ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
| 11 лютого 2025 року № 16 |
Про затвердження Змін до Положення про порядок здійснення оверсайту платіжної інфраструктури в Україні
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статті 82 Закону України "Про платіжні послуги" та з метою вдосконалення порядку здійснення оверсайту платіжної інфраструктури в Україні Правління Національного банку України постановляє:
1. Затвердити Зміни до Положення про порядок здійснення оверсайту платіжної інфраструктури в Україні, затвердженого постановою Правління Національного банку України від 24 серпня 2022 року № 187 (далі - Положення), що додаються.
2. Об’єктам оверсайту платіжної інфраструктури привести свою діяльність та документи у відповідність до вимог Положення протягом трьох місяців із дня набрання чинності цією постановою.
3. Об’єктам оверсайту платіжної інфраструктури, яких на день набрання чинності цією постановою Національний банк України визначив важливими, включаючи операторів важливих платіжних систем-резидентів / нерезидентів, та оператору системно важливої платіжної системи привести свою діяльність та документи у відповідність до вимог Положення протягом шести місяців із дня набрання чинності цією постановою.
4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Олексія Шабана.
5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
| Голова | Андрій ПИШНИЙ |
Інд. 57
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
11 лютого 2025 року № 16
Зміни до
Положення про порядок здійснення оверсайту платіжної інфраструктури в Україні
( Див. текст )
1. У розділі I:
1) у пункті 2:
пункт після підпункту 3 доповнити новим підпунктом 3-1 такого змісту:
"3-1) важлива платіжна система - платіжна система, яку Національний банк визначив важливою платіжною системою відповідно до встановлених цим Положенням вимог та критеріїв важливості;";
підпункт 11 виключити;
у підпункті 14:
підпункт після слова "оверсайту" доповнити словами ", включаючи нерезидента,";
слово "ситуації" замінити словом "події";
підпункти 15, 17 викласти в такій редакції:
"15) кіберзагроза - наявні та потенційно можливі явища і чинники, що створюють небезпеку в кіберпросторі, спричиняють негативний вплив на кібербезпеку та кіберзахист об’єктів оверсайту та платіжних систем;";
"17) кіберризик - поєднання ймовірності виникнення кіберінцидентів та їх наслідків, включаючи виникнення збитків та/або додаткових втрат унаслідок реалізації кіберзагроз. Кіберризик є складовою операційного ризику;";
у підпункті 18 слова "кіберстійкість об’єкта оверсайту" замінити словом "кіберстійкість";
підпункт 21 після слів "учасника платіжної системи/" доповнити словами "постачальника електронних комунікаційних послуг/";
підпункт 22 після слів "та/або послуги,", "надання" доповнити відповідно словами "а також послуги, що є допоміжними до платіжних послуг, та інші послуги,", "платіжних";
підпункт 24 викласти в такій редакції:
"24) надзвичайна подія - порушення штатного режиму та/або нормальних умов функціонування об’єкта оверсайту, платіжної системи, що призводить до порушення та/або становлять загрозу для безперервності діяльності об’єкта оверсайту, платіжної системи;";
пункт після підпункту 25 доповнити новим підпунктом 25-1 такого змісту:
"25-1) оператор системно важливої/важливої платіжної системи - оператор платіжної системи, яку Національний банк визначив системно важливою платіжною системою, оператор платіжної системи, яку Національний банк визначив важливою платіжною системою;";
підпункт 28 доповнити словами "та після якого операція не може бути скасована учасником платіжної системи та/або заінтересованою особою";
підпункт 30 доповнити словами "або визнання недійсними умов договору";
пункт після підпункту 30 доповнити новим підпунктом 30-1 такого змісту:
"30-1) регламентні роботи - заплановані не пізніше ніж за один робочий день заходи з технічної експлуатації інформаційної інфраструктури, що можуть включати в себе планове оновлення програмного забезпечення, обслуговування та/або модернізацію серверів та комп’ютерного обладнання, перевірку безпеки мережі та захисту даних, перенесення основної робочої зони;";
підпункт 31 викласти в такій редакції:
"31) резервна робоча зона - географічно віддалене від основної робочої зони допоміжне приміщення, призначене для здійснення/надання критичних операцій/послуг об’єкта оверсайту, платіжної системи в разі виникнення надзвичайної події до відновлення штатного режиму діяльності, що має інформаційну інфраструктуру та забезпечене матеріальними і трудовими ресурсами, достатніми для підтримання інформаційної інфраструктури в робочому стані;";
пункт після підпункту 35 доповнити новим підпунктом 35-1 такого змісту:
"35-1) системно важлива платіжна система - платіжна система, яку Національний банк визначив системно важливою платіжною системою відповідно до встановлених цим Положенням критеріїв важливості;";
2) абзац перший пункту 3 викласти в такій редакції:
"3. Вимоги цього Положення поширюються на об’єкти оверсайту-резидентів, якщо інше не встановлено цим Положенням, а саме:";
3) пункт 5 викласти в такій редакції:
"5. Вимоги, встановлені у пунктах 14, 15, 16 розділу I, пунктах 23, 25, 28 розділу II, пунктах 44, 45-1 розділу III, пунктах 57, 57-2 розділу IV, пунктах 70, 72 розділу V, пункті 75 розділу VI, пункті 84 розділу VIII, пункті 92 розділу Х та пунктах 96, 98, 98-2, 98-3, 99, 100 розділу XI цього Положення, поширюються на оператора платіжної системи-нерезидента в частині діяльності платіжної системи на території України.
Вимоги, встановлені цим Положенням до об’єкта оверсайту (крім оператора платіжної системи-нерезидента), поширюються на нього в частині його діяльності на території України.";
4) у пункті 13:
пункт після слів та цифр "в підпункті 4 пункту 25," доповнити словами та цифрами "підпункті 1 пункту 36,";
пункт доповнити новим абзацом такого змісту:
"Об’єкт оверсайту періодично переглядає (не рідше одного разу на рік) та оновлює (актуалізує) у разі потреби внутрішні документи з урахуванням змін у законодавстві України, дія яких поширюється на об’єкта оверсайту, а також з урахуванням інших внутрішніх чи зовнішніх подій та/або обставин.";
5) пункт 14 доповнити словами та цифрами ", крім випадку, визначеного в підпункті 4 пункту 98-3 розділу XI цього Положення";
6) пункт 15 після слів "об’єкта оверсайту" доповнити словами "або уповноваженого представника оператора платіжної системи-нерезидента";
7) пункт 16 викласти в такій редакції:
"16. Об’єкт оверсайту, який надсилає до Національного банку документи, зобов’язаний дотримуватися таких вимог:
1) документи повинні бути викладені українською мовою, не містити виправлень і неточностей, а також розбіжностей між відомостями, викладеними в цих документах та/або отриманими з офіційних джерел;
2) сторінки документів повинні бути пронумеровані;
3) документи, складені іноземною мовою, для подання до Національного банку повинні бути перекладені на українську мову (вірність перекладу або справжність підпису перекладача засвідчується нотаріально). Не перекладаються на українську мову документи, складені іноземною мовою, у разі одночасного наведення їх тексту українською мовою. Копії документів, складених іноземною мовою, та/або переклад документа, складеного іноземною мовою, повинні бути засвідчені нотаріально;
4) документи подаються до Національного банку у формі електронного документа або електронної копії документа, підписаного (засвідченої) шляхом накладання КЕП, - разом з електронним повідомленням на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу, крім випадку, визначеного в підпункті 4 пункту 98-3 розділу XI цього Положення;
5) електронні документи, електронні копії оригіналів документів у паперовій формі, скановані копії документів повинні мати коротку назву латинськими літерами, що відображає зміст і реквізити документа;
6) електронна копія оригіналу документа в паперовій формі (з накладеним КЕП та без накладення КЕП) створюється шляхом сканування документа в паперовій формі з урахуванням таких вимог:
документ сканується у файл формату pdf;
документи, що містять більше однієї сторінки, скануються в один файл;
сканована копія кожного окремого документа зберігається як окремий файл;
роздільна здатність сканування має бути не нижче ніж 300 dpi.
Об’єкт оверсайту несе відповідальність за повноту та достовірність даних, що містяться в поданих до Національного банку документах.".
2. У розділі II:
1) пункт 23 доповнити новим абзацом такого змісту:
"Правила та/або процедури діяльності платіжної системи на території України встановлюються оператором платіжної системи з урахуванням вимог законодавства України.";
2) у пункті 25:
підпункт 3 після слова "правил" доповнити словами "та/або процедур діяльності";
у підпункті 4:
абзац перший після слова "правилах" доповнити словами "та/або процедурах діяльності";
абзац другий викласти в такій редакції:
"порядок здійснення контролю за діяльністю учасників платіжної системи, розрахункових банків, технологічних операторів відповідно до правил платіжної системи та вимог до них, установлених іншими документами платіжної системи, що розроблені оператором платіжної системи на виконання цього Положення;";
підпункт доповнити новим абзацом такого змісту:
"порядок проведення регламентних робіт у платіжній системі та діяльності її суб’єктів під час проведення таких регламентних робіт.";
3) підпункт 2 пункту 26 доповнити словами "з урахуванням змін у законодавстві України та/або змін у внутрішніх документах платіжної системи";
4) в абзаці першому пункту 27 слово "роботи" замінити словом "діяльності";
5) пункт 28 викласти в такій редакції:
"28. Оператор платіжної системи зобов’язаний контролювати діяльність учасників платіжної системи, розрахункових банків і технологічних операторів, з якими він уклав договори про надання відповідних послуг у цій платіжній системі, та несе відповідальність за діяльність платіжної системи відповідно до правил платіжної системи та вимог законодавства України.
Оператор платіжної системи зобов’язаний контролювати наявність інцидентів порушення безперервності діяльності в платіжній системі та застосування заходів, вжитих для їх запобігання, учасниками платіжної системи, розрахунковими банками та технологічними операторами, а також у роботі постачальників електронних комунікаційних послуг, з якими він уклав договори про надання відповідних послуг у цій платіжній системі.";
6) у пункті 29 слово "рік" замінити словом "квартал";
7) пункти 32, 33 викласти в такій редакції:
"32. Учасник платіжної системи зобов’язаний не менше одного разу на шість місяців фіксувати результати здійсненого контролю за технологічними операторами шляхом унесення відомостей до електронного журналу реєстрації результатів контролю, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.
33. Прямий учасник платіжної системи зобов’язаний здійснювати постійний контроль за діяльністю непрямого учасника платіжної системи щодо дотримання ним умов договору про непряму участь та правил платіжної системи та не менше одного разу на шість місяців фіксувати результати здійсненого контролю шляхом унесення відомостей до електронного журналу реєстрації результатів контролю, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.";
8) у пункті 36:
підпункт 1 доповнити словами ", а також визначити у своїх документах механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу операційних ризиків";
у підпункті 3 слово "ситуації" замінити словом "події";
9) абзац перший пункту 38 викласти в такій редакції:
"38. Об’єкт оверсайту зобов’язаний забезпечити зберігання всіх документів, що підтверджують надання платіжних послуг (виконання платіжних операцій), послуг, що є допоміжними до платіжних послуг, протягом строків, визначених законодавством України.";
10) пункт 41 викласти в такій редакції:
"41. Об’єкт оверсайту зобов’язаний визначити у своїх документах порядок зберігання документів, що підтверджують надання платіжних послуг (виконання платіжних операцій), послуг, що є допоміжними до платіжних послуг, а також порядок створення архівів електронних документів відповідно до вимог законодавства України.".
3. У розділі III:
1) пункт 44 доповнити новим абзацом такого змісту:
"Оператор міжнародної платіжної системи-нерезидент зобов’язаний забезпечити наявність окремого офіційного вебсайту або окремої сторінки на офіційному вебсайті міжнародної платіжної системи для оприлюднення інформації щодо діяльності платіжної системи на території України.";
2) у пункті 45:
в абзаці першому підпункту 10 слово "види" замінити словом "видів";
підпункт 11 викласти в такій редакції:
"11) переліку всіх тарифів, комісійних винагород та зборів за послуги платіжної системи, що стягуються з користувачів платіжних послуг (крім системи міжбанківських розрахунків, оператором якої є Національний банк);";
у підпункті 13 слово "порядок" замінити словом "порядку";
пункт доповнити новим абзацом такого змісту:
"Інформація на офіційному вебсайті розміщується державною мовою. Одночасно допускається розміщення інформації іншою мовою (іншими мовами).";
3) розділ після пункту 45 доповнити новим пунктом 45-1 такого змісту:
"45-1. Оператор платіжної системи-нерезидент зобов’язаний оприлюднювати на окремому офіційному вебсайті або окремій сторінці на офіційному вебсайті міжнародної платіжної системи інформацію стосовно діяльності платіжної системи на території України щодо:
1) свого повного найменування відповідно до відомостей з Реєстру;
2) юридичної адреси та фактичного місцезнаходження, адреси представництва в Україні (за наявності);
3) офіційного найменування платіжної системи, а також комерційного (фірмового) найменування, торговельної марки/знака для товарів та послуг платіжної системи, що відрізняється від офіційного найменування платіжної системи (за наявності);
4) переліку учасників платіжної системи в Україні;
5) видів платіжних послуг, що надаються за допомогою платіжної системи на території України;
6) переліку всіх тарифів, комісійних винагород та зборів за послуги платіжної системи, що стягуються з користувачів платіжних послуг;
7) відомостей, що підтверджують унесення платіжної системи до Реєстру, з гіперпосиланням, що забезпечує перенаправлення (відсилання) на сторінку офіційного Інтернет-представництва Національного банку, на якій можливо перевірити такі відомості.
Інформація на офіційному вебсайті або окремій сторінці офіційного вебсайту розміщується українською мовою. Одночасно допускається розміщення інформації іншою мовою (іншими мовами).";
4) пункт 46 викласти в такій редакції:
"46. Учасник платіжної системи зобов’язаний оприлюднювати на власному офіційному вебсайті інформацію щодо:
1) свого повного найменування відповідно до відомостей з Єдиного державного реєстру та комерційного (фірмового) найменування відповідно до установчих документів (за наявності);
2) інформацію про торговельні марки/знаки для товарів і послуг, що використовуються для надання платіжних послуг (за наявності);
3) юридичної адреси та фактичного місцезнаходження;
4) контактного номера телефону та адреси корпоративної електронної поштової скриньки або інший спосіб зв’язку для оперативного звернення;
5) переліку платіжних послуг, що надаються об’єктом оверсайту, включаючи:
порядок та умови здійснення платіжних операцій;
строки виконання платіжних операцій;
види платіжних інструментів, які використовуються для ініціювання платіжних операцій;
6) місць розташування банківських автоматів та програмно-технічних комплексів самообслуговування, місць (пунктів) надання фінансових послуг, а також їх режим роботи;
7) відомостей про участь у платіжних системах (для учасників платіжних систем) шляхом розміщення їх переліку із зазначенням назви, дати включення до Реєстру, найменування, гіперпосилання, що забезпечує перенаправлення (відсилання) на сторінку офіційного Інтернет-представництва Національного банку, на якій можливо перевірити такі відомості.
Учасник платіжної системи, який, крім власного офіційного вебсайту, використовує для надання платіжних послуг інші вебсайти, зобов’язаний розміщувати на таких вебсайтах інформацію про наявність власного офіційного вебсайту та посилання на нього.";
5) пункти 49, 50 виключити;
6) у першому реченні пункту 51 слова "надання послуг" замінити словами "надання платіжних послуг з використанням вебсайту/вебсайтів".
4. У розділі IV:
1) у підпункті 3 пункту 53 слова "телекомунікаційних мереж" замінити словами "електронних комунікаційних мереж";
2) пункт 57 викласти в такій редакції:
"57. Об’єкт оверсайту (крім Національного банку) у разі проведення регламентних робіт, що призводять до неспроможності своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності об’єкта оверсайту або платіжної системи, оператором якої є об’єкт оверсайту, протягом двох годин або більш тривалого часу, зобов’язаний:
1) документально зафіксувати інформацію про проведення регламентних робіт - дату і їх тривалість у годинах, види послуг, на безперервність надання яких вплине проведення регламентних робіт;
2) повідомити інших об’єктів оверсайту, з якими укладені договори про надання відповідних послуг, суб’єктів платіжної системи (крім користувачів платіжних послуг), на діяльність яких впливають регламентні роботи, зазначені в абзаці першому пункту 57 розділу IV цього Положення, про проведення таких регламентних робіт не пізніше ніж за один робочий день.";
3) розділ доповнити двома новими пунктами 57-1, 57-2 такого змісту:
"57-1. Учасник платіжної системи зобов’язаний повідомити користувачів платіжних послуг, яким він надає послуги з виконання платіжних операцій за допомогою цієї системи, про:
1) проведення регламентних робіт в учасника платіжної системи, що призводять до неспроможності своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності, не пізніше ніж за один робочий день до їх проведення;
2) проведення регламентних робіт в інших суб’єктів платіжної системи, у діяльності платіжної системи, що призводять до неспроможності учасника платіжної системи своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності, не пізніше наступного робочого дня після отримання повідомлення від іншого суб’єкта цієї платіжної системи відповідно до підпункту 2 пункту 57 розділу IV цього Положення.
57-2. Порядок інформування про регламентні роботи в платіжній системі визначається у внутрішніх документах такої системи.
Об’єкт оверсайту зобов’язаний забезпечити документування інформації та повідомлення про проведення регламентних робіт таким чином, щоб бути здатним оперативно надавати інформацію та документи стосовно повідомлення про проведення регламентних робіт на запит Національного банку.";
4) пункт 58 виключити.
5. У розділі V:
1) у пункті 61:
в абзаці першому слово "визнає" замінити словом "визначає";
підпункт 1 після слова "загальної" доповнити словами "кількості та/або";
2) у пункті 62:
в абзаці першому слово "визнає" замінити словом "визначає";
підпункти 1, 2 після слова "загальної" доповнити словами "кількості та/або";
в абзаці четвертому слово "визнати" замінити словом "визначати";
3) пункти 66, 67 викласти в такій редакції:
"66. Національний банк визначає технологічного оператора важливим у разі його відповідності хоча б одному з таких критеріїв важливості:
1) обробляє більше 10% операцій (від загальної кількості та/або суми), оброблених технологічними операторами в платіжних системах;
2) обробляє більше 10% операцій (від загальної кількості та/або суми) системно важливих платіжних систем;
3) обробляє більше 10% операцій (від загальної кількості та/або суми) у важливих платіжних системах.
67. Рішення про визначення об’єкта оверсайту важливим, платіжної системи важливою платіжною системою або системно важливою платіжною системою приймає Комітет з питань нагляду та регулювання діяльності банків, оверсайта платіжної інфраструктури (далі - Комітет).
Об’єкт оверсайту та/або платіжна система втрачають важливість, визначену в рішенні Комітету, прийнятому в попередньому році, з дня, наступного за днем прийняття Комітетом рішення, зазначеного в абзаці першому пункту 67 розділу V цього Положення, якщо за результатами діяльності в році, у якому було прийнято рішення про визначення об’єктів оверсайту важливими, платіжних систем важливими платіжними системами або системно важливими платіжними системами, у наступному році вони не визначені важливим об’єктом оверсайту, важливою платіжною системою або системно важливою платіжною системою.";
4) у пункті 70 слова "Оператор значущої платіжної системи зобов’язаний привести діяльність платіжної системи" замінити словами "Оператор системно важливої/важливої платіжної системи зобов’язаний привести діяльність цієї платіжної системи";
5) у пункті 72 слова "збільшення строку виконання вимог цього Положення" замінити словами "продовження строку виконання вимог цього Положення, зазначеного в пункті 71 розділу V цього Положення,".
6. У розділі VI:
1) у заголовку розділу слова "значущої платіжної системи" замінити словами "системно важливої платіжної системи, важливої платіжної системи";
2) у пункті 73:
в абзаці першому слова "значущої платіжної системи" замінити словами "системно важливої/важливої платіжної системи";
у підпункті 1:
абзац третій викласти в такій редакції:
"планові показники операційної діяльності платіжної системи (кількість та сума операцій у платіжній системі: за певний період - за годину, добу, місяць, квартал, рік; середнє та максимальне навантаження за платіжними операціями), час відновлення діяльності в разі виникнення надзвичайної події, рівень операційної доступності (операційні цілі).";
підпункт доповнити новим абзацом такого змісту:
"Цілі та завдання системно важливої платіжної системи повинні бути орієнтовані на підтримку фінансової стабільності, забезпечення безпеки та ефективності платіжної системи та інших аспектів, що становлять суспільний інтерес;";
підпункт 5 викласти в такій редакції:
"5) порядок організації та здійснення внутрішнього контролю в системно важливій платіжній системі, у важливій платіжній системі. Оператор системно важливої/важливої платіжної системи (крім платіжної системи, створеної Національним банком) визначає процедури та види контролю, включаючи заходи контролю за інформаційною інфраструктурою (контроль за належним функціонуванням інформаційної інфраструктури, контроль за управлінням доступами, контроль за інформаційною інфраструктурою під час придбання, розроблення та/або супроводження), а також контроль за дотриманням суб’єктами такої платіжної системи правил та/або процедур діяльності платіжної системи та інших вимог, встановлених до них оператором системно важливої/важливої платіжної системи відповідно до цього Положення;";
у підпункті 8:
в абзаці першому слово "механізми" замінити словами "порядок та механізми";
в абзаці сьомому слова "оператор значущої платіжної системи" замінити словами "оператор системно важливої/важливої платіжної системи";
3) у пункті 75:
абзац перший викласти в такій редакції:
"75. Оператор системно важливої/важливої платіжної системи зобов’язаний розробити план заходів із забезпечення безперервності діяльності цієї платіжної системи (далі - План заходів) та проводити його перегляд і тестування не менше одного разу на рік.";
у підпункті 1 слово "ситуації" замінити словом "події";
підпункти 2, 6 викласти в такій редакції:
"2) технологію виконання операцій (опис послідовних дій щодо ініціювання, виконання та завершення операцій, а також процедур оброблення інформації про операції, її фіксації та зберігання) у разі виникнення надзвичайної події;";
"6) порядок забезпечення безперервного виконання/надання критичних операцій/послуг, включно з порядком дій у разі відмови електронних комунікаційних мереж та/або окремих складових програмно-технічного забезпечення;";
підпункт 12 доповнити словами ", механізми управління та мінімізації впливу критичних залежностей";
пункт доповнити новим підпунктом такого змісту:
"15) порядок використання резервної робочої зони.";
4) пункт 76 викласти в такій редакції:
"76. Оператор системно важливої платіжної системи зобов’язаний додатково передбачити в Плані заходів порядок відновлення безперервності діяльності платіжної системи та роботи інформаційної структури в разі настання надзвичайної події з урахуванням вимоги, зазначеної в пункті 101 розділу XI цього Положення.".
7. У розділі VII:
1) у заголовку розділу слова "значущої платіжної системи" замінити словами "системно важливої платіжної системи, важливої платіжної системи";
2) пункт 77 викласти в такій редакції:
"77. До складу керівних органів оператора системно важливої/важливої платіжної системи повинні входити фізичні особи, які мають досвід, потрібний для виконання своїх обов’язків щодо забезпечення функціонування платіжної системи та управління ризиками, не менше одного року.";
3) у пункті 78:
в абзаці першому слова "оператора значущої платіжної системи" замінити словами "оператора системно важливої/важливої платіжної системи";
підпункт 4 після слова "контроль" доповнити словами "за діяльністю системно важливої платіжної системи, важливої платіжної системи та";
підпункт 8 та абзац десятий викласти в такій редакції:
"8) чіткий розподіл між виконанням операційної функції, функцій, пов’язаних із внутрішнім контролем, управлінням ризиками та внутрішнім аудитом у системно важливій платіжній системі, важливій платіжній системі.
Особа та/або підрозділ, відповідальна/відповідальний за внутрішній контроль, управління ризиками, не може/не можуть виконувати функції, пов’язані з внутрішнім аудитом та виконанням операційної функції у системно важливій платіжній системі, важливій платіжній системі.";
4) у пункті 79:
в абзаці першому слова "оператора значущої платіжної системи" замінити словами "оператора системно важливої/важливої платіжної системи";
у підпункті 1 слова "та забезпечення інформаційної безпеки" виключити;
підпункт 2 викласти в такій редакції:
"2) забезпечення безперервності діяльності, включаючи розроблення, перегляд, оновлення та тестування Плану заходів, звітування про інциденти порушення безперервності діяльності згідно з вимогами, зазначеними в пунктах 98-1, 98-3 розділу XI цього Положення;";
пункт доповнити новим підпунктом такого змісту:
"3) систему внутрішнього контролю у системно важливій платіжній системі, важливій платіжній системі.";
5) пункти 80, 81 викласти в такій редакції:
"80. Керівні органи оператора системно важливої/важливої платіжної системи зобов’язані в разі виникнення надзвичайної події забезпечити створення та/або функціонування тимчасової структурної одиниці, що формується на час надзвичайної події та ліквідації її наслідків і відповідає за реалізацію Плану заходів, проведення консультацій із заінтересованими особами та направлення їм повідомлення про виникнення надзвичайної події.
81. Оператор системно важливої/важливої платіжної системи з метою ефективного управління ризиками зобов’язаний забезпечити взаємодію особи/підрозділу, відповідальної/відповідального за управління ризиками та систему внутрішнього контролю в цій платіжній системі, з керівними органами оператора системно важливої/важливої платіжної системи та її/його незалежність.".
8. У розділі VIII:
1) заголовок розділу викласти в такій редакції:
"VIII. Система управління ризиками та внутрішнього контролю у системно важливій платіжній системі, важливій платіжній системі ";
2) пункти 83, 84 викласти в такій редакції:
"83. Оператор системно важливої/важливої платіжної системи зобов’язаний:
1) не менше одного разу на рік аналізувати ризики, що виникають у діяльності системно важливої платіжної системи, важливої платіжної системи та можуть призвести до виникнення ризиків у діяльності осіб, з якими взаємодіє оператор цієї платіжної системи, та встановлювати допустимі межі ризиків;
2) не менше одного разу на рік аналізувати внутрішні та зовнішні загрози, що можуть спричинити виникнення ризиків у системно важливій платіжній системі, важливій платіжній системі, та їх джерела;
3) забезпечувати щоквартальне звітування особи та/або підрозділу, відповідальної/відповідального за управління ризиками, за систему внутрішнього контролю, за забезпечення безперервності діяльності, про виконання покладених на них функцій відповідно до вимог цього Положення та результати аналізу дотримання вимог щодо забезпечення безперервності діяльності перед керівними органами оператора системно важливої/важливої платіжної системи.
84. Оператор системно важливої/важливої платіжної системи зобов’язаний уживати заходів щодо мінімізації та усунення наслідків впливу ризиків, що виникають у системно важливій платіжній системі, важливій платіжній системі.";
3) у пункті 87 слова "оператор платіжної системи", "у платіжній системі" замінити відповідно словами "оператор системно важливої/важливої платіжної системи", "у цій платіжній системі".
9. Заголовки розділів IX, X викласти в такій редакції:
"IX. Забезпечення в системно важливій платіжній системі, важливій платіжній системі ";
"X. Організація грошових розрахунків та остаточність розрахунків у системно важливій платіжній системі, важливій платіжній системі ".
10. У розділі XI:
1) заголовок розділу викласти в такій редакції:
"XI. Управління операційним ризиком та забезпечення безперервності діяльності системно важливої платіжної системи, важливої платіжної системи ";
2) пункт 96 викласти в такій редакції:
"96. Оператор системно важливої/важливої платіжної системи має право визнати учасника платіжної системи та/або технологічного оператора таким, від якого він критично залежить, та встановити до такого учасника платіжної системи/технологічного оператора у внутрішніх документах платіжної системи або у відповідних договорах додаткові вимоги щодо управління ризиками та безперервності діяльності в платіжній системі, про що повідомляє цього учасника/технологічного оператора протягом п’яти робочих днів із дня такого визнання.
Оператор системно важливої/важливої платіжної системи має право встановити до розрахункового банку, що бере участь у проведенні розрахунків у цій платіжній системі (крім випадків, коли оператор системно важливої/важливої платіжної системи виконує функції розрахункового банку відповідно до вимог законодавства України), у внутрішніх документах платіжної системи або у відповідних договорах додаткові вимоги щодо безперервності діяльності в платіжній системі, про що повідомляє цей розрахунковий банк протягом п’яти робочих днів із дня прийняття рішення про встановлення таких вимог.";
3) у пункті 98:
слова "оператор значущої платіжної системи" замінити словами "оператор системно важливої/важливої платіжної системи";
слова "(за наявності)" виключити;
4) розділ після пункту 98 доповнити трьома новими пунктами 98-1, 98-2 та 98-3 такого змісту:
"98-1. Оператор системно важливої/важливої платіжної системи-резидент зобов’язаний не пізніше ніж через 36 годин після виникнення істотного інциденту порушення безперервності діяльності надавати Національному банку інформацію, зазначену в пункті 56 розділу IV цього Положення.
98-2. Оператор системно важливої/важливої платіжної системи-нерезидент зобов’язаний:
1) у разі виникнення кожного інциденту порушення безперервності діяльності - документально зафіксувати інформацію про дату і час виникнення порушення безперервності діяльності, тривалість порушення безперервності діяльності, причини виникнення порушення безперервності діяльності, види послуг, на безперервність яких вплинуло порушення, заходи, ужиті для відновлення діяльності та недопущення надалі порушень безперервності діяльності оператора системно важливої/важливої платіжної системи та/або системно важливої платіжної системи, важливої платіжної системи;
2) надавати Національному банку інформацію, зазначену в підпункті 1 пункту 98-2 розділу XI цього Положення, не пізніше ніж через 36 годин після виникнення істотного інциденту порушення безперервності.
98-3. Інформація про виникнення істотного інциденту порушення безперервності діяльності системно важливої платіжної системи, важливої платіжної системи та/або оператора такої платіжної системи, зазначена в пунктах 98-1 та 98-2 розділу XI цього Положення, надсилається оператором системно важливої/важливої платіжної системи Національному банку:
1) засобами системи електронної пошти Національного банку (у разі підключення);
2) на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua;
3) іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу;
4) засобами поштового зв’язку в паперовій формі (у разі неможливості внаслідок порушення безперервності діяльності надсилання повідомлення засобами системи електронної пошти або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу).
Національний банк визначає порядок надсилання повідомлення щодо виникнення істотного інциденту порушення безперервності діяльності створених ним системно важливих платіжних систем, важливих платіжних систем для цілей оверсайту в документах цих платіжних систем.";
5) у пункті 99:
в абзаці першому слова "Оператор значущої платіжної системи", "ситуації" замінити відповідно словами "Оператор системно важливої/важливої платіжної системи", "події";
у підпункті 1 слова "альтернативні канали" замінити словами "альтернативні та/або резервні канали";
підпункт 2 викласти в такій редакції:
"2) забезпечувати надання послуг у системно важливій платіжній системі, важливій платіжній системі на рівні, не нижчому, ніж планові показники операційної діяльності, визначені в документах платіжної системи.";
6) пункти 100, 101 викласти в такій редакції:
"100. Оператор системно важливої/важливої платіжної системи зобов’язаний для забезпечення безперервності діяльності:
1) здійснювати організаційні та технічні заходи, зазначені в додатку до цього Положення, та належний контроль за їх виконанням.
Оператор системно важливої/важливої платіжної системи-нерезидент здійснює організаційні та технічні заходи, зазначені в додатку до цього Положення, та контроль за їх виконанням у разі використання інформаційної інфраструктури, включаючи комплекс програмно-апаратних засобів, яка розміщена в межах території України;
2) забезпечити підключення суб’єктів системно важливої платіжної системи, важливої платіжної системи каналами зв’язку, які відокремлені один від одного та мають різні маршрути, до основного центру обробки даних платіжної системи мінімум через двох постачальників електронних комунікаційних послуг та до резервного центру обробки даних платіжної системи мінімум через одного постачальника електронних комунікаційних послуг;
3) забезпечити роботу оператора системно важливої/важливої платіжної системи та надати можливість використання суб’єктами системно важливої платіжної системи, важливої платіжної системи резервних каналів зв’язку.
Оператор системно важливої/важливої платіжної системи зобов’язаний для забезпечення резервними каналами зв’язку визначити за першочерговий пріоритет упровадження та застосування технологій супутникового зв’язку та/або інших каналів зв’язку, що є незалежними від централізованого електропостачання;
4) забезпечити можливість тестування всіх наявних каналів зв’язку з центрами обробки даних системно важливої платіжної системи, важливої платіжної системи та підтримувати їх у щоденному "гарячому" резерві з можливістю переключення між ними;
5) забезпечити безпеку діяльності системно важливої платіжної системи, важливої платіжної системи, оператора системно важливої/важливої платіжної системи та здійснення операцій у пунктах надання фінансових послуг шляхом:
налагодження постійного своєчасного обміну інформацією про протиправні посягання на оператора системно важливої/важливої платіжної системи та/або його пункти надання фінансових послуг;
надання пріоритету роботі платіжних пристроїв, що розміщені у приміщеннях, забезпечених додатковими джерелами енергоживлення та охороною або дротовими енергонезалежними засобами сигналізації;
6) забезпечити наявність резервної робочої зони та виконання заходів для оперативного використання резервної робочої зони в разі виникнення надзвичайної події:
підтримувати в резервній робочій зоні інформаційну інфраструктуру готовою для відновлення штатного режиму діяльності системно важливої платіжної системи, важливої платіжної системи, а також забезпечувати матеріальними і трудовими ресурсами, достатніми для підтримання інформаційної інфраструктури в робочому стані;
забезпечити фізичну відокремленість каналів зв’язку основної та резервної робочих зон з різними маршрутами;
забезпечувати початок роботи резервної робочої зони одразу після виникнення надзвичайної події, що несе загрозу для безперервності діяльності основної робочої зони системно важливої платіжної системи, важливої платіжної системи.
Оператор системно важливої/важливої платіжної системи-нерезидент забезпечує наявність резервної робочої зони та виконання заходів для оперативного використання резервної зони у разі виникнення надзвичайної події, визначених в абзаці першому підпункту 6 пункту 100 розділу XI цього Положення, у разі розміщення основної робочої зони або її частини в межах території України.
101. Оператор системно важливої платіжної системи зобов’язаний відновити безперервність діяльності платіжної системи та роботу інформаційної інфраструктури, що забезпечує виконання/надання критичних операцій/послуг, не пізніше ніж через дві години після виникнення надзвичайної події.".
11. Заголовки розділів XII, XIII викласти в такій редакції:
"XII. Доступ та участь у системно важливій платіжній системі, важливій платіжній системі ";
"XIII. Оприлюднення та надання інформації, стандарти передавання інформації у системно важливій платіжній системі, важливій платіжній системі ".
12. У розділі XIV:
1) підпункт 2 пункту 108 викласти в такій редакції:
"2) визначити у своїх документах, які повинні складатись українською мовою та затверджуватися керівником/керівним органом чи уповноваженою особою важливого об’єкта оверсайту:
порядок забезпечення безперервності діяльності відповідно до організаційних та технічних заходів, зазначених у додатку до цього Положення;
порядок відновлення безперервності діяльності важливого об’єкта оверсайту в разі виникнення надзвичайної події;
порядок внутрішнього контролю за діяльністю важливого об’єкта оверсайту (процедури та види контролю), включаючи заходи контролю за інформаційною інфраструктурою (контроль за належним функціонуванням інформаційної інфраструктури, контроль за управлінням доступами, контроль за інформаційною інфраструктурою під час придбання, розроблення та/або супроводження);
обов’язки, повноваження, відповідальність, порядок звітування перед керівником/керівним органом особи та/або підрозділу, відповідальної/відповідального за функції, визначені в пункті 109 розділу XIV цього Положення, та їх розподіл.";
2) пункт 109 викласти в такій редакції:
"109. Важливий об’єкт оверсайту зобов’язаний призначити особу та/або підрозділ відповідальну/відповідальний за:
1) управління ризиками під час надання платіжних послуг та/або послуг, що є допоміжними до платіжних послуг;
2) забезпечення безперервності діяльності важливого об’єкта оверсайту та звітування про інциденти порушення безперервності діяльності згідно з вимогами, зазначеними в пункті 109-1 розділу XIV цього Положення;
3) систему внутрішнього контролю під час надання платіжних послуг та/або послуг, що є допоміжними до платіжних послуг.
Особа/підрозділ, призначені відповідальними за управління ризиками, систему внутрішнього контролю та забезпечення безперервної діяльності, зобов’язані звітувати керівнику/керівному органу важливого об’єкта оверсайту про виконання покладених на них функцій відповідно до вимог цього Положення та результати роботи не рідше одного разу на шість місяців.";
3) розділ після пункту 109 доповнити новим пунктом 109-1 такого змісту:
"109-1. Важливий об’єкт оверсайту зобов’язаний не пізніше ніж через 36 годин після виникнення істотного інциденту порушення безперервності діяльності надавати Національному банку інформацію, зазначену в пункті 56 розділу IV цього Положення, згідно з вимогами, визначеними в пункті 98-3 розділу XI цього Положення.";
4) розділ доповнити двома новими пунктами такого змісту:
"111-1. Важливий технологічний оператор зобов’язаний:
1) забезпечити підключення оператора системно важливої/важливої платіжної системи-резидента/нерезидента, важливого об’єкта оверсайту, якому надаються послуги технологічного оператора, каналами зв’язку, які відокремлені один від одного та мають різні маршрути, до основного центру обробки даних мінімум через двох постачальників електронних комунікаційних послуг та до резервного центру обробки даних мінімум через одного постачальника електронних комунікаційних послуг;
2) у разі виникнення надзвичайної події передбачити можливість передавання інформації через альтернативні та/або резервні канали зв’язку в разі неможливості передавання інформації фіксованим і мобільним зв’язком;
3) забезпечити можливість тестування всіх наявних каналів зв’язку з центрами обробки даних та підтримувати їх у щоденному "гарячому" резерві з можливістю переключення між ними;
4) забезпечувати наявність резервної робочої зони та виконання заходів для оперативного використання резервної робочої зони в разі виникнення надзвичайної події:
підтримувати в резервній робочій зоні інформаційну інфраструктуру готовою до відновлення штатного режиму діяльності, а також забезпечувати матеріальними і трудовими ресурсами, достатніми для підтримання інформаційної інфраструктури в робочому стані;
забезпечувати фізичну відокремленість каналів зв’язку основної та резервної робочих зон з різними маршрутами каналів зв’язку;
забезпечувати початок роботи резервної робочої зони одразу після виникнення надзвичайної події, що несе загрозу для безперервності діяльності робочої зони.
111-2. Обов’язки та відповідальність важливого об’єкта оверсайту щодо виконання вимог цього Положення залишаються незмінними в разі залучення таким важливим об’єктом оверсайту технологічного оператора та/або третіх осіб для виконання окремих операційних функцій, пов’язаних із наданням платіжних послуг.".
13. У підпункті 7 пункту 117 розділу XV слово "обслуговуючого" виключити.
14. У розділі XVI:
1) у пункті 120:
в абзаці першому слово "здійснює" замінити словами "має право здійснювати";
в абзаці другому підпункту 2 слово "значущої" замінити словами "системно важливої";
в абзаці другому підпункту 3 слова "значущої платіжної системи" замінити словами "системно важливої платіжної системи, важливої платіжної системи";
2) у пункті 123:
у першому реченні абзацу першого слова "об’єктів оверсайту" виключити;
абзац другий викласти в такій редакції:
"План комплексного оцінювання складається на один рік і затверджується до 01 березня наступного року. Національний банк розміщує план комплексного оцінювання на сторінці офіційного Інтернет-представництва Національного банку.";
3) у підпункті 2 пункту 124 слова "важливої платіжної системи та" виключити;
4) пункт 125 викласти в такій редакції:
"125. Національний банк здійснює комплексне оцінювання системно важливої платіжної системи не раніше ніж через дев’ять місяців із дня визначення платіжної системи системно важливою платіжною системою (крім комплексного оцінювання платіжних систем, створених Національним банком).";
5) у пункті 130:
у підпункті 4 слово "перевірок" замінити словами "виїзного моніторингу";
підпункт 7 доповнити словами "платіжних послуг";
6) пункт 132 після слова "фахівців" доповнити словами "Національного банку";
7) підпункт 3 пункту 133 викласти в такій редакції:
"3) дата визначення платіжної системи системно важливою платіжною системою, оператора платіжної схеми важливим;";
8) у пункті 135:
в абзаці першому слово "здійснює" замінити словами "має право здійснювати";
у підпункті 4 слова "значущою платіжною системою" замінити словами "системно важливою платіжною системою або важливою платіжною системою".
15. Додаток до Положення викласти в такій редакції:
"Додаток
до Положення про порядок
здійснення оверсайту платіжної
інфраструктури в Україні
(у редакції постанови Правління
Національного банку України
від 11 лютого 2025 року № 16)
(пункт 54 розділу IV)
Організаційні та технічні заходи
для забезпечення безперервності діяльності
1. Створення детальної схеми комплексу програмно-апаратних засобів з описом українською мовою функціонального призначення і взаємозв’язку його компонентів та затвердження її керівником/керівним органом об’єкта оверсайту.
2. Визначення переліку критично важливих компонентів комплексу програмно-апаратних засобів і даних, потрібних для надання критичних послуг, запровадження політики їх резервування та відновлення, визначення порядку проведення регламентних робіт.
3. Забезпечення роботи критично важливих компонентів комплексу програмно-апаратних засобів джерелами безперебійного електроживлення.
4. Здійснення резервного копіювання баз даних та інших даних, потрібних для надання критичних послуг.
5. Забезпечення моніторингу всіх компонентів комплексу програмно-апаратних засобів, реєстрації та аналізу інцидентів, пов’язаних із порушенням безперервності діяльності.
6. Забезпечення дотримання вимог законодавства України у сфері інтелектуальної власності під час використання програмного забезпечення на всіх компонентах комплексу програмно-апаратних засобів.
7. Підтримання в актуальному стані резервування інформаційної інфраструктури, каналів зв’язку та необхідних даних, що забезпечують функціонування критичних операцій/послуг, і здійснення їх оперативного переключення зі штатного режиму діяльності на резервний режим діяльності та забезпечення створення, зберігання й можливості оперативного відновлення з резервних копій даних відповідних інформаційних систем. У разі використання хмарних послуг таке резервування та відновлення може забезпечуватися надавачем хмарних послуг відповідно до умов договору, укладеного з об’єктом оверсайту, та відповідно до вимог законодавства України.
8. Забезпечення безперервної роботи інформаційної інфраструктури, інформаційних та електронних комунікаційних систем, що забезпечують функціонування критичних операцій/послуг, шляхом використання в центрах обробки даних та в приміщеннях, у яких працюють служби підтримки (контактні центри), резервних джерел електроживлення, дизельних електростанцій та наявності ресурсів/палива для їх роботи не менше ніж сім діб із постійним поповненням запасів з надійних джерел.
Здійснення належного технічного обслуговування резервних джерел електроживлення, а в разі несправності таких засобів невідкладного (упродовж однієї доби) вжиття заходів для відновлення їх роботи шляхом організації кваліфікованого ремонту або заміни.
9. Забезпечення роботи систем і каналів зв’язку з урахуванням вірогідного тимчасового обмеження надання електронних комунікаційних послуг та постачання електроенергії строком не менше ніж сім діб.
10. Аналіз можливих загроз безперервному функціонуванню комплексу програмно-апаратних засобів, забезпечення мінімізації їх впливу та планування дій в разі їх реалізації.
11. Розроблення інструкцій щодо дій обслуговуючого персоналу для попередження та/або усунення порушень роботи комплексу програмно-апаратних засобів у разі виникнення надзвичайної події та відновлення функціонування комплексу програмно-апаратних засобів, їх аналіз та перегляд не менше одного разу на рік.
12. Забезпечення наявності інструкцій із супроводження та експлуатації комплексу програмно-апаратних засобів.
13. Навчання обслуговуючого персоналу супроводженню та експлуатації комплексу програмно-апаратних засобів і діям для відновлення його функціонування.
14. Визначення порядку внесення змін до програмного забезпечення та конфігурації всіх компонентів комплексу програмно-апаратних засобів.
15. Забезпечення обслуговування і технічної підтримки [надання консультацій (включаючи проблеми, що виникли під час експлуатації), ремонт та заміна непрацюючого обладнання, установлення оновлень/нових версій і виправлення помилок програмного забезпечення] усіх компонентів комплексу програмно-апаратних засобів.
16. Забезпечення взаємодії та комунікації в разі виникнення надзвичайної події з користувачами платіжних послуг та заінтересованими особами.
17. Виконання завдань та обов’язків операторів критичної інфраструктури, передбачених Законом України "Про критичну інфраструктуру" (для об’єктів оверсайта, які є операторами критичної інфраструктури).".
16. У тексті Положення слова "оператор значущої платіжної системи", "надзвичайна ситуація" у всіх числах та відмінках замінити відповідно словами "оператор системно важливої/важливої платіжної системи", "надзвичайна подія" у відповідних числах та відмінках.
