Наказ №836: нові вимоги до постачальників

17.03.2026

На початку 2025 року підходи, визначені законодавством щодо захисту інформації, почали змінюватися. Передусім ці зміни торкнулися державного сектору, об’єктів критичної інфраструктури (ОКІ) та інших власників або розпорядників інформації, вимоги щодо захисту якої встановлені законом. Нововведення запустили вагомі трансформації, узгоджені з кращими міжнародними практиками, і закріпили ризик-орієнтований підхід до захисту інформації, що посилює відповідні процеси. Про основні зміни та поняття (базовий, галузевий, цільовий профілі) ми вже пояснювали у статті: «Еволюція епохи КСЗІ: що таке профіль безпеки (базовий, галузевий, цільовий)».
Саме в межах цього переходу з’явилися й нові вимоги до постачальників. З огляду на динамічні зміни у кіберпросторі та тенденції, коли понад третину витоків даних пов’язують із доступом через третіх сторін (постачальників/партнерів), держава змушена постійно адаптувати та посилювати регулювання у сфері інформаційної безпеки й кібербезпеки.
Зокрема, Адміністрацією Держспецзв’язку було видано наказ №836 від 17.12.2025 «Про встановлення вимог щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси (ДІР) або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури», який підсилить кіберстійкість у ланцюжках постачання. Детальніше про наказ – далі у статті.

Кого стосуються нові вимоги?

Вищезгаданий наказ 836 Держспецзв’язку визначає вимоги до захисту інформаційно-комунікаційних систем (ІКС) для постачальників, які надають товари, роботи або послуги власникам або розпорядникам ІКС, в яких обробляються ДІР або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури (ОКІІ).
Важливо: вимоги застосовуються до будь-яких постачальників (фізичних або юридичних осіб), якщо їхні товари, роботи чи послуги залучені до забезпечення функціонування, супроводу або модернізації таких ІКС складовою роботи або безпеки на таких ІКС у державному секторі та на ОКІІ.

Як визначаються вимоги до постачальника?

Конкретні вимоги залежать від рівня ризику, який визначає власник або розпорядник ІКС. Логіка досить проста – спершу оцінюється критичність постачання, а вже потім встановлюється рівень ризику, який і визначає набір обов’язкових заходів безпеки для реалізації.
Крок 1. Визначення критерію критичності постачання
На цьому етапі ключове питання одне: чи передбачає постачання товарів, робіт та послуг безпосередню участь ІКС постачальника в обробці ДІР або службової інформації та інформації, що становить державну таємницю?
Перший критерій критичності – постачання не передбачає участі ІКС постачальника в обробці такої інформації.
Другий критерій критичності – постачання передбачає участь ІКС постачальника в обробці такої інформації.
Крок 2. Визначення рівня ризику
Ризики поділяються на рівні, які представлені нижче:
Перший рівень ризику – стосується постачання товарів, робіт та послуг за першим критерієм критичності, призначених для ІКС, де обробляються ДІР або службова інформація та інформація, що становить державну таємницю, ОКІІ;
Другий рівень ризику – стосується постачання товарів, робіт та послуг за другим критерієм критичності, призначених для ІКС, де обробляються ДІР, ОКІІ, інформація про яких віднесена до відкритої або конфіденційної інформації;
Третій рівень ризику – стосується постачання товарів, робіт та послуг за другим критерієм критичності, призначених для ІКС, де обробляються ДІР, ОКІІ, інформація про яких віднесена до службової інформації;
Четвертий рівень ризику – стосується постачання товарів, робіт та послуг за другим критерієм критичності, призначених для ІКС, де обробляються ДІР, ОКІІ, інформація про яких становить державну таємницю.
Нижче запропонована таблиця визначення рівня ризику.

Таблиця ризиків

Рівень ризику	Участь ІКС постачальника в обробці ДІР, службової інформації або таємної	Категорія інформації, яка обробляється
1	Ні	Не застосовується
2	Так	Відкрита / конфіденційна
3	Так	Для службового користування
4	Так	Державна таємниця

Що ж змінилося для постачальників послуг державному сектору?

Тепер для надання послуг або постачання товарів державним установам, ОКІІ, в яких обробляються ДІР або службова інформація та інформація, що становить державну таємницю, компанії повинні підтвердити захищеність власних ІКС.
Для першого рівня ризику виконання базових заходів безпеки підтверджується декларативно в рамках договору.
Для другого-четвертого рівнів ризику – через один зі способів підтвердження, які представлені нижче:
● Наявністю у постачальника авторизації з безпеки на свою ІКС та присутність у переліку авторизованих систем з безпеки;● Наявністю у постачальника сертифіката відповідності стандарту інформаційної безпеки (напр. ДСТУ ISO/IEC 27001), виданого органом з оцінки відповідності, який акредитовано національним органом України з акредитації або національним органом з акредитації іноземної держави, якщо національний орган України з акредитації та національний орган з акредитації відповідної держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності;● Наявністю чинного атестату відповідності на комплексну систему захисту інформації (КСЗІ).

Що буде, якщо постачальник не виконає вимоги?

Фактично наказ 836 ДССЗЗІ та пов’язані з ним порядки вводять для постачальників своєрідний «вхідний квиток» у роботу з державним сектором та ОКІІ. І тут ви або підтверджуєте виконання вимог у встановлений спосіб, або замовник сильно ризикує у ланцюзі постачання.
Невиконання вимог – це не абстрактний «комплаєнс», це реальний ризик втратити проєкт або клієнта ще на початку, або гірше – якщо станеться кіберінцидент, то втрат можуть зазнати як постачальник, так і замовник!
Отже, ви можете просто не дійти до підписання договору із замовником. Для 2-4 рівнів ризику підтвердження підв’язане до конкретних підстав: авторизації з безпеки, сертифіката відповідності (напр. ДСТУ ISO/IEC 27001) або чинного атестата КСЗІ. Якщо постачальник не може надати підтвердження, замовник зазвичай має лише два варіанти: не допускати до співпраці або вимагати усунення невідповідності до старту робіт.
Для постачальників 1-го рівня ризику невиконання вимог може призвести до ситуації, коли зобов’язання задекларовані, а фактично – не виконані. Це, певним чином, відкриває шлях до типових договірних наслідків: вимоги термінового усунення порушень, призупинення робіт, застосування штрафних умов або розірвання договору – залежно від того, як ці положення закріплені замовником у договорі.

Висновки

Можемо підсумувати про наказ Держспецзв’язку 836 розʼяснення: документ формує єдині вимоги для постачальників, які працюють із державним сектором та ОКІІ. Це сприятиме підвищенню рівня кіберстійкості, як державного, так і приватного сектору, а також підвищенню загального рівня кібербезпеки в країні. Якщо у вас є питання щодо підвищення кіберстійкості, проведення авторизації з безпеки або впровадження нових вимог до постачальників – звертайтесь до команди IT Specialist. Ми знаходимо індивідуальний підхід до кожного замовника – незалежно від того, чи ви державний орган, чи представник бізнесу.

IT Specialist — безпечна інтеграція в майбутнє!

Автор: Дмитро Чуб (Директор напряму автоматизації, інтеграції та аудиту бізнес-процесів)

Безпечна інтеграція в майбутнє

Безпечна інтеграція в майбутнє

Держспецзв'язку посилила вимоги до постачальників: роз’яснення Наказу №836

Зателефонувати

Написати

Приїхати на каву

Зателефонувати

Написати

Приїхати на каву