Кабмін постановою від 17.12.2025 № 1668 затвердив Порядок здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту.
Кого перевіряють?
Органи державної влади, державні органи, ОМС, військові формування, підприємства/установи/організації (власники/розпорядники систем, де обробляються державні інформресурси або інформація з вимогою захисту), а також оператори критичної інфраструктури та власники об'єктів критичної інформаційної інфраструктури.
Що перевіряють?
Інформаційні, електронні комунікаційні, інформаційно-комунікаційні та технологічні системи, об'єкти критичної/критичної інформаційної інфраструктури, а також процеси та процедури, що забезпечують кіберзахист.
На кого не поширюється: Національний банк, банки, інші установи та особи, діяльність яких регулює та наглядає НБУ, а також оператори/учасники платіжних систем.
Форми контролю: моніторинг стану кіберзахисту та перевірки (планові та позапланові).
Моніторинг є формою дистанційного контролю і здійснюється шляхом збору та аналізу звітів про оцінювання стану кіберзахисту.
Перевірка є основним заходом державного контролю і проводиться комісією у складі не менше трьох осіб, призначених Головою Держспецзв'язку або його заступниками.
Види та строки перевірок
Вид перевірки | Підстава | Повідомлення | Максимальний строк |
Планова | Річний план, затверджений до 1 грудня. | Не пізніше ніж за 10 робочих днів листом. | 14 р. д. (для держ./комун. сектору); 10 р. д. (для всіх інших). |
Позапланова | Звернення власника об'єкта; повідомлення від правоохоронних органів про ознаки порушення; неподання звітів/інформації (про оцінювання, авторизацію, виконання вимог). | За 3 робочі дні листом. | 14 р. д. / 10 р. д. |
Права комісії (Держспецзв'язку)
Ознайомлюватися з усіма необхідними документами та матеріалами (зокрема з обмеженим доступом).
Отримувати інформацію, копії документів, письмові та усні пояснення.
Отримувати доступ до території, приміщень, робочих місць, пов'язаних з об'єктом перевірки.
Проводити опитування, тестування та/або випробування впроваджених заходів кіберзахисту.
Документувати та фіксувати засобами аудіо- та відеотехніки факт порушення.
Складати Акт перевірки, протоколи про адміністративні правопорушення та припис про усунення порушень.
Оформлення результатів
Акт: Складається в уніфікованій формі у двох (або трьох, якщо перевірка здійснювалася територіальним органом) примірниках.
Ознайомлення: Керівник суб'єкта контролю або уповноважена особа засвідчує ознайомлення підписом. У разі незгоди, підписує із зауваженнями (які є невід'ємною частиною акта).
Обов'язковість вимог: Вимоги щодо усунення порушень, викладені в акті, є обов'язковими для виконання.
Наслідки виявлених порушень
У разі виявлення ознак порушень, які створюють загрозу функціонуванню систем або можуть завдати шкоди інтересам України, Держспецзв'язку має право:
Порушувати перед державними/правоохоронними рганами питання про проведення перевірки наявності ознак кримінальних правопорушень.
Порушувати питання про дисциплінарні провадження щодо посадових осіб.
Складати протоколи про адміністративні правопорушення та надсилати матеріали до суду.
Підготуйте організацію до перевірок кіберзахисту з LIGA360. Використовуйте наші алгоритми дій для підготовки до можливих інспекцій та оптимізуйте реакцію на вимоги контролюючих органів. Переконайтеся в перевагах LIGA360, замовивши персональну презентацію.
