КАБIНЕТ МIНIСТРIВ УКРАЇНИ

ПОСТАНОВА
Київ

вiд 26 листопада 2025 р.	N 1531

Про внесення змiн до постанови Кабiнету Мiнiстрiв України вiд 29 березня 2006 р. N 373

     Кабiнет Мiнiстрiв України постановляє:

     Внести до постанови Кабiнету Мiнiстрiв України вiд 29 березня 2006 р. N 373 "Про затвердження Правил забезпечення захисту iнформацiї в iнформацiйних, електронних комунiкацiйних та iнформацiйно-комунiкацiйних системах" (Офiцiйний вiсник України, 2006 р., N 13, ст. 878, N 50, ст. 3324; 2011 р., N 69, ст. 2624; 2021 р., N 14, ст. 576; 2022 р., N 47, ст. 2595, N 84, ст. 5181; 2025 р., N 39, ст. 2619) змiни, що додаються.

Прем'єр-мiнiстр України

Ю. СВИРИДЕНКО

Iнд. 49

 

ЗАТВЕРДЖЕНО постановою Кабiнету Мiнiстрiв України вiд 26 листопада 2025 р. N 1531

ЗМIНИ,
що вносяться до постанови Кабiнету Мiнiстрiв України вiд 29 березня 2006 р. N 373

     1. Назву та постановляючу частину постанови викласти в такiй редакцiї:

"Про затвердження Мiнiмальних вимог до захисту iнформацiйних, електронних комунiкацiйних, iнформацiйно-комунiкацiйних та технологiчних систем";

     "Затвердити Мiнiмальнi вимоги до захисту iнформацiйних, електронних комунiкацiйних, iнформацiйно-комунiкацiйних та технологiчних систем, що додаються.".

     2. Правила забезпечення захисту iнформацiї в iнформацiйних, електронних комунiкацiйних та iнформацiйно-комунiкацiйних системах, затвердженi зазначеною постановою, викласти в такiй редакцiї:

"ЗАТВЕРДЖЕНО постановою Кабiнету Мiнiстрiв України вiд 29 березня 2006 р. N 373 (в редакцiї постанови Кабiнету Мiнiстрiв України вiд 26 листопада 2025 р. N 1531)

МIНIМАЛЬНI ВИМОГИ
до захисту iнформацiйних, електронних комунiкацiйних, iнформацiйно-комунiкацiйних та технологiчних систем

Загальнi положення

     1. Цi Мiнiмальнi вимоги визначають сукупнiсть органiзацiйних та технiчних вимог до заходiв захисту iнформацiї та кiберзахисту, що пiдлягають впровадженню органами державної влади, iншими державними органами, органами мiсцевого самоврядування, державними пiдприємствами, установами та органiзацiями, якi є власниками або розпорядниками iнформацiйних, електронних комунiкацiйних, iнформацiйно-комунiкацiйних та технологiчних систем (далi - система), в яких обробляються державнi iнформацiйнi ресурси або iнформацiя з обмеженим доступом, вимога щодо захисту якої встановлена законом.

     Вимоги до захисту iнформацiї, що становить державну таємницю, визначаються цими Мiнiмальними вимогами та законодавством у сферi охорони державної таємницi.

     2. Дiя цих Мiнiмальних вимог не поширюється на захист iнформацiї в технiчних засобах i їх складових, необхiдних для здiйснення уповноваженими органами оперативно-розшукових, розвiдувальних заходiв та негласних слiдчих (розшукових) дiй, та на захист iнформацiї, вимоги щодо захисту якої встановленi законом у сферi надання платiжних, банкiвських та iнших фiнансових послуг.

     3. У системi, яка складається з кiлькох iнформацiйних, електронних комунiкацiйних систем, цi Мiнiмальнi вимоги можуть застосовуватися до кожної складової частини системи окремо.

     4. У цих Мiнiмальних вимогах термiни вживаються у значеннi, наведеному в Законах України "Про iнформацiю", "Про доступ до публiчної iнформацiї", "Про державну таємницю", "Про захист iнформацiї в iнформацiйно-комунiкацiйних системах", "Про електроннi комунiкацiї", "Про основнi засади забезпечення кiбербезпеки України", "Про Державну службу спецiального зв'язку та захисту iнформацiї України", "Про електронну iдентифiкацiю та електроннi довiрчi послуги", Порядку авторизацiї з безпеки iнформацiйних, електронних комунiкацiйних, iнформацiйно-комунiкацiйних, технологiчних систем, затвердженому постановою Кабiнету Мiнiстрiв України вiд 18 червня 2025 р. N 712 (Офiцiйний вiсник України, 2025 р., N 57, ст. 3921), Положеннi про органiзацiйно-технiчну модель кiберзахисту, затвердженому постановою Кабiнету Мiнiстрiв України вiд 29 грудня 2021 р. N 1426 (Офiцiйний вiсник України, 2022 р., N 4, ст. 219), Загальних вимогах до кiберзахисту об'єктiв критичної iнфраструктури, затверджених постановою Кабiнету Мiнiстрiв України вiд 19 червня 2019 р. N 518 (Офiцiйний вiсник України, 2019 р., N 50, ст. 1697).

     5. Вiдкрита iнформацiя пiд час обробки в системi повинна зберiгати цiлiснiсть, що забезпечується шляхом захисту вiд несанкцiонованих дiй, якi можуть призвести до її модифiкацiї чи знищення.

     Усiм користувачам повинен бути забезпечений доступ до ознайомлення з вiдкритою iнформацiєю. Модифiкувати або знищувати вiдкриту iнформацiю можуть лише iдентифiкованi та автентифiкованi користувачi, яким надано вiдповiднi повноваження.

     Спроби модифiкацiї чи знищення вiдкритої iнформацiї користувачами, якi не мають на це повноважень, неiдентифiкованими користувачами або користувачами з не пiдтвердженою пiд час автентифiкацiї вiдповiднiстю пред'явленого iдентифiкатора повиннi блокуватися.

     Створення та/або обробка в системi електронних документiв, аналоги яких на паперових носiях повиннi мiстити власноручний пiдпис вiдповiдно до законодавства, здiйснюються iз застосуванням електронного пiдпису чи печатки вiдповiдно до Закону України "Про електронну iдентифiкацiю та електроннi довiрчi послуги" або порядку надання та використання послуг електронної iдентифiкацiї та електронних довiрчих послуг, якi використовуються в iнформацiйно-комунiкацiйних системах, в яких обробляються службова iнформацiя та державна таємниця, передбаченого пунктом 37 частини першої статтi 14 Закону України "Про Державну службу спецiального зв'язку та захисту iнформацiї України".

     Перевiрка та пiдтвердження квалiфiкованого електронного пiдпису чи печатки здiйснюються вiдповiдно до вимог статтi 18 Закону України "Про електронну iдентифiкацiю та електроннi довiрчi послуги".

     Перевiрка електронного пiдпису чи печатки у системах, у яких обробляється службова iнформацiя та/або iнформацiя, що становить державну таємницю, проводиться з дотриманням вимог порядку надання та використання послуг електронної iдентифiкацiї та електронних довiрчих послуг, якi використовуються в iнформацiйно-комунiкацiйних системах, в яких обробляються службова iнформацiя та державна таємниця, передбаченого пунктом 37 частини першої статтi 14 Закону України "Про Державну службу спецiального зв'язку та захисту iнформацiї України".

     6. Пiд час обробки конфiденцiйної, службової i таємної iнформацiї повинен забезпечуватися її захист вiд несанкцiонованого та неконтрольованого ознайомлення, модифiкацiї, знищення, копiювання, поширення.

     7. Доступ до iнформацiї з обмеженим доступом надається тiльки iдентифiкованим, автентифiкованим та авторизованим користувачам. Спроби доступу до такої iнформацiї неiдентифiкованих осiб або користувачiв з не пiдтвердженою пiд час автентифiкацiї вiдповiднiстю пред'явленого iдентифiкатора та неавторизованих користувачiв повиннi блокуватися.

     Авторизацiя в системi повинна забезпечувати можливiсть надання користувачевi права на обробку в системi iнформацiї з обмеженим доступом або позбавлення його такого права.

     8. Вимоги до захисту iнформацiї в системi вiд несанкцiонованого блокування визначаються власником або розпорядником системи, якщо iнше для цiєї iнформацiї або системи, в якiй вона обробляється, не встановлено законодавством.

     9. У системi проводиться обов'язкова реєстрацiя:

     результатiв електронної iдентифiкацiї та автентифiкацiї користувачiв;

     результатiв обробки користувачем iнформацiї в системi;

     спроб несанкцiонованих дiй з iнформацiєю;

     фактiв надання та позбавлення користувачiв права доступу до iнформацiї та права на обробку iнформацiї в системi;

     результатiв перевiрки цiлiсностi засобiв захисту iнформацiї.

     Забезпечується можливiсть проведення аналiзу реєстрацiйних даних виключно користувачами, яких уповноважено здiйснювати управлiння засобами обробки iнформацiї, захисту iнформацiї, аудиту та контролю за захистом iнформацiї в системi.

     Реєстрацiя проводиться автоматичним способом, а реєстрацiйнi данi захищаються вiд модифiкацiї та знищення користувачами, якi не мають на це повноважень.

     Пiд час реєстрацiї спроб несанкцiонованих дiй з iнформацiєю, що становить державну таємницю, i службовою iнформацiєю одночасно повiдомляється про них користувачу, уповноваженому здiйснювати управлiння засобами обробки iнформацiї, захисту iнформацiї, аудиту та контролю за захистом iнформацiї в системi.

     10. Електронна iдентифiкацiя та автентифiкацiя користувачiв, надання та позбавлення їх права доступу до iнформацiї та її обробки, контроль за цiлiснiстю засобiв захисту в системi здiйснюються автоматизованим способом.

     Електронна iдентифiкацiя та автентифiкацiя користувачiв у системi здiйснюється вiдповiдно до вимог статтi 14 Закону України "Про електронну iдентифiкацiю та електроннi довiрчi послуги", порядку надання та використання послуг електронної iдентифiкацiї та електронних довiрчих послуг, якi використовуються в iнформацiйно-комунiкацiйних системах, в яких обробляються службова iнформацiя та державна таємниця, передбаченого пунктом 37 частини першої статтi 14 Закону України "Про Державну службу спецiального зв'язку та захисту iнформацiї України", та iнших нормативно-правових актiв у сферах електронної iдентифiкацiї та електронних довiрчих послуг.

     11. Передача конфiденцiйної iнформацiї, службової та таємної iнформацiї через незахищене середовище (середовище функцiонування технiчних або програмних засобiв, у якому немає гарантiй цiлiсностi, конфiденцiйностi та доступностi iнформацiї через вiдсутнiсть або невiдповiднiсть вимогам до захисту iнформацiї) здiйснюється у зашифрованому виглядi або захищеними каналами зв'язку згiдно з вимогами законодавства у сферi технiчного та криптографiчного захисту iнформацiї, за винятком iнформацiї, що передається через канали (лiнiї) зв'язку, якi перебувають в межах контрольованої зони (територiя (простiр), на якiй (в якому) унеможливлено несанкцiоноване i неконтрольоване перебування стороннiх осiб, розмiщення технiчних i транспортних засобiв).

     12. Пiдключення систем, у яких обробляється службова iнформацiя та iнформацiя, що становить державну таємницю, до глобальних мереж передачi даних здiйснюється з використанням засобiв криптографiчного захисту iнформацiї, якi допущенi до експлуатацiї для криптографiчного захисту iнформацiї вiдповiдного ступеня обмеження доступу, та/або апаратних, апаратно-програмних засобiв технiчного захисту iнформацiї, якi мають позитивний експертний висновок за результатами державної експертизи у сферi технiчного захисту iнформацiї та виконують функцiї безпеки односпрямованої (односторонньої) передачi даних та/або двоспрямованої передачi даних з урахуванням їх змiстовного аналiзу.

     В апаратно-програмних засобах технiчного захисту iнформацiї, якi виконують функцiї односпрямованої (односторонньої) передачi даних та/або мiжмережевого екранування (фiльтрацiї) даних, що забезпечують захист службової iнформацiї та iнформацiї, що становить державну таємницю, рiвень гарантiї коректностi надання функцiональних послуг безпеки повинен бути не нижче третього.

     13. У системi здiйснюється контроль за цiлiснiстю програмних та технiчних засобiв захисту iнформацiї та програмного забезпечення, яке використовується для обробки iнформацiї, запобiгання несанкцiонованiй його модифiкацiї та лiквiдацiя наслiдкiв такої модифiкацiї.

Органiзацiйнi та технiчнi вимоги щодо захисту iнформацiї та кiберзахисту

     14. Для забезпечення захисту iнформацiї в системi запроваджуються заходи захисту, якi призначаються для захисту iнформацiї вiд:

     витоку технiчними каналами, до яких належать канали побiчних електромагнiтних випромiнювань i наведень, акустично-електричнi та iншi канали, що утворюються пiд впливом фiзичних процесiв пiд час функцiонування засобiв обробки iнформацiї, iнших технiчних засобiв i комунiкацiй;

     несанкцiонованих дiй з iнформацiєю, зокрема з використанням шкiдливого програмного забезпечення;

     кiберзагроз;

     спецiального впливу на засоби обробки iнформацiї, який здiйснюється шляхом формування фiзичних полiв i сигналiв та може призвести до порушення її цiлiсностi та несанкцiонованого блокування.

     Захист iнформацiї вiд спецiального впливу на засоби обробки iнформацiї забезпечується в системi, якщо рiшення про необхiднiсть такого захисту прийнято володiльцем iнформацiї.

     Захист iнформацiї вiд витоку технiчними каналами забезпечується в системi iз застосуванням комплексу технiчного захисту iнформацiї з пiдтвердженою вiдповiднiстю у разi обробки у нiй iнформацiї, що становить державну таємницю, або прийняття володiльцем iнформацiї вiдповiдного рiшення щодо необхiдностi такого захисту.

     Захист вiд кiберзагроз здiйснюється у разi поширення вимог Закону України "Про основнi засади забезпечення кiбербезпеки України" на систему.

     Захист iнформацiї вiд несанкцiонованих дiй, зокрема вiд шкiдливого програмного забезпечення, забезпечується в усiх системах.

     15. Власник або розпорядник системи обирає стандарти, нормативнi документи у сферах криптографiчного та технiчного захисту iнформацiї, кiберзахисту, якi використовуються пiд час здiйснення заходiв захисту iнформацiї, шляхи i способи здiйснення таких заходiв.

     16. У системi повиннi бути виконанi технiчнi та органiзацiйнi вимоги до захисту, визначенi цими Мiнiмальними вимогами, вiдповiдно до базового або галузевого профiлю безпеки залежно вiд iнформацiї, що обробляється у нiй (вiдкрита iнформацiя чи iнформацiя з обмеженим доступом), та її функцiонального призначення.

     Виконання цих Мiнiмальних вимог пiдтверджується авторизацiєю системи з безпеки або шляхом отримання сертифiката вiдповiдностi стандарту iнформацiйної безпеки, виданого органом з оцiнки вiдповiдностi (крiм систем, у яких обробляється iнформацiя, що становить державну таємницю).

     Оцiнка вiдповiдностi комплексних систем захисту iнформацiї здiйснюється з урахуванням вимог пункту 2 постанови Кабiнету Мiнiстрiв України вiд 18 червня 2025 р. N 712 "Деякi питання захисту iнформацiйних, електронних комунiкацiйних, iнформацiйно-комунiкацiйних, технологiчних систем".

     17. Обрання базового або галузевого профiлю безпеки системи залежно вiд iнформацiї, що обробляється (оброблятиметься) у системi, здiйснюється власником або розпорядником системи з урахуванням проведеної експертної оцiнки iнформацiї, яка обробляється (оброблятиметься) у системi.

     Така експертна оцiнка проводиться власником або розпорядником системи не рiдше нiж кожнi два роки з моменту проведення попередньої оцiнки.

     18. Вiдповiдальнiсть за забезпечення захисту iнформацiї в системi покладається на власника або розпорядника системи.

     19. Пiдготовка та здiйснення заходiв iз захисту iнформацiї та кiберзахисту в системi забезпечується пiдроздiлом iз кiберзахисту або призначеними особами.

     20. Органи державної влади, iншi державнi органи, державнi пiдприємства, установи та органiзацiї, органи мiсцевого самоврядування як володiльцi iнформацiї, що оброблятиметься в системi, якщо вони не є власниками або розпорядниками цiєї системи, повиннi встановлювати умови обробки щодо забезпечення її захисту шляхом виконання вимог базового або галузевого профiлю безпеки залежно вiд iнформацiї, що обробляється у системi (вiдкрита iнформацiя чи iнформацiя з обмеженим доступом) та функцiонального призначення такої системи, що пiдтверджується авторизацiєю системи з безпеки або шляхом отримання сертифiката вiдповiдностi стандарту iнформацiйної безпеки, виданого органом з оцiнки вiдповiдностi.

     21. Власники або розпорядники систем повиннi встановлювати вимоги щодо запровадження постачальниками товарiв, робiт i послуг, що забезпечують функцiонування цих систем, заходiв безпеки, визначених Адмiнiстрацiєю Держспецзв'язку.

     22. Забезпечення технiчного та криптографiчного захисту iнформацiї з обмеженим доступом, а також вiдкритої iнформацiї, вимога щодо захисту якої встановлена законом, здiйснюється з дотриманням вимог, передбачених для забезпечення захисту такої iнформацiї, якщо iнше не визначено законом.

     Криптографiчний захист таємної iнформацiї, яка не становить державної таємницi, та конфiденцiйної iнформацiї в органах державної влади, iнших державних органах, органах мiсцевого самоврядування, на пiдприємствах, в установах та органiзацiях, якi належать до сфери їх управлiння, здiйснюється з використанням засобiв криптографiчного захисту iнформацiї, якi вiдповiдають вимогам до засобiв криптографiчного захисту iнформацiї, призначених для захисту таємної iнформацiї, яка не становить державної таємницi, та конфiденцiйної iнформацiї.

     23. У складi систем повиннi використовуватися засоби технiчного та/або криптографiчного захисту iнформацiї, якi мають позитивний експертний висновок за результатами державної експертизи у сферi технiчного та/або криптографiчного захисту iнформацiї або документ про вiдповiднiсть, виданий органом з оцiнки вiдповiдностi.

     Програмне забезпечення, яке забезпечує функцiонування систем, у яких обробляється iнформацiя, що становить державну таємницю, використовується за умови проведення державної експертизи вбудованих функцiй захисту такого програмного забезпечення у рамках державної експертизи у сферi технiчного та/або криптографiчного захисту iнформацiї.

     24. Засоби технiчного та/або криптографiчного захисту iнформацiї, якi мають чинний документ про вiдповiднiсть мiжнародному стандарту ISO/IEC 15408 "The Common Criteria for Information Technology Security Evaluation", використовуються у складi систем (крiм систем, у яких обробляється службова iнформацiя або iнформацiя, що становить державну таємницю) за умов проведення їх оцiнки вiдповiдностi з рiвнем гарантiї оцiнювання не нижче другого (EAL2) у рамках мiжнародної Домовленостi про визнання сертифiкатiв загальних критерiїв у сферi безпеки iнформацiйних технологiй (The Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security) органом з оцiнки вiдповiдностi, який акредитовано нацiональним органом України з акредитацiї або нацiональним органом з акредитацiї iноземної держави, якщо нацiональний орган України з акредитацiї та нацiональний орган з акредитацiї вiдповiдної держави є членами мiжнародної або регiональної органiзацiї з акредитацiї та/або уклали угоду про взаємне визнання щодо оцiнки вiдповiдностi.

     Засоби технiчного та/або криптографiчного захисту iнформацiї, якi мають чинний документ про вiдповiднiсть мiжнародному стандарту ISO/IEC 15408 "The Common Criteria for Information Technology Security Evaluation", використовуються у складi систем, у яких обробляється службова iнформацiя, за умов проведення оцiнки вiдповiдностi з рiвнем гарантiї оцiнювання не нижче четвертого (EAL4) у рамках мiжнародної Домовленостi про визнання сертифiкатiв загальних критерiїв у сферi безпеки iнформацiйних технологiй (The Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security) органом з оцiнки вiдповiдностi, який акредитовано нацiональним органом України з акредитацiї або нацiональним органом з акредитацiї iноземної держави, якщо нацiональний орган України з акредитацiї та нацiональний орган з акредитацiї вiдповiдної держави є членами мiжнародної або регiональної органiзацiї з акредитацiї та/або уклали угоду про взаємне визнання щодо оцiнки вiдповiдностi, а також за наявностi експертного висновку у сферi технiчного та/або криптографiчного захисту iнформацiї щодо вiдповiдностi результатiв такої оцiнки вимогам законодавства у сферi захисту iнформацiї.

     Засоби технiчного та/або криптографiчного захисту iнформацiї, якi внесенi до перелiку сертифiкованих продуктiв в НАТО (NATO Information Assurance Product Catalogue), використовуються у складi систем, в яких обробляється службова iнформацiя, за умов наявностi експертного висновку у сферi технiчного та/або криптографiчного захисту iнформацiї щодо вiдповiдностi результатiв такої оцiнки вимогам законодавства у сферi захисту iнформацiї.

     Використання засобiв криптографiчного захисту iнформацiї, зазначених у цьому пунктi, призначених для захисту службової iнформацiї, дозволяється за умови контролю з боку власника або розпорядника системи засобiв генерацiї та розподiлу ключових даних до них.

     25. Кiберзахист систем забезпечується шляхом здiйснення власниками або розпорядниками систем заходiв з кiберзахисту з урахуванням результатiв управлiння ризиками кiбербезпеки.

     Усi базовi заходи з кiберзахисту є обов'язковими до здiйснення власниками або розпорядниками систем.

     26. З метою належного здiйснення заходiв з кiберзахисту власники або розпорядники систем затверджують, щороку переглядають та за потреби (зокрема у разi змiни рiвня ризику кiбербезпеки) оновлюють план кiберзахисту.

     План кiберзахисту розробляється з урахуванням управлiння ризиками кiбербезпеки на основi каталогу заходiв з кiберзахисту та включає описи поточного та/або цiльового стану кiберзахисту.

     Власники або розпорядники систем поетапно та послiдовно досягають цiльового стану кiберзахисту шляхом здiйснення заходiв, передбачених планом кiберзахисту.

     Каталог заходiв з кiберзахисту, базовi заходи з кiберзахисту, форма плану кiберзахисту, а також методичнi рекомендацiї щодо здiйснення заходiв з кiберзахисту затверджуються Адмiнiстрацiєю Держспецзв'язку.

     27. Власники або розпорядники систем забезпечують оцiнювання стану кiберзахисту систем вiдповiдно до порядку оцiнювання стану кiберзахисту iнформацiйних, електронних комунiкацiйних та iнформацiйно-комунiкацiйних систем, в яких обробляються державнi iнформацiйнi ресурси або службова iнформацiя та iнформацiя, що становить державну таємницю, об'єктiв критичної iнфраструктури, об'єктiв критичної iнформацiйної iнфраструктури (крiм систем та об'єктiв банкiв), передбаченого частиною третьою статтi 5 Закону України "Про основнi засади забезпечення кiбербезпеки України", з урахуванням каталогу заходiв з кiберзахисту, особливостей функцiонування та архiтектури об'єктiв критичної iнфраструктури, об'єктiв критичної iнформацiйної iнфраструктури.

     28. Власники або розпорядники систем здiйснюють управлiння ризиками кiбербезпеки на постiйнiй та системнiй основi для запобiгання виникненню кiберiнциденту та/або кiберзагрози i мiнiмiзацiї можливих наслiдкiв у разi настання кiберiнциденту та/або кiберзагрози.

     Управлiння ризиками кiбербезпеки здiйснюється iз застосуванням нацiональних та мiжнародних стандартiв управлiння у сферi кiбербезпеки та включає:

     органiзацiю управлiння ризиками кiбербезпеки;

     оцiнювання ризикiв кiбербезпеки;

     запобiгання ризикам (мiнiмiзацiя ризикiв) кiбербезпеки;

     проведення монiторингу i здiйснення контролю за ризиками кiбербезпеки та перегляд їх актуальностi;

     здiйснення обмiну iнформацiєю про ризики кiбербезпеки.

     Методика оцiнювання ризикiв кiбербезпеки затверджується Адмiнiстрацiєю Держспецзв'язку.

     29. Власники або розпорядники систем забезпечують реагування на кiберiнциденти, кiбератаки та кiберзагрози з урахуванням нацiонального плану реагування на кiберiнциденти, кiбератаки та кiберзагрози, передбаченого частиною третьою статтi 5 Закону України "Про основнi засади забезпечення кiбербезпеки України".

     30. Керiвники з кiберзахисту та пiдроздiли з кiберзахисту власникiв або розпорядникiв систем здiйснюють заходи з кiберзахисту, управлiння ризиками кiбербезпеки, реагування на кiберiнциденти, кiбератаки та кiберзагрози, обмiн iнформацiєю про кiберiнциденти, кiбератаки та кiберзагрози.

     31. Власники або розпорядники систем отримують доступ до Iнтернету через систему захищеного доступу державних органiв до Iнтернету Державного центру кiберзахисту або через постачальникiв електронних комунiкацiйних мереж та/або послуг, якi мають захищенi вузли доступу до глобальних мереж передачi даних, або через власнi авторизованi з безпеки системи захищеного доступу до Iнтернету.

     32. Власники або розпорядники систем органiзовують та забезпечують регулярне навчання своїх спiвробiтникiв з питань кiберзахисту, яке проводиться диференцiйовано залежно вiд функцiональних обов'язкiв та з урахуванням професiйної квалiфiкацiї спiвробiтникiв.

     33. Власники або розпорядники систем забезпечують планування витрат та фiнансування заходiв з кiберзахисту з урахуванням результатiв управлiння ризиками кiбербезпеки.".