Національний банк постановою від 09 грудня 2025 року № 143 затвердив Положення про організацію заходів із забезпечення інформаційної безпеки та кіберзахисту надавачами фінансових послуг.
Постанова набрала чинності 13 грудня 2025 року. Учасники ринку небанківських фінансових послуг (страховики, кредитні спілки, фінансові компанії, ломбарди) тепер зобов'язані привести свою діяльність у відповідність до нових вимог упродовж року з цієї дати.
НБУ зобов'язує надавачів фінансових послуг використовувати ризик-орієнтований підхід при впровадженні заходів кіберзахисту.
Ключові вимоги:
Управління ризиками: Запровадження обов'язкового процесу управління кіберризиками та ризиками інформаційної безпеки.
Відповідальна особа: Керівник призначає відповідальну особу за забезпечення впровадження вимог з інформаційної безпеки та кіберзахисту (або виконує ці функції особисто).
Внутрішні документи: Обов'язкове розроблення, затвердження та щорічний перегляд внутрішніх документів (політик, положень, стандартів) з питань інформаційної безпеки.
Ознайомлення персоналу: Користувачі та привілейовані користувачі зобов'язані ознайомитися з внутрішніми документами під підпис.
Серед іншого, документом встановлено обов'язок надавачів фінансових послуг використовувати програмні, апаратні, програмно-апаратні засоби з урахуванням вимог Закону про санкції, Закону про захист інформації, Закону про забезпечення кібербезпеки, інших законів України.
Також надавачі фінпослуг зобов'язані використовувати лише офіційні версії ПЗ, які мають підтримку виробника (оновлення безпеки). У разі використання ПЗ, для якого припинено підтримку, обов'язково проводиться аналіз ризиків та впроваджуються додаткові компенсуючі заходи (моніторинг, аудит, резервне копіювання) та розробити план переходу на офіційні версії ПЗ, який затверджується Наглядовою радою та реалізується у строк, що не перевищує двох років.
Інформаційна безпека більше не «опція», а вимога регулятора. LIGA360 пояснює нові регуляторні вимоги мовою практичних дій. Підключайтесь.
