Закон 4336-IX: что меняется для госучреждений и критической инфраструктуры и как к этому готовиться бизнесу
Закон Украины № 4336-IX, принятый 27 марта 2025 года, переформатировал систему киберзащиты госсектора и объектов критической информационной инфраструктуры (ОКИ) — от кадровой архитектуры до ответственности руководителей за сообщения о киберинцидентах.
Через год после принятия уже действуют ключевые подзаконные акты: постановление Кабинета Министров Украины от 26 ноября 2025 года № 1516 о порядке назначения руководителя по киберзащите, постановление № 1668 о государственном контроле и приказ Администрации Госспецсвязи № 798 с методическими рекомендациями. Этот материал — практический путеводитель по закону 4336 для руководителей госучреждений и владельцев бизнеса, работающих с критической инфраструктурой. Разбираем вместе с командой SHERIFF Cybersecurity, что на самом деле написано в законе, а что в производных от него актах.
Ключевая информация
— Закон 4336-IX вносит изменения в пять базовых законов: «О кибербезопасности», «О защите информации в ИКС», «О Госспецсвязи», «О стандартизации», «О публичных электронных реестрах».
— В госоргане обязательно создается подразделение по киберзащите и назначается руководитель по киберзащите (CISO). Владелец или распорядитель ОКИ — назначает только ответственное лицо, подразделение — при необходимости.
— Кандидатура CISO в госоргане согласовывается с Администрацией Госспецсвязи после проверки СБУ. Если в течение месяца нет мотивированного отказа — согласование считается предоставленным автоматически.
— CISO не может совмещать должность с ответственным за цифровое развитие и трансформацию (CDTO) — прямая норма постановления КМУ № 1516.
— Закон 4336 устанавливает административную ответственность за непредоставление сообщений о киберинцидентах. Уголовная — это отдельное поле статей 361−363¹ Уголовного кодекса, которых этот закон не менял.
— Аттестация специалистов по киберзащите проходит в аккредитованных квалификационных центрах, с внесением в Государственный реестр Национального агентства квалификаций.
↳ Раздел I Закона № 4336-IX от 27.03.2025; вступил в силу 20.04.2025; отдельные нормы — с 19.10.2025.
Один закон — пять базовых законов
Закон 4336-IX — это не самостоятельный акт, а закон о внесении изменений. Раздел I прямо называет пять законов, в которые он вносит правки: «О защите информации в информационно-коммуникационных системах», «О Государственной службе специальной связи и защиты информации Украины», «О стандартизации», «Об основных принципах обеспечения кибербезопасности Украины», «О публичных электронных реестрах».
Это принципиально важно, когда речь идет о том, «что говорит закон 4336», на самом деле надо открывать эти пять законов в редакции после 27 марта 2025 года. Сам по себе 4336-IX — это инструмент редактирования, а не отдельный кодекс киберзащиты.
↳ Раздел I Закона № 4336-IX.
Госспецсвязь как главный регулятор киберзащиты
Закон официально закрепляет за Госспецсвязью формирование и реализацию государственной политики по киберзащите государственных информационных ресурсов и информации с ограниченным доступом, киберзащите критической инфраструктуры, а также активное противодействие агрессии в киберпространстве. Это отражено в новой редакции статьи 8 Закона «Об основных принципах обеспечения кибербезопасности Украины».
Сфера регулирования охватывает четыре направления: техническую защиту информации, криптографическую защиту, киберзащиту и противодействие техническим разведкам. Последнее направление выделено на уровне закона — это отдельное поле компетенции регулятора.
В сфере стандартов закон формирует параллельную систему: разработка, принятие и внедрение стандартов криптографической и технической защиты, киберзащиты и противодействия техническим разведкам отнесены к полномочиям Госспецсвязи. На практике это создает канал быстрой имплементации международных рамок, прежде всего NIST (США) и подходов ENISA (ЕС).
↳ Статья 8 Закона «Об основных принципах обеспечения кибербезопасности Украины» в ред. 4336-IX; пункты 100, 101, 106 статьи 14 Закона «О Госспецсвязи».
Кто такой CISO в законе и кому он обязателен
Важнейшая новация закона — новая статья 5¹ «Подразделения по киберзащите, руководители по киберзащите» Закона «Об основных принципах обеспечения кибербезопасности Украины». Именно эта статья часто становится источником недоразумений — попробуем изложить ее дословно.
Для органов государственной власти
В органах государственной власти, которые являются владельцами или распорядителями систем, в которых обрабатываются государственные информационные ресурсы, служебная информация или информация, составляющая государственную тайну, образуются подразделения по киберзащите и назначаются руководители по киберзащите. Подразделение непосредственно подчиняется руководителю по киберзащите. В органах местного самоуправления — назначаются лица, выполняющие функции и задачи руководителя по киберзащите.
Для владельцев и распорядителей ОКИ
Для частного бизнеса, владельца или распорядителя объекта критической информационной инфраструктуры, обязательным является только назначение ответственного лица, выполняющего функции и задачи руководителя по киберзащите. Подразделение, в случае необходимости, с целью обеспечения выполнения требований по киберзащите.
То есть бизнесу не навязывается отдельное штатное подразделение. Требуется функция и ответственное лицо. Это принципиально важно для тех, кто закладывает бюджет 2026: создание полноценной службы — управленческий выбор собственника, а не прямое требование закона.
В SHERIFF Cybersecurity, который как интегратор работает и с государственными, и с частными заказчиками, видим, что для большинства ОКИ оптимальной моделью становится сочетание внутреннего ответственного лица с аутсорсингом операционных функций мониторинга и реагирования. Это и дешевле полноценной службы, и сильнее «формально назначенного» работника.
↳ Часть 1 статьи 5¹ Закона «Об основных принципах обеспечения кибербезопасности Украины» в ред. 4336-IX.
Как назначить CISO в госоргане: алгоритм
Процедура назначения руководителя по киберзащите в органе государственной власти формализована статьей 5¹ и детализирована Порядком, утвержденным постановлением КМУ от 26 ноября 2025 года № 1516. Ключевые элементы:
— проверка кандидата Службой безопасности Украины в пределах ее полномочий;
— согласование кандидатуры с Администрацией Госспецсвязи;
— соответствие общим требованиям Закона «О государственной службе» и специальным требованиям Порядка № 1516.
Если Госспецсвязь в течение одного календарного месяца со дня получения обращения не предоставит мотивированного отказа в согласовании с указанием основания, определенного соответствующим порядком, — такое согласование считается предоставленным. Это прямо следует из части 1 статьи 5¹ Закона «О кибербезопасности».
Для частной компании, даже владельца или распорядителя ОКИ, закон 4336 не требует согласительной процедуры с Госспецсвязью или проверки СБУ. Достаточно назначить ответственное лицо, которое соответствует требованиям, вытекающим из методических рекомендаций Госспецсвязи (приказ № 798 от 03.12.2025).
↳ Часть 1 статьи 5¹ Закона «О кибербезопасности»; пункт 1 Порядка, утвержденного постановлением КМУ № 1516 от 26.11.2025.
Почему CISO нельзя совмещать с руководителем IT
Сам Закон 4336 не содержит прямого запрета совмещения должностей руководителя по киберзащите и руководителя IT. Что он делает, так это закрепляет структурную логику: подразделение по киберзащите напрямую подчиняется руководителю по киберзащите, а не IT-блоку. То есть киберзащита имеет автономный управленческий статус.
Конкретный запрет появился на уровне Порядка, утвержденного постановлением КМУ № 1516: руководитель по киберзащите в органе государственной власти не может одновременно занимать должность ответственного за цифровое развитие и трансформацию (CDTO).
Логика проста: один блок внедряет сервисы и отвечает за скорость цифровизации, другой — независимо проверяет их с точки зрения безопасности. Если роли сходятся в одном человеке, возникает самоконтроль и киберзащита становится формальной.
Для частных ОКИ закон такой прямой нормы не устанавливает, но мы последовательно рекомендуем клиентам функциональное разделение этих ролей даже тогда, когда законодательство этого прямо не требует, — иначе любой инцидент превращается в конфликт ролей внутри команды.
↳ Часть 1 статьи 5¹ Закона «О кибербезопасности»; Порядок, утвержденный постановлением КМУ № 1516; приказ Администрации Госспецсвязи № 798 от 03.12.2025.
Аттестация CISO: экзамен, реестр, государственное признание квалификации
Закон 4336 уполномочивает Госспецсвязь обеспечивать функционирование системы профессиональной квалификации специалистов в сфере безопасности информации. На этой основе действует инфраструктура аттестации через аккредитованные квалификационные центры. Такой центр есть и при КИБЕРАКАДЕМИИ SHERIFF. Экзамен проходит исключительно офлайн, в присутствии оценщиков. После успешной сдачи данные специалиста вносятся в Государственный реестр Национального агентства квалификаций и именно эта запись является официальным подтверждением права занимать должность CISO или ответственного лица в госоргане или на ОКИ.
Уровень требований не формальный. На одном из тестирований для аудиторов из группы в 12 опытных специалистов экзамен сдали пятеро. Это не сбой системы — это характеристика порога.
↳ Пункт 106 статьи 14 Закона «О Госспецсвязи» в ред. 4336-IX.
Ответственность: где закон 4336, а где Уголовный кодекс
В публичном пространстве вокруг закона часто путают две плоскости ответственности, и это стоит разложить по полочкам.
Закон 4336 устанавливает прямо только административную ответственность — за непредоставление обязательных сообщений о киберинцидентах в установленные сроки. Это следует из статьи 9¹ Закона «Об основных принципах обеспечения кибербезопасности», введенной этим законом. Конкретные размеры штрафов устанавливаются КУоАП или отдельным законом.
Уголовная ответственность за преступления в сфере использования компьютерных систем — это другая плоскость: статьи 361−363¹ Уголовного кодекса Украины. Закон 4336 этих статей не менял. Санкции зависят от конкретного состава и отягчающих обстоятельств и это не одна цифра.
Еще один трек — регуляторный контроль за соблюдением требований киберзащиты. Он осуществляется в порядке, утвержденном постановлением КМУ от
В SHERIFF КИБЕРБЕЗОПАСНОСТЬ советуем руководителям коммуницировать команде именно эту триединую картину: административная санкция — реальный риск, привязанный к срокам сообщений; уголовная — отдельное поле УК; регуляторный контроль — чаще всего недооценен, но именно он оставляет следы в документах.
↳ Статья 9¹ Закона «Об основных принципах обеспечения кибербезопасности» в ред. 4336-IX; статьи 361−363¹ Уголовного кодекса Украины; постановление КМУ № 1668 от 17.12.2025.
Кто расследует инциденты: ГЦКЗ, СБУ, Нацполиция
Закон 4336 разграничивает функции мониторинга и правоохранительной деятельности, и это принципиально.
Государственный центр киберзащиты (ГЦКЗ) при Госспецсвязи обеспечивает мониторинг сетей, регистрацию киберинцидентов и реагирование на них, в том числе сканирование на уязвимости. ГЦКЗ не является правоохранительным органом и не осуществляет досудебного расследования.
Уголовное расследование — это функция СБУ (в отношении государственных информационных ресурсов и ОКИ) и Национальной полиции (преступления в киберпространстве общего характера). Эти полномочия прямо закреплены в новой редакции статьи 8 Закона «Об основных принципах обеспечения кибербезопасности».
Отсюда простой ориентир для бизнеса: сообщение об инциденте — в ГЦКЗ/CERT-UA в сроки, предусмотренные статьей 9¹; криминализация события — отдельный путь через СБУ или Нацполицию; регуляторный контроль за соблюдением требований — отдельный процесс.
↳ Статья 8; часть 5 статьи 5 Закона «Об основных принципах обеспечения кибербезопасности» в ред. 4336-IX.
Дорожная карта внедрения: 7 шагов
Стандартный трек внедрения для учреждения выглядит так:
— определить статус: орган государственной власти, ОМС, собственник/распорядитель ОКИ — от этого зависит объем обязанностей;
— провести аудит и гэп-анализ — сопоставить фактическое состояние с требованиями закона и подзаконных актов;
— принять кадровые решения (подразделение, CISO или ответственное лицо);
— пройти процедуру согласования (для госоргана) или внутреннее назначение (для ОКИ);
— внедрить непрерывный мониторинг 24/7, управление рисками, контроль съемных носителей;
— наладить процедуру сообщений о киберинцидентах, чтобы избежать админответственности;
— провести стресс-тесты: восстановление из резервных копий, изоляция устройств, время реагирования.
В SHERIFF Cybersecurity под этот трек построены типовые пакеты: аудит готовности к 4336, подготовка кандидатов на CISO, внедрение SOC и процедур уведомлений о киберинцидентах. Все на основе того же перечня нормативных актов, составляющего «рабочую полку» юриста и кадрового директора госучреждения.
В итоге
Закон 4336-IX — это не разовое изменение правил, а структурная реформа. Он закрепляет Госспецсвязь как главного регулятора, формализует фигуру CISO/ответственного лица, отказывается от чисто бумажной безопасности в пользу стандартизированного управления рисками и вводит административную ответственность за несообщение о киберинцидентах. Сам закон не вводит новой уголовной ответственности — это остается полем УК.
Для государственных учреждений и владельцев ОКИ важно точно понимать границы своих обязанностей и эти границы прописаны не в медиаобобщениях, а в пяти законах в редакции 4336-IX, в постановлении КМУ № 1516, приказе Администрации Госспецсвязи № 798 и других подзаконных актах. Специалисты из SHERIFF КИБЕРБЕЗОПАСНОСТЬ в следующих публикациях-дополнениях рассмотрят отдельные практические вопросы, которые чаще всего возникают у руководителей госучреждений и владельцев бизнеса.