Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", Законів України "Про банки і банківську діяльність", "Про основні засади забезпечення кібербезпеки України", "Про електронну ідентифікацію та електронні довірчі послуги", з метою нормативного врегулювання функції контролю за забезпеченням кіберзахисту, інформаційної безпеки, наданням електронних довірчих послуг у банківській системі України Правління Національного банку України постановляє:

1. Затвердити Зміни до:

1) Положення про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг, затвердженого постановою Правління Національного банку України від 16 січня 2021 року № 4, що додаються;

2) Положення про організацію кіберзахисту в банківськй системі України, затвердженого постановою Правління Національного банку України від 12 серпня 2022 року № 178, що додаються.

2. Департаменту безпеки (Олександр Паламарчук) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.

3. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Андрія Пишного.

4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. У розділі I:

1) пункт 1 викласти в такій редакції:

"1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про банки і банківську діяльність", "Про основні засади забезпечення кібербезпеки України", "Про електронні документи та електронний документообіг", "Про електронну ідентифікацію та електронні довірчі послуги", з урахуванням регламенту Європейського парламенту і Ради (ЄС) від 14 грудня 2022 року № 2022/2554 щодо цифрової операційної стійкості фінансового сектору та внесення змін до Регламентів (ЄС) № 1060/2009, (ЄС) № 648/2012, (ЄС) № 600/2014, (ЄС) № 909/2014 та (ЄС) 2016/1011, Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затвердженого постановою Правління Національного банку України від 28 вересня 2017 року № 95 (далі - Положення № 95), Положення про кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку за поданням засвідчувального центру, затвердженого постановою Правління Національного банку України від 19 вересня 2019 року № 116 (зі змінами) (далі - Положення № 116), Положення про використання засобів криптографічного захисту інформації Національного банку України, затвердженого постановою Правління Національного банку України від 14 квітня 2023 року № 49 (далі - Положення № 49).";

2) у пункті 3:

підпункт 1 замінити двома новими підпунктами такого змісту:

"1) аудит інформаційної безпеки (далі - зовнішній аудит інформаційної безпеки) - процес одержання банком оцінки інформаційної безпеки за результатом проведення процедури аудиту інформаційної безпеки;

1-1) безвиїзні заходи контролю - аналіз інформації, документів щодо діяльності банку з питань інформаційної безпеки, кіберзахисту, надання кваліфікованих електронних довірчих послуг, який проводиться Національним банком у порядку, установленому в розділі III цього Положення, без виходу за місцезнаходженням банку;";

підпункт 8 виключити;

підпункти 9, 10 доповнити словами "та/або за його межами шляхом віддаленого доступу до документів, інформації та систем автоматизації з використанням інформаційно-комунікаційних технологій;";

в абзаці тринадцятому слова "Про електронні довірчі послуги" замінити словами "Про електронну ідентифікацію та електронні довірчі послуги";

3) підпункт 5 пункту 4 викласти в такій редакції:

"5) перевірки виконання вимог Положення № 116 та Положення № 49.";

4) пункт 6 виключити.

2. У розділі II:

1) у пункті 8:

підпункт 3 викласти в такій редакції:

"3) аналізу інформації, документів, звітів, отриманих від банків на виконання цього Положення, Положення № 116, Положення № 49;";

у підпункті 6 слово "висновків" замінити словом "інформації";

абзац восьмий викласти в такій редакції:

"План перевірок затверджується Національним банком. Інформація щодо переліку банків, перевірки яких включено до затвердженого плану, оприлюднюється на сторінці офіційного Інтернет-представництва Національного банку.";

2) підпункт 3 пункту 10 викласти в такій редакції:

"3) порушення вимог Положення № 116.";

3) в абзаці першому пункту 11 цифри "20" замінити цифрами "10";

4) у пункті 15:

у підпунктах 1, 6 слово "телекомунікаційної" замінити словом "комунікаційної";

пункт доповнити двома новими підпунктами 7, 8 такого змісту:

"7) здійснювати із використанням техніки Національного банку фото-/відеофіксацію під час проведення процедури демонстрації, визначеної підпунктом 6 пункту 15 розділу II цього Положення;

8) призначати і проводити інтерв’ю з керівниками банку та працівниками структурних підрозділів банку, до сфери відповідальності яких належать питання інформаційної безпеки та кіберзахисту, управління інформаційно-комунікаційними технологіями, управління операційними ризиками банку.";

пункт доповнити двома новими абзацами такого змісту:

"Демонстрація, визначена підпунктом 6 пункту 15 розділу II цього Положення, проводиться за місцезнаходженням банку (у приміщеннях підрозділів банку, що здійснюють супроводження/адміністрування програмних, апаратних, програмно-апаратних засобів забезпечення інформаційної безпеки і кіберзахисту банку, та приміщеннях, пов’язаних із наданням електронних довірчих послуг) та/або за допомогою засобів відеозв’язку, і може супроводжуватися фото-/відеофіксацією фактів, що мають ознаки недотримання банком вимог законодавства з питань інформаційної безпеки, кіберзахисту, надання електронних довірчих послуг.

Інтерв’ю, зазначене в підпункті 8 пункту 15 розділу II цього Положення, проводиться за погодженням із куратором перевірки та попереднім повідомленням контактної особи від банку безпосередньо за місцезнаходженням банку або з використанням засобів відеозв’язку.";

5) розділ після пункту 15 доповнити новим пунктом 15-1такого змісту:

"15-1. Матеріали (дані) фото-/відеофіксації, отримані відповідно до підпункту 7 пункту 15 розділу II цього Положення, долучаються до справи перевірки.";

6) у підпункті 6 пункту 17 слово "телекомунікаційної" замінити словом "комунікаційної";

7) у пункті 25 слова "нагляду (оверсайту) платіжних систем" замінити словами "оверсайта платіжної інфраструктури";

8) пункт 26 викласти в такій редакції:

"26. Результати перевірки питань, визначених підпунктом 5 пункту 4 розділу I цього Положення, надаються засвідчувальному центру для прийняття рішення щодо:

1) надсилання кваліфікованому надавачу електронних довірчих послуг листа про усунення встановлених перевіркою порушень/недоліків;

2) інформування спеціального уповноваженого центрального органу виконавчої влади з питань організації спеціального зв’язку та захисту інформації у сферах електронних довірчих послуг та електронної ідентифікації про виявлені порушення вимог Положення № 116 для здійснення заходів відповідно до вимог законодавства у сфері електронних довірчих послуг.".