Документом внесено зміни до постанови Уряду від 19 червня 2019 року № 518 щодо встановлення Загальних вимог з кіберзахисту об’єктів критичної інфраструктури.
Прийняті зміни спрямовані на підвищення стійкості критичної інфраструктури до кіберінцидентів та кібератак, оновлення підходів до оцінювання ризиків і реагування на кіберзагрози, а також приведення вимог у відповідність до сучасних викликів у сфері кібербезпеки.
Згідно з постановою, оновлені Загальні вимоги чітко визначають організаційні та методологічні умови кіберзахисту, обов’язкові для операторів критичної інфраструктури та власників або розпорядників критичної інформаційної інфраструктури. Документ уточнює термінологію, вводить визначення базових і каталогових заходів з кіберзахисту, а також оновлює підхід до визначення ризиків кібербезпеки.
Важливим нововведенням є обов’язковість для суб’єктів розробляти, щороку переглядати та за потреби оновлювати план кіберзахисту. План має ґрунтуватися на результатах управління кіберризиками та передбачати опис поточного і цільового стану кіберзахисту. Також він має бути узгоджений із планом захисту об’єкта критичної інфраструктури за проектною загрозою «кібератака/кіберінцидент».
Суб’єкти критичної інфраструктури повинні забезпечувати оцінювання стану кіберзахисту відповідно до вимог законодавства, проводити системне управління ризиками кібербезпеки, організовувати реагування на кіберінциденти та налагоджувати обмін інформацією про кіберзагрози.
Документ підсилює роль керівників з кіберзахисту та відповідальних підрозділів, а також зобов’язує організовувати регулярне навчання персоналу з питань кіберзахисту.
Окремо передбачено можливість для секторальних органів розробляти галузеві вимоги з кіберзахисту з урахуванням специфіки відповідних секторів, за погодженням з Адміністрацією Держспецзв’язку.
Додаток до попередньої редакції Загальних вимог виключено.
Ухвалені зміни сприятимуть зміцненню національної кіберстійкості та підвищенню рівня безпеки об’єктів критичної інфраструктури в умовах зростання кіберзагроз.
