18 червня 2026 року Правління Національного банку України опублікувало постанову "Про затвердження Положення про критичну інформаційну інфраструктуру фінансового сектору та Змін до деяких нормативно-правових актів Національного банку України з питань кіберзахисту" від 12.06.2026 р. № 66, яка набирає чинності вже 19 червня. Банки, оператори платіжних систем, технологічні оператори платіжних послуг і адміністратор бази даних обов'язкового страхування ОСЦПВ отримали два місяці, щоб визначити власні інформаційно-комунікаційні системи, збій у роботі яких здатен спровокувати кризу, та подати їх перелік регулятору. Покроковий алгоритм формування переліку критичних систем, критерії їх класифікації для банків та учасників платіжного ринку, вимоги до призначення відповідальної особи та повний перелік заходів кіберзахисту - у детальному аналізі на LIGA360.
Ключова умова для віднесення системи до критичної - одночасне виконання двох критеріїв: порушення роботи системи безпосередньо призводить до кризової ситуації на об'єкті критичної інфраструктури Оператора і при цьому немає жодної альтернативної системи з аналогічним функціоналом. Перелік затверджує керівник установи, після чого протягом місяця надсилається до Національного банку, а деталізовані відомості - у форматі xlsx з КЕП - подаються ще через місяць. Далі НБУ має 20 робочих днів на розгляд і внесення до реєстру, а за наявності зауважень Оператор усуває недоліки протягом 10 робочих днів. Щорічний цикл перегляду прив'язано до фіксованих дат: інвентаризація станом на 1 листопада, звіт регулятору - до 1 грудня.
Постанова № 66 закриває не лише організаційний, а й контрагентський ризик: Оператору заборонено залучати постачальників і розробників критичних систем, пов'язаних із державою-агресором через резидентство, кінцевих бенефіціарів або місця обробки даних. Одночасно розширено перелік кіберінцидентів, що підлягають обов'язковому повідомленню, - тепер до Центру кіберзахисту НБУ надсилаються й події середнього (жовтого) рівня критичності. Для банків-Операторів прив'язка частоти зовнішнього аудиту до категорії критичності об'єктів інфраструктури означає прямий вплив нового статусу на вартість і регулярність контрольних процедур.
Щоб оперативно відстежувати такі регуляторні зміни, перевіряти кіберризики та працювати з актуальною нормативною базою, LIGA ZAKON пропонує рішення LIGA360 для бізнесів та державних органів. Почніть свою роботу з LIGA360 вже сьогодні - Ligazakon.net.
