Национальный банк постановлением от 09 декабря 2025 года № 143 утвердил Положение об организации мер по обеспечению информационной безопасности и киберзащиты предоставителями финансовых услуг.
Постановление вступило в силу 13 декабря 2025 года. Участники рынка небанковских финансовых услуг (страховщики, кредитные союзы, финансовые компании, ломбарды) теперь обязаны привести свою деятельность в соответствие с новыми требованиями на протяжении года с этой даты.
НБУ обязывает предоставителей финансовых услуг использовать риск-ориентированный подход при внедрении мероприятий киберзащиты.
Ключевые требования:
Управление рисками: Введение обязательного процесса управления киберрисками и рисками информационной безопасности.
Ответственное лицо: Руководитель назначает ответственное лицо по обеспечению внедрения требований информационной безопасности и киберзащиты (или выполняет эти функции лично).
Внутренние документы: Обязательная разработка, утверждение и ежегодный пересмотр внутренних документов (политик, положений, стандартов) по вопросам информационной безопасности.
Ознакомление персонала: Пользователи и привилегированные пользователи обязаны ознакомиться с внутренними документами под подпись.
Среди прочего, документом установлена обязанность предоставителей финансовых услуг использовать программные, аппаратные, программно-аппаратные средства с учетом требований Закона о санкциях, Закона о защите информации, Закона об обеспечении кибербезопасности, других законов Украины.
Также предоставители финуслуг обязаны использовать только официальные версии ПО, которые имеют поддержку производителя (обновление безопасности). В случае использования ПО, для которого прекращена поддержка, обязательно проводится анализ рисков и внедряются дополнительные компенсирующие мероприятия (мониторинг, аудит, резервное копирование) и разработать план перехода на официальные версии ПО, который утверждается Наблюдательным советом и реализуется в срок, который не превышает двух лет.
Информационная безопасность больше не "опция", а требование регулятора. LIGA360 объясняет новые регуляторные требования практических действий. Подключайтесь.
