Кабінет Міністрів України постановою від 31 грудня 2025 року № 1799 затвердив Порядок оцінювання стану кіберзахисту інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, а також об’єктів критичної інфраструктури й об’єктів критичної інформаційної інфраструктури.
Документ визначає механізм проведення оцінювання кіберзахисту систем, у яких обробляються державні інформаційні ресурси, службова інформація та відомості, що становлять державну таємницю. Порядок поширюється на органи державної влади, органи місцевого самоврядування, операторів критичної інфраструктури та інших юридичних осіб — власників або розпорядників таких об’єктів.
Передбачено, що оцінювання здійснюють суб’єкти, включені до відповідного переліку, який формує Адміністрація Держспецзв’язку. Визначено вимоги до таких суб’єктів, їхні права та обмеження, зокрема заборону проводити оцінювання одного й того самого об’єкта понад три роки поспіль або у разі участі в його створенні.
Порядком встановлено чотири види оцінювання: дотримання вимог цільових профілів безпеки системи, оцінювання поточного стану кіберзахисту, оцінювання на відповідність національним стандартам у сфері кіберзахисту та захисту інформації, а також оцінка стану захищеності державних інформаційних ресурсів. Визначено умови проведення планових і позапланових самооцінювань та зовнішніх оцінювань, а також підстави для їх ініціювання.
Результати оцінювання оформлюються у звіті, який використовується для моніторингу стану кіберзахисту та є однією з форм державного контролю у цій сфері. Копії звітів подаються Адміністрації Держспецзв’язку.
Крім того, постановою визнано такою, що втратила чинність, постанову Кабінету Міністрів України від 23 березня 2023 р. № 257 «Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури».
