( Розділ XI доповнено новим пунктом 98-2 згідно з Постановою Національного банку № 16 від 11.02.2025 )
98-3. Інформація про виникнення істотного інциденту порушення безперервності діяльності системно важливої платіжної системи, важливої платіжної системи та/або оператора такої платіжної системи, зазначена в пунктах 98-1 та 98-2 розділу XI цього Положення, надсилається оператором системно важливої/важливої платіжної системи Національному банку:
1) засобами системи електронної пошти Національного банку (у разі підключення);
2) на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua;
3) іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу;
4) засобами поштового зв’язку в паперовій формі (у разі неможливості внаслідок порушення безперервності діяльності надсилання повідомлення засобами системи електронної пошти або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу).
Національний банк визначає порядок надсилання повідомлення щодо виникнення істотного інциденту порушення безперервності діяльності створених ним системно важливих платіжних систем, важливих платіжних систем для цілей оверсайта в документах цих платіжних систем.
( Розділ XI доповнено новим пунктом 98-3 згідно з Постановою Національного банку № 16 від 11.02.2025 )
99. Оператор системно важливої/важливої платіжної системи зобов’язаний у разі виникнення надзвичайної події:
( Абзац перший пункту 99 розділу XI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
1) передбачити можливість передавання інформації через альтернативні та/або резервні канали зв’язку в разі неможливості передавання інформації фіксованим і мобільним зв’язком;
( Підпункт 1 пункту 99 розділу XI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
2) забезпечувати надання послуг у системно важливій платіжній системі, важливій платіжній системі на рівні, не нижчому, ніж планові показники операційної діяльності, визначені в документах платіжної системи.
( Підпункт 2 пункту 99 розділу XI в редакції Постанови Національного банку № 16 від 11.02.2025 )
100. Оператор системно важливої/важливої платіжної системи зобов’язаний для забезпечення безперервності діяльності:
1) визначити у внутрішніх документах порядок здійснення та здійснювати організаційні та технічні заходи, зазначені в додатку до цього Положення, та забезпечити належний контроль за їх виконанням.
( Підпункт 1 пункту 100 розділу XI в редакції Постанови Національного банку № 37 від 09.04.2026 )
2) забезпечити підключення суб’єктів системно важливої платіжної системи, важливої платіжної системи каналами зв’язку, які відокремлені один від одного та мають різні маршрути, до основного центру обробки даних платіжної системи мінімум через двох постачальників електронних комунікаційних послуг та до резервного центру обробки даних платіжної системи мінімум через одного постачальника електронних комунікаційних послуг;
3) забезпечити роботу оператора системно важливої/важливої платіжної системи та надати можливість використання суб’єктами системно важливої платіжної системи, важливої платіжної системи резервних каналів зв’язку.
Оператор системно важливої/важливої платіжної системи зобов’язаний для забезпечення резервними каналами зв’язку визначити за першочерговий пріоритет упровадження та застосування технологій супутникового зв’язку та/або інших каналів зв’язку, що є незалежними від централізованого електропостачання;
4) забезпечити можливість тестування всіх наявних каналів зв’язку з центрами обробки даних системно важливої платіжної системи, важливої платіжної системи та підтримувати їх у щоденному "гарячому" резерві з можливістю переключення між ними;
5) забезпечити безпеку діяльності системно важливої платіжної системи, важливої платіжної системи, оператора системно важливої/важливої платіжної системи та здійснення операцій у пунктах надання фінансових послуг шляхом:
налагодження постійного своєчасного обміну інформацією про протиправні посягання на оператора системно важливої/важливої платіжної системи та/або його пункти надання фінансових послуг;
надання пріоритету роботі платіжних пристроїв, що розміщені у приміщеннях, забезпечених додатковими джерелами енергоживлення та охороною або дротовими енергонезалежними засобами сигналізації;
6) забезпечити наявність резервної робочої зони та виконання заходів для оперативного використання резервної робочої зони в разі виникнення надзвичайної події:
підтримувати в резервній робочій зоні інформаційну інфраструктуру готовою для відновлення штатного режиму діяльності системно важливої платіжної системи, важливої платіжної системи, а також забезпечувати матеріальними і трудовими ресурсами, достатніми для підтримання інформаційної інфраструктури в робочому стані;
забезпечити фізичну відокремленість каналів зв’язку основної та резервної робочих зон з різними маршрутами;
забезпечувати початок роботи резервної робочої зони одразу після виникнення надзвичайної події, що несе загрозу для безперервності діяльності основної робочої зони системно важливої платіжної системи, важливої платіжної системи.
( Абзац п'ятий підпункту 6 пункту 100 розділу XI виключено на підставі Постанови Національного банку № 37 від 09.04.2026 )
( Пункт 100 розділу XI в редакції Постанови Національного банку № 16 від 11.02.2025 )
100-1. Оператор системно важливої/важливої платіжної системи-нерезидент зобов’язаний:
1) визначити в процедурах діяльності або внутрішніх документах та здійснювати організаційні та технічні заходи, зазначені в додатку до цього Положення, та забезпечувати контроль за їх виконанням відповідно до підпункту 1 пункту 100 розділу XI цього Положення в разі використання інформаційної інфраструктури, яка розміщена в межах території України;
2) забезпечити наявність резервної робочої зони та виконання заходів для оперативного використання резервної зони в разі виникнення надзвичайної події, визначених у підпункті 6 пункту 100 розділу XI цього Положення, у разі розміщення основної робочої зони або її частини в межах території України.
( Розділ XI доповнено новим пунктом 100-1 згідно з Постановою Національного банку № 37 від 09.04.2026 )
101. Оператор системно важливої платіжної системи зобов’язаний відновити безперервність діяльності платіжної системи та роботу інформаційної інфраструктури, що забезпечує виконання/надання критичних операцій/послуг, не пізніше ніж через дві години після виникнення надзвичайної події.
( Пункт 101 розділу XI в редакції Постанови Національного банку № 16 від 11.02.2025 )
XII. Доступ та участь у системно важливій платіжній системі, важливій платіжній системі
( Заголовок розділу XII в редакції Постанови Національного банку № 16 від 11.02.2025 )
102. Оператор системно важливої/важливої платіжної системи зобов’язаний:
1) установлювати умови участі в платіжній системі та висувати вимоги до учасників цієї платіжної системи щодо наявності потрібних операційних потужностей, фінансових ресурсів, юридичних повноважень, відповідності системи захисту інформації законодавству України, а також щодо вжиття заходів з метою запобігання виникненню ризику, що виходить за межі, установлені оператором платіжної системи;
2) виявляти тих учасників платіжної системи, діяльність яких не відповідає встановленим вимогам щодо участі в платіжній системі.
103. Оператор системно важливої/важливої платіжної системи (крім Національного банку) зобов’язаний письмово попереджати Національний банк та органи державної влади в межах їх компетенції про виявлення фактів недотримання учасниками платіжної системи встановлених вимог щодо участі в платіжній системі, що призводять або можуть призвести до виникнення ризику, що виходить за межі ризиків, установлених оператором платіжної системи.
104. Оператор системно важливої/важливої платіжної системи, організаційною структурою якої передбачена багаторівнева структура участі, зобов’язаний:
1) ідентифікувати додатковий кредитний ризик та ризик ліквідності, що можуть виникати внаслідок багаторівневої структури участі, та здійснювати їх аналіз не менше одного разу на рік та після змін у документах платіжної системи щодо організаційної структури;
2) забезпечити, щоб невиконання зобов’язань прямим та/або непрямим учасником платіжної системи не впливало на остаточність розрахунків непрямих учасників платіжної системи.
105. Оператор системно важливої/важливої платіжної системи, у якій передбачена багаторівнева структура участі, з метою управління ризиками має право встановлювати умови, після виконання яких непрямий учасник платіжної системи зобов’язаний стати прямим учасником платіжної системи та привести свою діяльність у відповідність до вимог щодо умов участі, визначених оператором платіжної системи.
XIII. Оприлюднення та надання інформації, стандарти передавання інформації у системно важливій платіжній системі, важливій платіжній системі
( Заголовок розділу XIII в редакції Постанови Національного банку № 16 від 11.02.2025 )
106. Оператор системно важливої/важливої платіжної системи зобов’язаний оприлюднювати на власному офіційному вебсайті додатково до інформації, визначеної в пункті 45 розділу III цього Положення, такі відомості:
1) правила і процедури діяльності платіжної системи, крім інформації, що належить до конфіденційної інформації;
2) категорію важливості платіжної системи;
3) відповідність міжнародним стандартам оверсайта (за умови здійснення Національним банком комплексного оцінювання системно важливої платіжної системи);
( Підпункт 3 пункту 106 розділу XIII в редакції Постанови Національного банку № 37 від 09.04.2026 )
4) дані щодо кількості та сум платіжних операцій, що здійснюються платіжною системою протягом року.
107. Оператор системно важливої/важливої платіжної системи, що здійснює платіжні операції за межі України, зобов’язаний забезпечувати своєчасний та ефективний обмін інформацією в платіжній системі з урахуванням міжнародних стандартів щодо правил та форматів передавання повідомлень і контрольних даних для ідентифікації фінансових інструментів, контрагентів.
XIV. Вимоги до важливих технологічних операторів
( Заголовок розділу XIV із змінами, внесеними згідно з Постановою Національного банку № 37 від 09.04.2026 )
108. Важливий технологічний оператор зобов’язаний:
1) здійснювати організаційні та технічні заходи, визначені в додатку до цього Положення, і забезпечити належний контроль за їх виконанням;
2) визначити у своїх документах, які повинні складатись українською мовою та затверджуватись керівником/керівним органом чи уповноваженою особою важливого технологічного оператора:
порядок забезпечення безперервності діяльності відповідно до організаційних та технічних заходів, зазначених у додатку до цього Положення, включаючи порядок відновлення безперервності діяльності важливого технологічного оператора в разі виникнення надзвичайної події;
порядок внутрішнього контролю за діяльністю важливого технологічного оператора (процедури та види контролю), включаючи заходи контролю за інформаційною інфраструктурою (контроль за належним функціонуванням інформаційної інфраструктури, контроль за управлінням доступами, контроль за інформаційною інфраструктурою під час придбання, розроблення та/або супроводження);
обов’язки, повноваження, відповідальність, порядок звітування перед керівником/керівним органом особи та/або підрозділу, відповідальної/відповідального за функції, визначені в пункті 109 розділу XIV цього Положення, та їх розподіл;
3) забезпечити підключення оператора системно важливої/важливої платіжної системи-резидента/нерезидента, іншого суб’єкта системно важливої платіжної системи, важливої платіжної системи, якому надаються послуги технологічного оператора, каналами зв’язку, які відокремлені один від одного та мають різні маршрути, до основного центру обробки даних мінімум через двох постачальників електронних комунікаційних послуг та до резервного центру обробки даних мінімум через одного постачальника електронних комунікаційних послуг;
4) у разі виникнення надзвичайної події передбачити можливість передавання інформації через альтернативні та/або резервні канали зв’язку в разі неможливості передавання інформації фіксованим і мобільним зв’язком;
5) забезпечити можливість тестування всіх наявних каналів зв’язку з центрами обробки даних та підтримувати їх у щоденному "гарячому" резерві з можливістю переключення між ними;
6) забезпечувати наявність резервної робочої зони та виконання заходів для оперативного використання резервної робочої зони в разі виникнення надзвичайної події:
підтримувати в резервній робочій зоні інформаційну інфраструктуру готовою до відновлення штатного режиму діяльності, а також забезпечувати матеріальними і трудовими ресурсами, достатніми для підтримання інформаційної інфраструктури в робочому стані;
забезпечувати фізичну відокремленість каналів зв’язку основної та резервної робочих зон із різними маршрутами каналів зв’язку;
забезпечувати початок роботи резервної робочої зони одразу після виникнення надзвичайної події, що несе загрозу для безперервності діяльності основної робочої зони.
( Пункт 108 розділу XIV в редакції Постанови Національного банку № 37 від 09.04.2026 )
109. Важливий технологічний оператор зобов’язаний призначити особу та/або підрозділ, відповідальну/відповідальний за:
1) управління ризиками під час надання послуг технологічного оператора;
2) забезпечення безперервності діяльності важливого технологічного оператора та звітування про інциденти порушення безперервності діяльності згідно з вимогами, зазначеними в пункті 109-1 розділу XIV цього Положення;
3) систему внутрішнього контролю під час надання послуг технологічного оператора.
Особа/підрозділ, призначена/призначений відповідальними за управління ризиками, систему внутрішнього контролю та за забезпечення безперервної діяльності, зобов’язана/зобов’язаний звітувати перед керівником/керівним органом важливого технологічного оператора про виконання покладених на них функцій відповідно до вимог цього Положення та результати роботи не рідше одного разу на шість місяців.
( Пункт 109 розділу XIV в редакції Постанов Національного банку № 16 від 11.02.2025, № 37 від 09.04.2026 )
109-1. Важливий технологічний оператор зобов’язаний не пізніше ніж через 36 годин після виникнення істотного інциденту порушення безперервності діяльності надавати Національному банку інформацію, зазначену в пункті 56 розділу IV цього Положення, згідно з вимогами, визначеними в пункті 98- 3 розділу XI цього Положення.
( Розділ XIV доповнено новим пунктом 109-1 згідно з Постановою Національного банку № 16 від 11.02.2025; із змінами, внесеними згідно з Постановою Національного банку № 37 від 09.04.2026 )
( Пункт 110 розділу XIV виключено на підставі Постанови Національного банку № 37 від 09.04.2026 )
( Пункт 111 розділу XIV виключено на підставі Постанови Національного банку № 37 від 09.04.2026 )
( Пункт 111-1 розділу XIV виключено на підставі Постанови Національного банку № 37 від 09.04.2026 )
( Пункт 111-2 розділу XIV виключено на підставі Постанови Національного банку № 37 від 09.04.2026 )
( Розділ XV виключено на підставі Постанови Національного банку № 37 від 09.04.2026 )
XVI. Оцінювання об’єктів оверсайта
120. Національний банк має право здійснювати такі типи оцінювання:
1) оцінювання платіжної системи, що планує здійснювати діяльність в Україні (крім платіжної системи, створеної Національним банком);
2) комплексне оцінювання системно важливої платіжної системи та платіжної системи, створеної Національним банком;
3) оцінювання окремих аспектів діяльності (далі - тематичне оцінювання) важливих платіжних систем, важливих технологічних операторів.
121. Національний банк визначає порядок оцінювання створених ним платіжних систем.
122. Національний банк проводить оцінювання платіжної системи, що планує здійснювати діяльність в Україні, шляхом аналізу документів, що подаються до Національного банку відповідно до Положення про реєстрацію платіжних систем, учасників платіжних систем та технологічних операторів платіжних послуг, затвердженого постановою Правління Національного банку України від 26 вересня 2022 року № 208 (зі змінами).
123. Національний банк здійснює комплексне оцінювання системно важливої платіжної системи відповідно до вимог розділу XVI цього Положення та Інструкції з комплексного оцінювання системно важливих платіжних систем, затвердженої постановою Правління Національного банку України від 27 лютого 2025 року № 25 (далі - Інструкція № 25).
124. Національний банк здійснює комплексне оцінювання системно важливої платіжної системи на підставі затвердженого Національним банком плану комплексного оцінювання (крім платіжних систем, створених Національним банком).
План комплексного оцінювання складається на один рік і затверджується до 01 березня поточного року.
Національний банк розміщує план комплексного оцінювання на сторінці офіційного Інтернет-представництва Національного банку.
125. Національний банк здійснює комплексне оцінювання системно важливої платіжної системи не менше одного разу на два роки.
Строк проведення комплексного оцінювання системно важливої платіжної системи не може перевищувати шести місяців.
Національний банк має право за наявності обґрунтованих причин збільшити строк проведення оцінювання системно важливої платіжної системи до одного року.
126. Національний банк повідомляє оператора системно важливої платіжної системи про комплексне оцінювання не менше ніж за 30 календарних днів до його початку.
Повідомлення про комплексне оцінювання системно важливої платіжної системи має містити таку інформацію:
1) дату початку та закінчення комплексного оцінювання;
2) період, що підлягає оцінюванню.
127. Оператор системно важливої платіжної системи (крім Національного банку) зобов’язаний здійснювати самооцінювання системно важливої платіжної системи відповідно до Інструкції № 25 та не пізніше ніж за п’ять робочих днів до початку комплексного оцінювання надіслати висновки до Національного банку за встановленою ним формою та документи, що підтверджують наведену в них інформацію.
128. Джерелом інформації під час здійснення Національним банком комплексного оцінювання системно важливої платіжної системи є:
1) документи системно важливої платіжної системи;
2) план заходів із забезпечення безперервності діяльності системно важливої платіжної системи;
3) результати моніторингу платіжної інфраструктури;
4) інформація за результатами виїзного моніторингу об’єктів оверсайта, які є суб’єктами системно важливої платіжної системи, щодо якої здійснюється комплексне оцінювання;
5) інформація та документи, отримані від оператора системно важливої платіжної системи на запит Національного банку;
6) інформація, що надходить від органів державної влади;
7) інформація, що надходить від користувачів платіжних послуг;
8) висновки зовнішніх аудиторів;
9) внутрішні звіти керівних органів системно важливої платіжної системи, а також звіти за результатами внутрішнього аудиту;
10) протоколи за результатами двосторонніх та багатосторонніх переговорів Національного банку із суб’єктами системно важливої платіжної системи;
11) висновки за результатами самооцінювання;
12) публічно доступна інформація про системно важливу платіжну систему.
129. Національний банк під час проведення комплексного оцінювання має право проводити співбесіду (інтерв’ю) з працівниками оператора системно важливої платіжної системи з відповідним документальним оформленням таких співбесід.
130. Комплексне оцінювання системно важливої платіжної системи, оператором якої є Національний банк, здійснюється групою з оцінювання, яка складається із працівників Національного банку.
131. За результатами комплексного оцінювання системно важливої платіжної системи складається звіт з комплексного оцінювання, у якому зазначаються:
1) найменування системно важливої платіжної системи (за наявності);
2) повне найменування оператора системно важливої платіжної системи;
3) дата визначення платіжної системи системно важливою платіжною системою;
4) категорія важливості платіжної системи;
5) період діяльності, за який здійснено комплексне оцінювання і термін здійснення оцінювання (дати початку і закінчення);
6) перелік та повне найменування суб’єктів системно важливої платіжної системи;
7) результати моніторингу діяльності системно важливої платіжної системи в динаміці за період діяльності, за який здійснюється комплексне оцінювання;
8) перелік матеріалів, що використовувалися під час оцінювання;
9) факти неподання оператором системно важливої платіжної системи інформації та/або документів, потрібних для здійснення комплексного оцінювання в установлені строки (якщо такі були);
10) результати комплексного оцінювання відповідності системно важливої платіжної системи законодавству України та міжнародним стандартам оверсайта, які містять:
загальні висновки з переліком виявлених під час оцінювання недоліків та невідповідностей (за наявності) у діяльності системно важливої платіжної системи;
рекомендації щодо вдосконалення діяльності системно важливої платіжної системи із зазначенням строку та пріоритетності для усунення виявлених недоліків та невідповідностей (за наявності).
132. Національний банк визначає за результатами комплексного оцінювання рівень відповідності системно важливої платіжної системи кожному встановленому в Інструкції № 25 принципу та/або законодавству України за такими рівнями:
1) повністю відповідає;
2) у цілому відповідає;
3) частково відповідає;
4) не відповідає;
5) не застосовується.
133. Національний банк, дійшовши за результатами комплексного оцінювання висновку, що системно важлива платіжна система "у цілому відповідає", "частково відповідає" або "не відповідає" окремому принципу, визначеному в Інструкції № 25, надає у звіті рекомендації щодо вдосконалення діяльності системно важливої платіжної системи та зазначає про потребу усунення недоліків/невідповідностей (за їх наявності) відповідно до вимог законодавства України.
134. Національний банк у звіті з комплексного оцінювання розкриває інформацію окремо за кожним положенням ключового принципу, визначеного в Інструкції № 25.
Національний банк відображає у звіті інформацію з обґрунтуванням щодо:
1) незастосування окремого принципу та/або його положень до системно важливої платіжної системи;
2) неможливості визначити відповідність окремому принципу у зв’язку з ненаданням потрібної інформації оператором системно важливої платіжної системи.
135. Національний банк не пізніше ніж через 15 робочих днів із дати завершення комплексного оцінювання системно важливої платіжної системи надсилає звіт із рекомендаціями, розробленими відповідно до вимог пункту 133 розділу XVI цього Положення, за результатами комплексного оцінювання оператору системно важливої платіжної системи.
136. Оператор системно важливої платіжної системи (крім Національного банку) має право впродовж 14 робочих днів із дня отримання звіту за результатами комплексного оцінювання з рекомендаціями, розробленими відповідно до вимог пункту 133 розділу XVI цього Положення, надати Національному банку обґрунтовані заперечення фактів виявлених недоліків/невідповідностей та/або проінформувати про незгоду з рекомендаціями з наданням обґрунтованих пояснень, що оформляються письмово, затверджується керівником або керівним органом системно важливої платіжної системи та доповнюються документами, що підтверджують заперечення фактів виявлених недоліків/невідповідностей.
137. Оператор системно важливої платіжної системи (крім Національного банку) зобов’язаний протягом 30 календарних днів із дня отримання звіту за результатами комплексного оцінювання з рекомендаціями, розробленими відповідно до вимог пункту 133 розділу XVI цього Положення, подати до Національного банку інформацію щодо врахованих рекомендацій та/або план заходів, які він зобов’язується вжити для врахування рекомендацій та усунення недоліків/невідповідностей, виявлених Національним банком під час комплексного оцінювання (далі - План заходів), із зазначенням строків виконання заходів, що не перевищують строки, зазначені у звіті з комплексного оцінювання. План заходів повинен затверджуватися керівником або керівним органом системно важливої платіжної системи.
Оператор системно важливої платіжної системи зобов’язаний виконати План заходів.
138. Оператор системно важливої платіжної системи (крім Національного банку) після закінчення строків, визначених у звіті з комплексного оцінювання Національним банком для усунення недоліків/невідповідностей, зобов’язаний подати до Національного банку звіт про виконання Плану заходів, затверджений керівником або керівним органом системно важливої платіжної системи, та відповідні документи, що підтверджують виконання заходів та усунення недоліків/невідповідностей, виявлених Національним банком під час комплексного оцінювання.
139. Національний банк здійснює контроль за виконанням оператором системно важливої платіжної системи Плану заходів та має право надати до звіту про виконання Плану заходів зауваження, обов’язкові для врахування.
Національний банк здійснює аналіз результатів здійснених заходів на виконання врахованих рекомендацій за результатом комплексного оцінювання платіжних систем, оператором яких він є.
140. Національний банк оприлюднює інформацію про результати комплексного оцінювання, включаючи відповідність міжнародним стандартам оверсайта, системно важливої платіжної системи на сторінці офіційного Інтернет-представництва Національного банку.
141. Національний банк має право здійснювати тематичне оцінювання важливих платіжних систем, важливих технологічних операторів за наявності обґрунтованих підстав, якими є:
1) внесення змін до документів важливої платіжної системи, важливого технологічного оператора;
2) порушення безперервності діяльності важливої платіжної системи, важливого технологічного оператора;
3) прийняття рішення про визначення платіжної системи важливою платіжною системою, технологічного оператора важливим технологічним оператором, прийнятого відповідно до пункту 67 розділу V цього Положення.
Тематичне оцінювання Національний банк може здійснювати одночасно за кількома важливими платіжними системами та/або важливими технологічними операторами.
142. Національний банк під час проведення тематичного оцінювання має право проводити співбесіду (інтерв’ю) з керівниками та посадовими особами оператора важливої платіжної системи, важливого технологічного оператора з відповідним документальним оформленням таких співбесід.
143. Порядок оформлення результатів тематичного оцінювання визначається Національним банком.
Результати тематичного оцінювання повинні містити таку інформацію:
1) найменування важливої платіжної системи/важливих платіжних систем;
2) повне найменування оператора важливої платіжної системи/операторів важливих платіжних систем, важливого технологічного оператора/важливих технологічних операторів;
3) період діяльності, за який здійснено тематичне оцінювання, і термін здійснення тематичного оцінювання (дати початку і закінчення);
4) факти неподання оператором важливої платіжної системи/операторами важливих платіжних систем, важливим технологічним оператором/важливими технологічними операторами інформації та/або документів, потрібних для здійснення тематичного оцінювання, у встановлені строки (якщо такі були);
5) висновки з переліком виявлених під час тематичного оцінювання недоліків/невідповідностей (за наявності);
6) рекомендації щодо вдосконалення діяльності важливої платіжної системи/важливих платіжних систем, важливого технологічного оператора/важливих технологічних операторів для усунення виявлених недоліків/невідповідностей (за наявності).
144. Національний банк здійснює аналіз результатів здійснених заходів на виконання врахованих рекомендацій за результатами тематичного оцінювання.
145. Національний банк з метою забезпечення безперервного, надійного та ефективного функціонування платіжної інфраструктури за результатами оцінювання має право надавати рекомендації щодо вдосконалення діяльності об’єктів оверсайта в порядку, визначеному в пункті 19 розділу I цього Положення.
146. Національний банк має право в разі виявлення під час комплексного оцінювання (крім платіжних систем, створених Національним банком), тематичного оцінювання фактів, що можуть свідчити про недотримання об’єктом оверсайта вимог цього Положення, ініціювати здійснення моніторингу щодо цього об’єкта оверсайта в порядку, визначеному Положенням про проведення виїзного та безвиїзного моніторингу об’єктів оверсайта платіжної інфраструктури, затвердженим постановою Правління Національного банку України від 31 грудня 2022 року № 257 (зі змінами).
( Розділ XVI в редакції Постанови Національного банку № 37 від 09.04.2026 )
Додаток
до Положення про порядок
здійснення оверсайта платіжної
інфраструктури в Україні
(у редакції постанови Правління
Національного банку України
від 09 квітня 2026 року № 37)
(пункт 54 розділу IV)
Організаційні та технічні заходи для забезпечення безперервності діяльності
1. Створення детальної схеми інформаційної інфраструктури з описом українською мовою функціонального призначення і взаємозв’язку її компонентів та затвердження такої схеми керівником/керівним органом об’єкта оверсайта.
2. Визначення переліку критично важливих компонентів інформаційної інфраструктури і даних, потрібних для надання критичних послуг, запровадження політики їх резервування та відновлення, визначення порядку проведення регламентних робіт.
3. Забезпечення роботи критично важливих компонентів інформаційної інфраструктури джерелами безперебійного електроживлення.
4. Здійснення резервного копіювання баз даних та інших даних, потрібних для надання критичних послуг.
5. Забезпечення моніторингу та контролю функціонування на всіх стадіях життєвого циклу (проєктування, впровадження, експлуатації, заміни та виведення з експлуатації) інформаційної інфраструктури та її компонентів, реєстрації та аналізу інцидентів, пов’язаних із порушенням безперервності діяльності.
6. Забезпечення дотримання вимог законодавства України у сфері інтелектуальної власності під час використання програмного забезпечення на всіх компонентах інформаційної інфраструктури.
7. Підтримання в актуальному стані резервування інформаційної інфраструктури, каналів зв’язку та необхідних даних, що забезпечують функціонування критичних операцій/послуг, і здійснення їх оперативного переключення зі штатного режиму діяльності на резервний режим діяльності та забезпечення створення, зберігання й можливості оперативного відновлення з резервних копій даних відповідних інформаційних систем. У разі використання хмарних послуг таке резервування та відновлення можуть забезпечуватися надавачем хмарних послуг відповідно до умов договору, укладеного з об’єктом оверсайта, та відповідно до вимог законодавства України.
8. Аналіз можливих загроз безперервному функціонуванню інформаційної інфраструктури, забезпечення мінімізації їх впливу та планування дій у разі їх реалізації.
9. Розроблення інструкцій щодо дій обслуговуючого персоналу для попередження та/або усунення порушень функціонування інформаційної інфраструктури та/або її компонентів у разі виникнення надзвичайної події та відновлення функціонування інформаційної інфраструктури та/або її компонентів, їх аналіз та перегляд не менше одного разу на рік.
10. Забезпечення наявності інструкцій із супроводження та експлуатації інформаційної інфраструктури, її компонентів.
11. Навчання обслуговуючого персоналу супроводженню та експлуатації інформаційної інфраструктури, її компонентів і діям для відновлення її/їх функціонування.
12. Визначення порядку внесення змін до програмного забезпечення та конфігурації всіх компонентів інформаційної інфраструктури.
13. Забезпечення обслуговування та технічної підтримки [надання консультацій (включаючи проблеми, що виникли під час експлуатації), ремонт та заміна непрацюючого обладнання, установлення оновлень/нових версій і виправлень помилок програмного забезпечення] усіх компонентів інформаційної інфраструктури з дотриманням вимог законодавства з питань захисту інформації, кіберзахисту та інформаційної безпеки.
14. Забезпечення взаємодії та комунікацій у разі виникнення надзвичайної події з користувачами платіжних послуг та заінтересованими особами.
15. Забезпечення безперервної роботи інформаційної інфраструктури, інформаційних та електронних комунікаційних систем, що забезпечують функціонування критичних операцій/послуг шляхом використання в центрах обробки даних та в приміщеннях, у яких працюють служби підтримки (контактні центри), резервних джерел електроживлення, дизельних електростанцій та наявності ресурсів/палива для їх роботи не менше ніж сім діб із постійним поповненням запасів із надійних джерел.
Здійснення належного технічного обслуговування резервних джерел електроживлення, а в разі несправності таких засобів невідкладне (упродовж однієї доби) ужиття заходів для відновлення їх роботи шляхом організації кваліфікованого ремонту або заміни.
16. Забезпечення роботи систем і каналів зв’язку з урахуванням вірогідного тимчасового обмеження надання електронних комунікаційних послуг та постачання електроенергії строком не менше ніж сім діб.
17. Виконання завдань та обов’язків операторів критичної інфраструктури, передбачених Законом України "Про критичну інфраструктуру" (для об’єктів оверсайта, які є операторами критичної інфраструктури).
( Додаток в редакції Постанов Національного банку № 16 від 11.02.2025, № 37 від 09.04.2026 )
