Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статті 82 Закону України "Про платіжні послуги" та з метою вдосконалення порядку здійснення оверсайту платіжної інфраструктури в Україні Правління Національного банку України постановляє:

1. Затвердити Зміни до Положення про порядок здійснення оверсайту платіжної інфраструктури в Україні, затвердженого постановою Правління Національного банку України від 24 серпня 2022 року № 187 (далі - Положення), що додаються.

2. Об’єктам оверсайту платіжної інфраструктури привести свою діяльність та документи у відповідність до вимог Положення протягом трьох місяців із дня набрання чинності цією постановою.

3. Об’єктам оверсайту платіжної інфраструктури, яких на день набрання чинності цією постановою Національний банк України визначив важливими, включаючи операторів важливих платіжних систем-резидентів / нерезидентів, та оператору системно важливої платіжної системи привести свою діяльність та документи у відповідність до вимог Положення протягом шести місяців із дня набрання чинності цією постановою.

4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Олексія Шабана.

5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

Інд. 57

1. У розділі I:

1) у пункті 2:

пункт після підпункту 3 доповнити новим підпунктом 3-1 такого змісту:

"3-1) важлива платіжна система - платіжна система, яку Національний банк визначив важливою платіжною системою відповідно до встановлених цим Положенням вимог та критеріїв важливості;";

підпункт 11 виключити;

у підпункті 14:

підпункт після слова "оверсайту" доповнити словами ", включаючи нерезидента,";

слово "ситуації" замінити словом "події";

підпункти 15, 17 викласти в такій редакції:

"15) кіберзагроза - наявні та потенційно можливі явища і чинники, що створюють небезпеку в кіберпросторі, спричиняють негативний вплив на кібербезпеку та кіберзахист об’єктів оверсайту та платіжних систем;";

"17) кіберризик - поєднання ймовірності виникнення кіберінцидентів та їх наслідків, включаючи виникнення збитків та/або додаткових втрат унаслідок реалізації кіберзагроз. Кіберризик є складовою операційного ризику;";

у підпункті 18 слова "кіберстійкість об’єкта оверсайту" замінити словом "кіберстійкість";

підпункт 21 після слів "учасника платіжної системи/" доповнити словами "постачальника електронних комунікаційних послуг/";

підпункт 22 після слів "та/або послуги,", "надання" доповнити відповідно словами "а також послуги, що є допоміжними до платіжних послуг, та інші послуги,", "платіжних";

підпункт 24 викласти в такій редакції:

"24) надзвичайна подія - порушення штатного режиму та/або нормальних умов функціонування об’єкта оверсайту, платіжної системи, що призводить до порушення та/або становлять загрозу для безперервності діяльності об’єкта оверсайту, платіжної системи;";

пункт після підпункту 25 доповнити новим підпунктом 25-1 такого змісту:

"25-1) оператор системно важливої/важливої платіжної системи - оператор платіжної системи, яку Національний банк визначив системно важливою платіжною системою, оператор платіжної системи, яку Національний банк визначив важливою платіжною системою;";

підпункт 28 доповнити словами "та після якого операція не може бути скасована учасником платіжної системи та/або заінтересованою особою";

підпункт 30 доповнити словами "або визнання недійсними умов договору";

пункт після підпункту 30 доповнити новим підпунктом 30-1 такого змісту:

"30-1) регламентні роботи - заплановані не пізніше ніж за один робочий день заходи з технічної експлуатації інформаційної інфраструктури, що можуть включати в себе планове оновлення програмного забезпечення, обслуговування та/або модернізацію серверів та комп’ютерного обладнання, перевірку безпеки мережі та захисту даних, перенесення основної робочої зони;";

підпункт 31 викласти в такій редакції:

"31) резервна робоча зона - географічно віддалене від основної робочої зони допоміжне приміщення, призначене для здійснення/надання критичних операцій/послуг об’єкта оверсайту, платіжної системи в разі виникнення надзвичайної події до відновлення штатного режиму діяльності, що має інформаційну інфраструктуру та забезпечене матеріальними і трудовими ресурсами, достатніми для підтримання інформаційної інфраструктури в робочому стані;";

пункт після підпункту 35 доповнити новим підпунктом 35-1 такого змісту:

"35-1) системно важлива платіжна система - платіжна система, яку Національний банк визначив системно важливою платіжною системою відповідно до встановлених цим Положенням критеріїв важливості;";

2) абзац перший пункту 3 викласти в такій редакції:

"3. Вимоги цього Положення поширюються на об’єкти оверсайту-резидентів, якщо інше не встановлено цим Положенням, а саме:";

3) пункт 5 викласти в такій редакції:

"5. Вимоги, встановлені у пунктах 14, 15, 16 розділу I, пунктах 23, 25, 28 розділу II, пунктах 44, 45-1 розділу III, пунктах 57, 57-2 розділу IV, пунктах 70, 72 розділу V, пункті 75 розділу VI, пункті 84 розділу VIII, пункті 92 розділу Х та пунктах 96, 98, 98-2, 98-3, 99, 100 розділу XI цього Положення, поширюються на оператора платіжної системи-нерезидента в частині діяльності платіжної системи на території України.

Вимоги, встановлені цим Положенням до об’єкта оверсайту (крім оператора платіжної системи-нерезидента), поширюються на нього в частині його діяльності на території України.";

4) у пункті 13:

пункт після слів та цифр "в підпункті 4 пункту 25," доповнити словами та цифрами "підпункті 1 пункту 36,";

пункт доповнити новим абзацом такого змісту:

"Об’єкт оверсайту періодично переглядає (не рідше одного разу на рік) та оновлює (актуалізує) у разі потреби внутрішні документи з урахуванням змін у законодавстві України, дія яких поширюється на об’єкта оверсайту, а також з урахуванням інших внутрішніх чи зовнішніх подій та/або обставин.";

5) пункт 14 доповнити словами та цифрами ", крім випадку, визначеного в підпункті 4 пункту 98-3 розділу XI цього Положення";

6) пункт 15 після слів "об’єкта оверсайту" доповнити словами "або уповноваженого представника оператора платіжної системи-нерезидента";

7) пункт 16 викласти в такій редакції:

"16. Об’єкт оверсайту, який надсилає до Національного банку документи, зобов’язаний дотримуватися таких вимог:

1) документи повинні бути викладені українською мовою, не містити виправлень і неточностей, а також розбіжностей між відомостями, викладеними в цих документах та/або отриманими з офіційних джерел;

2) сторінки документів повинні бути пронумеровані;

3) документи, складені іноземною мовою, для подання до Національного банку повинні бути перекладені на українську мову (вірність перекладу або справжність підпису перекладача засвідчується нотаріально). Не перекладаються на українську мову документи, складені іноземною мовою, у разі одночасного наведення їх тексту українською мовою. Копії документів, складених іноземною мовою, та/або переклад документа, складеного іноземною мовою, повинні бути засвідчені нотаріально;

4) документи подаються до Національного банку у формі електронного документа або електронної копії документа, підписаного (засвідченої) шляхом накладання КЕП, - разом з електронним повідомленням на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу, крім випадку, визначеного в підпункті 4 пункту 98-3 розділу XI цього Положення;

5) електронні документи, електронні копії оригіналів документів у паперовій формі, скановані копії документів повинні мати коротку назву латинськими літерами, що відображає зміст і реквізити документа;

6) електронна копія оригіналу документа в паперовій формі (з накладеним КЕП та без накладення КЕП) створюється шляхом сканування документа в паперовій формі з урахуванням таких вимог:

документ сканується у файл формату pdf;

документи, що містять більше однієї сторінки, скануються в один файл;

сканована копія кожного окремого документа зберігається як окремий файл;

роздільна здатність сканування має бути не нижче ніж 300 dpi.

Об’єкт оверсайту несе відповідальність за повноту та достовірність даних, що містяться в поданих до Національного банку документах.".

2. У розділі II:

1) пункт 23 доповнити новим абзацом такого змісту:

"Правила та/або процедури діяльності платіжної системи на території України встановлюються оператором платіжної системи з урахуванням вимог законодавства України.";

2) у пункті 25:

підпункт 3 після слова "правил" доповнити словами "та/або процедур діяльності";

у підпункті 4:

абзац перший після слова "правилах" доповнити словами "та/або процедурах діяльності";

абзац другий викласти в такій редакції:

"порядок здійснення контролю за діяльністю учасників платіжної системи, розрахункових банків, технологічних операторів відповідно до правил платіжної системи та вимог до них, установлених іншими документами платіжної системи, що розроблені оператором платіжної системи на виконання цього Положення;";

підпункт доповнити новим абзацом такого змісту:

"порядок проведення регламентних робіт у платіжній системі та діяльності її суб’єктів під час проведення таких регламентних робіт.";

3) підпункт 2 пункту 26 доповнити словами "з урахуванням змін у законодавстві України та/або змін у внутрішніх документах платіжної системи";

4) в абзаці першому пункту 27 слово "роботи" замінити словом "діяльності";

5) пункт 28 викласти в такій редакції:

"28. Оператор платіжної системи зобов’язаний контролювати діяльність учасників платіжної системи, розрахункових банків і технологічних операторів, з якими він уклав договори про надання відповідних послуг у цій платіжній системі, та несе відповідальність за діяльність платіжної системи відповідно до правил платіжної системи та вимог законодавства України.

Оператор платіжної системи зобов’язаний контролювати наявність інцидентів порушення безперервності діяльності в платіжній системі та застосування заходів, вжитих для їх запобігання, учасниками платіжної системи, розрахунковими банками та технологічними операторами, а також у роботі постачальників електронних комунікаційних послуг, з якими він уклав договори про надання відповідних послуг у цій платіжній системі.";

6) у пункті 29 слово "рік" замінити словом "квартал";

7) пункти 32, 33 викласти в такій редакції:

"32. Учасник платіжної системи зобов’язаний не менше одного разу на шість місяців фіксувати результати здійсненого контролю за технологічними операторами шляхом унесення відомостей до електронного журналу реєстрації результатів контролю, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.

33. Прямий учасник платіжної системи зобов’язаний здійснювати постійний контроль за діяльністю непрямого учасника платіжної системи щодо дотримання ним умов договору про непряму участь та правил платіжної системи та не менше одного разу на шість місяців фіксувати результати здійсненого контролю шляхом унесення відомостей до електронного журналу реєстрації результатів контролю, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.";

8) у пункті 36:

підпункт 1 доповнити словами ", а також визначити у своїх документах механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу операційних ризиків";

у підпункті 3 слово "ситуації" замінити словом "події";

9) абзац перший пункту 38 викласти в такій редакції:

"38. Об’єкт оверсайту зобов’язаний забезпечити зберігання всіх документів, що підтверджують надання платіжних послуг (виконання платіжних операцій), послуг, що є допоміжними до платіжних послуг, протягом строків, визначених законодавством України.";

10) пункт 41 викласти в такій редакції:

"41. Об’єкт оверсайту зобов’язаний визначити у своїх документах порядок зберігання документів, що підтверджують надання платіжних послуг (виконання платіжних операцій), послуг, що є допоміжними до платіжних послуг, а також порядок створення архівів електронних документів відповідно до вимог законодавства України.".

3. У розділі III:

1) пункт 44 доповнити новим абзацом такого змісту:

"Оператор міжнародної платіжної системи-нерезидент зобов’язаний забезпечити наявність окремого офіційного вебсайту або окремої сторінки на офіційному вебсайті міжнародної платіжної системи для оприлюднення інформації щодо діяльності платіжної системи на території України.";

2) у пункті 45:

в абзаці першому підпункту 10 слово "види" замінити словом "видів";

підпункт 11 викласти в такій редакції:

"11) переліку всіх тарифів, комісійних винагород та зборів за послуги платіжної системи, що стягуються з користувачів платіжних послуг (крім системи міжбанківських розрахунків, оператором якої є Національний банк);";

у підпункті 13 слово "порядок" замінити словом "порядку";

пункт доповнити новим абзацом такого змісту:

"Інформація на офіційному вебсайті розміщується державною мовою. Одночасно допускається розміщення інформації іншою мовою (іншими мовами).";

3) розділ після пункту 45 доповнити новим пунктом 45-1 такого змісту:

"45-1. Оператор платіжної системи-нерезидент зобов’язаний оприлюднювати на окремому офіційному вебсайті або окремій сторінці на офіційному вебсайті міжнародної платіжної системи інформацію стосовно діяльності платіжної системи на території України щодо:

1) свого повного найменування відповідно до відомостей з Реєстру;

2) юридичної адреси та фактичного місцезнаходження, адреси представництва в Україні (за наявності);

3) офіційного найменування платіжної системи, а також комерційного (фірмового) найменування, торговельної марки/знака для товарів та послуг платіжної системи, що відрізняється від офіційного найменування платіжної системи (за наявності);

4) переліку учасників платіжної системи в Україні;

5) видів платіжних послуг, що надаються за допомогою платіжної системи на території України;

6) переліку всіх тарифів, комісійних винагород та зборів за послуги платіжної системи, що стягуються з користувачів платіжних послуг;

7) відомостей, що підтверджують унесення платіжної системи до Реєстру, з гіперпосиланням, що забезпечує перенаправлення (відсилання) на сторінку офіційного Інтернет-представництва Національного банку, на якій можливо перевірити такі відомості.

Інформація на офіційному вебсайті або окремій сторінці офіційного вебсайту розміщується українською мовою. Одночасно допускається розміщення інформації іншою мовою (іншими мовами).";

4) пункт 46 викласти в такій редакції:

"46. Учасник платіжної системи зобов’язаний оприлюднювати на власному офіційному вебсайті інформацію щодо:

1) свого повного найменування відповідно до відомостей з Єдиного державного реєстру та комерційного (фірмового) найменування відповідно до установчих документів (за наявності);

2) інформацію про торговельні марки/знаки для товарів і послуг, що використовуються для надання платіжних послуг (за наявності);

3) юридичної адреси та фактичного місцезнаходження;

4) контактного номера телефону та адреси корпоративної електронної поштової скриньки або інший спосіб зв’язку для оперативного звернення;

5) переліку платіжних послуг, що надаються об’єктом оверсайту, включаючи:

порядок та умови здійснення платіжних операцій;

строки виконання платіжних операцій;

види платіжних інструментів, які використовуються для ініціювання платіжних операцій;

6) місць розташування банківських автоматів та програмно-технічних комплексів самообслуговування, місць (пунктів) надання фінансових послуг, а також їх режим роботи;

7) відомостей про участь у платіжних системах (для учасників платіжних систем) шляхом розміщення їх переліку із зазначенням назви, дати включення до Реєстру, найменування, гіперпосилання, що забезпечує перенаправлення (відсилання) на сторінку офіційного Інтернет-представництва Національного банку, на якій можливо перевірити такі відомості.

Учасник платіжної системи, який, крім власного офіційного вебсайту, використовує для надання платіжних послуг інші вебсайти, зобов’язаний розміщувати на таких вебсайтах інформацію про наявність власного офіційного вебсайту та посилання на нього.";

5) пункти 49, 50 виключити;

6) у першому реченні пункту 51 слова "надання послуг" замінити словами "надання платіжних послуг з використанням вебсайту/вебсайтів".

4. У розділі IV:

1) у підпункті 3 пункту 53 слова "телекомунікаційних мереж" замінити словами "електронних комунікаційних мереж";

2) пункт 57 викласти в такій редакції:

"57. Об’єкт оверсайту (крім Національного банку) у разі проведення регламентних робіт, що призводять до неспроможності своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності об’єкта оверсайту або платіжної системи, оператором якої є об’єкт оверсайту, протягом двох годин або більш тривалого часу, зобов’язаний:

1) документально зафіксувати інформацію про проведення регламентних робіт - дату і їх тривалість у годинах, види послуг, на безперервність надання яких вплине проведення регламентних робіт;

2) повідомити інших об’єктів оверсайту, з якими укладені договори про надання відповідних послуг, суб’єктів платіжної системи (крім користувачів платіжних послуг), на діяльність яких впливають регламентні роботи, зазначені в абзаці першому пункту 57 розділу IV цього Положення, про проведення таких регламентних робіт не пізніше ніж за один робочий день.";

3) розділ доповнити двома новими пунктами 57-1, 57-2 такого змісту:

"57-1. Учасник платіжної системи зобов’язаний повідомити користувачів платіжних послуг, яким він надає послуги з виконання платіжних операцій за допомогою цієї системи, про:

1) проведення регламентних робіт в учасника платіжної системи, що призводять до неспроможності своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності, не пізніше ніж за один робочий день до їх проведення;

2) проведення регламентних робіт в інших суб’єктів платіжної системи, у діяльності платіжної системи, що призводять до неспроможності учасника платіжної системи своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності, не пізніше наступного робочого дня після отримання повідомлення від іншого суб’єкта цієї платіжної системи відповідно до підпункту 2 пункту 57 розділу IV цього Положення.

57-2. Порядок інформування про регламентні роботи в платіжній системі визначається у внутрішніх документах такої системи.

Об’єкт оверсайту зобов’язаний забезпечити документування інформації та повідомлення про проведення регламентних робіт таким чином, щоб бути здатним оперативно надавати інформацію та документи стосовно повідомлення про проведення регламентних робіт на запит Національного банку.";

4) пункт 58 виключити.

5. У розділі V:

1) у пункті 61:

в абзаці першому слово "визнає" замінити словом "визначає";

підпункт 1 після слова "загальної" доповнити словами "кількості та/або";

2) у пункті 62:

в абзаці першому слово "визнає" замінити словом "визначає";

підпункти 1, 2 після слова "загальної" доповнити словами "кількості та/або";

в абзаці четвертому слово "визнати" замінити словом "визначати";

3) пункти 66, 67 викласти в такій редакції:

"66. Національний банк визначає технологічного оператора важливим у разі його відповідності хоча б одному з таких критеріїв важливості:

1) обробляє більше 10% операцій (від загальної кількості та/або суми), оброблених технологічними операторами в платіжних системах;

2) обробляє більше 10% операцій (від загальної кількості та/або суми) системно важливих платіжних систем;

3) обробляє більше 10% операцій (від загальної кількості та/або суми) у важливих платіжних системах.

67. Рішення про визначення об’єкта оверсайту важливим, платіжної системи важливою платіжною системою або системно важливою платіжною системою приймає Комітет з питань нагляду та регулювання діяльності банків, оверсайта платіжної інфраструктури (далі - Комітет).

Об’єкт оверсайту та/або платіжна система втрачають важливість, визначену в рішенні Комітету, прийнятому в попередньому році, з дня, наступного за днем прийняття Комітетом рішення, зазначеного в абзаці першому пункту 67 розділу V цього Положення, якщо за результатами діяльності в році, у якому було прийнято рішення про визначення об’єктів оверсайту важливими, платіжних систем важливими платіжними системами або системно важливими платіжними системами, у наступному році вони не визначені важливим об’єктом оверсайту, важливою платіжною системою або системно важливою платіжною системою.";

4) у пункті 70 слова "Оператор значущої платіжної системи зобов’язаний привести діяльність платіжної системи" замінити словами "Оператор системно важливої/важливої платіжної системи зобов’язаний привести діяльність цієї платіжної системи";

5) у пункті 72 слова "збільшення строку виконання вимог цього Положення" замінити словами "продовження строку виконання вимог цього Положення, зазначеного в пункті 71 розділу V цього Положення,".

6. У розділі VI:

1) у заголовку розділу слова "значущої платіжної системи" замінити словами "системно важливої платіжної системи, важливої платіжної системи";

2) у пункті 73:

в абзаці першому слова "значущої платіжної системи" замінити словами "системно важливої/важливої платіжної системи";

у підпункті 1:

абзац третій викласти в такій редакції:

"планові показники операційної діяльності платіжної системи (кількість та сума операцій у платіжній системі: за певний період - за годину, добу, місяць, квартал, рік; середнє та максимальне навантаження за платіжними операціями), час відновлення діяльності в разі виникнення надзвичайної події, рівень операційної доступності (операційні цілі).";

підпункт доповнити новим абзацом такого змісту:

"Цілі та завдання системно важливої платіжної системи повинні бути орієнтовані на підтримку фінансової стабільності, забезпечення безпеки та ефективності платіжної системи та інших аспектів, що становлять суспільний інтерес;";

підпункт 5 викласти в такій редакції:

"5) порядок організації та здійснення внутрішнього контролю в системно важливій платіжній системі, у важливій платіжній системі. Оператор системно важливої/важливої платіжної системи (крім платіжної системи, створеної Національним банком) визначає процедури та види контролю, включаючи заходи контролю за інформаційною інфраструктурою (контроль за належним функціонуванням інформаційної інфраструктури, контроль за управлінням доступами, контроль за інформаційною інфраструктурою під час придбання, розроблення та/або супроводження), а також контроль за дотриманням суб’єктами такої платіжної системи правил та/або процедур діяльності платіжної системи та інших вимог, встановлених до них оператором системно важливої/важливої платіжної системи відповідно до цього Положення;";

у підпункті 8:

в абзаці першому слово "механізми" замінити словами "порядок та механізми";

в абзаці сьомому слова "оператор значущої платіжної системи" замінити словами "оператор системно важливої/важливої платіжної системи";

3) у пункті 75:

абзац перший викласти в такій редакції:

"75. Оператор системно важливої/важливої платіжної системи зобов’язаний розробити план заходів із забезпечення безперервності діяльності цієї платіжної системи (далі - План заходів) та проводити його перегляд і тестування не менше одного разу на рік.";

у підпункті 1 слово "ситуації" замінити словом "події";

підпункти 2, 6 викласти в такій редакції:

"2) технологію виконання операцій (опис послідовних дій щодо ініціювання, виконання та завершення операцій, а також процедур оброблення інформації про операції, її фіксації та зберігання) у разі виникнення надзвичайної події;";