Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", Законів України "Про банки і банківську діяльність", "Про основні засади забезпечення кібербезпеки України", "Про електронні довірчі послуги", з метою нормативного врегулювання функції контролю за забезпеченням кіберзахисту, інформаційної безпеки, наданням електронних довірчих послуг у банківській системі України Правління Національного банку України

1. Затвердити Положення про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг (далі - Положення), що додається.

2. Департаменту безпеки (Ігор Коновалов) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.

3. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Кирила Шевченка.

4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про банки і банківську діяльність", "Про основні засади забезпечення кібербезпеки України", "Про електронні документи та електронний документообіг", "Про електронні довірчі послуги", з урахуванням Директиви Європейського парламенту і Ради (ЄС) 2016/1148 від 06 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу, Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затвердженого постановою Правління Національного банку України від 28 вересня 2017 року № 95 (далі - Положення № 95), Положення про кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку за поданням засвідчувального центру, затвердженого постановою Правління Національного банку України від 19 вересня 2019 року № 116 (далі -Положення № 116).

2. Це Положення встановлює:

1) порядок організації та здійснення Національним банком України (далі - Національний банк) заходів контролю за дотриманням банками вимог законодавства, яке регулює відносини у сферах кіберзахисту, інформаційної безпеки та електронних довірчих послуг, а також нормативно-правових актів Національного банку, що здійснюється на виконання покладених на Національний банк наглядових функцій (далі - контроль);

2) вимоги щодо проведення банком самооцінки стану інформаційної безпеки/кіберзахисту.

3. У цьому Положенні терміни вживаються в таких значеннях:

1) безвиїзні заходи контролю - аналіз інформації, документів щодо діяльності банку з питань інформаційної безпеки, кіберзахисту, надання кваліфікованих електронних довірчих послуг, який проводиться Національним банком у порядку, установленому в розділі III цього Положення, без виходу за місцезнаходженням банку;

2) дата перевірки - календарна дата, станом на яку здійснюється перевірка, за результатами якої інформація відображається в довідці про перевірку;

3) довгостроковий кваліфікований електронний підпис (далі - КЕП) -кваліфікований електронний підпис, що відповідає формату з повним набором даних для перевірки кваліфікованого електронного підпису в довгостроковому періоді (понад два роки);

4) інспекційна група - група працівників структурного підрозділу центрального апарату Національного банку, яка здійснює контроль за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та надання кваліфікованих електронних довірчих послуг (далі -Департамент), уповноважених на здійснення перевірки банку;

5) кіберризик - ризик виникнення збитків та/або додаткових втрат унаслідок реалізації кіберзагроз;

6) кіберстійкість - властивість інформаційної інфраструктури банку, забезпечувати функціонування бізнес-процесів банку, продуктом яких є банківські та фінансові послуги, під час кібератак і кіберінцидентів, яка має постійно підтримуватися органами управління банку шляхом організації управління кіберризиками та впровадження заходів кіберзахисту;

7) куратор перевірки - працівник Департаменту, визначений у розпорядчому акті Національного банку про проведення перевірки, який здійснює загальне керівництво процесом перевірки, координує вирішення питань, що виникають під час перевірки;

8) незалежний аудит інформаційної безпеки (далі - зовнішній аудит інформаційної безпеки) - процес одержання банком оцінки інформаційної безпеки за результатом проведення процедури аудиту інформаційної безпеки;

9) перевірка - планова перевірка банку з питань інформаційної безпеки, кіберзахисту, надання кваліфікованих електронних довірчих послуг, що проводиться інспекційною групою безпосередньо за його місцезнаходженням;

10) позапланова перевірка - перевірка банку з питань інформаційної безпеки, кіберзахисту, надання електронних довірчих послуг, що проводиться за наявності обґрунтованих підстав відповідно до розпорядчого акта Національного банку інспекційною групою безпосередньо за його місцезнаходженням;

11) програма перевірки - узагальнений перелік питань, що підлягають перевірці.

Інші терміни в цьому Положенні вживаються в значеннях, визначених у Законах України "Про електронні довірчі послуги", "Про основні засади забезпечення кібербезпеки України", "Про банки і банківську діяльність" та нормативно-правових актах Національного банку.

4. Національний банк здійснює контроль з метою:

1) оцінювання ефективності функціонування системи управління інформаційною безпекою (далі - СУІБ) банку;

2) оцінювання повноти виконання банком вимог нормативно-правових актів Національного банку з питань інформаційної безпеки, кіберзахисту;

3) оцінювання рівня управління ризиками інформаційної безпеки/кіберризиками банком і системи внутрішнього контролю, яка функціонує на всіх організаційних рівнях, за напрямами діяльності, що перевіряються;

4) прийняття засвідчувальним центром рішення про внесення відомостей про кваліфікованого надавача електронних довірчих послуг до Довірчого списку;

5) перевірки виконання вимог нормативно-правових актів з питань надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг, відомості про якого внесені до Довірчого списку за поданням засвідчувального центру.

5. Національний банк здійснює контроль шляхом проведення:

1) виїзних заходів контролю у формі перевірок;

2) безвиїзних заходів контролю.

6. Виїзні заходи контролю у формі перевірок здійснюються інспекційною групою згідно з календарним планом, що складається відповідно до розділу ІІ цього Положення.

7. Вимоги цього Положення поширюються на банки.

8. Департамент здійснює планування виїзних заходів контролю на підставі ризик-орієнтованого підходу, що ґрунтується на результатах:

1) здійснення безвиїзних і виїзних заходів контролю;

2) аналізу інформації з офіційних джерел щодо діяльності банків;

3) аналізу інформації, документів, звітів, отриманих від банків на виконання Положення № 116;

4) опрацювання інформації про віднесення банку до об'єкта критичної інфраструктури;

5) опрацювання інформації про внесення відомостей про банк як кваліфікованого надавача електронних довірчих послуг до Довірчого списку;

6) опрацювання висновків щодо поточного рівня ризиків інформаційної безпеки/кіберризиків і його впливу на кіберстійкість банку з урахуванням наявної інформації про факти, події та обставини в його діяльності.

План перевірок затверджується розпорядчим актом Національного банку і оприлюднюється на сторінці офіційного Інтернет-представництва Національного банку.

9. Перевірка банку проводиться на підставі розпорядчого акта Національного банку про проведення планової перевірки, у якому зазначаються найменування банку, що перевіряється, підстава для проведення перевірки, дата перевірки, терміни проведення перевірки (дати початку і закінчення), склад інспекційної групи та куратор перевірки (із зазначенням прізвищ, імен, по батькові, посад та номерів службових посвідчень).

Перевірка банку здійснюється відповідно до програми перевірки, яка оформляється як додаток до розпорядчого акта Національного банку про планову перевірку.

Національний банк має право включати в програму перевірки питання з перевірки банку як кваліфікованого надавача електронних довірчих послуг не раніше ніж через шість місяців з дня внесення відомостей про нього до Довірчого списку.

10. Національний банк має право проводити позапланову перевірку з метою термінового встановлення причин, обставин, масштабу негативного впливу на життєдіяльність банку та/або банківську систему в разі отримання документально підтвердженої інформації про:

1) інциденти інформаційної безпеки/кіберінциденти, наслідком яких є реалізована загроза для безпеки інформації банку та його клієнтів;

2) інциденти інформаційної безпеки/кіберінциденти, наслідки яких можуть спричинити системний ризик у банківській системі;

3) порушення вимог законодавства у сфері електронних довірчих послуг.

Позапланова перевірка призначається за окремим дорученням Голови

Національного банку та оформляється наказом Національного банку за його підписом (далі - наказ про позапланову перевірку).

У наказі про позапланову перевірку зазначаються найменування банку, що перевіряється, підстава/підстави для проведення перевірки, дата і терміни проведення перевірки (дати початку і закінчення), склад інспекційної групи та куратор перевірки (із зазначенням прізвищ, імен, по батькові, посад та номерів службових посвідчень), питання, які підлягають перевірці.

Під час проведення позапланової перевірки з'ясовуються лише ті питання, потреба перевірки яких стала підставою для здійснення цієї перевірки.

11. Національний банк повідомляє банк про проведення планової перевірки не пізніше ніж за 20 календарних днів до її початку.

Повідомлення про проведення планової перевірки оформляється листом в електронній формі Національного банку, який підписується керівником/заступником керівника Департаменту, надсилається до банку засобами електронної пошти Національного банку і містить інформацію про підстави для проведення перевірки, дату і терміни проведення перевірки (дати початку і закінчення), склад інспекційної групи та куратора перевірки (із зазначенням прізвищ, імен, по батькові, посад та номерів службових посвідчень), програму перевірки і може містити додатки (запити про надання документів, інформації, форми для заповнення).

Банк зобов'язаний своєчасно та в повному обсязі надати інформацію і документи (їх копії та/або витяги з них), зазначені в повідомленні про проведення планової перевірки, у визначеному форматі та в установлені Національним банком строки.

Національний банк здійснює позапланову перевірку із повідомленням керівника банку, що надсилається не пізніше дня початку такої перевірки.

12. Куратор перевірки або члени інспекційної групи під час проведення перевірки (планової або позапланової) у разі виникнення потреби в отриманні додаткової/додаткових інформації/документів, що стосується/стосуються перевірки, мають право запитувати в банку інформацію (в електронному або паперовому вигляді у визначених обсягах, форматі, структурі, порядку, термінах і носіях інформації), документи (їх копії та/або витяги з них) та письмові пояснення шляхом надання запиту у формі електронного документа (далі -запит) до вручення (надсилання) банку довідки про перевірку.

Запит складається на ім'я керівника банку, підписується за допомогою КЕП куратора перевірки та передається банку в електронній формі. Такий запит підлягає обов'язковій реєстрації банком у день отримання та поверненню з накладеними в день отримання (якщо такої можливості немає, то не пізніше наступного робочого дня) КЕП керівника банку та позначкою часу.

Банк у відповідь на запит зобов'язаний своєчасно та в повному обсязі надати достовірну інформацію, матеріали, документи (їх копії та/або витяги з них, засвідчені в порядку, установленому законодавством України) у визначених порядку, форматі, структурі, вигляді та збережені на визначених носіях. Інформація та документи мають надаватися у форматі та якості, які забезпечують безперешкодне та однозначне тлумачення даних, зазначених у них.

Інформація, документи (їх копії та/або витяги з них) у паперовій та/або електронній формі на визначених носіях інформації, письмові пояснення, підготовлені банком на запит, надаються за підписом керівника банку із супровідним листом. Такий супровідний лист підлягає обов'язковій реєстрації в банку.

13. Куратор перевірки та/або члени інспекційної групи фіксують факти ненадання банком інформації і документів (їх копій та/або витягів з них, засвідчених у порядку, установленому законодавством України), зазначених у повідомленні про проведення планової перевірки відповідно до пункту 11 розділу ІІ цього Положення та/або зазначених у запиті відповідно до пункту 12 розділу ІІ цього Положення, шляхом складання акта про ненадання інформації/документів. Такі факти відображаються в довідці про перевірку.

14. Зустріч куратора перевірки, членів інспекційної групи з керівником банку, відповідальною особою за інформаційну безпеку банку (Chief information security officer, CISO) проводиться в перший день планової/позапланової перевірки. Керівнику банку вручається копія наказу про планову/позапланову перевірку, засвідчена в порядку, установленому законодавством України, узгоджуються питання комунікації (уключаючи визначення контактної особи від банку), можливості обміну інформацією, а також інші організаційні питання.

15. Куратор перевірки і члени інспекційної групи під час проведення перевірки (планової або позапланової) банку мають право:

1) безперешкодного доступу до всіх оригіналів документів, матеріалів та інформації, також до тих, що становлять інформацію з грифами обмеження доступу, потрібних для перевірки, до системи автоматизації банку (уключаючи персоналізований доступ у режимі перегляду), інформаційно-телекомунікаційної системи кваліфікованого надавача електронних довірчих послуг, інших систем та інформаційних ресурсів банку;

2) вільного доступу до всіх приміщень банку (уключаючи приміщення юридичних або фізичних осіб, із якими в банку є договірні відносини для виконання його функцій на умовах аутсорсингу, якщо такі приміщення використовуються для розміщення обладнання, що забезпечує функціонування інформаційних систем банку або роботу в системі електронних платежів Національного банку) у робочий час та неробочий час за потреби;

3) збирати та вимагати від банку надання будь-якої інформації, матеріалів, документів (їх копій та/або витягів з них, засвідчених у порядку, установленому законодавством України), письмових пояснень, потрібних для здійснення перевірки;

4) одержувати від банку та виносити за межі його приміщень матеріали перевірки, уключаючи копії документів, засвідчені в порядку, установленому законодавством України, що свідчать/можуть свідчити про порушення законодавства з питань інформаційної безпеки, кіберзахисту, надання електронних довірчих послуг, для здійснення наглядових дій у межах, передбачених цим Положенням заходів контролю;

5) користуватися потрібними для проведення перевірки та організації діяльності інспекційної групи технічними засобами, уключаючи комп'ютери, змінні носії інформації, програмні засоби, копіювальні апарати, сканери, телефони, заносити в приміщення та виносити з приміщення банку технічні та програмні засоби, що належать Національному банку;

6) вимагати від банку демонстрації та ознайомлення з функціональними можливостями і налаштуваннями системи автоматизації банку, інформаційно-телекомунікаційної системи кваліфікованого надавача електронних довірчих послуг, інших систем та інформаційних ресурсів банка.

16. Куратор перевірки і члени інспекційної групи під час проведення перевірки (планової або позапланової) банку зобов'язані:

1) дотримуватися вимог законодавства України;

2) не розголошувати та не використовувати в інший спосіб інформацію з обмеженим доступом, що стала їм відома у зв'язку з виконанням обов'язків, крім випадків, передбачених законодавством України;

3) дотримуватися норм етичної поведінки.

17. Керівник банку зобов'язаний виконувати вимоги куратора перевірки та членів інспекційної групи, зазначені в пункті 15 розділу II цього Положення, сприяти та не створювати перешкод проведенню перевірки (планової або позапланової), а також:

1) забезпечувати надання інформації і документів (їх копій та/або витягів з них, засвідчених у порядку, установленому законодавством України), зазначених у повідомленні про проведення планової перевірки відповідно до пункту 11 розділу II цього Положення та запиті відповідно до пункту 12 розділу II цього Положення;

2) забезпечити оперативний зв'язок куратора перевірки, членів інспекційної групи з контактною особою банку;

3) після отримання копії наказу про планову/позапланову перевірку цього банку, засвідченої в порядку, установленому законодавством України, забезпечити на період її проведення кураторові перевірки та кожному члену інспекційної групи вільний (на першу вимогу) вхід/вихід до/із службових приміщень банку протягом усього робочого дня, а за потреби в неробочий час;

4) забезпечити кураторові перевірки та членам інспекційної групи вільний доступ до всіх документів, інформації та матеріалів з питань, визначених у програмі перевірки банку;

5) виділити кураторові перевірки та членам інспекційної групи на період проведення перевірки окремі робочі місця в ізольованому від працівників банку та сторонніх осіб службовому приміщенні, що обладнане необхідними меблями, сейфом для зберігання документів, комп'ютерами і відповідає санітарно-гігієнічним умовам, установленим нормативно-правовими актами в цій сфері; забезпечити можливість користуватися телефоном, засобами копіювально-розмножувальної техніки. Доступ до зазначеного службового приміщення керівника та інших працівників банку, осіб, у яких таке приміщення перебуває у власності, оренді чи іншому праві користування, під час проведення перевірки здійснюється тільки в присутності членів інспекційної групи;

6) забезпечувати кураторові перевірки, членам інспекційної групи демонстрацію та ознайомлення з функціональними можливостями, налаштуваннями системи автоматизації банку, інформаційно-телекомунікаційної системи кваліфікованого надавача електронних довірчих послуг, інших систем та інформаційних ресурсів;

7) забезпечувати членам інспекційної групи за запитом та наявністю технічної можливості персоналізований доступ у режимі перегляду до системи автоматизації банку та інформаційних систем, що використовуються для забезпечення безпеки інформації з процедурою ідентифікації, на підставі службового посвідчення працівника Національного банку;

8) забезпечувати коректну поведінку працівників банку під час проведення перевірки.

18. Члени інспекційної групи в разі створення представниками банку перешкод для проведення перевірки та/або незабезпечення керівником банку умов відповідно до пункту 16 розділу II цього Положення повідомляють про це куратора перевірки і складають акт про здійснення перешкод.

19. За результатами проведення планової або позапланової перевірки складається довідка про перевірку у двох примірниках, підписується членами інспекційної групи, куратором перевірки, керівником банку. Довідка про перевірку може складатися у формі електронного документа та підписуватися шляхом накладення КЕП.

Довідка про перевірку містить описову частину, висновки, що формуються на підставі отриманих результатів перевірки та з урахуванням професійного судження членів інспекційної групи, інформацію про виявлені порушення (факти, що можуть свідчити про здійснення банком ризикової діяльності), недоліки, які мають вплив на діяльність банку, може містити іншу інформацію щодо результатів перевірки, вимоги про усунення встановлених порушень та рекомендації банку.

Матеріали, які надані банком у відповідь на запит відповідно до пункту 12 розділу II цього Положення та підтверджують факти (дії, події, випадки, обставини), долучаються як матеріали перевірки до справи перевірки.

Члени інспекційної групи здійснюють перевірку відповідно до методичних рекомендацій щодо здійснення перевірок, схвалених розпорядчим актом

Національного банку, надають висновки за результатом перевірки із застосуванням професійного судження та несуть відповідальність за достовірність відомостей і обґрунтованість висновків, викладених у довідці про перевірку.