Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статті 41 Закону України "Про платіжні системи та переказ коштів в Україні" Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Зміни до Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні, затвердженого постановою Правління Національного банку України від 28 листопада 2014 року № 755 (зі змінами) (далі - Положення), що додаються.

2. Платіжні організації платіжних систем-резиденти та учасники/члени платіжних систем, діяльність і документи яких не відповідають вимогам розділу V та пункту 1 розділу XI Положення , зобов'язані привести їх у відповідність до цих вимог протягом 180 календарних днів з дати набрання чинності цією постановою.

3. Департаменту платіжних систем та інноваційного розвитку (Ольга Василєва) після офіційного опублікування довести до відома об'єктів нагляду (оверсайта) інформацію про прийняття цієї постанови.

4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Сергія Холода.

5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. У розділі I:

1) пункт 2 після слів "нагляду (оверсайта)" доповнити словами "(далі - оверсайт)";

2) розділ після пункту 8 доповнити двома новими пунктами 9, 10 такого змісту:

"9. Об'єкт оверсайта-резидент зобов'язаний надсилати інформацію та документи до Національного банку засобами системи електронної пошти Національного банку (за умови підключення до системи електронної пошти Національного банку) або на офіційну електронну поштову скриньку Національного банку з використанням кваліфікованого електронного підпису.

Об'єкт оверсайта-резидент зобов'язаний надати на запит Національного банку документи (їх копії та/або витяги з них) на паперовому носії.

10. Документи, що надсилаються об'єктом оверсайта до Національного банку засобами системи електронної пошти/на офіційну електронну поштову скриньку Національного банку, повинні відповідати таким вимогам:

1) документи викладені українською мовою;

2) сторінки документів пронумеровані;

3) документи, що складені іноземною мовою, супроводжуються нотаріально засвідченим перекладом українською мовою;

4) копії документів в електронному вигляді створені у вигляді файлів у форматі pdf, які містять відскановані з паперових носіїв зображення документів;

5) сканована копія кожного окремого документа збережена як окремий файл;

6) файл має коротку назву латинськими літерами, що відображає зміст та реквізити документа;

7) документи, що містять більше однієї сторінки, скановані в один файл;

8) роздільна здатність сканування не нижча ніж 300 dpi.".

У зв'язку з цим пункти 9, 10 вважати відповідно пунктами 11, 12.

2. У пункті 1 розділу II:

1) підпункт 9 викласти в такій редакції:

"9) значущий оператор послуг платіжної інфраструктури - оператор послуг платіжної інфраструктури, який відповідає визначеним цим Положенням критеріям важливості;";

2) пункт після підпункту 11 доповнити п'ятьма новими підпунктами 12-16 такого змісту:

"12) інформаційна інфраструктура - сукупність обладнання, засобів, комплексів та систем для оброблення, передавання та приймання інформації, а також системи електронних комунікацій, що використовуються для ініціювання та здійснення переказу коштів;

13) кіберзагроза - наявні та потенційно можливі явища і чинники, що спричиняють або можуть спричинити ризик порушення конфіденційності, цілісності, доступності інформаційних ресурсів та/або спостережності і керованості інформаційної інфраструктури;

14) кіберінцидент - подія або сукупність несприятливих подій ненавмисного характеру, або таких, що мають ознаки можливої кібератаки, які становлять загрозу безпеці інформаційної інфраструктури, створюють імовірність порушення штатного режиму її функціонування, а також ставлять під загрозу захищеність інформаційних ресурсів;

15) кіберризик - ризик реалізації кіберзагроз щодо інформаційних ресурсів та/або інформаційної інфраструктури, а також наслідки таких подій. Кіберризик є складовою операційного ризику;

16) кіберстійкість платіжної системи - спроможність платіжної організації, учасників платіжної системи, операторів послуг платіжної інфраструктури та розрахункового(их) банку(ів) цієї платіжної системи запобігати, протистояти, стримувати та оперативно відновлюватися після кіберінцидентів та кібератак на неї;".

У зв'язку з цим підпункти 12-34 уважати відповідно підпунктами 17-39;

3) підпункт 21 після слів "в постачанні електроенергії" доповнити словами ", кіберінциденти у платіжній системі та кібератаки на неї";

4) підпункт 29 виключити.

У зв'язку з цим підпункти 30-39 уважати відповідно підпунктами 29-38;

5) пункт після підпункту 32 доповнити новим підпунктом 33 такого змісту:

"33) система переказу коштів - платіжна система, призначена для здійснення переказів коштів, які ініціюються платниками для зарахування коштів на рахунки отримувачів або видачі отримувачам - фізичним особам у готівковій формі;".

У зв'язку з цим підпункти 33-38 уважати підпунктами 34-39.

3. Пункт 5 розділу III доповнити новим абзацом такого змісту:

"Національний банк здійснює моніторинг системно важливої платіжної системи відповідно до системи показників, установлених ним у своїх внутрішніх документах."

4. У розділі IV:

1) заголовок розділу викласти в такій редакції:

2) пункт 1 викласти в такій редакції:

"1. Національний банк за результатами моніторингу платіжних систем та відповідно до критеріїв важливості, установлених у пунктах 2-5 розділу IV цього Положення, визначає важливість платіжних систем та операторів послуг платіжної інфраструктури у лютому за підсумками їх діяльності протягом попереднього року.";

3) пункти 5-13 викласти в такій редакції:

"5. Національний банк визнає оператора послуг платіжної інфраструктури значущим, якщо він обробляє більше 10% операцій (за кількістю та/або сумою), оброблених операторами послуг платіжної інфраструктури-резидентами у платіжних системах, внесених Національним банком до Реєстру.

6. Рішення про визнання платіжної системи системно важливою, соціально важливою або важливою, а також оператора послуг платіжної інфраструктури значущим та/або про визнання платіжної системи/оператора послуг платіжної інфраструктури такими, що більше не відповідають встановленим критеріям важливості, приймає Комітет з питань нагляду та регулювання діяльності банків, нагляду (оверсайту) платіжних систем.

7. Національний банк протягом 15 календарних днів після визнання платіжної системи системно важливою, соціально важливою або важливою платіжною системою, а також оператора послуг платіжної інфраструктури значущим або такими, що більше не відповідають встановленим критеріям важливості:

1) уносить відповідну інформацію до Реєстру та оприлюднює на сторінках офіційного Інтернет-представництва Національного банку;

2) надсилає платіжній організації платіжної системи (крім платіжної системи, створеної Національним банком) або її представництву в Україні письмове повідомлення про відповідність платіжної системи критеріям важливості платіжних систем або про визнання платіжної системи такою, що більше не відповідає встановленим критеріям важливості платіжних систем.

У повідомленні про відповідність платіжної системи критеріям важливості платіжних систем зазначаються:

дата визнання платіжної системи системно важливою, соціально важливою або важливою платіжною системою;

категорія важливості платіжної системи;

необхідність виконання вимог цього Положення;

3) надсилає оператору послуг платіжної інфраструктури письмове повідомлення про відповідність його діяльності критеріям важливості або про визнання його таким, що більше не відповідає встановленим критеріям важливості.

У повідомленні про відповідність оператора послуг платіжної інфраструктури критеріям важливості зазначаються:

дата визнання оператора послуг платіжної інфраструктури значущим;

інформація про відповідність встановленим критеріям важливості;

необхідність виконання вимог цього Положення.

8. Національний банк має право після визнання міжнародної платіжної системи, створеної нерезидентом, значущою платіжною системою надіслати центральному банку країни, резидентом якої є платіжна організація цієї платіжної системи, письмовий запит для отримання інформації про оцінювання цієї платіжної системи на відповідність міжнародним стандартам оверсайта платіжних систем.

9. Платіжна організація платіжної системи, яку визнано системно важливою, зобов'язана виконати вимоги, установлені в пунктах 7-11 розділу V, розділах VI-XI та пункті 1 розділу XII цього Положення.

Платіжна організація платіжної системи, яку визнано соціально важливою, зобов'язана виконати вимоги, установлені в пунктах 7-10 розділу V, розділах VI-XI та пункті 2 розділу XII цього Положення.

Платіжна організація платіжної системи, яку визнано важливою, зобов'язана виконати вимоги, установлені в пунктах 7-10 розділу V, розділах VI-XI цього Положення.

Вимоги, визначені у розділах VI-X цього Положення, поширюються на платіжні системи, які на момент прийняття Національним банком рішення про визнання їх значущими платіжними системами мають не менше трьох прямих учасників (включаючи платіжну організацію платіжної системи, що виконує функції учасника у цій платіжній системі).

10. Платіжна організація значущої платіжної системи зобов'язана виконати вимоги, передбачені в пункті 9 розділу IV цього Положення, протягом 90 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність платіжної системи критеріям важливості платіжних систем.

11. Платіжна організація платіжної системи, яка на момент прийняття Національним банком рішення про визнання її значущою має менше трьох прямих учасників, зобов'язана виконати вимоги, установлені у розділах VI-X цього Положення, протягом 90 календарних днів із дня внесення Національним банком до Реєстру відомостей про прямого учасника платіжної системи, включення якого збільшує кількість прямих учасників платіжної системи щонайменше до трьох.

12. Оператор послуг платіжної інфраструктури, якого визнано значущим, зобов'язаний протягом 90 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність його діяльності критеріям важливості виконати вимогу, установлену в пункті 12 розділу V, та здійснити заходи, визначені в пункті 6 розділу XIII цього Положення, а також забезпечити належний контроль за їх виконанням.

13. Національний банк має право на підставі обґрунтованого клопотання платіжної організації платіжної системи/оператора послуг платіжної інфраструктури прийняти рішення про збільшення строку виконання вимог, передбачених у пунктах 10-12 розділу IV цього Положення, на строк, що не може перевищувати 90 календарних днів.".

5. Положення після розділу IV доповнити новим розділом V такого змісту:

1. Об'єкт оверсайта зобов'язаний надавати на вимогу Національного банку документи, що підтверджують виконання вимог, установлених у розділі V цього Положення, у строк до 30 календарних днів від дати запиту Національного банку.

2. Платіжна організація платіжної системи-резидент зобов'язана виконати вимоги розділу V цього Положення шляхом доопрацювання правил платіжної системи/внутрішніх/статутних документів платіжної організації платіжної системи (далі - документи платіжної системи).

3. Документи, що подаються до Національного банку відповідно до вимог розділу V цього Положення, повинні бути затверджені керівником об'єкта оверсайта, його заступником або керівним органом об'єкта оверсайта, якщо законодавством України не встановлено інше, та оформлені з урахуванням вимог, визначених у пункті 10 розділу I цього Положення.

4. Платіжна організація платіжної системи зобов'язана здійснювати постійний контроль за відповідністю документів платіжної системи, договорів та інших правочинів законодавству України.

5. Платіжна організація платіжної системи-резидент зобов'язана визначити у документах платіжної системи:

1) момент остаточності розрахунків;

2) порядок здійснення контролю за дотриманням учасниками платіжної системи вимог правил платіжної системи та вимог до учасників платіжної системи, установлених іншими документами платіжної системи, що розроблені/доопрацьовані платіжною організацією на виконання вимог цього Положення.

6. Платіжна організація платіжної системи-резидент та учасник платіжної системи зобов'язані встановити у своїх документах порядок:

1) зберігання паперових та електронних документів на переказ коштів, а також створення архівів електронних документів відповідно до законодавства України;

2) забезпечення безперервності діяльності платіжної системи відповідно до організаційних та технічних заходів, передбачених у підпунктах 1-6 пункту 6 розділу XIII цього Положення.

7. Платіжна організація значущої платіжної системи-резидент, що має більше трьох прямих учасників (включаючи платіжну організацію платіжної системи, що виконує функції учасника у цій платіжній системі), зобов'язана визначити в документах платіжної системи:

1) цілі та завдання діяльності платіжної системи, включаючи забезпечення безперервності діяльності платіжної системи та планові операційні показники діяльності платіжної системи (кількість та сума операцій; час, необхідний для оброблення трансакцій);

2) механізми регулярного контролю за відповідністю результатів діяльності платіжної системи поставленим цілям та завданням;

3) склад, обов'язки, повноваження, порядок діяльності керівних органів платіжної системи, відповідальність керівних органів та їх членів;

4) обов'язки, повноваження, відповідальність, порядок звітування керівним органам особи(іб) та/або підрозділу(ів), відповідальної(их) за управління ризиками, що виникають у платіжній системі, включаючи функції і обов'язки працівників, відповідальних за управління операційним ризиком, та їх розподіл;

5) порядок внутрішнього контролю за управлінням ризиками;

6) порядок звітування особою(ами) та/або підрозділом(ами), відповідальним(ими) за управління ризиками та забезпечення інформаційної безпеки в платіжній системі, перед керівними органами платіжної організації значущої платіжної системи;

7) порядок вирішення конфліктів інтересів (за наявності) між заінтересованими особами та платіжною організацією платіжної системи під час прийняття нею рішень;

8) порядок контролю за відповідністю досягнутих результатів діяльності платіжної системи поставленим цілям та завданням діяльності платіжної системи;

9) механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу ризиків, на які наражається у своїй діяльності, та/або які спричиняє платіжна система:

правового ризику;

кредитного ризику, ризику ліквідності, загального комерційного ризику, депозитарного ризику, інвестиційного ризику (далі - фінансові ризики);

розрахункового ризику;

операційного ризику, включаючи кіберризик;

системного ризику;

інших ризиків, які платіжна організація значущої платіжної системи має право визначати як такі, що притаманні діяльності платіжної системи;

10) вимоги до розрахункового(их) банку(ів), з яким (якими) вона взаємодіє (крім Національного банку);

11) правила та порядок зменшення правового ризику, що виникає, якщо платіжна система або її учасники є суб'єктом права різних юрисдикцій;

12) відповідальність сторін та порядок дій, включаючи здійснення розрахунків, використання ресурсів та покриття втрат, у разі невиконання зобов'язання учасником платіжної системи;

13) порядок відновлення ліквідності;

14) порядок забезпечення безперервності діяльності платіжної системи відповідно до організаційних та технічних заходів, передбачених у підпунктах 7-14 пункту 6 розділу XIII цього Положення;

15) заходи, спрямовані на реалізацію вимог щодо досягнення кіберстійкості платіжної системи, передбачених у пункті 1 розділу XI цього Положення, і забезпечити їх перегляд не рідше одного разу на рік.

8. Платіжна організація значущої платіжної системи-резидент, у якій передбачена багаторівнева структура участі, зобов'язана встановити в документах платіжної системи вимогу до прямих учасників платіжної системи щодо надання платіжній організації платіжної системи не рідше двох разів на рік інформації про:

1) надання повноважень на здійснення діяльності в платіжній системі непрямим учасникам платіжної системи та іншим прямим учасникам, яким платіжною організацією платіжної системи надано право проводити розрахунки за операціями інших учасників у цій платіжній системі (для карткових платіжних систем);

2) непрямих учасників платіжної системи та/або прямих учасників, яким платіжною організацією платіжної системи надано право проводити розрахунки за операціями інших учасників у цій платіжній системі, обсяги трансакцій яких протягом 180 календарних днів більші, ніж обсяги трансакцій, здійснених за аналогічний період прямими учасниками платіжної системи, через яких здійснюються розрахунки в платіжній системі;

3) відповідальність прямого та непрямого учасника платіжної системи за остаточність розрахунку за трансакціями, що здійснюються прямим учасником платіжної системи за дорученням непрямого учасника платіжної системи, та порядок оброблення цих трансакцій у разі невиконання зобов'язань прямим та/або непрямим учасником платіжної системи.

Обсяг інформації, передбаченої у підпункті 2 пункту 8 розділу V цього Положення, визначається платіжною організацією платіжної системи.

9. Платіжна організація значущої платіжної системи-резидент зобов'язана розробити план заходів із забезпечення безперервності діяльності платіжної системи (далі - План заходів), що затверджується керівним органом платіжної організації платіжної системи.

План заходів має передбачати:

1) порядок відновлення безперервності діяльності платіжної системи в разі виникнення надзвичайної ситуації;

2) технологію виконання операцій в надзвичайній ситуації;

3) строк відновлення безперервності діяльності платіжної системи та момент її відновлення;

4) порядок повідомлення заінтересованих осіб про виникнення надзвичайної ситуації;

5) порядок взаємодії та комунікацій в надзвичайній ситуації між працівниками платіжної організації платіжної системи, а також платіжною організацією платіжної системи та заінтересованими особами;

6) порядок дій щодо забезпечення виконання/надання критичних операцій/послуг у разі відмови телекомунікаційних мереж та/або окремих складових програмно-технічного забезпечення;

7) функції та відповідальність працівників, які забезпечують виконання/надання критичних операцій/послуг, у разі виникнення надзвичайної ситуації;

8) порядок формування, склад, завдання та функції тимчасової структурної одиниці платіжної організації платіжної системи, що формується на час надзвичайної ситуації та ліквідації її наслідків і відповідає за реалізацію Плану заходів;

9) потенційні внутрішні та зовнішні загрози для діяльності платіжної системи та можливий їх вплив;

10) критерії класифікації операцій/послуг, що виконуються/надаються платіжною системою за ступенем їх критичності;

11) критерії віднесення прямих, непрямих учасників платіжної системи та операторів послуг платіжної інфраструктури (за їх наявності) до тих, від яких платіжна організація платіжної системи критично залежить;

12) перелік критичних залежностей і критичних операцій/послуг платіжної системи, включаючи ті, що передано оператору послуг платіжної інфраструктури;

13) порядок реєстрації та аналізу операційних проблем та фактів порушення безперервності діяльності платіжної системи;

14) порядок дій щодо блокування/знищення критичних засобів захисту інформації в надзвичайній ситуації та розгортання системи захисту інформації платіжної системи в резервній робочій зоні.

Інформація, що міститься в Плані заходів, крім тієї, що зазначена в пункті другому розділу XI цього Положення, є конфіденційною.

10. Платіжна організація значущої платіжної системи-резидент зобов'язана проводити перегляд і тестування Плану заходів не рідше одного разу на рік.

11. Платіжна організація системно важливої платіжної системи-резидент зобов'язана додатково передбачити в Плані заходів:

1) порядок використання резервної робочої зони;

2) порядок відновлення безперервності діяльності платіжної системи та роботи комп'ютерних систем у разі настання надзвичайної ситуації, з урахуванням вимоги, визначеної в підпункті 2 пункту 1 розділу XII цього Положення;