# Порядок підтвердження постачальниками товарів, робіт, послуг відповідності впроваджених заходів безпеки інформації встановленим вимогам відповідно до рівня ризику, пов'язаного з постачанням товарів, робіт, послуг власникам або розпорядникам інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об'єктів критичної інформаційної інфраструктури **Тип:** Адміністрація Держспецзв’язку **Видавник:** Адміністрація Державної служби спеціального зв'язку та захисту інформації України **Номер:** z1978-25 **Прийнято:** 2025-12-17 **Чинна редакція від:** 2025-12-17 **Стан:** in_force **Rada ID:** `z1978-25` --- > ЗАТВЕРДЖЕНО > > Наказ Адміністрації > > Державної служби > > спеціального зв’язку > > та захисту інформації України > > 17 грудня 2025 року [№ 836](rada:z1975-25) > > Зареєстровано в Міністерстві > > юстиції України > > 31 грудня 2025 року > > за № 1978/45384 > > Порядок > > підтвердження постачальниками товарів, робіт, послуг відповідності впроваджених заходів безпеки інформації встановленим вимогам відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт, послуг власникам або розпорядникам інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури > > **1.** Цей Порядок встановлює процедуру підтвердження постачальниками товарів, робіт, послуг відповідності впроваджених заходів безпеки інформації встановленим вимогам відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт, послуг власникам або розпорядникам інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури (далі — системи). > > **2.** Цей Порядок застосовується до постачальників товарів, робіт, послуг і власників або розпорядників систем в разі, якщо товари, роботи, послуги, які постачають постачальники, забезпечують функціонування систем. > > **3.** У цьому Порядку під терміном «постачальник» розуміється будь-яка фізична або юридична особа, яка постачає товари, роботи і послуги власникам або розпорядникам систем. > > Інші терміни вживаються у значенні, наведеному в Законі України [«Про захист інформації в інформаційно-комунікаційних системах»](rada:80/94-%D0%B2%D1%80), [Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем](rada:712-2025-%D0%BF), затвердженому постановою Кабінету Міністрів України від 18 червня 2025 року № 712. > > **4.** Виконання вимог базових заходів безпеки відповідно до першого рівня ризику в інформаційно-комунікаційній системі постачальника (в разі наявності) підтверджується постачальником декларативним принципом у рамках укладення договору про постачання товарів, робіт і послуг з власником або розпорядником системи. > > **5.** Виконання вимог відповідно до другого — четвертого рівнів ризику підтверджується постачальником шляхом підтвердження наявності однієї з таких умов: > > авторизації з безпеки інформаційно-комунікаційної системи та наявності у переліку авторизованих систем з безпеки; > > сертифіката відповідності стандарту інформаційної безпеки, виданого органом з оцінки відповідності, який акредитовано національним органом України з акредитації або національним органом з акредитації іноземної держави, якщо національний орган України з акредитації та національний орган з акредитації відповідної держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності; > > чинного атестату відповідності на комплексну систему захисту інформації. > > Директор Департаменту > > захисту інформації > > Адміністрації Держспецзв’язку > > Андрій ГОЛОВЕНКО