План кіберзахисту згідно з Наказом №75: з чого починати CISO держструктури

Протягом кількох місяців, з листопада 2025 по лютий 2026 року, в Україні набрав чинності пакет нормативних актів, який суттєво змінив вимоги до кіберзахисту держструктур та об'єктів критичної інфраструктури.

Ключові документи цього пакету:

• КМУ №1470 від 13.11.2025 — нова редакція Загальних вимог з кіберзахисту об'єктів критичної інфраструктури. Замінила стару редакцію постанови №518 від 2019 року і встановила оновлені обов'язкові вимоги.
• КМУ №1531 від 26.11.2025 — оновлені мінімальні вимоги до захисту інформаційних систем (зміни до постанови №373).
• Наказ Держспецзв'язку №75 від 30.01.2026 — затвердив Каталог заходів з кіберзахисту, перелік базових заходів, форму Плану кіберзахисту та Методичні рекомендації щодо їх здійснення.

Разом ці три документи формують єдиний нормативний каркас: що саме потрібно захищати, якими заходами, за якою формою і як це документувати.

Для CISO та керівників з кіберзахисту в держструктурах і на об'єктах критичної інфраструктури це означає одне: тепер необхідно мати затверджений, актуальний і відповідний вимогам документ, який це підтверджує.

Про що говорить КМУ №1470

Нова редакція Загальних вимог, затверджена КМУ №1470, вводить два ключові поняття, які пронизують усю систему кіберзахисту:

Поточний стан кіберзахисту це фактичний стан організації та здійснення заходів з кіберзахисту на конкретний момент часу. Простіше кажучи: те, що реально є у вас зараз це технічні засоби, процедури, документи, навчений персонал.

Цільовий стан кіберзахисту - плановий стан, якого суб'єкт має досягти. Він визначається на основі Каталогу заходів з кіберзахисту з урахуванням результатів управління ризиками. Це конкретний перелік заходів із Каталогу, який суб'єкт визначив як необхідний для свого рівня ризику.

Між цими двома станами — відстань, яку потрібно пройти. І саме цю відстань та дорогу до цілі фіксує план кіберзахисту.

Згідно з пунктом 4 КМУ №1470:

«З метою належного здійснення заходів з кіберзахисту суб'єкти затверджують, щороку переглядають та за потреби оновлюють план кіберзахисту. План кіберзахисту розробляється з урахуванням результатів управління ризиками кібербезпеки на основі каталогу заходів з кіберзахисту та включає описи поточного та/або цільового стану кіберзахисту.»

Зверніть увагу: «щороку переглядають» це не рекомендація, а вимога. А «за потреби оновлюють» зокрема, у разі зміни рівня ризику. Тобто план це живий документ, а не папір, складений одного разу і забутий у шухляді.

Що таке Каталог заходів і чому він важливий

Каталог заходів з кіберзахисту це затверджений Держспецзв'язку єдиний для всіх суб'єктів перелік організаційних та технічних заходів, структурований за функціями NIST Cybersecurity Framework 2.0.

Каталог містить п'ять класів заходів:

Всередині цих класів конкретні категорії та підкатегорії заходів. Одні з них є базовими, тобто обов'язковими для всіх суб'єктів без винятків. Інші - додатковими, які суб'єкт впроваджує на основі власної оцінки ризиків.

Методичні рекомендації Наказу №75 прямо вказують: «Такий перелік заходів не є контрольним переліком дій, які необхідно виконати один раз. Вони є базовими для впровадження на об'єкті кіберзахисту з метою управління ризиками», тобто це не чекліст, а система, яка має функціонувати постійно.

Базові заходи: що є обов'язковим для всіх

КМУ №1470 однозначний у цьому питанні: «Усі базові заходи з кіберзахисту є обов'язковими для здійснення суб'єктами».

Базові заходи це мінімально необхідний набір, нижче якого не можна опускатися незалежно від розміру організації, рівня зрілості чи фінансових можливостей. Вони охоплюють усі шість функцій Каталогу і стосуються найкритичніших аспектів: управління доступом, захисту конфігурацій, моніторингу подій, реагування на інциденти, резервного копіювання, навчання персоналу.

Важливий нюанс: Методичні рекомендації до Наказу №75 описують базові заходи як «перелік впорядкованих та взаємопов'язаних заходів» і ця взаємозв'язаність принципова. Не можна виконати лише захист (PR) і проігнорувати виявлення (DE). Система працює як єдине ціле.

Управління ризиками: обов'язковий фундамент

Ключова зміна, яку вносить КМУ №1470 порівняно зі старими вимогами 2019 року, це перехід від формального виконання вимог до управління ризиками на постійній та системній основі.

Пункт 6 КМУ №1470 встановлює, що управління ризиками кібербезпеки включає:

• організацію управління ризиками кібербезпеки;
• оцінювання ризиків кібербезпеки;
• запобігання ризикам (мінімізація ризиків);
• моніторинг і контроль за ризиками та перегляд їх актуальності;
• обмін інформацією про ризики кібербезпеки.

Жоден із цих елементів не є разовою дією. Оцінювання ризиків це не процедура «зробив і забув», а циклічний процес, результати якого безпосередньо впливають на зміст плану кіберзахисту та вибір цільового стану.

Методика оцінювання ризиків кібербезпеки затверджується Держспецзв'язку окремим документом і її застосування є обов'язковим при розробці плану.

Що таке план кіберзахисту і що він має містити

План кіберзахисту це не звіт про те, що ви зробили. Це документ, який описує:

• де ви знаходитесь зараз - поточний стан кіберзахисту: які заходи з Каталогу вже впроваджені, в якому обсязі, наскільки ефективно;
• де ви маєте бути - цільовий стан: які заходи необхідні з урахуванням ваших ризиків, які пріоритетні;
• як ви туди дійдете - конкретні заходи, строки, відповідальні особи, ресурси.

Форма плану кіберзахисту затверджена Наказом №75. Вона структурована за класами Каталогу (таблиці для кожного з класів ID, PR, DE, RS, RC, GV) і передбачає опис стану кожного заходу: впроваджений, частково впроваджений, запланований.

Ще один важливий зв'язок - план кіберзахисту має взаємоузгоджуватися з Планом захисту ОКІ від кіберзагрози національного рівня (форма затверджена спільним наказом СБУ та Держспецзв'язку №627/772 від 19.12.2024). Це не два окремі документи, що живуть паралельно, це два пов'язані елементи єдиної системи.

Хто відповідає за розробку і впровадження

КМУ №1470 чітко визначає відповідальних (пункт 8):

«Керівники з кіберзахисту або відповідальні особи, які виконують функції та завдання керівників з кіберзахисту, або підрозділи з кіберзахисту суб'єктів здійснюють заходи з кіберзахисту, управління ризиками кібербезпеки, реагування на кіберінциденти, обмін інформацією про кіберінциденти».

Посада керівника з кіберзахисту в органах держвлади урегульована окремою постановою КМУ №1516 від 26.11.2025. Якщо окрема посада не передбачена штатним розписом, функції покладаються на відповідальну особу або підрозділ.

Це означає: відсутність призначеного відповідального, сама по собі невідповідність вимогам, яку фіксує Держспецзв'язку під час перевірки.

Хто здійснює оцінювання поточного стану

Методичні рекомендації до Наказу №75 прямо відповідають на це питання. Оцінювання поточного стану кіберзахисту може здійснювати:

• Самооцінка - власними силами установи, за умови наявності навченого персоналу з підтвердженою кваліфікацією.
• Із залученням зовнішньої організації - на підставі договору, з дотриманням вимог щодо конфіденційності отриманої інформації.
• Аудиторами інформаційної безпеки, які відповідають Вимогам Наказу Держспецзв'язку №228 від 30.04.2024 та пройшли атестацію.

Результати оцінювання - не просто внутрішній документ. Вони використовуються Держспецзв'язку під час оглядів стану кіберзахисту та заходів державного контролю (КМУ №1668). Тобто це офіційний матеріал, на основі якого регулятор оцінює вашу відповідність.

Де типово виникають проблеми

Більшість держструктур, з якими ми працюємо, стикаються з однією і тією самою картиною: технічні заходи частково є (антивірус стоїть, файрвол налаштований), але системної документації немає. А вимоги Наказу №75 стосуються саме системи, а не окремих технічних рішень.

Найпоширеніші прогалини:

Інвентаризація активів не ведеться або застаріла. Без розуміння, що саме захищається, неможливо ані оцінити ризики, ані визначити цільовий стан. Функція «Ідентифікація» (ID) Каталогу починається саме з цього.

Управління ризиками відсутнє як процес. Є окремі рішення, прийняті ситуативно, але немає задокументованого, повторюваного процесу оцінювання та обробки ризиків.

Поточний стан не зафіксований. Організація не знає, де саме перебуває відносно Каталогу заходів. Без цього неможливо скласти реалістичний план переходу до цільового стану.

Немає плану кіберзахисту у формі Наказу №75. Або є старий документ, що не відповідає новій формі. Під час перевірки Держспецзв'язку це фіксується як невиконання вимог.

Навчання персоналу не задокументоване. Пункт 9 КМУ №1470 зобов'язує суб'єктів забезпечувати регулярне навчання співробітників з питань кіберзахисту. Без документів, знову ж таки, для регулятора цього не існує.

Фінансування заходів не сплановане. Пункт 10 КМУ №1470 вимагає від суб'єктів планування витрат та фінансування заходів з кіберзахисту з урахуванням результатів управління ризиками. Це означає, що кіберзахист має бути в бюджеті, не «коли залишаться кошти», а як запланована стаття.

Що перевіряє Держспецзв'язку

КМУ №1668 від 17.12.2025 затвердив Порядок здійснення державного контролю за дотриманням вимог законодавства у сфері кіберзахисту. Держспецзв'язку здійснює контроль у двох формах:

Моніторинг стану кіберзахисту - постійний збір та аналіз інформації. Суб'єкти зобов'язані подавати результати оцінювання стану кіберзахисту не пізніше 30 календарних днів після його завершення. Перше оцінювання має бути проведене протягом шести місяців з дати набрання чинності порядку.

Планові перевірки - не частіше ніж раз на три роки, але можуть бути й позапланові — при наявності підстав (наприклад, кіберінцидент або повідомлення про порушення).

За результатами перевірки Держспецзв'язку надає рекомендації та вимоги щодо усунення виявлених недоліків. У разі серйозних порушень, передає матеріали до відповідних органів. Тобто контроль перестав бути суто консультативним.

З чого починати CISO прямо зараз

Враховуючи, що нові вимоги вже набрали чинності, а перше оцінювання має бути проведене в межах шести місяців від початку дії контрольного порядку, часу для пасивного спостереження немає. Ось практична логіка дій:

1. Зрозуміти, чи підпадаєте ви під дію вимог. КМУ №1470 поширюється на операторів критичної інфраструктури та власників/розпорядників об'єктів критичної інформаційної інфраструктури. Постанова №373 в новій редакції  - на органи держвлади та держпідприємства, що обробляють державні інформаційні ресурси. Якщо ваша організація належить до будь-якої з цих категорій вимоги обов'язкові.

2. Визначити відповідального. Якщо керівника з кіберзахисту ще не призначено, то це перший кадровий крок. Без нього неможливо формально виконати жодну з вимог КМУ №1470.

3. Провести оцінювання поточного стану. Це відправна точка для будь-якого подальшого планування. Оцінювання здійснюється з використанням Каталогу заходів Наказу №75 як еталону. За результатами стає зрозуміло, які базові заходи вже впроваджені, або частково, або немає зовсім.

4. Визначити цільовий стан. На основі результатів оцінювання та управління ризиками формується перелік заходів, які необхідно впровадити або вдосконалити. Цільовий стан це не «все з Каталогу», а обґрунтований вибір, що відповідає реальному профілю ризиків організації.

5. Розробити та затвердити план кіберзахисту за формою Наказу №75. Документ має бути затверджений керівником установи, щороку переглядатися і оновлюватися при зміні рівня ризику.

6. Забезпечити виконання і контроль. План це не фінал, а початок. Його виконання потрібно моніторити, заходи впроваджувати відповідно до строків, результати фіксувати для подання до Держспецзв'язку.

Самостійно чи із залученням зовнішнього партнера

Методичні рекомендації до Наказу №75 визнають обидва варіанти і це правильно, бо ситуації бувають різні. Але є практичний критерій вибору.

Самостійне оцінювання має сенс, якщо у вас є навчений персонал з підтвердженою кваліфікацією і достатній ресурс для повноцінного дослідження всіх шести класів Каталогу. На практиці в більшості держструктур це означає вузьке місце: людина є, але вона ж одночасно відповідає за операційний захист, реагування на інциденти і документацію.

Залучення зовнішнього партнера - з атестованими аудиторами інформаційної безпеки, як того вимагає Наказ №228, дає кілька переваг: незалежна точка зору, підтверджена методологія, готова документація у форматах, прийнятних для Держспецзв'язку, і можливість власній команді зосередитися на операційних задачах.

Важливо розуміти: конфіденційність інформації, отриманої в ході оцінювання, є вимогою, а не опцією. При виборі зовнішнього партнера це має бути закріплено договором.

Як ESKA допомагає

ESKA це компанія повного циклу кіберзахисту. Наші фахівці (CISSP, CISM, ISO 27001 Lead Auditor, ISO 27005 Risk Manager) мають підтверджену кваліфікацію для проведення оцінювання стану кіберзахисту відповідно до вимог Наказу №228 Держспецзв'язку.

Ми допомагаємо держструктурам і операторам критичної інфраструктури:

• провести оцінювання поточного стану кіберзахисту за Каталогом заходів Наказу №75;
• визначити цільовий стан з урахуванням реальних ризиків організації;
• розробити план кіберзахисту у формі, затвердженій Наказом №75;
• погодити план з вимогами суміжних документів (КМУ №1470, Наказ №627/772 СБУ та Держспецзв'язку);
• підготуватися до оцінювання та перевірки з боку Держспецзв'язку.

Допомагаємо державним організаціям та операторам КІ виконати всі вимоги наказу №75 - від аудиту та оцінки ризиків до технічного впровадження, без створення внутрішньої команди. Зв'яжіться з нами для первинної консультації.