В Украине усилили требования к кибербезопасности поставщиков, которые работают с государственным сектором и объектами критической инфраструктуры. Приказом № 836 от 17 декабря 2025 года Администрация госспецсвязи ввела дифференцированный подход к контролю, разделив компании на четыре уровни риска. Этот шаг является частью адаптации национального законодательства к стандартам ЕС, в частности Директивы NIS2, и ответом на глобальные тренды, где безопасность цепей поставок признана ключевым приоритетом.
Новая реальность: киберугрозы как риск №1
Как отметил в. и. о. директора Департамента киберзащиты госспецсвязи Дмитрий Пахольченко во время Киевского международного форума по киберстойкости 2026, эпоха "бумажной безопасности" прошла. Главным критерием становится способность систем функционировать непосредственно во время кибератаки, а контроль за поставщиками радикально усиливается.
"Мы не можем считать систему защищенной, если не знаем, кто написал код для ее обновления или кто обслуживает серверы поставщика. Украина уже почувствовала на себе, как это работает. Банальный пример - атака вируса NotPetya через сервер обновлений бухгалтерской программы", - отметил Дмитрий Пахольченко.
Приказ № 836: четыре уровни риска для поставщиков
Новый приказ устанавливает четкие требования к поставщикам в зависимости от уровня риска, связанного с их товарами и услугами.
Уровень риска | Кого касается | Основные требования | Способ подтверждения |
I уровень (минимальный) | Поставщики, чьи системы не обрабатывают государственные ресурсы или информацию с ограниченным доступом. | Внедрение 17 базовых мер безопасности (кибергигиена). | Декларативный принцип: подписание соответствующего документа во время заключения договора. |
II, III и IV уровни (повышенный) | Поставщики, которые непосредственно работают с государственными данными, информацией с ограниченным доступом или обеспечивают функционирование объектов критической инфраструктуры. | Выполнение требований базового или отраслевого профиля безопасности системы. | Один из трех документов: - Авторизация из безопасности своей системы; - Сертификат соответствия стандарта информационной безопасности; - Действующий аттестат соответствия на КСЗІ. |
Для бизнеса это значит, что соответствие требованиям кибербезопасности становится обязательным условием участия в госзакупках. Отслеживать такие регуляторные изменения и готовиться к ним удобно с помощью LIGA360, где можно получить полный доступ к нормативной базе и инструментам для комплаенс-проверки.
Что это значит для бизнеса и заказчиков?
Внедрение новых правил является переходом к модели "архитектуры доверия", где проверка кибербезопасности партнера становится такой же обязательной, как и проверка его финансовой отчетности. Конечную ответственность за сбой будет нести государственный орган или оператор критической инфраструктуры, а не подрядчик.
Госспецсвязи рекомендует:
Поставщикам: не ожидать следующего тендера, а уже сегодня ознакомиться с приказом № 836 и начать внедрение необходимых мер безопасности.
Государственным заказчикам: включать новые требования в договоры уже сейчас, чтобы гарантировать безопасность сервисов, которые покупаются извне.
Во избежание рисков исключения из тендеров, бизнесу стоит уже сегодня провести аудит своих систем на соответствие требованиям.
"Соблюдение этих требований - это не бюрократия, это наш общий иммунитет. Мы в госспецсвязи готовы помогать, консультировать и вместе выстраивать это защищенное пространство", - подытожил Дмитрий Пахольченко.
