Закон 4336-IX: що змінюється для держустанов і критичної інфраструктури та як до цього готуватися бізнесу

Закон України № 4336-IX, ухвалений 27 березня 2025 року, переформатував систему кіберзахисту держсектору і об’єктів критичної інформаційної інфраструктури (ОКІ)  —  від кадрової архітектури до відповідальності керівників за повідомлення про кіберінциденти.  Через рік після ухвалення вже діють ключові підзаконні акти: постанова Кабінету Міністрів України від 26 листопада 2025 року № 1516 про порядок призначення керівника з кіберзахисту, постанова № 1668 про державний контроль і наказ Адміністрації Держспецзв’язку № 798 з методичними рекомендаціями. Цей матеріал — практичний путівник законом 4336 для керівників держустанов і власників бізнесу, що працюють з критичною інфраструктурою. Розбираємо разом із командою SHERIFF Cybersecurity , що насправді написано в законі, а що у похідних від нього актах. • Закон 4336-IX вносить зміни до п’яти базових законів: «Про кібербезпеку», «Про захист інформації в ІКС», «Про Держспецзв’язок», «Про стандартизацію», «Про публічні електронні реєстри». • У держоргані обов’язково створюється підрозділ з кіберзахисту та призначається керівник з кіберзахисту ( CISO). Власник або розпорядник ОКІ — призначає лише відповідальну особу, підрозділ — за потреби. • Кандидатура CISO в держоргані погоджується з Адміністрацією Держспецзв’язку після перевірки СБУ. Якщо протягом місяця немає вмотивованої відмови — погодження вважається наданим автоматично. • CISO не може суміщати посаду з відповідальним за цифровий розвиток і трансформацію ( CDTO) — пряма норма постанови КМУ № 1516. • Закон 4336 встановлює адміністративну відповідальність за ненадання повідомлень про кіберінциденти. Кримінальна — це окреме поле статей 361−363¹ Кримінального кодексу, яких цей закон не змінював. • Атестація фахівців з кіберзахисту проходить в акредитованих кваліфікаційних центрах, з внесенням до Державного реєстру Національного агентства кваліфікацій. ↳ Розділ I Закону № 4336-IX від 27.03.2025; набув чинності 20.04.2025; окремі норми — з 19.10.2025. Один закон — п’ять базових законів Закон 4336-IX — це не самостійний акт, а закон про внесення змін . Розділ I прямо називає п’ять законів, до яких він вносить правки: «Про захист інформації в інформаційно-комунікаційних системах», «Про Державну службу спеціального зв’язку та захисту інформації України», «Про стандартизацію», «Про основні засади забезпечення кібербезпеки України», «Про публічні електронні реєстри». Це принципово важливо, коли йдеться про те, «що каже закон 4336», насправді треба відкривати ці п’ять законів у редакції після 27 березня 2025 року. Сам по собі 4336-IX — це інструмент редагування, а не окремий кодекс кіберзахисту. Держспецзв’язок як головний регулятор кіберзахисту Закон офіційно закріплює за Держспецзв’язком формування і реалізацію державної політики з кіберзахисту державних інформаційних ресурсів та інформації з обмеженим доступом, кіберзахисту критичної інфраструктури, а також активну протидію агресії в кіберпросторі. Це відображено у новій редакції статті 8 Закону « Про основні засади забезпечення кібербезпеки України». Сфера регулювання охоплює чотири напрями: технічний захист інформації, криптографічний захист, кіберзахист і протидію технічним розвідкам. Останній напрям виокремлено на рівні закону — це окреме поле компетенції регулятора. У сфері стандартів закон формує паралельну систему: розробка, прийняття та запровадження стандартів криптографічного та технічного захисту, кіберзахисту та протидії технічним розвідкам віднесено до повноважень Держспецзв’язку. На практиці це створює канал швидкої імплементації міжнародних рамок, насамперед NIST ( США) та підходів ENISA ( ЄС). ↳ Стаття 8 Закону « Про основні засади забезпечення кібербезпеки України» у ред. 4336-IX; пункти 100, 101, 106 статті 14 Закону « Про Держспецзв’язок». Хто такий CISO у законі і кому він обов’язковий Найважливіша новація закону — нова стаття 5¹ «Підрозділи з кіберзахисту, керівники з кіберзахисту» Закону « Про основні засади забезпечення кібербезпеки України». Саме ця стаття часто стає джерелом непорозумінь — спробуємо викласти її дослівно. В органах державної влади, що є власниками або розпорядниками систем, у яких обробляються державні інформаційні ресурси, службова інформація або інформація, що становить державну таємницю, утворюються підрозділи з кіберзахисту та призначаються керівники з кіберзахисту. Підрозділ безпосередньо підпорядковується керівнику з кіберзахисту. В органах місцевого самоврядування — призначаються особи, які виконують функції та завдання керівника з кіберзахисту. Для власників і розпорядників ОКІ Для приватного бізнесу, власника або розпорядника об'єкта критичної інформаційної інфраструктури, обов’язковим є лише призначення відповідальної особи, яка виконує функції та завдання керівника з кіберзахисту. Підрозділ, у разі потреби, з метою забезпечення виконання вимог з кіберзахисту. Тобто бізнесу не нав’язується окремий штатний підрозділ. Вимагається функція і відповідальна особа. Це принципово важливо для тих, хто закладає бюджет 2026: створення повноцінної служби — управлінський вибір власника, а не пряма вимога закону. У SHERIFF Cybersecurity, який як інтегратор працює і з державними, і з приватними замовниками, бачимо, що для більшості ОКІ оптимальною моделлю стає поєднання внутрішньої відповідальної особи з аутсорсингом операційних функцій моніторингу та реагування. Це і дешевше за повноцінну службу, і сильніше за «формально призначеного» працівника. ↳ Частина 1 статті 5¹ Закону « Про основні засади забезпечення кібербезпеки України» у ред. 4336-IX. Як призначити CISO в держоргані: алгоритм Процедура призначення керівника з кіберзахисту в органі державної влади формалізована статтею 5¹ і деталізована Порядком, затвердженим постановою КМУ від 26 листопада 2025 року № 1516. Ключові елементи: • перевірка кандидата Службою безпеки України в межах її повноважень; • погодження кандидатури з Адміністрацією Держспецзв’язку; • відповідність загальним вимогам Закону « Про державну службу» і спеціальним вимогам Порядку № 1516. Для приватної компанії, навіть власника або розпорядника ОКІ, закон 4336 не вимагає погоджувальної процедури з Держспецзв’язком чи перевірки СБУ. Достатньо призначити відповідальну особу, яка відповідає вимогам, що випливають з методичних рекомендацій Держспецзв’язку ( наказ № 798 від 03.12.2025). ↳ Частина 1 статті 5¹ Закону « Про кібербезпеку»; пункт 1 Порядку, затвердженого постановою КМУ № 1516 від 26.11.2025. Чому CISO не можна суміщати з керівником IT Сам Закон 4336 не містить прямої заборони суміщення посад керівника з кіберзахисту і керівника IT. Що він робить, так це закріплює структурну логіку: підрозділ з кіберзахисту безпосередньо підпорядковується керівнику з кіберзахисту, а не IT-блоку. Тобто кіберзахист має автономний управлінський статус. Конкретна заборона з’явилася на рівні Порядку, затвердженого постановою КМУ № 1516: керівник з кіберзахисту в органі державної влади не може одночасно обіймати посаду відповідального за цифровий розвиток і трансформацію ( CDTO). Логіка проста: один блок впроваджує сервіси та відповідає за швидкість цифровізації, інший — незалежно перевіряє їх з погляду безпеки. Якщо ролі сходяться в одній людині, виникає самоконтроль і кіберзахист стає формальним. Для приватних ОКІ закон такої прямої норми не встановлює, але ми послідовно рекомендуємо клієнтам функціональне розділення цих ролей навіть тоді, коли законодавство цього прямо не вимагає, — інакше будь-який інцидент перетворюється на конфлікт ролей всередині команди. ↳ Частина 1 статті 5¹ Закону « Про кібербезпеку»; Порядок, затверджений постановою КМУ № 1516; наказ Адміністрації Держспецзв’язку № 798 від 03.12.2025. Атестація CISO: іспит, реєстр, державне визнання кваліфікації Фото: SHERIFF Закон 4336 уповноважує Держспецзв’язок забезпечувати функціонування системи професійної кваліфікації фахівців у сфері безпеки інформації. На цій основі діє інфраструктура атестації через акредитовані кваліфікаційні центри . Такий центр є і при КІБЕРАКАДЕМІЇ SHERIFF. Іспит проходить виключно офлайн, у присутності оцінювачів. Після успішної здачі дані фахівця вносяться до Державного реєстру Національного агентства кваліфікацій і саме цей запис є офіційним підтвердженням права обіймати посаду CISO або відповідальної особи в держоргані чи на ОКІ. Рівень вимог не формальний. На одному з тестувань для аудиторів з групи у 12 досвідчених фахівців іспит склали п’ятеро. Це не збій системи — це характеристика порогу. ↳ Пункт 106 статті 14 Закону « Про Держспецзв’язок» у ред. 4336-IX. Відповідальність: де закон 4336, а де Кримінальний кодекс У публічному просторі довкола закону часто плутають дві площини відповідальності, і це варто розкласти по поличках. Закон 4336 встановлює прямо лише адміністративну відповідальність — за ненадання обов’язкових повідомлень про кіберінциденти у встановлені строки. Це випливає зі статті 9¹ Закону « Про основні засади забезпечення кібербезпеки», запровадженої цим законом. Конкретні розміри штрафів встановлюються КУпАП або окремим законом. Кримінальна відповідальність за злочини у сфері використання комп’ютерних систем — це інша площина: статті 361−363¹ Кримінального кодексу України. Закон 4336 цих статей не змінював. Санкції залежать від конкретного складу та обтяжуючих обставин і це не одна цифра. Ще один трек — регуляторний контроль за дотриманням вимог кіберзахисту. Він здійснюється у порядку, затвердженому постановою КМУ від 17.12.2025 № 1668 ( планові й позапланові перевірки, приписи, документування невідповідностей). У SHERIFF КІБЕРБЕЗПЕКА радимо керівникам комунікувати команді саме цю триєдину картину: адміністративна санкція — реальний ризик, прив’язаний до строків повідомлень; кримінальна — окреме поле КК; регуляторний контроль — найчастіше недооцінений, але саме він залишає сліди у документах. ↳ Стаття 9¹ Закону « Про основні засади забезпечення кібербезпеки» у ред. 4336-IX; статті 361−363¹ Кримінального кодексу України; постанова КМУ № 1668 від 17.12.2025. Хто розслідує інциденти: ДЦКЗ, СБУ, Нацполіція Закон 4336 розмежовує функції моніторингу та правоохоронної діяльності, і це принципово. Державний центр кіберзахисту ( ДЦКЗ) при Держспецзв’язку забезпечує моніторинг мереж, реєстрацію кіберінцидентів і реагування на них, у тому числі сканування на вразливості. ДЦКЗ не є правоохоронним органом і не здійснює досудового розслідування. Кримінальне розслідування — це функція СБУ ( стосовно державних інформаційних ресурсів і ОКІ) та Національної поліції ( злочини у кіберпросторі загального характеру). Ці повноваження прямо закріплені в новій редакції статті 8 Закону « Про основні засади забезпечення кібербезпеки». Звідси простий орієнтир для бізнесу: повідомлення про інцидент — у ДЦКЗ/CERT-UA у строки, передбачені статтею 9¹; криміналізація події — окремий шлях через СБУ або Нацполіцію; регуляторний контроль за дотриманням вимог — окремий процес. ↳ Стаття 8; частина 5 статті 5 Закону « Про основні засади забезпечення кібербезпеки» у ред. 4336-IX. Дорожня карта впровадження: 7 кроків Стандартний трек впровадження для установи виглядає так: • визначити статус: орган державної влади, ОМС, власник/розпорядник ОКІ — від цього залежить обсяг обов’язків; • провести аудит і геп-аналіз — зіставити фактичний стан з вимогами закону та підзаконних актів; • ухвалити кадрові рішення ( підрозділ, CISO або відповідальна особа); • пройти процедуру погодження ( для держоргану) або внутрішнє призначення ( для ОКІ); • впровадити безперервний моніторинг 24/7, управління ризиками, контроль зйомних носіїв; • налагодити процедуру повідомлень про кіберінциденти, щоб уникнути адмінвідповідальності; • провести стрес-тести: відновлення з резервних копій, ізоляція пристроїв, час реагування. У SHERIFF Cybersecurity під цей трек побудовані типові пакети: аудит готовності до 4336, підготовка кандидатів на CISO, впровадження SOC і процедур повідомлень про кіберінциденти. Усе на основі того ж переліку нормативних актів, що становить « робочу полицю» юриста та кадрового директора держустанови. Закон 4336-IX — це не разова зміна правил, а структурна реформа. Він закріплює Держспецзв’язок як головного регулятора, формалізує постать CISO/відповідальної особи, відмовляється від суто паперової безпеки на користь стандартизованого управління ризиками і вводить адміністративну відповідальність за неповідомлення про кіберінциденти. Сам закон не запроваджує нової кримінальної відповідальності — це залишається полем КК. Для державних установ і власників ОКІ важливо точно розуміти межі своїх обов’язків і ці межі прописані не у медіаузагальненнях, а в п’яти законах у редакції 4336-IX, у постанові КМУ № 1516, наказі Адміністрації Держспецзв’язку № 798 та інших підзаконних актах. Фахівці з SHERIFF КІБЕРБЕЗПЕКА у наступних публікаціях-доповненнях розглянуть окремі практичні питання, що найчастіше виникають у керівників держустанов і власників бізнесу. Кіберзахист — це здатність команди реагувати на інцидент за лічені хвилини, з документально зафіксованими процесами. Закон 4336 створює рамку, бізнес наповнює її змістом. Теги:   закон 4336-IX кібербезпека України 2026 SHERIFFF Критична інфраструктура Кіберзахист Якщо ви знайшли помилку в тексті, виділіть її мишкою і натисніть Ctrl + Enter