ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
12.08.2022 № 178
Про затвердження Положення про організацію кіберзахисту в банківській системі України та внесення змін до Положення про визначення об'єктів критичної інфраструктури в банківській системі України
( Із змінами, внесеними згідно з Постановами Національного банку № 24 від 25.02.2025 № 69 від 27.06.2025 № 66 від 12.06.2026 )
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", Закону України "Про основні засади забезпечення кібербезпеки України", з метою нормативного врегулювання питань забезпечення кіберзахисту в банківській системі України Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про організацію кіберзахисту в банківській системі України (далі - Положення), що додається.
( Пункт 2 втратив чинність на підставі Постанови Національного банку № 69 від 27.06.2025 )
3. Департаменту безпеки (Ігор Коновалов) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.
4. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Кирила Шевченка.
5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування, крім абзацу другого пункту 12, абзаців третього, п'ятого, шостого підпункту 3 пункту 13 розділу II, підпунктів 1, 3 пункту 24 розділу III, пункту 35 розділу IV Положення, які набирають чинності з 01 січня 2023 року.
| Голова | К. Шевченко |
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
12 серпня 2022 року № 178
ПОЛОЖЕННЯ
про організацію кіберзахисту в банківській системі України
( У тексті Положення та додатка до нього слово та літери "банк ОКІ" у всіх відмінках замінено словами "банк - оператор критичної інфраструктури" у відповідних відмінках згідно з Постановою Національного банку № 69 від 27.06.2025 )
I. Загальні положення
1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про основні засади забезпечення кібербезпеки України", з урахуванням Стратегії кібербезпеки України, затвердженої Указом Президента України від 26 серпня 2021 року № 447/2021, Національного стандарту України ДСТУ ISO/IEC 27010:2018 "Інформаційні технології. Методи захисту. Керування інформаційною безпекою для міжгалузевих та міжорганізаційних комунікацій" (ISO/IEC 27010:2015, IDT), прийнятого наказом Державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 10 грудня 2018 року № 470 (далі - Національний стандарт України ДСТУ ISO/IEC 27010:2018) регламенту Європейського парламенту і Ради (ЄС) від 14 грудня 2022 року № 2022/2554 щодо цифрової операційної стійкості фінансового сектору та внесення змін до Регламентів (ЄС) № 1060/2009, (ЄС) № 648/2012, (ЄС) № 600/2014, (ЄС) № 909/2014 та (ЄС) 2016/1011.
( Пункт 1 розділу I із змінами, внесеними згідно з Постановами Національного банку № 24 від 25.02.2025, № 69 від 27.06.2025 )
2. Терміни та скорочення в цьому Положенні вживаються в такому значенні:
1) банк-Оператор - банк, що є оператором критичної інфраструктури фінансового сектору відповідно до Положення про критичну інфраструктуру фінансового сектору, затвердженого постановою Правління Національного банку України від 27 червня 2025 року № 69 (далі - Положення № 69);
( Підпункт 1 пункту 2 розділу I в редакції Постанови Національного банку № 66 від 12.06.2026 )
1-1) довірені внутрішні джерела інформації - Центр кіберзахисту Національного банку України (далі - Центр кіберзахисту), команда реагування на кіберінциденти в банківській системі України (англійською мовою Computer Security Incident Response Team of the National Bank of Ukraine, CSIRT-NBU), що входить до складу Центру кіберзахисту, банки України;
( Підпункт 1-1 пункту 2 розділу I в редакції Постанови Національного банку № 66 від 12.06.2026 )
2) довірені зовнішні джерела інформації - вітчизняні, іноземні та міжнародні команди (центри, групи) реагування на кіберінциденти, ключові постачальники послуг, взаємодія з якими здійснюється на підставі укладених угод (меморандумів) та асоціацій, участь у роботі яких здійснюється на правах офіційного членства;
3) ЄДБО - Єдиний договір банківського обслуговування та надання інших послуг Національним банком України (далі - Національний банк);
3-1) значний кіберінцидент - подія або ряд несприятливих подій ненавмисного характеру та/або таких, що мають ознаки можливої (потенційної) кібератаки, рівень критичності яких суттєво загрожує штатному функціонуванню інформаційних систем банку, що безпосередньо забезпечують автоматизацію банківської діяльності, та мають значний негативний вплив на надання банківських послуг, який може призвести до зміни функціональних можливостей таких послуг або робить їх недоступними;
( Пункт 2 розділу I доповнено новим підпунктом 3-1 згідно з Постановою Національного банку № 24 від 25.02.2025 )
4) інформація загальноорганізаційного характеру - інформація, що поширюється під час інформаційного обміну, містить описи національних та міжнародних стандартів, інноваційних методик та практики з питань кіберзахисту, світового та вітчизняного досвіду у сфері кібербезпеки та кіберзахисту, посилання на джерела такої інформації;
5) інформація технічного характеру - інформація, що поширюється під час інформаційного обміну та містить відомості про зразки програмного забезпечення, його вразливості та профілі безпечного налаштування, відомості про зразки апаратних, програмних та апаратно-програмних комплексів і систем кіберзахисту, профілі їх налаштування, описи зразків шкідливого програмного забезпечення та наслідків їх роботи, рекомендації щодо заходів реагування, протидії та нейтралізації наслідків роботи останніх, індикатори кіберзагроз, повідомлення про кібератаки та/або кіберінциденти, рекомендації про необхідність або застереження (заборону) вжиття відповідних заходів;
( Підпункт 6 п ункту 2 розділу I виключено на підставі Постанови Національного банку № 66 від 12.06.2026 )
( Підпункт 7 п ункту 2 розділу I виключено на підставі Постанови Національного банку № 66 від 12.06.2026 )
8) портал Центру кіберзахисту Національного банку - спеціалізований сайт Національного банку, створений для організації роботи та надання сервісів Центром кіберзахисту, що доступний за посиланням https://cyber.bank.gov.ua/ (далі - портал Центру кіберзахисту);
( Підпункт 9 п ункту 2 розділу I виключено на підставі Постанови Національного банку № 66 від 12.06.2026 )
9-1) рівень критичності кіберінциденту - ступень негативного впливу на банк та/або суб’єктів системи кіберзахисту в банківській системі України, що може відбутися в результаті реалізації кіберзагроз;
( Пункт 2 розділу I доповнено новим підпунктом 9-1 згідно з Постановою Національного банку № 24 від 25.02.2025 )
10) система кіберзахисту в банківській системі України - сукупність суб'єктів, упроваджених систем, комплексів та засобів забезпечення кіберзахисту, взаємопов'язаних заходів організаційного, технічного, інформаційного характеру щодо забезпечення належного рівня кібербезпеки та кіберстійкості банківської системи України;
10-1) системний кіберризик - ризик порушення стабільності банківської системи внаслідок реалізації кіберзагроз щодо окремого банку через відповідні недоліки в його кіберстійкості;
( Пункт 2 розділу I доповнено новим підпунктом 10-1 згідно з Постановою Національного банку № 24 від 25.02.2025 )
11) MISP-NBU Центру кіберзахисту (англійською мовою Malware Information Sharing Platform of the National Bank of Ukraine) - спеціалізований сайт Національного банку, що побудований на базі платформи з відкритим програмним кодом MISP і доступний за посиланням https://misp.bank.gov.ua/, призначений для організації доступу банків до системи збору, обробки, зберігання і обміну інформацією загальноорганізаційного та технічного характеру в режимі реального часу з урахуванням вимог конфіденційності (далі - MISP-NBU).
Термін "аудит інформаційної безпеки" вживається в значенні, визначеному Положенням про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг, затвердженим постановою Правління Національного банку України від 16 січня 2021 року № 4 (зі змінами) (далі - Положення про контроль № 4).
( Абзац пункту 2 розділу I із змінами, внесеними згідно з Постановами Національного банку № 24 від 25.02.2025, № 66 від 12.06.2026 )
( Абзац п'ятнадцятий пункту 2 розділу I виключено на підставі Постанови Національного банку № 66 від 12.06.2026 )
Терміни "об’єкт критичної інформаційної інфраструктури", "критична інформаційна інфраструктура" уживаються в значеннях, визначених у Законі України "Про основні засади забезпечення кібербезпеки України".
( Абзац пункту 2 розділу I в редакції Постанови Національного банку № 69 від 27.06.2025 )
( Абзац шістнадцятий пункту 2 розділу I виключено на підставі Постанови Національного банку № 66 від 12.06.2026 )
Інші терміни в цьому Положенні вживаються в значеннях, визначених у Законі України "Про основні засади забезпечення кібербезпеки України" та нормативно-правових актах Національного банку.
3. Це Положення розроблено з метою унормування питань організації та забезпечення кіберзахисту і визначає:
1) основні засади функціонування системи кіберзахисту в банківській системі України;
2) принципи забезпечення інформаційного обміну між Центром кіберзахисту і банками України;
( Підпункт 3 пункту 3 розділу I виключено на підставі Постанови Національного банку № 66 від 12.06.2026 )
4) вимоги щодо проведення аудиту інформаційної безпеки в банківській системі України.
( Підпункт 4 пункту 3 розділу I із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
4. Це Положення не встановлює додаткових вимог щодо звітування банків про інциденти інформаційної безпеки / кіберінциденти, яке здійснюється під час складання щорічних звітів з питань оцінювання процесів організації та забезпечення інформаційної безпеки/кіберзахисту, у порядку, встановленому Положенням про контроль № 4.
( Пункт 4 розділу I із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
5. Національний банк має право здійснювати перевірку стану впровадження заходів щодо забезпечення кіберзахисту, встановлених цим Положенням, під час здійснення заходів контролю, передбачених Положенням про контроль № 4.
( Пункт 5 розділу I із змінами, внесеними згідно з Постановами Національного банку № 24 від 25.02.2025, № 66 від 12.06.2026 )
6. Вимоги цього Положення поширюються на банки України.
( Абзац другий пункту 6 розділу І виключено на підставі Постанови Національного банку № 66 від 12.06.2026 )
II. Основні засади організації кіберзахисту в банківській системі України
7. Національний банк забезпечує функціонування системи кіберзахисту в банківській системі України (далі - система кіберзахисту) шляхом:
1) нормативно-правового регулювання питань кіберзахисту в банківській системі України з урахуванням кращої європейської та світової практики, міжнародних та національних стандартів з питань кіберзахисту та інформаційної безпеки;
2) організації інформаційного обміну інформацією про кіберзагрози, кібератаки та кіберінциденти з банками України (далі - інформаційний обмін);
3) забезпечення розвитку комунікацій, координації та партнерства між суб'єктами системи кіберзахисту в банківській системі України (далі - суб'єкти кіберзахисту);
4) визначення особливостей кіберзахисту об'єктів критичної інформаційної інфраструктури банківської системи України;
5) сприяння розвитку та вдосконалення систем, комплексів та засобів забезпечення кіберзахисту в банківській системі України;
6) періодичного проведення оцінювання стану кіберзахисту в банківській системі України.
8. Суб'єктами кіберзахисту є:
1) Національний банк;
2) банки України.
9. Об'єктами кіберзахисту в банківській системі (далі - об'єкти кіберзахисту) є:
1) інформаційні системи банку;
2) критична інформаційна інфраструктура банку - оператора критичної інфраструктури.
10. Функціонування системи кіберзахисту ґрунтується на принципах:
1) пропорційності та адекватності заходів кіберзахисту, що впроваджуються, реальним та потенційним кіберзагрозам;
2) пріоритетності запобіжних заходів;
3) мінімізації кіберризиків у діяльності банку;
4) дотримання вимог нормативно-правових актів Національного банку з питань інформаційної безпеки та кіберзахисту, рекомендацій Національного банку, уключаючи такі, що можуть бути надані Національним банком за результатами контролю відповідно до Положення про контроль № 4;
5) постійної підтримки з боку органів управління банку кіберстійкості банку шляхом організації ефективного управління кіберризиками.
11. Національний банк з метою поєднання та координації зусиль суб'єктів кіберзахисту забезпечує створення та функціонування Центру кіберзахисту.
Національний банк затверджує та розміщує на порталі Центру кіберзахисту:
( Абзац другий пункту 11 розділу II в редакції Постанови Національного банку № 24 від 25.02.2025 )
1) регламент роботи Центру кіберзахисту;
( Абзац пункту 11 розділу II в редакції Постанови Національного банку № 24 від 25.02.2025 )
2) порядок інформування банками про значні кіберінциденти;
( Абзац пункту 11 розділу II в редакції Постанови Національного банку № 24 від 25.02.2025 )
3) порядок інформаційного обміну.
( Абзац пункту 11 розділу II в редакції Постанови Національного банку № 24 від 25.02.2025 )
12. Основними технічними інструментами Центру кіберзахисту є MISP-NBU і портал Центру кіберзахисту.
Банк зобов'язаний забезпечити авторизоване підключення до порталу Центру кіберзахисту та забезпечити роботу й обмін інформацією в обсязі відповідно до розділу III цього Положення, порядку інформаційного обміну та інструкцій користувача порталу Центру кіберзахисту.
Банк - оператор критичної інфраструктури зобов'язаний забезпечити підключення до MISP-NBU.
Інші банки потребу в підключенні до MISP-NBU визначають самостійно.
Підключення до MISP-NBU здійснюється шляхом приєднання банку до ЄДБО.
13. Центр кіберзахисту забезпечує:
1) реалізацію інформаційного обміну відповідно до розділу III цього Положення;
2) функціонування CSIRT-NBU;
3) координацію дій з питань кіберзахисту в банківській системі шляхом:
інформування банків України про наявні (відомі та/або виявлені) кіберзагрози або зафіксовані спроби вчинення кібератак;
підключення банків до порталу Центру кіберзахисту;
підключення банків до MISP-NBU;
розроблення переліку категорій кіберінцидентів (таксономії) і рівнів їх критичності в банківській системі України (далі - Перелік категорій кіберінцидентів) та публікацію такого переліку на порталі Центру кіберзахисту;
( Абзац п'ятий підпункту 3 пункту 13 розділу II в редакції Постанови Національного банку № 24 від 25.02.2025 )
розроблення базових рекомендацій з питань забезпечення кіберзахисту для банків України, базових сценаріїв реагування на кіберінциденти та публікацію таких рекомендацій/сценаріїв на порталі Центру кіберзахисту;
надання консультативної допомоги з питань організації кіберзахисту;
4) організацію виконання заходів щодо об'єктів критичної інформаційної інфраструктури;
( Підпункт 4 пункту 13 розділу II із змінами, внесеними згідно з Постановою Національного банку № 66 від 12.06.2026 )
5) організацію проведення навчально-методичних заходів, навчань з питань кіберзахисту в банківській системі України.
14. Центр кіберзахисту має право отримувати від банків інформацію, документи і матеріали, потрібні для реалізації функцій, зазначених у пункті 13 розділу II цього Положення.
15. CSIRT-NBU забезпечує:
1) реагування на кібератаки або кіберінциденти шляхом:
моніторингу кіберзагроз, збору, накопичення та аналізу даних про кіберінциденти в банківській системі України;
поширення інформації про кіберзагрози, кібератаки, кіберінциденти відповідно до розділу III цього Положення;
аналізу кіберзагроз, вивчення зразків шкідливого програмного забезпечення, формування та поширення інформації про індикатори кіберзагроз відповідно до розділу III цього Положення, розроблення та надання рекомендацій з протидії кіберзагрозам;
надання консультативної допомоги з питань виявлення кіберінцидентів та усунення їх наслідків, реагування та протидії кіберзагрозам;
2) адміністрування (уключаючи розроблення інструкцій користувачів) та інформаційне наповнення порталу Центру кіберзахисту, MISP-NBU;
3) взаємодію з підрозділами кіберзахисту (кібербезпеки) основних суб'єктів національної системи кібербезпеки України, урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA (англійською мовою Computer Emergency Response Team of Ukraine, CERT-UA), довіреними зовнішніми джерелами інформації;
4) надання сервісів щодо виявлення та реагування на кіберінциденти, кібератаки в банківській системі України відповідно до умов ЄДБО.
16. CSIRT-NBU має право:
1) отримувати від банків інформацію, потрібну для здійснення реагування на кібератаки, кіберінциденти в банківській системі України;
2) здійснювати моніторинг інформаційного простору та мережі Інтернет щодо виявлення вразливостей та/або можливої компрометації об'єктів кіберзахисту, витоків електронних даних із банків.
17. Банк зобов'язаний покласти функції із забезпечення кіберзахисту на підрозділ інформаційної безпеки або створити окремий підрозділ з питань кіберзахисту (далі - підрозділ з питань кіберзахисту), що має безпосередньо підпорядковуватися відповідальній особі за інформаційну безпеку банку [англійською мовою Chief Information Security Officer (далі - CISO)].
Банк зобов'язаний визначити права та обов'язки, функції, відповідальність, потрібні професійні знання, досвід і кваліфікацію в посадових інструкціях працівників підрозділу з питань кіберзахисту.
18. Банк як суб'єкт системи кіберзахисту зобов'язаний ужити заходів щодо протидії кіберзагрозам, визначених за результатами аналізу вразливостей об'єктів кіберзахисту та пов'язаних із:
1) наданням, використанням, скасуванням та контролем доступу (уключаючи віддалений доступ) до об'єктів кіберзахисту, контролем використання облікових записів користувачів (уключаючи привілейованих);
2) забезпеченням реєстрації кожним компонентом об'єкта кіберзахисту подій для виявлення кіберінцидентів або ознак кібератак;
3) упровадженням процесу управління кіберінцидентами як складової процесу управління інцидентами безпеки інформації банку;
4) розробленням плану реагування на кіберзагрози, кібератаки та кіберінциденти на об'єктах кіберзахисту (далі - План реагування), узгодженого з політикою інформаційної безпеки, планом забезпечення безперервної діяльності банку та базовими сценаріями реагування на кіберінциденти;
5) здійсненням оперативного реагування на кібератаки та кіберінциденти відповідно до Плану реагування, інформуванням Центру кіберзахисту відповідно до базових сценаріїв реагування на кіберінциденти; наданням на запит CSIRT-NBU інформації, потрібної для здійснення реагування на кібератаки, кіберінциденти в банківській системі України в термін та обсязі, що зазначені в запиті;
6) створенням, зберіганням резервних копій даних, відновленням даних із резервних копій та заміною компонентів об'єктів кіберзахисту в разі виходу їх із ладу відповідно до нормативно-правових актів Національного банку з питань забезпечення безперервності діяльності;
7) забезпеченням доступності та відмовостійкості об'єктів кіберзахисту;
8) забезпеченням участі в інформаційному обміні, сприянням Центру кіберзахисту, CSIRT-NBU у реагуванні на кібератаки або кіберінциденти, встановленні причин і умов їх виникнення та/або реалізації;
9) забезпеченням обізнаності працівників банку з питань кіберзахисту;
10) забезпеченням мережевого захисту (уключаючи сегментацію мереж банку, встановлення та налаштування засобів мережевого захисту, контроль за мережевими протоколами і службами);
11) захистом від зловмисного коду;
12) забезпеченням аналізу вразливостей, отриманням, тестуванням, упровадженням оновлень програмного забезпечення, спрямованих на усунення його вразливостей;
13) забезпеченням кіберзахисту під час взаємодії з ключовими постачальниками послуг;
14) порядком використання змінних носіїв інформації, електронної пошти банку для запобігання реалізації кіберзагроз.
19. Банк зобов'язаний здійснювати реалізацію заходів кіберзахисту з урахуванням обов'язкових мінімальних вимог, установлених Положенням про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затвердженим постановою Правління Національного банку України від 28 вересня 2017 року № 95.
19-1. Національний банк установлює вимоги до порядку інформування банками про значні кіберінциденти. Опис цих вимог та шаблони повідомлень наведені в порядку інформування про значні кіберінциденти, розміщеному на порталі Центру кіберзахисту в розділі "Банки/Документація".
( Розділ II доповнено новим пунктом 19-1 згідно з Постановою Національного банку № 24 від 205.02.2025 )
19-2. Банк, який зафіксував кіберінцидент/кібератаку, визначає попередній рівень критичності відповідно до Переліку категорій кіберінцидентів, опублікованому на порталі Центру кіберзахисту в розділі "Банки/Документація".
Банк із метою запобігання реалізації системного кіберризику зобов’язаний без необґрунтованої затримки інформувати Центр кіберзахисту про значний кіберінцидент в такому порядку:
1) протягом 24 годин після того, як банку стало відомо про значний інцидент, шляхом надання попереднього повідомлення засобами електронної пошти на поштову скриньку cyber@bank.gov.ua відповідно до порядку інформування банками про значні кіберінциденти;
2) протягом 72 годин після того, як банку стало відомо про значний інцидент, шляхом надання проміжного повідомлення, що містить оновлену інформацію про значний кіберінцидент, через портал Центру кіберзахисту або засобами електронної пошти на поштову скриньку csirt-nbu@bank.gov.ua відповідно до порядку інформування банками про значні кіберінциденти;
3) на запит CSIRT-NBU шляхом надання відповіді, що містить проміжний звіт про відповідне оновлення статусу кіберінциденту;
4) не пізніше ніж через місяць після надання повідомлення про значний інцидент відповідно до підпункту 2 пункту 19-2 розділу II цього Положення шляхом надання остаточного звіту, що містить:
детальний опис кіберінциденту, включаючи його наслідки і вплив на діяльність банку;
тип загрози або першопричини, що ймовірно спровокували кіберінцидент;
заходи, ужиті банком для запобігання повторення реалізації кіберзагроз.
Звіт подається у формі електронного документа з накладеним КЕП CISO банку засобами системи електронної пошти Національного банку.
( Розділ II доповнено новим пунктом 19-2 згідно з Постановою Національного банку № 24 від 205.02.2025 )
19-3. Банк має право інформувати Центр кіберзахисту про кіберінцидент, не визначений банком як значний, з метою та в спосіб, установлені в розділі III цього Положення.
( Розділ II доповнено новим пунктом 19-3 згідно з Постановою Національного банку № 24 від 205.02.2025 )
III. Організація інформаційного обміну
20. Учасниками інформаційного обміну є суб’єкти кіберзахисту, визначені в пункті 8 розділу II цього Положення. Центр кіберзахисту має право залучати до участі в інформаційному обміні установи, що є операторами критичної інфраструктури фінансового сектору відповідно до Положення № 69.
( Пункт 20 розділу III в редакції Постанови Національного банку № 66 від 12.06.2026 )
21. Інформаційний обмін здійснюється з метою:
1) ужиття спільних заходів щодо своєчасного виявлення, запобігання, нейтралізації кіберзагроз та попередження про можливі кібератаки, забезпечення кіберстійкості банківської системи;
2) мінімізації ризиків реалізації кібератак, наслідків реалізованих кібератак на об'єкти кіберзахисту;
3) підвищення обізнаності працівників учасників інформаційного обміну.
22. Інформаційний обмін ґрунтується на таких загальних принципах:
1) поширення інформації, отриманої виключно з довірених внутрішніх та зовнішніх джерел інформації;
2) своєчасність, об'єктивність, дієвість та доречність для учасників інформаційного обміну інформації, що поширюється;
3) обов'язковість знеособлення інформації, що надана банком, під час її подальшого поширення;
4) відповідність інформації, що поширюється, цілям інформаційного обміну відповідно до пункту 21 розділу III цього Положення.
23. Банк зобов'язаний:
1) покласти функції щодо здійснення інформаційного обміну на підрозділ з питань кіберзахисту;
2) створити поштову скриньку CYBER у поштовому домені банку для обміну повідомленнями;
3) надати доступ до скриньки CYBER відповідальним особам за взаємодію з Центром кіберзахисту, CSIRT-NBU під час здійснення інформаційного обміну.
24. Інформаційний обмін здійснюється відповідно до порядку, установленого Національним банком, у формі:
1) поширення інформації загальноорганізаційного характеру, технічного характеру шляхом розміщення Центром кіберзахисту на своєму порталі;
2) розсилання засобами електронної пошти з поштової скриньки csirt-nbu@bank.gov.ua на поштову скриньку CYBER підрозділів з питань кіберзахисту;
3) інформування банків України про наявні кіберзагрози або зафіксовані спроби вчинення кібератак шляхом розміщення Центром кіберзахисту оперативних повідомлень на своєму порталі;
4) інформування банків України про наявні кіберзагрози або зафіксовані спроби вчинення кібератак шляхом офіційного листування;
5) поширення інформації про кіберзагрози, індикаторів кіберзагроз шляхом розміщення CSIRT-NBU відповідних оперативних повідомлень на MISP-NBU та/або розсилання електронних повідомлень засобами електронної пошти з поштової скриньки csirt-nbu@bank.gov.ua на поштову скриньку CYBER підрозділів із питань кіберзахисту;
6) проведення спільних нарад, конференцій, семінарів, консультацій, засідань робочих груп, заходів щодо обміну набутим досвідом роботи у сфері кіберзахисту.
25. Учасник інформаційного обміну повинен маркувати електронні повідомлення, що поширюються під час інформаційного обміну, спеціальними мітками з урахуванням протоколу "Світлофор", визначеного в додатку С до Національного стандарту України ДСТУ ISO/IEC 27010:2018 (англійською мовою Traffic Light Protocol) (далі - мітка TLP), у таких значеннях:
1) мітка TLP white - для маркування інформації, що поширюється без обмежень;
2) мітка TLP green - для маркування інформації, що поширюється серед усіх учасників інформаційного обміну. Банк - учасник інформаційного обміну під час отримання такої інформації має право поширювати її лише працівникам банку та/або за потреби в межах банківської групи контрагентам - ключовим постачальникам послуг;
3) мітка TLP amber - для маркування інформації, що поширюється серед обмеженого кола учасників інформаційного обміну, що визначається відправником - учасником інформаційного обміну. Банк - учасник інформаційного обміну має право поширювати таку інформацію виключно в межах банку та/або за потреби в межах банківської групи;
4) мітка TLP red - для маркування інформації, що поширюється виключно для обмеженого кола учасників інформаційного обміну та їх працівників, що визначається відправником - учасником інформаційного обміну.
26. Подальше поширення інформації між учасниками інформаційного обміну здійснюється виключно на основі міток TLP відповідно до порядку інформаційного обміну. Оприлюднення цієї інформації в засобах масової інформації, поширення в мережі Інтернет, соціальних мережах не допускається.
27. Центр кіберзахисту має право:
1) знижувати рівень значення мітки TLP за умови знеособлення інформації, що отримана;
2) підвищувати рівень значення мітки TLP у разі додавання до інформації, що отримана, уточнювальних та/або додаткових відомостей, що мають суттєвий характер.
28. Учасникам інформаційного обміну заборонено пересилати інформацію, що становить банківську таємницю та службову інформацію під час інформаційного обміну у формах, установлених у пункті 24 розділу III цього Положення. Передавання такої інформації здійснюється відповідно до законодавства України.
29. Банку не дозволяється:
1) редагувати (модифікувати) інформацію, що отримана з довірених джерел інформації, під час надання її іншим учасникам інформаційного обміну;
2) використовувати інформацію, отриману під час інформаційного обміну, з іншою метою, ніж зазначена в пункті 21 розділу III цього Положення, якщо інше не передбачено законодавством України.
( Розділ IV виключено на підставі Постанови Національного банку № 66 від 12.06.2026 )
V. Вимоги до проведення аудиту інформаційної безпеки в банківській системі України
( Назва розділу V із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
42. Банк зобов’язаний проводити незалежний аудит інформаційної безпеки (далі - зовнішній аудит).
Банк самостійно встановлює періодичність проведення зовнішнього аудиту. Періодичність проведення зовнішнього аудиту для банку-Оператора залежить від категорії критичності об’єктів критичної інфраструктури та становить:
( Абзац другий пункту 42 розділу V в редакції Постанови Національного банку № 66 від 12.06.2026 )
1) не рідше ніж один раз на два роки для об’єктів I та II категорій критичності;
2) не рідше ніж один раз на три роки для об’єктів III категорії критичності.
Зовнішній аудит проводиться згідно з нормами законодавства України, національних стандартів та з урахуванням міжнародних стандартів аудиту. Програма аудиту формується, ураховуючи особливості діяльності банку, характер та обсяг банківських, фінансових послуг та інших видів діяльності.
Допускається проведення зовнішнього аудиту в межах аудиту щорічної перевірки фінансової звітності, консолідованої фінансової звітності та іншої інформації щодо фінансово-господарської діяльності аудиторською фірмою.
( Пункт 42 розділу V із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025; в редакції Постанови Національного банку № 69 від 27.06.2025 )
43. Банк самостійно обирає:
1) аудиторську фірму для проведення зовнішнього аудиту серед юридичних осіб - резидентів України відповідно до законодавства України з урахуванням обмежень щодо заборони залучати до проведення незалежного аудиту:
одну і ту саму аудиторську фірму двічі поспіль;
аудиторську фірму - юридичну особу або фізичну особу-підприємця, що є резидентом держави-агресора чи держави, що здійснює / здійснювала збройну агресію проти України, або має кінцевих бенефіціарних власників, яка є резидентом держави-агресора або держави, що здійснює / здійснювала збройну агресію проти України, або здійснює обробку або зберігання даних за допомогою технології хмарних обчислень та центрів обробки даних, що розміщені на території держави-агресора, держави, що здійснює / здійснювала збройну агресію проти України, тимчасово окупованій території та/або належать суб’єктам, діяльність яких підпадає під дію Закону України "Про санкції" та стосовно яких прийнято рішення про застосування санкцій в Україні;
( Підпункт 1 пункту 43 розділу V в редакції Постанови Національного банку № 69 від 27.06.2025 )
2) міжнародні стандарти, кращу практику (англійською мовою best practices) з питань інформаційної безпеки і кіберзахисту, відповідно до яких проводитиметься зовнішній аудит з питань, зазначених у підпункті 1 пункту 44 розділу V цього Положення.
Банк до укладення договору перевіряє наявність чинних сертифікатів/дипломів міжнародного та/або державного зразка в аудиторів, які безпосередньо залучатимуться для проведення зовнішнього аудиту.
44. Зовнішній аудит проводиться з метою незалежної оцінки:
1) стану захищеності об'єктів кіберзахисту;
2) відповідності впровадження СУІБ банку за стандартом Міжнародної організації зі стандартизації (ISO, англійською мовою International Organization for Standardization) / Міжнародної електротехнічної комісії (IEC, англійською мовою International Electrotechnical Commission) 27001.
( Підпункт 2 пункту 44 розділу V в редакції Постанови Національного банку № 69 від 27.06.2025 )
45. Основними етапами проведення зовнішнього аудиту є:
1) організація проведення зовнішнього аудиту, що включає:
вибір аудиторської фірми;
визначення переліку об'єктів аудиту, програми аудиту з урахуванням мети проведення аудиту та настанов національних та/або міжнародних стандартів (кращої практики) з питань інформаційної безпеки і кіберзахисту, відповідно до яких проводитиметься такий аудит;
визначення процедур і методики проведення зовнішнього аудиту, методів аналізу захищеності, уключаючи тестування на проникнення penetration testing;
укладення договору з проведення зовнішнього аудиту (уключаючи договір/угоду про нерозголошення конфіденційної інформації NDA);
2) повідомлення Національного банку про обрану аудиторську фірму в довільній формі, що містить відомості про повне найменування аудиторської фірми, номер реєстрації в Реєстрі аудиторів та суб'єктів аудиторської діяльності (у разі проведення зовнішнього аудиту в межах аудиту щорічної перевірки фінансової звітності, консолідованої фінансової звітності та іншої інформації щодо фінансово-господарської діяльності) та обрані напрями, визначені в пункті 44 розділу IV цього Положення;
( Підпункт 2 пункту 45 із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
3) підготовка та погодження плану (графіка) проведення зовнішнього аудиту;
4) збір потрібних відомостей та їх аналіз;
5) підготовка і погодження звіту за результатами проведення зовнішнього аудиту;
6) складання та затвердження плану заходів щодо забезпечення виконання рекомендацій, наданих за результатами проведення зовнішнього аудиту (далі - План заходів).
46. Банк за результатами зовнішнього аудиту надає Національному банку відомості про результати зовнішнього аудиту (узагальнені результати оцінок за напрямами, визначеними в пункті 44 розділу V цього Положення) та затверджений План заходів.
( Додаток виключено на підставі Постанови Національного банку № 66 від 12.06.2026 )
