18 июня 2026 года Правление Национального банка Украины опубликовало постановление "Об утверждении Положения о критической информационной инфраструктуре финансового сектора и Изменений к некоторым нормативно-правовым актам Национального банка Украины по вопросам киберзащиты" от 12.06.2026 р. № 66, которое вступает в силу уже 19 июня. Банки, операторы платежных систем, технологические операторы платежных услуг и администратор базы данных обязательного страхования ОСЦПВ получили два месяца, чтобы определить собственные информационно-коммуникационные системы, сбой в работе которых способен спровоцировать кризис, и подать их перечень регулятору. Пошаговый алгоритм формирования перечня критических систем, критерии их классификации для банков и участников платежного рынка, требования к назначению ответственного лица и полный перечень мер киберзащиты - в детальном анализе на LIGA360.
Ключевое условие для отнесения системы к критической - одновременное выполнение двух критериев: нарушение работы системы непосредственно приводит к кризисной ситуации на объекте критической инфраструктуры Оператора и при этом нет ни одной альтернативной системы с аналогичным функционалом. Перечень утверждает руководитель учреждения, после чего в течение месяца направляется в Национальный банк, а детализированные сведения - в формате xlsx с КЭП - подаются еще через месяц. Далее НБУ имеет 20 рабочих дней на рассмотрение и внесение в реестр, а при наличии замечаний Оператор устраняет недостатки в течение 10 рабочих дней. Ежегодный цикл пересмотра привязан к фиксированным датам: инвентаризация по состоянию на 1 ноября, отчет регулятору - до 1 декабря.
Постановление № 66 закрывает не только организационный, но и контрагентский риск: Оператору запрещено привлекать поставщиков и разработчиков критических систем, связанных с государством-агрессором через резидентство, конечных бенефициаров или места обработки данных. Одновременно расширен перечень киберинцидентов, подлежащих обязательному уведомлению, - теперь в Центр киберзащиты НБУ направляются и события среднего (желтого) уровня критичности. Для банков-Операторов привязка частоты внешнего аудита к категории критичности объектов инфраструктуры означает прямое влияние нового статуса на стоимость и регулярность контрольных процедур.
Чтобы оперативно отслеживать такие регуляторные изменения, проверять киберриски и работать с актуальной нормативной базой, LIGA ZAKON предлагает решение LIGA360 для бизнеса и государственных органов. Начните работу с LIGA360 уже сегодня - Ligazakon.net.
