Нацбанк визначив обов'язкові вимоги щодо організації заходів інформаційної безпеки, які поетапно повинні впроваджуватися банками. Вимоги спрямовані на посилення захисту інформації у банківській системі з урахуванням актуальних кіберзагроз.
Перший етап (впровадження базових заходів інформаційної безпеки) має бути реалізовано до 1 березня 2018 року. Другий етап (впровадження додаткових заходів) - до 1 вересня 2019 року.
Заходи безпеки інформації включають захист від шкідливого коду, ліквідацію загроз під час використання електронної пошти, контроль доступу до інформаційних систем банку, основи безпеки в мережі банку, криптографічний захист інформації.
Окрім того, передбачено призначення у банках відповідальної особи за інформаційну безпеку (Chief Information Security Officer, CISO) і надання йому повноважень, достатніх для прийняття управлінських рішень. Також банки повинні сформувати окремі підрозділи з інформаційної безпеки виключно зі штатних працівників банку, які підпорядковуються безпосередньо CISO.
Положення про організацію заходів щодо забезпечення інформаційної безпеки у банківській системі України затверджено постановою НБУ № 95 від 28.09.2017. Документ набере чинності 01.03.2018, крім розділу V «Додаткові заходи безпеки інформації», що набере чинності 01.09.2019.
