1. К объектам критической инфраструктуры могут быть отнесены предприятия, учреждения и организации независимо от формы собственности, которые:
1) осуществляют деятельность и предоставляющих услуги в области энергетики, химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, в банковском и финансовом секторах, а также на платежном рынке;
2) предоставляют услуги в сферах жизнеобеспечения населения, в частности в сферах централизованного водоснабжения, водоотведения, снабжения электрической энергии и газа, производства продуктов питания, сельского хозяйства, здравоохранения,
3) являются коммунальными, аварийными и спасательными службами, службами экстренной помощи населению;
4) включены в перечень предприятий, имеющих стратегическое значение для экономики и безопасности государства;
5) являются объектами потенциально опасных технологий и производств.
2. Критерии и порядок отнесения объектов к объектам критической инфраструктуры, перечень таких объектов, общие требования к их киберзащиты, в том числе по применению индикаторов киберугроз, и требования к проведению независимого аудита информационной безопасности утверждаются Кабинетом Министров Украины, а относительно банков, других лиц, осуществляющих деятельность на рынках финансовых услуг, государственное регулирование и надзор за деятельностью которых осуществляет Национальный банк Украины, операторов платежных систем и / или участников платежных систем, технологических операторов платежных услуг - Национальным банком Украины.
3. Требования и порядок проведения независимого аудита информационной безопасности на объектах критической инфраструктуры устанавливаются соответствующими нормативно-правовыми актами по аудиту информационной безопасности, утверждаются Кабинетом Министров Украины.
Разработка нормативно-правовых актов по независимому аудиту информационной безопасности на объектах критической инфраструктуры осуществляется на основе международных стандартов, стандартов Европейского Союза и НАТО с обязательным привлечением представителей основных субъектов национальной системы кибербезопасности, научных учреждений, независимых аудиторов и экспертов в области кибербезопасности, общественных организаций.
4. Ответственность за обеспечение киберзащиты коммуникационных и технологических систем объектов критической инфраструктуры, защиты технологической информации в соответствии с требованиями законодательства, за безотлагательное информирование правительственной команды реагирования на компьютерные чрезвычайные события Украины CERT-UA об инцидентах кибербезопасности, за организацию проведения независимого аудита информационной безопасности на таких объектах возлагается на владельцев и / или руководителей предприятий, учреждений и организаций, отнесенных к объектам критической инфраструктуры.
5. Обмен информацией об инцидентах кибербезопасности, содержащий персональные данные, осуществляется с соблюдением требований Закона Украины "О защите персональных данных".
Статья 6 ЗУ Об основных принципах обеспечения кибербезопасности Украины на русском языке с изменениями 2024 год №2163-VIII от 05.10.2017, редакция от 15.12.2021
Структура акта