Адміністрація Держспецзв’язку повідомила про затвердження  наказу від 18 лютого 2026 року № 143 «Деякі питання реагування на кіберінциденти, кібератаки», який впроваджує сучасний ризикоорієнтований підхід, побудований на основі європейських стандартів і кращих світових практик.

Нова нормативна база покликана не просто оновити термінологію, а й змінити фокус з виключно реактивних дій на проактивне управління ризиками. Саме тому до звичних понять кіберінцидентів та кібератак у документі додано роботу з кіберзагрозами. Це дає можливість виявляти та нейтралізувати небезпеку ще до того, як вона завдасть реальної шкоди системам та мережам.

Процес реагування тепер розпочинається із завчасної підготовки, яка передбачає інвентаризацію активів, оцінку вразливостей, впровадження систем захисту та регулярні тренінги персоналу. Наступним кроком є виявлення та аналіз події, де критично важливо правильно класифікувати інцидент та визначити його пріоритетність за п’ятибальною шкалою критичності (від «білого» до «чорного» рівня).

Третій етап присвячений стримуванню, усуненню наслідків та відновленню штатної роботи систем, починаючи від ізоляції уражених сегментів мережі до безпечного розгортання резервних копій. Заключним, четвертим етапом є аналіз ефективності, під час якого формується фінальний звіт, удосконалюються політики безпеки та налаштування засобів захисту з урахуванням виявлених тактик, технік та процедур зловмисників. Для зручності фахівців кожен етап супроводжується детальними чеклістами.

Наказ затверджує загальні правила обміну інформацією про кіберінциденти (протокол TLP) та національну таксономію кіберінцидентів, які використовуються для маркування інформації та класифікації кіберінцидентів. Окрему увагу в наказі приділено уніфікованій формі повідомлення про кіберінцидент або кіберзагрозу. Вона розроблена таким чином, щоб швидко надати командам реагування (CERT-UA чи галузевим CSIRT) усю необхідну технічну та організаційну інформацію без зайвих уточнень. Форма охоплює дані про час, сектор, рівень критичності, об’єкти впливу та індикатори компрометації.

Держспецзв’язку наголошує на ключовому правилі – своєчасно надіслати первинне повідомлення про факт атаки та потребу в допомозі. Усі глибокі технічні деталі та специфічні індикатори компрометації можна буде додати згодом, після початку активної фази протидії загрозі.

Нагадаємо, що минулого тижня Держспецзв’язку опублікувала порядок пріоритизації кіберінцидентів за рівнями критичності.