Ст. 6 ЗУ Об основных принципах обеспечения кибербезопасности Украины от 05.10.2017 № 2163-VIII
Об основных принципах обеспечения кибербезопасности Украины
Статья 6. Объекты критической инфраструктуры
1. К объектам критической инфраструктуры могут быть отнесены предприятия, учреждения и организации независимо от формы собственности, которые:
1) осуществляют деятельность и предоставляющих услуги в области энергетики, химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, в банковском и финансовом секторах
2) предоставляют услуги в сферах жизнеобеспечения населения, в частности в сферах централизованного водоснабжения, водоотведения, снабжения электрической энергии и газа, производства продуктов питания, сельского хозяйства, здравоохранения,
3) являются коммунальными, аварийными и спасательными службами, службами экстренной помощи населению;
4) включены в перечень предприятий, имеющих стратегическое значение для экономики и безопасности государства;
5) являются объектами потенциально опасных технологий и производств.
2. Критерии и порядок отнесения объектов к объектам критической инфраструктуры, перечень таких объектов, общие требования к их киберзащиты, в том числе по применению индикаторов киберугроз, и требования к проведению независимого аудита информационной безопасности утверждаются Кабинетом Министров Украины, а в банковской системе Украины - Национальным банком Украины.
3. Требования и порядок проведения независимого аудита информационной безопасности на объектах критической инфраструктуры устанавливаются соответствующими нормативно-правовыми актами по аудиту информационной безопасности, утверждаются Кабинетом Министров Украины.
Разработка нормативно-правовых актов по независимому аудиту информационной безопасности на объектах критической инфраструктуры осуществляется на основе международных стандартов, стандартов Европейского Союза и НАТО с обязательным привлечением представителей основных субъектов национальной системы кибербезопасности, научных учреждений, независимых аудиторов и экспертов в области кибербезопасности, общественных организаций.
4. Ответственность за обеспечение киберзащиты коммуникационных и технологических систем объектов критической инфраструктуры, защиты технологической информации в соответствии с требованиями законодательства, за безотлагательное информирование правительственной команды реагирования на компьютерные чрезвычайные события Украины CERT-UA об инцидентах кибербезопасности, за организацию проведения независимого аудита информационной безопасности на таких объектах возлагается на владельцев и / или руководителей предприятий, учреждений и организаций, отнесенных к объектам критической инфраструктурой ры.
5. Обмен информацией об инцидентах кибербезопасности, содержащий персональные данные, осуществляется с соблюдением требований Закона Украины "О защите персональных данных".