Наказ №75 vs №601: що змінюється у кіберзахисті

25.03.2026

Кількість кіберзагроз і вразливостей постійно зростає, тому підходи до кіберзахисту доводиться регулярно оновлювати. З огляду на це, розвиваються міжнародні фреймворки, стандартні та національні регуляторні вимоги. Україна не є винятком: кінець 2025 року та початок 2026 року принесли помітні зміни в нормативному підході до кіберзахисту.
Одним із ключових документів став Наказ Адміністрації Держспецзв’язку від 30.01.2026 №75 «Про затвердження Каталогу заходів з кіберзахисту, базових заходів з кіберзахисту, форми плану кіберзахисту та методичних рекомендацій щодо здійснення заходів з кіберзахисту». Він замінив Наказ №601 від 06.10.2021, яким раніше затверджувалися методичні рекомендації щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури.₴
Докладніше про основні зміни – далі в статті.

Як працював попередній підхід: коротко про Наказ №601

Наказ №601 затверджував методичні рекомендації для підвищення рівня кіберзахисту об’єктів критичної інформаційної інфраструктури (ОКІІ). Він був побудований із урахуванням NIST CSF 1.1 і мав переважно рекомендаційний характер.
Фактично це був корисний методичний орієнтир, але не нормативна рамка, яка змушує організацію формувати план кіберзахисту, виконувати визначений мінімум заходів і підтверджувати їх реалізацію.

Чому виникла потреба у нових підходах та рішеннях?

Поява Наказу №75 повʼязана із загальною зміною підходу держави до захисту інформації. Зокрема, йдеться про відхід від моделі КСЗІ та перехід до нових механізмів безпеки й авторизації систем.
По-перше, новою редакцією Постанови Кабінету Міністрів від 29.03.2006 №373 «Про затвердження Мінімальних вимог до захисту інформаційних, електронних, комунікаційних, інформаційно-комунікаційних та технологічних систем» (Постанова №373) встановлюється «мінімальний поріг», який складається з сукупності організаційних і технічних вимог до заходів захисту інформації та кіберзахисту для органів державної влади, інших держорганів, органів місцевого самоврядування та державних підприємств, установ та організацій, які є власниками або розпорядниками систем, де обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом.
По-друге, новою редакцією Постанови Кабінету Міністрів від 19.06.2019 №518 «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури» (далі – Постанова №518) визначаються загальні вимоги з кіберзахисту об’єктів критичної інфраструктури (ОКІ), які є обов’язковими до виконання операторами критичної інфраструктури та власниками або розпорядниками об’єктів критичної інформаційної інфраструктури.
Саме на виконання вимог вищезгаданих постанов Адміністрація Держспецзв’язку видає Наказ №75, який затверджує:
● каталог заходів з кіберзахисту;● базові заходи з кіберзахисту;● форму плану кіберзахисту;● методичні рекомендації щодо здійснення заходів з кіберзахисту.
Для кращого розуміння пропонуємо розглянути таблицю, яка співставляє нормативну основу, відповідні вимоги та те, як їх реалізує Наказ №75.

Таблиця кіберзахисту

Нормативна основа	Що закріплено	Наказ №75
Постанова №518	Визначено, що базові заходи з кіберзахисту є обов’язковими, а суб’єкти мають затверджувати, щороку переглядати та оновлювати план кіберзахисту; план має будуватись на основі каталогу заходів і містити поточний та цільовий стан.	Фактично дає практичні інструменти для виконання цієї вимоги: каталог, базові заходи, форму плану, методичні рекомендації. Це перехід від загальної норми до прикладного інструментарію.
Постанова №373	Аналогічно закріплено, що базові заходи є обов’язковими, план кіберзахисту щороку переглядається, а також прямо зазначено, що Каталог, Базові заходи, форма плану та методичні рекомендації затверджуються Адміністрацією Держспецзв’язку.	Охоплює не лише ОКІ, а й ширше коло суб’єктів (держоргани, органи місцевого самоврядування, держпідприємства тощо), якщо вони працюють із державними інформаційними ресурсами та/або інформацією з обмеженим доступом.

Які оновлення містить Наказ №75?

Документи, затверджені Наказом №75, розроблено з урахуванням документа NIST Cybersecurity Framework (CSF) 2.0, виданого у 2024 році Національним інститутом стандартів та технологій Сполучених Штатів Америки (National Institute of Standards and Technology). Практично це видно навіть у Формі плану кіберзахисту, адже вона починається з функції «Управління (GV)».
Ця функція підкреслює важливість управлінських аспектів в управлінні ризиками, пов'язаними з кібербезпекою. Вона допомагає організаціям визначати пріоритети та досягати цілей, визначених іншими п’ятьма функціями: «Ідентифікація», «Захист», «Виявлення», «Реагування», «Відновлення». Зосередження уваги на управлінні дасть організаціям змогу отримати цілісне уявлення про кібербезпеку. CSF 2.0 демонструє, як загрози впливають на ІТ-інфраструктуру та дані, а також на організацію загалом.
Докладніше ознайомитися з NIST CSF 2.0 можна у попередній статті «NIST CSF 2.0: шість функцій кібербезпеки».
Методичні рекомендації прямо розділяють заходи на два рівні:
● каталог заходів з кіберзахисту – сукупність усіх необхідних заходів;● базові заходи з кіберзахисту – сукупність обов’язкових заходів.
Зауважимо, що каталог і базові заходи поширюються не лише на ОКІІ, а й на широкий периметр суб’єктів: органи державної влади, державні підприємства та установи, якщо вони є власниками або розпорядниками систем, де обробляються державні інформаційні ресурси або інформація з обмеженим доступом, а також на операторів критичної інфраструктури та власників або розпорядників ОКІІ.
Виникає питання – чи однакові вимоги до усіх суб’єктів? Відповідь: ні. На відміну від №601, де основні вимоги були до ОКІІ, у новому підході базові заходи розподілені:
● для операторів критичної інфраструктури та власників або розпорядників ОКІІ І–ІІ категорій критичності;● для операторів критичної інфраструктури та власників або розпорядників ОКІІ ІІІ–IV категорій критичності;● для органів державної влади, інших державних органів, органів місцевого самоврядування, державних підприємств, установ та організацій, які є● власниками або розпорядниками систем, в яких обробляються державні інформаційні ресурси;● для органів державної влади, інших державних органів, органів місцевого самоврядування, державних підприємств, установ та організацій, які є● власниками або розпорядниками систем, в яких обробляється інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Наголосимо, що ці вимоги вже застосовні та їх потрібно виконувати вищезгаданим суб’єктам.
Результатом впроваджених базових заходів є план кіберзахисту, який містить:
● ідентифікатор та опис підкатегорії NIST CSF 2.0 (заходу кіберзахисту);● опис поточного та цільового станів кіберзахисту;● відповідальну особу за конкретний захід та терміни виконання.
Ключові відмінності Наказу №75 та Наказу №601

Критерій	Наказ №601	Наказ №75	Практичне значення
Формат документа	Один документ	Комплекс взаємопов’язаних документів	Підхід став більш практичним і керованим
Чинність	Втратив чинність	Чинний	Нова рамка замість доповнення до старої
Кого стосується	Переважно ОКІ	ОКІ, ОКІІ та суб’єктів державного сектору	Значно більше організацій підпадають під вимоги
Нормативна логіка	Переважно рекомендаційний орієнтир	Нормативно пов’язаний із Постановою №518 і Постановою №373	Легше обґрунтувати керівництву як обов’язковий напрям
Підхід NIST	Побудований з урахуванням NIST CSF 1.1	Побудований із урахуванням NIST CSF 2.0	Сучасніша модель управління кіберзахистом
Обов’язковий мінімум заходів	Не було окремого формалізованого «мінімуму»	Є окремі базові заходи як обов’язковий мінімум	Простіший старт і зрозуміла нижня планка

Як реалізувати вимоги Наказу №75?

1. Визначити сферу застосування. Методичні рекомендації прямо підказують, що в межі слід включати: організаційну структуру, процеси, ролі та відповідальності, технічні компоненти (інформаційні системи, мережі тощо), а також фізичні межі (локації, офіси, приміщення тощо).
2. Провести оцінку поточного стану та визначити цільовий. Оцінювання стану кіберзахисту описане як таке, що здійснюється на основі рівнів впровадження (зрілості) з урахуванням каталогу та архітектури систем. Логіка проста: ви фіксуєте «як є», погоджуєте «як має стати» і визначаєте пріоритетні кроки для переходу до цільового стану.
3. Сформувати план кіберзахисту і перетворити «вимоги» на керовані задачі. Сам шаблон плану вимагає кожен захід описати як: поточний стан 🡪 цільовий стан 🡪 відповідальний 🡪 термін.
4. Закрити «обов’язковий мінімум» першочергово. Базові заходи, наведені у відповідних розділах документа, визначені як обов’язкові. Практичний підхід: спочатку – виконання базового мінімуму для вашої категорії/типу, далі – розширення відповідно до ризиків і пріоритетів.

Наслідки недотримання нових вимог

Питання здійснення державного контролю за дотриманням суб’єктами вимог з кіберзахисту врегульовано Постановою Кабінету Міністрів України від 17.12.2025 р. №1668 «Про затвердження Порядку здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту». Ця постанова визначає механізми моніторингу та проведення планових і позапланових перевірок, а також повноваження Адміністрації Держспецзв’язку під час здійснення державного контролю.
Для організацій це означає перехід до режиму обов’язкового виконання. Якщо під час перевірки виявляються порушення, за її результатами складається акт і визначаються строки на усунення недоліків. Виконання цих вимог є обов’язковим.
Якщо ж виявлені ознаки порушень створюють ризик для безпечної роботи систем або можуть завдати шкоди інтересам держави, Адміністрація Держспецзв’язку може ініціювати подальші дії перед державними чи правоохоронними органами, а також питання дисциплінарної відповідальності посадових осіб.
Якщо ви хочете більше дізнатися про підготовку до перевірок – читайте нашу статтю: «Як підготуватися до перевірок ДССЗЗІ: детальний розбір нових вимог Постанови КМУ №1668».

Висновки

Наказ №75 фактично перевів підходи щодо кіберзахисту в Україні з рівня методичних орієнтирів до рівня обов’язкового впровадження. Якщо Наказ №601 переважно мав рекомендаційний характер, то новий підхід вимагає обов’язкового впровадження та наявності практичного інструментарію.
Ключова зміна полягає не лише в оновленні підходу відповідно до NIST CSF 2.0, а й у значно ширшому застосуванні. Наказ №75 стосується не тільки операторів критичної інфраструктури та ОКІІ, а й органів державної влади, органів місцевого самоврядування, державних підприємств, установ та організацій, які працюють із державними інформаційними ресурсами та/або інформацією з обмеженим доступом.
Для вищого керівництва та відповідальних за кіберзахист Наказ №75 створює зрозумілу модель дій, яка спрощує планування ресурсів, посилює контроль виконання та формує доказову базу для внутрішнього контролю, зовнішніх перевірок і аудиту.
Водночас нові вимоги означають, що організаціям варто діяти проактивно вже зараз. Відсутність формалізованого плану кіберзахисту, неактуальний стан заходів або невиконання базового мінімуму можуть призводити до зростання репутаційних ризиків та ризиків кібербезпеки, а також до ускладнення проходження перевірок та підтвердження належного рівня кіберзахисту. Саме тому Наказ №75 слід розглядати не лише як нову нормативну вимогу, а як можливість побудувати керований, прозорий і сучасний підхід до кіберзахисту.
Якщо у вас є питання щодо підвищення кіберстійкості, проведення оцінки ризиків кібербезпеки або впровадження нових вимог, звертайтеся до команди IT Specialist. Ми знаходимо індивідуальний підхід до кожного замовника.

IT Specialist — безпечна інтеграція в майбутнє!

Автор: Дмитро Чуб (Директор напряму автоматизації, інтеграції та аудиту бізнес-процесів)