ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
| 27 червня 2025 року № 69 |
Про критичну інфраструктуру фінансового сектору
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статей 8-10, 12, 14, 19 Закону України "Про критичну інфраструктуру", з метою нормативного врегулювання питань організації та забезпечення захисту об’єктів критичної інфраструктури Правління Національного банку України постановляє:
1. Затвердити:
1) Положення про критичну інфраструктуру фінансового сектору, що додається;
2) Зміни до Положення про організацію кіберзахисту в банківській системі України, затвердженого постановою Правління Національного банку України від 12 серпня 2022 року № 178 (зі змінами), що додаються.
2. Банкам, іншим особам, що здійснюють діяльність на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, операторам платіжних систем, технологічним операторам платіжних послуг здійснити категорізацію об’єктів критичної інфраструктури протягом шести місяців із дня набрання чинності цією постановою.
3. Визнати такими, що втратили чинність:
1) постанову Правління Національного банку України від 30 листопада 2020 року № 151 "Про затвердження Положення про визначення об’єктів критичної інфраструктури в банківській системі України";
2) пункт 2 постанови Правління Національного банку України від 12 серпня 2022 року № 178 "Про затвердження Положення про організацію кіберзахисту в банківській системі України та внесення змін до Положення про визначення об’єктів критичної інфраструктури в банківській системі України".
4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Олексія Шабана.
5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
| Голова | Андрій ПИШНИЙ |
Інд. 58
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
27 червня 2025 року № 69
Положення
про критичну інфраструктуру фінансового сектору
I. Загальні положення
1. Це Положення розроблено відповідно до Законів України "Про критичну інфраструктуру" та "Про Національний банк України".
2. Терміни в цьому Положенні вживаються в такому значенні:
1) адміністративна будівля - будівля головного офісу установи (частина будівлі), у якій розміщуються керівники установи, працівники підрозділів установи, які забезпечують надання основних послуг, здійснюють управління об’єктами критичної інфраструктури та забезпечують їх функціонування;
2) основна послуга - послуга, яка надається оператором критичної інфраструктури та віднесена законодавством у сфері захисту критичної інфраструктури до життєво важливих (основних) послуг та/або виконання життєво важливих функцій;
3) секторальний орган у сфері захисту критичної інфраструктури (далі - секторальний орган) - Національний банк України (далі - Національний банк), який визначений законодавством України відповідальним за забезпечення формування та реалізації державної політики у сфері захисту критичної інфраструктури у фінансовому секторі;
4) секторальний перелік об’єктів критичної інфраструктури фінансового сектору (далі - Секторальний перелік) - зведені відомості про ідентифіковані та категоризовані об’єкти критичної інфраструктури (далі - ОКІ) Національного банку, банків, інших осіб, що здійснюють діяльність на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, операторів платіжних систем, технологічних операторів платіжних послуг;
5) фінансовий сектор - Національний банк, банки, інші особи, що здійснюють діяльність на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, оператори платіжних систем, технологічні оператори платіжних послуг.
Термін "уповноважений банк" вживається в цьому Положенні в значенні, наведеному в Положенні про передавання запасів готівки на зберігання до уповноважених банків та проведення операцій з ними, затвердженому постановою Правління Національного банку України від 17 вересня 2021 року № 95 (зі змінами).
Інші терміни в цьому Положенні вживаються в значеннях, наведених у Законах України "Про критичну інфраструктуру", "Про банки і банківську діяльність", "Про електронну ідентифікацію та електронні довірчі послуги", "Про платіжні послуги", "Про хмарні послуги", "Про обов’язкове страхування цивільно-правової відповідальності власників наземних транспортних засобів" та нормативно-правових актах Національного банку.
3. Це Положення розроблено з метою унормування організації та забезпечення захисту ОКІ фінансового сектору і визначає:
1) порядок віднесення об’єктів банків, інших осіб, що здійснюють діяльність на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, операторів платіжних систем, технологічних операторів платіжних послуг (далі - установи) до ОКІ;
2) методику визначення механізмів та критерії віднесення ідентифікованих ОКІ фінансового сектору до однієї з категорій критичності;
3) порядок розроблення паспортів безпеки на ОКІ фінансового сектору.
4. Віднесення об’єктів інфраструктури Національного банку до ОКІ та їх категорізація здійснюються в порядку, визначеному Національним банком.
II. Порядок віднесення об’єктів фінансового сектору до критичної інфраструктури
5. До операторів критичної інфраструктури фінансового сектору (далі - Оператор) належать:
1) Національний банк;
2) банк, який визначений Національним банком як системно важливий;
3) уповноважений банк;
4) банк, який має статус кваліфікованого надавача електронних довірчих послуг, відомості про якого внесені до Довірчого списку за поданням засвідчувального центру;
5) оператор платіжної системи, яку Національний банк визначив системно важливою платіжною системою або важливою платіжною системою;
6) технологічний оператор платіжних послуг, якого Національний банк визначив важливим технологічним оператором платіжних послуг;
7) установа, яка є власником, держателем та адміністратором єдиної централізованої бази даних щодо обов’язкового страхування цивільно-правової відповідальності власників наземних транспортних засобів;
8) інші установи, що здійснюють діяльність на ринках небанківських фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, визначені Операторами окремими рішеннями Національного банку, негативний вплив від знищення, пошкодження або порушення функціонування інфраструктури яких може суттєво вплинути на стале надання основних послуг у фінансовому секторі.
6. Оператор зобов’язаний ідентифікувати об’єкти інфраструктури, від яких залежить надання основних послуг Оператором, та віднести такі об’єкти до ОКІ.
До ОКІ Оператора обов’язково мають бути віднесені об’єкти, якими Оператор володіє на праві власності, оренди або на інших законних підставах, а саме:
1) адміністративні будівлі;
2) центри обробки даних;
3) сховища Національного банку (у тому числі приміщення касових вузлів), де зберігається готівка;
4) сховища уповноважених банків для зберігання запасів готівки Національного банку.
7. Оператор зобов’язаний здійснити категоризацію ОКІ відповідно до методики категоризації ОКІ фінансового сектору, визначеної в розділі III цього Положення.
8. Оператор своїм внутрішнім документом за підписом керівника Оператора створює комісію з ідентифікації та категоризації ОКІ Оператора (далі - Комісія).
Заступник керівника Оператора очолює Комісію, до складу якої входять представники підрозділів Оператора, які забезпечують виконання функцій з надання основних послуг, функціонування об’єктів, цивільного захисту, безпеки, фізичної охорони, інформаційної безпеки, кіберзахисту, безперервної діяльності, управління ризиками, а також фінансового підрозділу.
До складу Комісії за потреби також можуть залучатися представники інших підрозділів Оператора та представники секторального органу (за згодою).
9. Результати роботи Комісії оформляються актом категоризації об’єкта критичної інфраструктури фінансового сектору (далі - Акт), який складається у двох примірниках за формою, наведеною в додатку 1 до цього Положення.
10. Акт обов’язково повинен містити обґрунтування оцінки рівнів негативного впливу в разі знищення, пошкодження ОКІ або порушення його функціонування, що розраховуються згідно із секторальними й міжсекторальними критеріями, наведеними в додатках 2 і 3 до цього Положення.
11. Акт оформляється на кожний ідентифікований ОКІ, підписується головою, членами Комісії та затверджується керівником Оператора.
12. Оператор у разі розміщення кількох ОКІ Оператора в одній будівлі або в різних будівлях на одній території, які мають єдиний периметр безпеки та систему охорони, має право розглядати їх як один ОКІ зі складанням загального Акта на такий об’єкт.
13. Відомості, що містяться в Акті, є інформацією з обмеженим доступом, вимоги щодо захисту якої встановлені законодавством України, а додатки (за наявності) до Акта є невід’ємною його частиною.
14. Оператор надсилає Акт, затверджений його керівником, на погодження до секторального органу з урахуванням вимог законодавства з питань захисту інформації з обмеженим доступом.
Секторальний орган упродовж 20 робочих днів із дня отримання Акта розглядає отримані матеріали з урахуванням критеріїв віднесення об’єктів Оператора до ОКІ фінансового сектору, обґрунтування їх категорій критичності та приймає рішення про його погодження в порядку, визначеному цим Положенням.
15. Секторальний орган за наявності зауважень до Акта не пізніше ніж протягом двох робочих днів після завершення строку, зазначеного в пункті 14 розділу II цього Положення, повертає Акт на доопрацювання Оператору в порядку, визначеному Національним банком.
Оператор зобов’язаний протягом 10 робочих днів урахувати зауваження, забезпечити усунення недоліків та повторно направити Акт на погодження до секторального органу.
16. Секторальний орган має право додатково витребувати від Оператора необхідні документи, а Оператор зобов’язаний надати такі документи для підтвердження, обґрунтування та визначення категорії критичності ОКІ.
17. Один примірник погодженого Акта секторальний орган направляє Оператору. Секторальний орган та Оператор забезпечують збереження Акта протягом усього строку функціонування ОКІ та впродовж одного року після втрати об’єктом статусу ОКІ.
18. Секторальний орган на підставі затвердженого та погодженого Акта забезпечує внесення відомостей про ОКІ Оператора до Секторального переліку.
19. Секторальний орган після внесення відомостей про ОКІ до Секторального переліку подає повідомлення до уповноваженого органу у сфері захисту критичної інфраструктури України про внесення відомостей про ОКІ до Реєстру об’єктів критичної інфраструктури (далі - Реєстр).
20. Секторальний орган надсилає листа до Оператора з повідомленням про внесення відомостей про його ОКІ до Реєстру.
21. Оператор на підставі отриманого повідомлення від секторального (уповноваженого) органу зобов’язаний забезпечити виконання завдань, реалізацію прав та обов’язків Оператора, дотримання вимог, визначених Законом України "Про критичну інфраструктуру" та законодавством у сфері захисту критичної інфраструктури.
22. Оператор зобов’язаний упродовж десяти робочих днів письмово повідомити секторальний орган про зміну:
1) юридичної особи (власника) Оператора та/або ОКІ та/або його цільового призначення;
2) місця розташування ОКІ;
3) умов надання та виконання основної послуги Оператора та/або інших умов функціонування ОКІ, що можуть вплинути на категорію критичності ОКІ.
23. Оператор у разі виникнення умов, передбачених у пункті 22 розділу II цього Положення, зобов’язаний упродовж 10 робочих днів забезпечити повторну ідентифікацію та категоризацію ОКІ.
24. Оператор завчасно, але не менше ніж за 30 календарних днів до дати зміни стану ОКІ або його частини, інформує секторальний орган про наміри змінити цільове призначення, режим функціонування чи намір передати права на ОКІ.
25. Секторальний орган має право ініціювати здійснення Оператором повторної категоризації ОКІ в разі зміни законодавства у сфері захисту критичної інфраструктури та/або за результатами перевірки та/або оцінки стану захищеності ОКІ, та/або виникнення умов, передбачених у пункті 22 розділу II цього Положення.
III. Методика категоризації об’єктів критичної інфраструктури фінансового сектору
26. Установа здійснює ідентифікацію ОКІ в порядку, визначеному в розділі II цього Положення.
27. Категорія критичності ОКІ визначається на підставі аналізу та оцінки рівня негативного впливу внаслідок порушення або припинення функціонування об’єкта інфраструктури за сукупністю критеріїв, що визначають його соціальну, політичну, економічну, екологічну значущість для забезпечення оборони країни, безпеки громадян, суспільства, держави і правопорядку, реалізації життєво важливих функцій та надання життєво важливих послуг, відповідно до:
1) секторальних критеріїв визначення рівня негативного впливу на надання основних послуг у разі знищення, пошкодження або порушення функціонування ОКІ, які наведено в додатку 2 до цього Положення (далі - секторальні критерії);
2) міжсекторальних критеріїв визначення рівня негативного впливу на надання основних послуг у разі знищення, пошкодження або порушення функціонування ОКІ, які наведено в додатку 3 до цього Положення (далі - міжсекторальні критерії).
28. Категорія ОКІ установи визначається за такою процедурою:
1) визначається рівень негативного впливу на надання основних послуг у разі знищення, пошкодження або порушення функціонування ОКІ з використанням секторальних критеріїв, що здійснюється шляхом заповнення форми, наведеної в додатку 2 до цього Положення, та проставленням у графі "Оцінка КСj " відповідного бала;
2) визначається рівень негативного впливу на надання основних послуг у разі знищення, пошкодження або порушення функціонування ОКІ з використанням міжсекторальних критеріїв, що здійснюється шляхом заповнення форми, наведеної в додатку 3 до цього Положення, та проставленням у графі "Оцінка КМi" відповідного бала;
3) здійснюється розрахунок узагальненої нормованої оцінки рівня критичності ОКІ за формулою:
де РКОКІ - узагальнена нормована оцінка рівня критичності ОКІ;
КСmax - максимальний бал з усіх оцінок КСj, які отримав ОКІ за секторальними критеріями стосовно однієї з n послуг, що надається ОКІ (додаток 2), де j є ( 1, n ), які надає ОКІ;
? КМі - сума балів, які отримав ОКІ за всіма міжсекторальними критеріями (додаток 3), де i є ( 1, 16 );
4) віднесення до певної категорії критичності здійснюється шляхом порівняння розрахованої узагальненої нормованої оцінки рівня критичності ОКІ (РКОКІ ) з діапазонами значень оцінки рівня ОКІ, зазначених у колонці 4 таблиці підпункту 4 пункту 28 розділу III цього Положення, та якщо оцінка потрапляє у відповідний діапазон значень, то об’єкту присвоюється відповідна категорія критичності ОКІ:
Таблиця
;
5) результати розрахунків та визначення категорії ОКІ з відповідним обґрунтуванням оформляються Актом, форма та процедура оформлення якого визначені цим Положенням.
В Акті надається опис та обґрунтування рівня негативного впливу на надання основних послуг у разі знищення, пошкодження або порушення функціонування ОКІ за секторальними та міжсекторальними критеріями, що підкріплюється підтвердним документом, який містить відповідні відомості.
IV. Порядок розроблення та погодження паспортів безпеки на об’єкти критичної інфраструктури фінансового сектору
29. Оператор з метою проведення аналізу можливих загроз та мінімізації негативних наслідків для ОКІ, запобігання та попередження виникнення таких загроз розробляє паспорт безпеки на об’єкт критичної інфраструктури за формою, наведеною в додатку 4 до цього Положення (далі - паспорт безпеки ОКІ).
30. Оператор розробляє на кожний ОКІ паспорт безпеки ОКІ протягом трьох місяців з дня отримання від секторального органу повідомлення про внесення відомостей про об’єкт до Реєстру.
31. Відомості, що містяться в паспорті безпеки, є інформацією з обмеженим доступом, вимоги щодо захисту якої встановлені законодавством України.
32. Паспорт безпеки ОКІ повинен містити інформацію щодо:
1) загальної характеристики Оператора;
2) загальної характеристики ОКІ;
3) переліку послуг та їх надавачів (постачальників), які забезпечують функціонування ОКІ;
4) загроз та ризиків ОКІ;
5) заходів щодо забезпечення безпеки та стійкості ОКІ;
6) плану заходів із захисту критичної інфраструктури.
33. Паспорт безпеки ОКІ підписується особою, відповідальною за організацію захисту критичної інфраструктури Оператора, та затверджується керівником Оператора.
Факсимільне відтворення підпису за допомогою засобів механічного або іншого копіювання на паспорті безпеки ОКІ не допускається.
34. Паспорт безпеки ОКІ надсилається у двох примірниках до секторального органу із супровідним листом, підписаним керівником Оператора.
35. Секторальний орган розглядає паспорт безпеки ОКІ протягом 30 робочих днів з дня його отримання від Оператора і, якщо немає зауважень (пропозицій), погоджує паспорт безпеки ОКІ та повертає один примірник Оператору.
36. Секторальний орган у разі наявності зауважень (пропозицій) до паспорта безпеки ОКІ повертає його Оператору з відповідним обґрунтуванням у порядку, визначеному Національним банком.
37. Оператор зобов’язаний протягом 10 робочих днів здійснити доопрацювання паспорта безпеки ОКІ з урахуванням отриманих від секторального органу зауважень та/або пропозицій та за результатами доопрацювання направити на погодження до секторального органу в порядку, визначеному в пункті 34 розділу IV цього Положення.
38. Секторальний орган після погодження паспорта безпеки ОКІ подає уповноваженому органу у сфері захисту критичної інфраструктури повідомлення про його погодження (перегляд).
Паспорт безпеки ОКІ Національного банку затверджується заступником Голови Національного банку, на якого покладено обов’язки з організації роботи з формування та реалізації Національним банком державної політики у сфері захисту критичної інфраструктури.
39. Паспорт безпеки ОКІ переглядається на виконання вимог до захисту ОКІ з дотриманням положень, визначених у пунктах 29-37 розділу IV цього Положення, один раз на рік (до 31 січня року, наступного за звітним) та:
1) у разі перегляду проектних загроз національного, секторального та/або об’єктового (у разі наявності) рівня;
2) у разі зміни вимог до захисту ОКІ;
3) за результатами повторної ідентифікації та категоризації ОКІ.
40. Секторальний орган та Оператор забезпечують збереження паспортів безпеки ОКІ протягом усього строку функціонування ОКІ та впродовж одного року після втрати об’єктом статусу ОКІ.
Додаток 1
до Положення про критичну
інфраструктуру фінансового сектору
(пункт 9 розділу II)
АКТ
категоризації об’єкта критичної інфраструктури фінансового сектору
( Див. текст )
Додаток 2
до Положення про критичну
інфраструктуру фінансового сектору
(пункт 10 розділу II)
Секторальні критерії
визначення рівня негативного впливу на надання основних послуг у разі знищення, пошкодження або порушення функціонування ОКІ
I. Оцінка наслідків негативного впливу на надання основних послуг відповідно до секторальних критеріїв.
Таблиця
II. Пояснення щодо застосування критеріїв
1. Оцінювання здійснюється шляхом вибору варіанта рівня негативного впливу за кожним критерієм та обґрунтування вибору.
2. Належність банку до системно важливих, його категорія визначаються згідно з рішенням Правління Національного банку України, яке приймається відповідно до Положення про порядок визначення системно важливих банків, затвердженого постановою Правління Національного банку України від 25 грудня 2014 року № 863 (у редакції постанови Правління Національного банку України від 19 червня 2019 року № 79) (зі змінами).
3. Належність установи до операторів системно важливої платіжної системи, операторів важливої платіжної системи, важливих технологічних операторів платіжних послуг визначається відповідно до Положення про порядок здійснення оверсайту платіжної інфраструктури в Україні, затвердженого постановою Правління Національного банку України від 24 серпня 2022 року № 187 (із змінами).
Додаток 3
до Положення про критичну
інфраструктуру фінансового сектору
(пункт 10 розділу II)
Міжсекторальні критерії
визначення рівня негативного впливу на надання основних послуг у разі знищення, пошкодження або порушення функціонування ОКІ
I. Оцінка наслідків негативного впливу на надання основних послуг відповідно до міжсекторальних критеріїв.
Таблиця
Додаток 4
до Положення про критичну
інфраструктуру фінансового сектору
(пункт 29 розділу IV)
ПАСПОРТ БЕЗПЕКИ
на об’єкт критичної інфраструктури
( Див. текст )
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
27 червня 2025 року № 69
Зміни до
Положення про організацію кіберзахисту в банківській системі України
( Див. текст )
1. У розділі I:
1) у пункті 1 слова, літери та цифри "Національного стандарту України ДСТУ ISO/IEC 27001:2015 "Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги" (ISO/IEC 27001:2013, Cor 1:2014, IDT), прийнятого наказом Державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 року № 193 (далі - Національний стандарт України ДСТУ ISO/IEC 27001:2015)," виключити;
2) абзац сімнадцятий пункту 2 замінити трьома новими абзацами сімнадцятим - дев’ятнадцятим такого змісту:
"Терміни "об’єкт критичної інфраструктури", "оператор критичної інфраструктури", "реєстр об’єктів критичної інфраструктури" уживаються в значеннях, визначених у Законі України "Про критичну інфраструктуру".
Терміни "об’єкт критичної інформаційної інфраструктури", "критична інформаційна інфраструктура" уживаються в значеннях, визначених у Законі України "Про основні засади забезпечення кібербезпеки України".
Термін "АРМ-НБУ-інформаційний" уживається в значенні, визначеному в Положенні про використання засобів криптографічного захисту інформації Національного банку України, затвердженому постановою Правління Національного банку України від 14 квітня 2023 року № 49.".
У зв’язку з цим абзац вісімнадцятий уважати абзацом двадцятим;
3) у підпункті 3 пункту 3 слово "інформаційної" виключити;
4) абзац другий пункту 6 викласти в такій редакції:
"Вимоги розділу IV цього Положення поширюються лише на банки України, що віднесені до операторів критичної інфраструктури фінансового сектору відповідно до нормативно-правових актів Національного банку з питань захисту критичної інфраструктури (далі - банки - оператори критичної інфраструктури).".
2. У розділі IV:
1) у назві розділу слова та літери "критичної інформаційної інфраструктури банків ОКІ" замінити словами "критичної інфраструктури банків - операторів критичної інфраструктури";
2) пункти 30-33 викласти в такій редакції:
"30. Банк - оператор критичної інфраструктури зобов’язаний віднести до об’єктів критичної інформаційної інфраструктури (далі - ОКІІ) інформаційні системи об’єкта критичної інфраструктури, які відповідають двом критеріям:
1) порушення функціонування інформаційних систем внаслідок кіберінциденту, кібератаки безпосередньо вплине на стале функціонування об’єкта критичної інфраструктури банку - оператора критичної інфраструктури;
2) у банку - оператора критичної інфраструктури немає альтернативних за функціональними можливостями інформаційних систем для забезпечення сталого функціонування об’єкта критичної інфраструктури банку - оператора критичної інфраструктури.
31. Банк - оператор критичної інфраструктури має право віднести до ОКІІ інші інформаційні системи, що безпосередньо забезпечують автоматизацію процесів надання банком - оператором критичної інфраструктури банківських, фінансових послуг та здійснення інших видів його діяльності відповідно до статті 47 Закону України "Про банки і банківську діяльність", надання кваліфікованих електронних довірчих послуг за умови відповідності критеріям, викладеним у підпункті 2 пункту 30 розділу IV цього Положення.
32. Банк - оператор критичної інфраструктури зобов’язаний протягом місяця з дня отримання повідомлення від Національного банку про внесення відомостей про його об’єкти критичної інфраструктури до реєстру об’єктів критичної інфраструктури:
1) сформувати та затвердити перелік інформаційних систем банку - оператора критичної інфраструктури, віднесених до ОКІІ (далі - перелік ОКІІ), відповідно до пунктів 30, 31 розділу IV цього Положення;
2) надати затверджений перелік ОКІІ Національному банку в спосіб, установлений у пункті 41 розділу IV цього Положення.
33. Банк - оператор критичної інфраструктури зобов’язаний підтримувати в актуальному стані перелік ОКІІ та надавати Національному банку в спосіб, установлений у пункті 41 розділу IV цього Положення, оновлений перелік ОКІІ протягом місяця з дня його затвердження.";
3) у пункті 34:
підпункт 1 після слова "щороку" доповнити словами та цифрами "станом на 01 листопада";
у підпункті 2 слова та цифри "до 20 грудня" замінити словами та цифрами "до 01 грудня та надає актуалізований перелік ОКІІ (у разі його оновлення) у спосіб, установлений у пункті 41 розділу IV цього Положення.";
4) у пункті 35:
в абзаці першому слова та літери "власного переліку ОКІІ:" замінити словами та літерами "переліку ОКІІ або його оновлення:";
у підпункті 3 слова "в банківській системі України шляхом завантаження через портал Центру кіберзахисту" замінити словами "в спосіб, установлений у пункті 41 розділу IV цього Положення";
5) у пункті 36:
абзац перший доповнити словами "та надавати Національному банку ці відомості протягом місяця з дня їх актуалізації у спосіб, установлений у пункті 41 розділу IV цього Положення.";
в абзаці третьому слово "термін" замінити словом "строк";
6) у підпункті 1 пункту 37 слова, літери та цифри ", що визначені в додатку А до Національного стандарту України ДСТУ ISO/IEC 27001:2015" виключити;
7) підпункт 4 пункту 38 викласти в такій редакції:
"4) пріоритетної реалізації заходів кіберзахисту критичної інформаційної інфраструктури банку - оператора критичної інфраструктури відповідно до розробленого Плану реагування в разі кібератаки (спроби реалізації кіберзагрози) на об’єкти кіберзахисту банку - оператора критичної інфраструктури;";
8) пункт 41 викласти в такій редакції:
"41. Відомості про ОКІІ є інформацією з обмеженим доступом. Банки - оператори критичної інфраструктури зобов’язані надавати інформацію (інформування про перегляд переліків ОКІІ, переліки ОКІІ, відомості про ОКІІ) у випадках, визначених у пунктах 32-36 розділу IV цього Положення, в електронній формі через АРМ-НБУ-інформаційний.".
3. У розділі V:
1) пункт 42 викласти в такій редакції:
"42. Банк зобов’язаний проводити незалежний аудит інформаційної безпеки (далі - зовнішній аудит).
Банк самостійно встановлює періодичність проведення зовнішнього аудиту. Періодичність проведення зовнішнього аудиту для банку - оператора критичної інфраструктури залежить від категорії критичності ОКІ та становить:
1) не рідше ніж один раз на два роки для об’єктів I та II категорій критичності;
2) не рідше ніж один раз на три роки для об’єктів III категорії критичності.
Зовнішній аудит проводиться згідно з нормами законодавства України, національних стандартів та з урахуванням міжнародних стандартів аудиту. Програма аудиту формується, ураховуючи особливості діяльності банку, характер та обсяг банківських, фінансових послуг та інших видів діяльності.
Допускається проведення зовнішнього аудиту в межах аудиту щорічної перевірки фінансової звітності, консолідованої фінансової звітності та іншої інформації щодо фінансово-господарської діяльності аудиторською фірмою.";
2) підпункт 1 пункту 43 викласти в такій редакції:
"1) аудиторську фірму для проведення зовнішнього аудиту серед юридичних осіб - резидентів України відповідно до законодавства України з урахуванням обмежень щодо заборони залучати до проведення незалежного аудиту:
одну і ту саму аудиторську фірму двічі поспіль;
аудиторську фірму - юридичну особу або фізичну особу-підприємця, що є резидентом держави-агресора чи держави, що здійснює / здійснювала збройну агресію проти України, або має кінцевих бенефіціарних власників, яка є резидентом держави-агресора або держави, що здійснює / здійснювала збройну агресію проти України, або здійснює обробку або зберігання даних за допомогою технології хмарних обчислень та центрів обробки даних, що розміщені на території держави-агресора, держави, що здійснює / здійснювала збройну агресію проти України, тимчасово окупованій території та/або належать суб’єктам, діяльність яких підпадає під дію Закону України "Про санкції" та стосовно яких прийнято рішення про застосування санкцій в Україні;";
3) підпункт 2 пункту 44 викласти в такій редакції:
"2) відповідності впровадження СУІБ банку за стандартом Міжнародної організації зі стандартизації (ISO, англійською мовою International Organization for Standardization) / Міжнародної електротехнічної комісії (IEC, англійською мовою International Electrotechnical Commission) 27001.".
4. У розділі I додатка:
1) пункт 1 викласти в такій редакції:
"1. Повне найменування банку - оператора критичної інфраструктури, адреса його місцезнаходження (індекс, область, місто, вулиця, номер будинку), форма власності, код за ЄДРПОУ.";
2) підпункт 2 пункту 4 викласти в такій редакції:
"2) повна назва об’єкта критичної інфраструктури, до складу якого входить ОКІІ [у разі віднесення об’єкта до критичної інформаційної інфраструктури відповідно до пункту 30 розділу IV Положення про організацію кіберзахисту в банківській системі України (далі - Положення)], призначення ОКІІ, перелік банківських, фінансових та інших видів його діяльності, надання яких він забезпечує (у разі віднесення об’єкта до критичної інформаційної інфраструктури відповідно до пункту 31 розділу IV Положення);".
5. У тексті Положення та додатка до нього слово та літери "банк ОКІ" у всіх відмінках замінити словами "банк - оператор критичної інфраструктури" у відповідних відмінках.
