Кіберзахист під контролем: для органів місцевого самоврядування запровадили обов’язкове щорічне оцінювання
Кабінет Міністрів України затвердив новий порядок оцінювання стану кіберзахисту інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, а також об’єктів критичної інфраструктури. Відповідну постанову №1799 ухвалено 31 грудня 2025 року.

Документ поширюється, зокрема, на органи місцевого самоврядування, які є власниками або розпорядниками інформаційних систем, де обробляються державні інформаційні ресурси, службова інформація або інші дані, що потребують захисту відповідно до законодавства.
Фактично йдеться про цифрову інфраструктуру, без якої сьогодні неможлива робота місцевої влади. Це електронний документообіг, сервери, комп’ютерні мережі, офіційна електронна пошта, цифрові сервіси для мешканців громади, а також системи, інтегровані з державними реєстрами.
Одне з ключових нововведень — обов’язкове щорічне самооцінювання поточного стану кіберзахисту. Органи місцевого самоврядування повинні регулярно перевіряти, наскільки їхні інформаційні системи відповідають вимогам безпеки та чи впроваджені необхідні заходи захисту.
При цьому така оцінка не може проводитися довільно. Постанова передбачає, що оцінювання здійснюють лише суб’єкти, включені до спеціального переліку, який веде Держспецзв’язку. Це правило стосується і самооцінювання, якщо його проводять власними силами.
Результати оцінювання оформлюються офіційним звітом, який зберігається протягом трьох років. Копія документа має бути направлена до Адміністрації Держспецзв’язку не пізніше ніж через 30 календарних днів після завершення оцінювання.
Окремі вимоги встановлені для об’єктів критичної інфраструктури. Для таких об’єктів передбачене планове зовнішнє оцінювання поточного стану кіберзахисту не рідше одного разу на два роки. Йдеться про системи, від стабільної роботи яких залежить надання важливих послуг.
Також постанова визначає дії у випадку серйозних кіберінцидентів. Якщо кібератака або інцидент отримали критичний чи надзвичайний рівень, а під час реагування виявлено недоліки у системі захисту, власник або розпорядник інформаційної системи зобов’язаний провести позапланове оцінювання протягом трьох місяців.
Документ також встановлює запобіжники для забезпечення об’єктивності перевірок. Один і той самий суб’єкт оцінювання не може проводити перевірку одного об’єкта понад три роки поспіль. Крім того, оцінювання не може здійснювати той, хто брав участь у створенні відповідної системи.
Для громад це означає, що кібербезпека переходить із площини загальних вимог у формат чітких процедур із визначеними строками, правилами та документальним підтвердженням. В умовах цифровізації муніципальних послуг це стає важливою частиною стабільної роботи місцевого самоврядування та захисту інформаційних ресурсів.

Документ поширюється, зокрема, на органи місцевого самоврядування, які є власниками або розпорядниками інформаційних систем, де обробляються державні інформаційні ресурси, службова інформація або інші дані, що потребують захисту відповідно до законодавства.
Фактично йдеться про цифрову інфраструктуру, без якої сьогодні неможлива робота місцевої влади. Це електронний документообіг, сервери, комп’ютерні мережі, офіційна електронна пошта, цифрові сервіси для мешканців громади, а також системи, інтегровані з державними реєстрами.
Одне з ключових нововведень — обов’язкове щорічне самооцінювання поточного стану кіберзахисту. Органи місцевого самоврядування повинні регулярно перевіряти, наскільки їхні інформаційні системи відповідають вимогам безпеки та чи впроваджені необхідні заходи захисту.
При цьому така оцінка не може проводитися довільно. Постанова передбачає, що оцінювання здійснюють лише суб’єкти, включені до спеціального переліку, який веде Держспецзв’язку. Це правило стосується і самооцінювання, якщо його проводять власними силами.
Результати оцінювання оформлюються офіційним звітом, який зберігається протягом трьох років. Копія документа має бути направлена до Адміністрації Держспецзв’язку не пізніше ніж через 30 календарних днів після завершення оцінювання.
Окремі вимоги встановлені для об’єктів критичної інфраструктури. Для таких об’єктів передбачене планове зовнішнє оцінювання поточного стану кіберзахисту не рідше одного разу на два роки. Йдеться про системи, від стабільної роботи яких залежить надання важливих послуг.
Також постанова визначає дії у випадку серйозних кіберінцидентів. Якщо кібератака або інцидент отримали критичний чи надзвичайний рівень, а під час реагування виявлено недоліки у системі захисту, власник або розпорядник інформаційної системи зобов’язаний провести позапланове оцінювання протягом трьох місяців.
Документ також встановлює запобіжники для забезпечення об’єктивності перевірок. Один і той самий суб’єкт оцінювання не може проводити перевірку одного об’єкта понад три роки поспіль. Крім того, оцінювання не може здійснювати той, хто брав участь у створенні відповідної системи.
Для громад це означає, що кібербезпека переходить із площини загальних вимог у формат чітких процедур із визначеними строками, правилами та документальним підтвердженням. В умовах цифровізації муніципальних послуг це стає важливою частиною стабільної роботи місцевого самоврядування та захисту інформаційних ресурсів.
