Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", Законів України "Про банки і банківську діяльність", "Про основні засади забезпечення кібербезпеки України", "Про електронні довірчі послуги", з метою нормативного врегулювання функції контролю за забезпеченням кіберзахисту, інформаційної безпеки, наданням електронних довірчих послуг у банківській системі України Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг (далі - Положення), що додається.

2. Департаменту безпеки (Ігор Коновалов) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.

3. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Кирила Шевченка.

4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про банки і банківську діяльність", "Про основні засади забезпечення кібербезпеки України", "Про електронні документи та електронний документообіг", "Про електронну ідентифікацію та електронні довірчі послуги", з урахуванням регламенту Європейського парламенту і Ради (ЄС) від 14 грудня 2022 року № 2022/2554 щодо цифрової операційної стійкості фінансового сектору та внесення змін до Регламентів (ЄС) № 1060/2009, (ЄС) № 648/2012, (ЄС) № 600/2014, (ЄС) № 909/2014 та (ЄС) 2016/1011 , Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затвердженого постановою Правління Національного банку України від 28 вересня 2017 року № 95 (далі - Положення № 95), Положення про кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку за поданням засвідчувального центру, затвердженого постановою Правління Національного банку України від 19 вересня 2019 року № 116 (зі змінами) (далі - Положення № 116), Положення про використання засобів криптографічного захисту інформації Національного банку України, затвердженого постановою Правління Національного банку України від 14 квітня 2023 року № 49 (далі - Положення № 49).

2. Це Положення встановлює:

1) порядок організації та здійснення Національним банком України (далі - Національний банк) заходів контролю за дотриманням банками вимог законодавства, яке регулює відносини у сферах кіберзахисту, інформаційної безпеки та електронних довірчих послуг, а також нормативно-правових актів Національного банку, що здійснюється на виконання покладених на Національний банк наглядових функцій (далі - контроль);

2) вимоги щодо проведення банком самооцінки стану інформаційної безпеки/кіберзахисту.

3. У цьому Положенні терміни вживаються в таких значеннях:

1) аудит інформаційної безпеки (далі - зовнішній аудит інформаційної безпеки) - процес одержання банком оцінки інформаційної безпеки за результатом проведення процедури аудиту інформаційної безпеки;

1-1) безвиїзні заходи контролю - аналіз інформації, документів щодо діяльності банку з питань інформаційної безпеки, кіберзахисту, надання кваліфікованих електронних довірчих послуг, який проводиться Національним банком у порядку, установленому в розділі III цього Положення, без виходу за місцезнаходженням банку;

2) дата перевірки - календарна дата, станом на яку здійснюється перевірка, за результатами якої інформація відображається в довідці про перевірку;

3) довгостроковий кваліфікований електронний підпис (далі - КЕП) - кваліфікований електронний підпис, що відповідає формату з повним набором даних для перевірки кваліфікованого електронного підпису в довгостроковому періоді (понад два роки);

4) інспекційна група - група працівників структурного підрозділу центрального апарату Національного банку, яка здійснює контроль за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та надання кваліфікованих електронних довірчих послуг (далі - Департамент), уповноважених на здійснення перевірки банку;

5) кіберризик - ризик виникнення збитків та/або додаткових втрат унаслідок реалізації кіберзагроз;

6) кіберстійкість - властивість інформаційної інфраструктури банку, забезпечувати функціонування бізнес-процесів банку, продуктом яких є банківські та фінансові послуги, під час кібератак і кіберінцидентів, яка має постійно підтримуватися органами управління банку шляхом організації управління кіберризиками та впровадження заходів кіберзахисту;

7) куратор перевірки - працівник Департаменту, визначений у розпорядчому акті Національного банку про проведення перевірки, який здійснює загальне керівництво процесом перевірки, координує вирішення питань, що виникають під час перевірки;

9) перевірка - планова перевірка банку з питань інформаційної безпеки, кіберзахисту, надання кваліфікованих електронних довірчих послуг, що проводиться інспекційною групою безпосередньо за його місцезнаходженням та/або за його межами шляхом віддаленого доступу до документів, інформації та систем автоматизації з використанням інформаційно-комунікаційних технологій;

10) позапланова перевірка - перевірка банку з питань інформаційної безпеки, кіберзахисту, надання електронних довірчих послуг, що проводиться за наявності обґрунтованих підстав відповідно до розпорядчого акта Національного банку інспекційною групою безпосередньо за його місцезнаходженням та/або за його межами шляхом віддаленого доступу до документів, інформації та систем автоматизації з використанням інформаційно-комунікаційних технологій;

11) програма перевірки - узагальнений перелік питань, що підлягають перевірці.

Інші терміни в цьому Положенні вживаються в значеннях, визначених у Законах України " Про електронну ідентифікацію та електронні довірчі послуги", "Про основні засади забезпечення кібербезпеки України", "Про банки і банківську діяльність" та нормативно-правових актах Національного банку.

4. Національний банк здійснює контроль з метою:

1) оцінювання ефективності функціонування системи управління інформаційною безпекою (далі - СУІБ) банку;

2) оцінювання повноти виконання банком вимог нормативно-правових актів Національного банку з питань інформаційної безпеки, кіберзахисту;

3) оцінювання рівня управління ризиками інформаційної безпеки/кіберризиками банком і системи внутрішнього контролю, яка функціонує на всіх організаційних рівнях, за напрямами діяльності, що перевіряються;

4) прийняття засвідчувальним центром рішення про внесення відомостей про кваліфікованого надавача електронних довірчих послуг до Довірчого списку;

5) перевірки виконання вимог Положення № 116 та Положення № 49.

5. Національний банк здійснює контроль шляхом проведення:

1) виїзних заходів контролю у формі перевірок;

2) безвиїзних заходів контролю.

7. Вимоги цього Положення поширюються на банки.

8. Департамент здійснює планування виїзних заходів контролю на підставі ризик-орієнтованого підходу, що ґрунтується на результатах:

1) здійснення безвиїзних і виїзних заходів контролю;

2) аналізу інформації з офіційних джерел щодо діяльності банків;

3) аналізу інформації, документів, звітів, отриманих від банків на виконання цього Положення, Положення № 116, Положення № 49;

4) опрацювання інформації про віднесення банку до об'єкта критичної інфраструктури;

5) опрацювання інформації про внесення відомостей про банк як кваліфікованого надавача електронних довірчих послуг до Довірчого списку;

6) опрацювання інформації щодо поточного рівня ризиків інформаційної безпеки/кіберризиків і його впливу на кіберстійкість банку з урахуванням наявної інформації про факти, події та обставини в його діяльності.

План перевірок затверджується Національним банком. Інформація щодо переліку банків, перевірки яких включено до затвердженого плану, оприлюднюється на сторінці офіційного Інтернет-представництва Національного банку.

9. Перевірка банку проводиться на підставі розпорядчого акта Національного банку про проведення планової перевірки, у якому зазначаються найменування банку, що перевіряється, підстава для проведення перевірки, дата перевірки, терміни проведення перевірки (дати початку і закінчення), склад інспекційної групи та куратор перевірки (із зазначенням прізвищ, імен, по батькові, посад та номерів службових посвідчень).

Перевірка банку здійснюється відповідно до програми перевірки, яка оформляється як додаток до розпорядчого акта Національного банку про планову перевірку.

Національний банк має право включати в програму перевірки питання з перевірки банку як кваліфікованого надавача електронних довірчих послуг не раніше ніж через шість місяців з дня внесення відомостей про нього до Довірчого списку.

10. Національний банк має право проводити позапланову перевірку з метою термінового встановлення причин, обставин, масштабу негативного впливу на життєдіяльність банку та/або банківську систему в разі отримання документально підтвердженої інформації про:

1) інциденти інформаційної безпеки/кіберінциденти, наслідком яких є реалізована загроза для безпеки інформації банку та його клієнтів;

2) інциденти інформаційної безпеки/кіберінциденти, наслідки яких можуть спричинити системний ризик у банківській системі;

3) порушення вимог Положення № 116.

Позапланова перевірка призначається за окремим дорученням Голови Національного банку та оформляється наказом Національного банку за його підписом (далі - наказ про позапланову перевірку).

У наказі про позапланову перевірку зазначаються найменування банку, що перевіряється, підстава/підстави для проведення перевірки, дата і терміни проведення перевірки (дати початку і закінчення), склад інспекційної групи та куратор перевірки (із зазначенням прізвищ, імен, по батькові, посад та номерів службових посвідчень), питання, які підлягають перевірці.

Під час проведення позапланової перевірки з'ясовуються лише ті питання, потреба перевірки яких стала підставою для здійснення цієї перевірки.

11. Національний банк повідомляє банк про проведення планової перевірки не пізніше ніж за 10 календарних днів до її початку.

Повідомлення про проведення планової перевірки оформляється листом в електронній формі Національного банку, який підписується керівником/заступником керівника Департаменту, надсилається до банку засобами електронної пошти Національного банку і містить інформацію про підстави для проведення перевірки, дату і терміни проведення перевірки (дати початку і закінчення), склад інспекційної групи та куратора перевірки (із зазначенням прізвищ, імен, по батькові, посад та номерів службових посвідчень), програму перевірки і може містити додатки (запити про надання документів, інформації, форми для заповнення).

Банк зобов'язаний своєчасно та в повному обсязі надати інформацію і документи (їх копії та/або витяги з них), зазначені в повідомленні про проведення планової перевірки, у визначеному форматі та в установлені Національним банком строки.

Національний банк здійснює позапланову перевірку із повідомленням керівника банку, що надсилається не пізніше дня початку такої перевірки.

12. Куратор перевірки або члени інспекційної групи під час проведення перевірки (планової або позапланової) у разі виникнення потреби в отриманні додаткової/додаткових інформації/документів, що стосується/стосуються перевірки, мають право запитувати в банку інформацію (в електронному або паперовому вигляді у визначених обсягах, форматі, структурі, порядку, термінах і носіях інформації), документи (їх копії та/або витяги з них) та письмові пояснення шляхом надання запиту у формі електронного документа (далі - запит) до вручення (надсилання) банку довідки про перевірку.

Запит складається на ім'я керівника банку, підписується за допомогою КЕП куратора перевірки та передається банку в електронній формі. Такий запит підлягає обов'язковій реєстрації банком у день отримання та поверненню з накладеними в день отримання (якщо такої можливості немає, то не пізніше наступного робочого дня) КЕП керівника банку та позначкою часу.

Банк у відповідь на запит зобов'язаний своєчасно та в повному обсязі надати достовірну інформацію, матеріали, документи (їх копії та/або витяги з них, засвідчені в порядку, установленому законодавством України) у визначених порядку, форматі, структурі, вигляді та збережені на визначених носіях. Інформація та документи мають надаватися у форматі та якості, які забезпечують безперешкодне та однозначне тлумачення даних, зазначених у них.

Інформація, документи (їх копії та/або витяги з них) у паперовій та/або електронній формі на визначених носіях інформації, письмові пояснення, підготовлені банком на запит, надаються за підписом керівника банку із супровідним листом. Такий супровідний лист підлягає обов'язковій реєстрації в банку.

13. Куратор перевірки та/або члени інспекційної групи фіксують факти ненадання банком інформації і документів (їх копій та/або витягів з них, засвідчених у порядку, установленому законодавством України), зазначених у повідомленні про проведення планової перевірки відповідно до пункту 11 розділу II цього Положення та/або зазначених у запиті відповідно до пункту 12 розділу II цього Положення, шляхом складання акта про ненадання інформації/документів. Такі факти відображаються в довідці про перевірку.

14. Зустріч куратора перевірки, членів інспекційної групи з керівником банку, відповідальною особою за інформаційну безпеку банку (Chief information security officer, CISO) проводиться в перший день планової/позапланової перевірки. Керівнику банку вручається копія наказу про планову/позапланову перевірку, засвідчена в порядку, установленому законодавством України, узгоджуються питання комунікації (уключаючи визначення контактної особи від банку), можливості обміну інформацією, а також інші організаційні питання.

15. Куратор перевірки і члени інспекційної групи під час проведення перевірки (планової або позапланової) банку мають право:

1) безперешкодного доступу до всіх оригіналів документів, матеріалів та інформації, також до тих, що становлять інформацію з грифами обмеження доступу, потрібних для перевірки, до системи автоматизації банку (уключаючи персоналізований доступ у режимі перегляду), інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг, інших систем та інформаційних ресурсів банку;

2) вільного доступу до всіх приміщень банку (уключаючи приміщення юридичних або фізичних осіб, із якими в банку є договірні відносини для виконання його функцій на умовах аутсорсингу, якщо такі приміщення використовуються для розміщення обладнання, що забезпечує функціонування інформаційних систем банку або роботу в системі електронних платежів Національного банку) у робочий час та неробочий час за потреби;

3) збирати та вимагати від банку надання будь-якої інформації, матеріалів, документів (їх копій та/або витягів з них, засвідчених у порядку, установленому законодавством України), письмових пояснень, потрібних для здійснення перевірки;

4) одержувати від банку та виносити за межі його приміщень матеріали перевірки, уключаючи копії документів, засвідчені в порядку, установленому законодавством України, що свідчать/можуть свідчити про порушення законодавства з питань інформаційної безпеки, кіберзахисту, надання електронних довірчих послуг, для здійснення наглядових дій у межах, передбачених цим Положенням заходів контролю;

5) користуватися потрібними для проведення перевірки та організації діяльності інспекційної групи технічними засобами, уключаючи комп'ютери, змінні носії інформації, програмні засоби, копіювальні апарати, сканери, телефони, заносити в приміщення та виносити з приміщення банку технічні та програмні засоби, що належать Національному банку;