Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", Закону України "Про платіжні послуги" та з метою приведення нормативно-правових актів Національного банку України з питань захисту інформації та кіберзахисту у відповідність до вимог законодавства України Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Унести до постанови Правління Національного банку України від 19 травня 2021 року № 43 "Про затвердження Положення про захист інформації та кіберзахист у платіжних системах" такі зміни:

1) у заголовку слова "у платіжних системах" замінити словами "учасниками платіжного ринку";

2) у пункті 1 слова "у платіжних системах" замінити словами "учасниками платіжного ринку".

2. Затвердити Зміни до Положення про захист інформації та кіберзахист у платіжних системах, затвердженого постановою Правління Національного банку України від 19 травня 2021 року № 43, що додаються.

3. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Кирила Шевченка.

4. Постанова набирає чинності з дня введення в дію Закону України "Про платіжні послуги".

1. У заголовку Положення слова "у платіжних системах" замінити словами "учасниками платіжного ринку".

2. У розділі I:

1) у пункті 1 слова "Про платіжні системи та переказ коштів в Україні" замінити словами "Про платіжні послуги";

2) у пункті 3:

підпункт 2 виключити;

у підпункті 7 слово "систем" замінити словом "послуг";

підпункт 10 викласти в такій редакції:

"10) ключовий суб'єкт інформаційного захисту - суб'єкт інформаційного захисту, який належить до однієї категорії або більше:

оператор важливої платіжної системи, якщо він виконує функції технологічного оператора платіжних послуг у цій платіжній системі;

важливий технологічний оператор платіжних послуг;

технологічний оператор платіжних послуг, який надає послуги платіжній системі, створеній нерезидентом, та який отримав дозвіл Національного банку України (далі - Національний банк) надавати свої послуги в Україні;

технологічний оператор платіжних послуг, що надає послуги більше ніж одній платіжній системі;";

у підпункті 13 слова "електронних документів на переказ," замінити словами "платіжних інструкцій та їх";

підпункти 14 та 16 викласти в такій редакції:

"14) критичні дані - дані, несанкціоноване використання або втрата яких призводить до порушення інформаційної безпеки або порушення прав користувачів платіжних послуг;";

"16) суб'єкт інформаційного захисту - надавач платіжних послуг (крім установ електронних грошей, Національного банку, органів державної влади та органів місцевого самоврядування), оператор платіжної системи-резидент та технологічний оператор платіжних послуг у разі надання інших видів послуг, крім оброблення платіжних операцій в міжнародних карткових платіжних системах.";

3) пункт 4 викласти в такій редакції:

"4. Вимоги цього Положення поширюються на суб'єктів інформаційного захисту, крім філій іноземних платіжних установ, що на законних підставах надають послуги в Україні та використовують засоби захисту інформації відповідно до своїх правил та з урахуванням вимог юрисдикцій, де ці правила були узгоджені, на банки, що є операторами платіжних систем, учасниками платіжних систем та/або надавачами платіжних послуг, у частині питань, що не врегульовані іншими нормативно-правовими актами Національного банку у сфері кіберзахисту та інформаційної безпеки в банківській системі.";

4) у пункті 5 слова "платіжні системи, створені Національним банком" замінити словами "операторів платіжних систем, функції яких виконує Національний банк, та учасників таких платіжних систем";

5) у пункті 6:

підпункт 1 викласти в такій редакції:

"1) критичні дані, а також бази даних та інформаційні повідомлення між суб'єктами інформаційного захисту, що містять такі дані;";

підпункти 2, 3 виключити.

3. У розділі III:

1) у пункті 11:

в абзаці першому слова "в платіжних системах" замінити словами "під час надання платіжних послуг";

підпункт 4 викласти в такій редакції:

"4) методику відновлення та захисту критичних даних у разі втрати, компрометації чи пошкодження криптографічних ключів або носіїв критичних даних.