвище, власне ім’я, по батькові (за наявності), місцезнаходження (адреса) та код згідно з ЄДРПОУ (РНОКПП - за наявності) оператора критичної інфраструктури, форму власності, країну реєстрації, КВЕД основної діяльності;
кінцевого бенефіціарного власника/контролера;
реєстровий номер об’єкта критичної інфраструктури;
дату внесення інформації про об’єкт критичної інфраструктури до Реєстру вперше.
13. До інформації з обмеженим доступом у Реєстрі віднесена інформація про об’єкт критичної інфраструктури, а саме:
назва об’єкта критичної інфраструктури;
дата останнього оновлення інформації про об’єкт критичної інфраструктури в Реєстрі;
дата затвердження паспорта безпеки на об’єкт критичної інфраструктури;
адреса місцезнаходження об’єкта критичної інфраструктури, кадастровий (кадастрові) номер (номери);
найменування (прізвище, власне ім’я, по батькові (за наявності), місцезнаходження (адреса) та код згідно з ЄДРПОУ (РНОКПП - за наявності) власника об’єкта критичної інфраструктури/суб’єкта управління об’єкта критичної інфраструктури, форма власності, країна реєстрації/громадянство власника об’єкта критичної інфраструктури;
сектор, підсектор, тип основної послуги, життєво важлива функція та/або послуга, яку надає об’єкт критичної інфраструктури, КВЕД;
назва секторального органу, який погодив (переглянув) паспорт безпеки на об’єкт критичної інфраструктури;
дата погодження (перегляду) паспорта безпеки на об’єкт критичної інфраструктури;
дата погодження функціональними органами планів захисту від загроз критичній інфраструктурі;
відомості про особу, відповідальну за організацію та забезпечення захисту об’єкта критичної інфраструктури;
додаткові відомості щодо об’єкта критичної інфраструктури для внесення до Реєстру.
14. Уповноважений орган у сфері захисту критичної інфраструктури України забезпечує цілодобовий доступ до відкритої інформації на своєму офіційному веб-сайті.
15. Кожному об’єкту критичної інфраструктури присвоюється реєстровий номер, відкривається новий розділ та формується реєстраційна справа у Реєстрі.
Реєстровим номером об’єкта критичної інфраструктури є унікальний реєстровий номер, який присвоюється кожному індивідуально визначеному об’єкту критичної інфраструктури під час реєстрації вперше, не повторюється на всій території України, залишається незмінним протягом усього часу існування такого об’єкта критичної інфраструктури та не змінюється у разі зміни оператора критичної інфраструктури, форми власності, кінцевого бенефіціарного власника/контролера.
16. З моменту присвоєння об’єкту критичної інфраструктури унікального реєстрового номера в Реєстрі він вважається таким, що набув правового статусу об’єкта критичної інфраструктури.
17. Секторальні органи (створювачі) подають окремо про кожен об’єкт критичної інфраструктури повідомлення про внесення відомостей щодо об’єкта критичної інфраструктури до Реєстру за формою згідно з додатком 1 та додатки до нього в електронній формі з дотриманням вимог Законів України “Про електронні документи та електронний документообіг”, “Про електронні довірчі послуги”, “Про захист інформації в інформаційно-комунікаційних системах” або у паперовій формі.
В електронній формі повідомлення про внесення відомостей щодо об’єкта критичної інфраструктури до Реєстру подається із застосуванням електронних довірчих послуг відповідно до статті 17 Закону України “Про електронні довірчі послуги”.
Повідомлення про внесення відомостей щодо об’єкта критичної інфраструктури до Реєстру подається у паперовій формі з дотриманням законодавства у сфері захисту інформації.
До повідомлення про внесення відомостей щодо об’єкта критичної інфраструктури до Реєстру додаються документи, що обґрунтовують розрахунок віднесення об’єкта критичної інфраструктури до однієї з категорій критичності, здійснений відповідно до Методики категоризації об’єктів критичної інфраструктури, затвердженої постановою Кабінету Міністрів України від 9 жовтня 2020 р. № 1109 “Деякі питання об’єктів критичної інфраструктури” (далі - Методика) (Офіційний вісник України, 2020 р., № 93, ст. 2994).
Інформація про об’єкт критичної інфраструктури подається у місячний строк з моменту внесення об’єкта критичної інфраструктури до секторального переліку об’єктів критичної інфраструктури.
18. Підставою для внесення інформації до Реєстру є повідомлення про внесення відомостей щодо об’єкта критичної інфраструктури до Реєстру, яке подає секторальний орган.
Інформація до Реєстру вноситься відповідальною особою уповноваженого органу у сфері захисту критичної інфраструктури України за результатами перевірки повноти інформації, зазначеної в повідомленні про внесення відомостей щодо об’єкта критичної інфраструктури до Реєстру, обґрунтованості визначення категорії критичності об’єкта відповідно до Методики, про що повідомляється секторальному органу, який подав таке повідомлення.
Інформація вноситься до Реєстру відповідальною особою уповноваженого органу у сфері захисту критичної інфраструктури України протягом 30 днів з дня надходження повідомлення про внесення відомостей щодо об’єкта критичної інфраструктури до Реєстру.
У разі неповноти інформації, невідповідності визначення категорії критичності об’єкта критичної інфраструктури відповідно до Методики уповноважений орган у сфері захисту критичної інфраструктури України повертає подані документи до секторального органу.
Після усунення невідповідностей, доповнення інформації або приведення у відповідність з категоріями критичності секторальний орган повторно подає уповноваженому органу у сфері захисту критичної інфраструктури України повідомлення про внесення відомостей щодо об’єкта критичної інфраструктури до Реєстру.
19. Зміни і додаткові відомості про об’єкт критичної інфраструктури до Реєстру вносяться уповноваженим органом у сфері захисту критичної інфраструктури України та фіксуються програмними засобами Реєстру на підставі повідомлення про погодження (перегляд) паспорта безпеки на об’єкт критичної інфраструктури за формою згідно з додатком 2 та/або повідомлення про внесення змін до відомостей щодо об’єкта критичної інфраструктури за формою згідно з додатком 3.
Інформація про моніторинг безпеки, перевірку та оцінку стану захищеності об’єкта критичної інфраструктури та їх результати вносяться до Реєстру уповноваженим органом у сфері захисту критичної інфраструктури України на підставі акта оцінки стану захищеності об’єкта критичної інфраструктури, складеного відповідно до Порядку проведення моніторингу рівня безпеки об’єктів критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 22 липня 2022 р. № 821 (Офіційний вісник України, 2022 р., № 60, ст. 3599).
20. Секторальний орган протягом 10 робочих днів з дня отримання інформації від оператора критичної інфраструктури про внесення змін до відомостей щодо об’єкта критичної інфраструктури подає уповноваженому органу у сфері захисту критичної інфраструктури України повідомлення про внесення змін до відомостей щодо об’єкта критичної інфраструктури в порядку, визначеному пунктом 17 цього Порядку.
21. Об’єкт критичної інфраструктури виключається з Реєстру у зв’язку з невідповідністю такого об’єкта критеріям віднесення його до критичної інфраструктури.
Об’єкт критичної інфраструктури виключається з Реєстру на підставі повідомлення про внесення змін до відомостей щодо об’єкта критичної інфраструктури за формою згідно з додатком 3, в якій зазначаються відомості про об’єкт критичної інфраструктури, який виключається з Реєстру.
22. У разі допущення технічної помилки під час внесення відомостей до Реєстру відповідальна особа уповноваженого органу у сфері захисту критичної інфраструктури України самостійно її виправляє та повідомляє секторальному органу протягом 10 робочих днів з дня виявлення такої технічної помилки.
23. Фінансування створення, ведення та функціонування Реєстру здійснюється за рахунок коштів міжнародної технічної та/або поворотної або безповоротної фінансової допомоги міжнародних організацій та інших джерел, не заборонених законодавством.
24. Відповідальність за достовірність, своєчасність та повноту інформації, поданої уповноваженому органу у сфері захисту критичної інфраструктури України для внесення до Реєстру, несе секторальний орган.
ПОВІДОМЛЕННЯ
про внесення відомостей щодо об’єкта критичної інфраструктури до Реєстру об’єктів критичної інфраструктури
ПОВІДОМЛЕННЯ
про погодження (перегляд) паспорта безпеки на об’єкт критичної інфраструктури
ПОВІДОМЛЕННЯ
про внесення змін до відомостей щодо об’єкта критичної інфраструктури