Зміни в законодавстві щодо CISO в Україні
22 травня, 12:20
Згідно зі змінами, внесеними до законодавства України, вимоги до керівників з кібербезпеки (CISO) в державних органах визначаються відповідно до Закону 4336 та підзаконних актів. Конкретні критерії для кандидатів на посаду CISO не зазначені безпосередньо в законі, а містяться в постанові Кабінету Міністрів України №1516 та профстандартах. Основними джерелами вимог є Порядок №1516 та наказ №798.
Згідно з частиною 3 статті 5¹ Закону 4336, методичні рекомендації щодо вимог до CISO надаються Держспецзв'язком. Водночас пункт 106 статті 14 Закону «Про Держспецзв’язок» (у редакції 4336) уповноважує Держспецзв'язок забезпечувати функціонування системи професійної кваліфікації, що також стосується CISO.
Вимоги до кандидатів на посаду CISO
Для кандидатів на посаду CISO в органах державної влади встановлюються певні вимоги. Зокрема, кандидати повинні мати ступінь вищої освіти за однією з перелічених спеціальностей:
- галузь «Інформаційні технології» (пріоритет — «Кібербезпека та захист інформації»);
- спеціальність «Управління інформаційною безпекою» галузі «Безпека та оборона»;
- спеціальності «Електроніка, електронні комунікації, приладобудування та радіотехніка»;
- «Інформаційно-вимірювальні технології»;
- «Автоматизація, комп’ютерно-інтегровані технології та робототехніка» галузі «Інженерія, виробництво та будівництво»;
- спеціальність «Публічне управління та адміністрування» галузі «Бізнес, адміністрування та право».
Стандартна вимога до стажу роботи для CISO становить не менше трьох років у відповідній сфері. Ця вимога закріплена у профстандартах і методичних рекомендаціях, а не в Законі 4336. Відповідно до пункту 3 Порядку, затвердженого постановою КМУ №1516 від 26.11.2025, ці вимоги є обов'язковими для виконання.
Отже, нові законодавчі ініціативи ставлять чіткі вимоги до спеціалістів у сфері кібербезпеки, що має на меті підвищення рівня захисту інформації в державних органах. Це публікація-доповнення до основної статті «Закон 4336-IX: що змінюється для держустанов і критичної інфраструктури та як до цього готуватися бізнесу».
Підвищення вимог до кваліфікації керівників з кібербезпеки в державних органах є важливим кроком у зміцненні національної кібербезпеки.
У світлі зростаючих загроз у кіберпросторі, такі ініціативи можуть сприяти кращому захисту даних та інформаційних систем, що є критично важливим для функціонування державних установ і забезпечення довіри громадян. Впровадження нових стандартів може також стимулювати розвиток освіти та професійної підготовки в галузі кібербезпеки в Україні.