Держспецзв’язку оновлює вимоги до кіберзахисту: затверджено нові стандарти на основі NIST CSF 2.0
Україна переходить на ризикоорієнтований підхід. Затверджено каталог заходів та нові вимоги для держорганів і критичної інфраструктури, що діятимуть у 2026 році.
Адміністрація Держспецзв'язку затвердила пакет нормативних документів, які впроваджують сучасний ризикоорієнтований підхід до кібербезпеки в Україні. Нові заходи розроблені з урахуванням міжнародного стандарту NIST Cybersecurity Framework 2.0 та спрямовані на захист критичної інфраструктури та державних інформаційних ресурсів.
З метою посилення стійкості національного кіберпростору, Адміністрація Державної служби спеціального зв'язку та захисту інформації України оприлюднила ключові документи, що визначають оновлені правила гри для суб'єктів кіберзахисту у 2026 році. Основною зміною став перехід від формального виконання вимог до активного управління ризиками. Нова архітектура заходів базується на функціях: Ідентифікація, Захист, Виявлення, Реагування та Відновлення.
Затверджений пакет включає чотири основні компоненти:
- Каталог заходів з кіберзахисту: Повний перелік організаційних та технічних дій, структурований за міжнародними стандартами.
- Базові заходи з кіберзахисту: Мінімально необхідний набір дій для різних категорій організацій, що дозволяє швидко налаштувати базовий рівень безпеки.
- Уніфікована форма Плану кіберзахисту: Чіткий шаблон, який допоможе керівникам установ структурувати заходи, призначити відповідальних та визначити терміни виконання.
- Методичні рекомендації: Детальні роз'яснення та приклади впровадження заходів (із посиланнями на NIST SP 800-53, COBIT та НД ТЗІ), що робить процес реалізації зрозумілим для технічних фахівців.
Оновлені вимоги є обов'язковими для:
Операторів критичної інфраструктури (I-IV категорій критичності).
Органів державної влади та місцевого самоврядування.
Державних підприємств та установ, які працюють з державними інформаційними ресурсами або інформацією з обмеженим доступом.
Особлива увага в документах приділяється забезпеченню безперервності бізнес-процесів та здатності швидко відновлюватися після інцидентів. Зокрема, нові норми деталізують процедури інформування про кіберінциденти через механізм «єдиного вікна» та платформу обміну інформацією в режимі реального часу.
"Впровадження цих стандартів - це не просто виконання нормативних вимог, а крок до створення єдиної екосистеми кіберзахисту, де кожна організація розуміє свої активи, ризики та має чіткий алгоритм дій у разі атаки", - зазначається у положеннях методичних рекомендацій.
Суб'єктам рекомендується розпочати проведення інвентаризації активів (ID.AM) та оцінку ризиків згідно з новими методиками для приведення своїх систем у відповідність до затверджених вимог.