В Україні посилили вимоги до кібербезпеки постачальників, що працюють з державним сектором та об'єктами критичної інфраструктури. Наказом № 836 від 17 грудня 2025 року Адміністрація Держспецзв'язку запровадила диференційований підхід до контролю, розділивши компанії на чотири рівні ризику. Цей крок є частиною адаптації національного законодавства до стандартів ЄС, зокрема Директиви NIS2, та відповіддю на глобальні тренди, де безпека ланцюгів постачання визнана ключовим пріоритетом.
Нова реальність: кіберзагрози як ризик №1
Як зазначив т. в. о. директора Департаменту кіберзахисту Держспецзв'язку Дмитро Пахольченко під час Київського міжнародного форуму з кіберстійкості 2026, епоха «паперової безпеки» минула. Головним критерієм стає здатність систем функціонувати безпосередньо під час кібератаки, а контроль за постачальниками радикально посилюється.
«Ми не можемо вважати систему захищеною, якщо не знаємо, хто написав код для її оновлення або хто обслуговує сервери постачальника. Україна вже відчула на собі, як це працює. Банальний приклад - атака вірусу NotPetya через сервер оновлень бухгалтерської програми», - наголосив Дмитро Пахольченко.
Наказ № 836: чотири рівні ризику для постачальників
Новий наказ встановлює чіткі вимоги до постачальників залежно від рівня ризику, пов'язаного з їхніми товарами та послугами.
Рівень ризику | Кого стосується | Основні вимоги | Спосіб підтвердження |
I рівень (мінімальний) | Постачальники, чиї системи не обробляють державні ресурси або інформацію з обмеженим доступом. | Впровадження 17 базових заходів безпеки (кібергігієна). | Декларативний принцип: підписання відповідного документа під час укладання договору. |
II, III та IV рівні (підвищений) | Постачальники, що безпосередньо працюють з державними даними, інформацією з обмеженим доступом або забезпечують функціонування об'єктів критичної інфраструктури. | Виконання вимог базового або галузевого профілю безпеки системи. | Один із трьох документів: • Авторизація з безпеки своєї системи; • Сертифікат відповідності стандарту інформаційної безпеки; • Чинний атестат відповідності на КСЗІ. |
Для бізнесу це означає, що відповідність вимогам кібербезпеки стає обов'язковою умовою участі в держзакупівлях. Відстежувати такі регуляторні зміни та готуватися до них зручно за допомогою LIGA360, де можна отримати повний доступ до нормативної бази та інструментів для комплаєнс-перевірки.
Що це означає для бізнесу та замовників?
Впровадження нових правил є переходом до моделі «архітектури довіри», де перевірка кібербезпеки партнера стає такою ж обов'язковою, як і перевірка його фінансової звітності. Кінцеву відповідальність за збій нестиме державний орган чи оператор критичної інфраструктури, а не підрядник.
Держспецзв'язку рекомендує:
Постачальникам: не чекати наступного тендера, а вже сьогодні ознайомитися з наказом № 836 та розпочати впровадження необхідних заходів безпеки.
Державним замовникам: включати нові вимоги до договорів уже зараз, щоб гарантувати безпеку сервісів, які купуються ззовні.
Щоб уникнути ризиків виключення з тендерів, бізнесу варто вже сьогодні провести аудит своїх систем на відповідність вимогам.
«Дотримання цих вимог - це не бюрократія, це наш спільний імунітет. Ми в Держспецзв'язку готові допомагати, консультувати та разом вибудовувати цей захищений простір», - підсумував Дмитро Пахольченко.
