Кіберзахист як управлінська відповідальність

Наказ ДССЗЗІ №75 замінив попередній №601 і переніс кіберзахист із рекомендаційної зони в обов’язкову. Тепер держоргани, оператори критичної інфраструктури, підприємства та бізнес мають базовий мінімум заходів, диференційований за категоріями організацій, щорічний план і контроль з боку регулятора.

Рік 2025-й та початок 2026-го видалися насиченими на нормативні зміни у сфері кіберзахисту. І хоча нові накази та постанови з’являються регулярно, наказ №75 Адміністрації Держспецзв’язку від 30 січня – це не просто оновлення формулювань. Він змінює саму логіку того, як організації мають підходити до кіберзахисту.

Наказ №75 прийшов на заміну №601 від жовтня 2021 року і до того ж з’явився в пакеті з оновленими постановами Кабінету Міністрів України, які переналаштовують всю нормативну архітектуру захисту державних систем. Розберемося що саме змінилося і що з цим робити.

Як було раніше

Наказ №601 був побудований на базі NIST CSF 1.1 і регламентував методичні рекомендації щодо підвищення рівня кіберзахисту для об’єктів критичної інформаційної інфраструктури (ОКІІ). Тобто документ мав переважно рекомендаційний характер. Ніякого формалізованого обов’язкового мінімуму заходів, ніякого уніфікованого плану кіберзахисту, ніякого жорсткого зв’язку з перевірками регулятора.

На практиці це означало, що чимало організацій виконували вимоги №601 суто формально, а реальний стан безпеки залишався непрозорим і некерованим. Методичний орієнтир без механізму підзвітності – це не система.

Чому з’явився №75

Поява нового наказу – це наслідок ширшої реформи. Держава відмовляється від застарілої моделі КСЗІ та будує нову архітектуру, де захист інформації прив’язаний до реального управління ризиками, а не до формального виконання переліків вимог.

Фундаментом стали дві оновлені постанови КМУ. Постанова №518 встановлює загальні вимоги до кіберзахисту об’єктів критичної інфраструктури та прямо визначає їх як обов’язкові для операторів критичної інфраструктури та власників ОКІІ. Постанова №373 поширює аналогічну логіку на ширше коло: органи державної влади, місцевого самоврядування, державні підприємства та установи, що працюють із державними інформаційними ресурсами або інформацією з обмеженим доступом.

Саме на виконання цих постанов Адміністрація Держспецзв’язку випустила наказ №75. Він дає практичний інструментарій: не просто «що потрібно зробити», а «як саме і з чого починати».

Що конкретно затвердив №75

Наказ № 75 затвердив чотири взаємопов’язані документи. Каталог заходів – це вичерпний перелік усіх можливих організаційних і технічних заходів з кіберзахисту, структурованих за шістьма функціями NIST CSF 2.0. Базові заходи – це обов’язковий мінімум, диференційований залежно від типу та категорії організації. Форма плану кіберзахисту – уніфікований шаблон, у якому кожен захід описується через поточний стан, цільовий стан, відповідальну особу і термін виконання. Методичні рекомендації – практичні роз’яснення з посиланнями на NIST SP 800-53, COBIT та НД ТЗІ.

Всі чотири документи діють як єдина система. Каталог задає повний горизонт можливостей, базові заходи фіксують обов’язкову нижню планку, план кіберзахисту перетворює вимоги на конкретні задачі, а методичні рекомендації допомагають команді правильно їх реалізувати.

NIST CSF 2.0: не просто нова версія

Перехід від NIST CSF 1.1 до 2.0 – це не косметичне оновлення. Ключова зміна – поява шостої функції «Управління (Govern)» на додаток до вже знайомих фахівцям п’яти: Ідентифікація, Захист, Виявлення, Реагування, Відновлення.

Що це означає на практиці? Кібербезпека тепер явно позиціонується як питання стратегічного менеджменту. Функція «Управління» вимагає, щоб організація визначила свою місію в контексті кіберризиків, встановила стратегію, ролі й відповідальності, і забезпечила залученість вищого керівництва до прийняття рішень. Тобто CISO або CIO вже не може бути єдиним, хто «відповідає за кібербезпеку», – це сфера відповідальності всієї управлінської команди. Саме тому форма плану кіберзахисту, затверджена №75, починається з функції GV – щоб нагадати: спочатку управлінська рамка, потім технічні заходи.

Хто підпадає під вимоги та чи однакові вони для всіх

На відміну від наказу №601, який фокусувався переважно на ОКІІ, наказ №75 охоплює значно ширше коло суб’єктів. Під нові вимоги підпадають оператори критичної інфраструктури та власники або розпорядники ОКІІ, а також органи державної влади, місцевого самоврядування, державні підприємства, установи й організації – якщо вони обробляють державні інформаційні ресурси або інформацію з обмеженим доступом, захист якої передбачений законом.

При цьому вимоги диференційовані: базові заходи для операторів ОКІІ І-II категорій критичності ширші, ніж для ОКІІ III-IV категорій. Держоргани, що обробляють різні типи інформації, також мають свої окремі профілі базових заходів. Тобто система враховує категорії й типи організацій. Але для кожного з них – базовий мінімум обов’язковий вже зараз.

Як реалізовувати: чотири кроки без зайвого бюрократизму

Методичні рекомендації до наказу №75 пропонують зрозумілу послідовність дій. Перший крок – визначити межі: що входить у сферу застосування (організаційна структура, ролі, технічні компоненти, фізичні локації). Другий – оцінити поточний стан відповідно до каталогу й архітектури систем, зафіксувати «як є» і визначити «як має бути».

Третій крок – сформувати план кіберзахисту. Шаблон вимагає для кожного заходу чотири речі: поточний стан, цільовий стан, відповідальна особа, термін. Це не бюрократична вправа – це спосіб перетворити абстрактні вимоги на конкретні задачі з власниками й дедлайнами. Четвертий крок – закрити базовий мінімум у першу чергу. Базові заходи обов’язкові, тому їх виконання має пріоритет. Розширення до повного каталогу – наступний етап, після того, як мінімум забезпечено.

Контроль і наслідки

Постанова КМУ №1668 від 17 грудня 2025 року закрила питання, яке раніше залишалося відкритим: хто і як перевірятиме виконання вимог кіберзахисту. Тепер ДССЗЗІ має чіткий механізм державного контролю – планові й позапланові перевірки із затвердженими повноваженнями.

Якщо під час перевірки виявлено порушення – організація отримує акт і терміни для усунення недоліків. Виконання є обов’язковим. Якщо ж порушення створюють ризик для безпеки систем або можуть завдати шкоди державним інтересам, ДССЗЗІ може ініціювати подальші дії – аж до дисциплінарної відповідальності посадових осіб.

Відсутність плану кіберзахисту, невиконання базових заходів або формальне «закриття» вимог без реального впровадження – тепер це вже не просто репутаційний ризик. Це підстава для перевірки, акта й персональної відповідальності.

Висновок: не норматив, а інструмент управління

Таким чином наказ №75 – це не просто заміна старого документа новим. Це сигнал: кіберзахист в Україні перейшов від формального виконання рекомендацій до реального управління ризиками з прив’язкою до міжнародних стандартів, обов’язкового мінімуму заходів і підзвітності перед регулятором.

Для керівників це означає три речі. По-перше, кіберзахист виходить за межі ІТ-відділу – функція «Управління» в NIST CSF 2.0 прямо вимагає залучення ТОП-менеджменту. По-друге, обов’язковий мінімум базових заходів вже чинний, і питання не в тому, чи виконувати, а в тому, наскільки якісно. По-третє, план кіберзахисту – це більше не папір для перевірки, а управлінський документ, що фіксує прогрес, відповідальних і пріоритети. Наказ №75 дає для цього зрозуміле підґрунтя: структурований каталог, чіткий мінімум, уніфікований план і методичну підтримку.

Стратегія охолодження ЦОД для епохи AI