ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
| 25 серпня 2025 року № 99 |
Про затвердження Положення про порядок застосування технології хмарних обчислень та внесення зміни до Положення про організацію бухгалтерського обліку в банках України
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статті 4 Закону України "Про хмарні послуги", з метою визначення порядку застосування технології хмарних обчислень банками, надавачами фінансових послуг, операторами платіжних систем, учасниками платіжних систем, технологічними операторами платіжних послуг Правління Національного банку України постановляє:
1. Затвердити Положення про порядок застосування технології хмарних обчислень (далі - Положення), що додається.
2. Абзац перший пункту 5 розділу I Положення про організацію бухгалтерського обліку в банках України, затвердженого постановою Правління Національного банку України від 04 липня 2018 року № 75 (зі змінами), викласти в такій редакції:
"5. Банк самостійно розробляє технології здійснення банківських операцій.".
3. Банки, надавачі фінансових послуг, оператори платіжних систем, учасники платіжних систем, технологічні оператори платіжних послуг (далі - установа), що використовують хмарні послуги, зобов’язані протягом шести місяців із дня набрання чинності Положенням надати Національному банку України інформацію щодо діючого договору про використання хмарних послуг, укладеного між установою та надавачем хмарних послуг (далі - інформація щодо договору). Інформація щодо договору надається установою в спосіб, установлений пунктом 33 розділу V Положення. Установа зобов’язана привести у відповідність до вимог Положення діючий договір про використання хмарних послуг протягом шести місяців із дня набрання чинності Положенням.
4. Департаменту безпеки (Олександр Паламарчук) після офіційного опублікування довести до відома установ інформацію про прийняття цієї постанови.
5. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Андрія Пишного.
6. Постанова набирає чинності з 01 листопада 2025 року.
| Голова | Андрій ПИШНИЙ |
Інд. 56
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
25 серпня 2025 року № 99
Положення про порядок застосування технології хмарних обчислень
I. Загальні положення
1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про хмарні послуги" і визначає порядок застосування технології хмарних обчислень банками, надавачами фінансових послуг, операторами платіжних систем, учасниками платіжних систем, технологічними операторами платіжних послуг.
2. Терміни в цьому Положенні вживаються в такому значенні:
1) ланцюгові хмарні послуги - хмарні послуги, під час виконання яких надавач хмарних послуг залучає іншого надавача хмарних послуг (далі - партнер надавача хмарних послуг);
2) основні бізнес-процеси - сукупність взаємопов’язаних або взаємодіючих видів діяльності, спрямованих на створення певного продукту або послуги, дії, операції, завдання, що виконуються установою - користувачем хмарних послуг, інформаційними системами (включаючи функції, передані на аутсорсинг), що мають безпосередній та істотний вплив на досягнення цілей діяльності установи - користувача хмарних послуг, та порушення здійснення контрольних заходів щодо таких дій, операцій, завдань може завдати істотних збитків установі - користувачу хмарних послуг та/або його клієнтам та/або може призвести до порушення вимог законодавства України;
3) установа - користувач хмарних послуг - банк, надавач фінансових послуг, оператор платіжних систем, учасник платіжних систем, технологічний оператор платіжних послуг, який використовує хмарні послуги (послуги з надання хмарних ресурсів за допомогою технології хмарних обчислень) для виконання своїх основних бізнес-процесів.
Інші терміни, що використовуються в цьому Положенні, уживаються в значеннях, визначених у Законі України "Про хмарні послуги" та інших законах України і нормативно-правових актах Національного банку України (далі - Національний банк).
3. Вимоги цього Положення поширюються на установу - користувача хмарних послуг.
4. Установа - користувач хмарних послуг зобов’язана інформувати Національний банк про всі послуги, що надаються йому надавачем хмарних послуг у межах укладеного між ними договору, відповідно до вимог, установлених розділом V цього Положення. Національний банк має право запитувати в установи - користувача хмарних послуг інформацію щодо використання хмарних послуг та перевіряти умови надання хмарних послуг на відповідність вимогам, установленим цим Положенням.
II. Загальні засади застосування технології хмарних обчислень та використання хмарних послуг
5. Установа - користувач хмарних послуг за допомогою технології хмарних обчислень має право використовувати такі хмарні послуги:
1) інфраструктура як послуга (IaaS, англійською мовою Infrastructure as a Service);
2) платформа як послуга (PaaS, англійською мовою Platform as a Service);
3) програмне забезпечення як послуга (SaaS, англійською мовою Software as a Service);
4) безпека як послуга (SECaaS, англійською мовою Security as a Service);
5) інші послуги, що відповідають визначенню хмарних послуг.
6. Установа - користувач хмарних послуг має право самостійно обирати надавача хмарних послуг.
7. Установа - користувач хмарних послуг має право використовувати хмарні послуги в такі способи:
1) приватна хмара;
2) колективна хмара;
3) публічна хмара;
4) гібридна хмара.
8. Використання хмарних послуг здійснюється на підставі договору про хмарні послуги, укладеного між установою - користувачем хмарних послуг та надавачем хмарних послуг (далі - Договір). Договір укладається в одній із таких форм:
1) у формі паперового документа з власноручними підписами сторін;
2) у формі електронного документа із кваліфікованими електронними підписами сторін або удосконаленими електронними підписами сторін з кваліфікованими сертифікатами.
Вимоги до Договору визначені в розділі IV цього Положення.
9. Установа - користувач хмарних послуг зобов’язана використовувати хмарні послуги з дотриманням вимог законодавства України про захист персональних даних, про захист інформації та про кібербезпеку.
10. Установі - користувачу хмарних послуг заборонено залучати надавачів хмарних послуг, які:
1) є резидентами держави-агресора чи держави, що здійснює / здійснювала збройну агресію проти України, або мають кінцевих бенефіціарних власників, які є резидентами держави-агресора або держави, що здійснює / здійснювала збройну агресію проти України, або здійснюють обробку або зберігання даних за допомогою технології хмарних обчислень та центрів обробки даних, що розміщені на території держави-агресора, держави, що здійснює / здійснювала збройну агресію проти України, тимчасово окупованій території та/або належать суб’єктам, діяльність яких підпадає під дію Закону України "Про санкції" та стосовно яких прийнято рішення про застосування санкцій в Україні;
2) під час надання хмарних послуг використовують ланцюгові хмарні послуги із залученням партнерів надавача хмарних послуг, які є резидентами держави-агресора, держави, що здійснює / здійснювала збройну агресію проти України, або мають кінцевих бенефіціарних власників, які є резидентами держави-агресора чи держави, що здійснює / здійснювала збройну агресію проти України, або здійснюють обробку чи зберігання даних за допомогою технології хмарних обчислень та центрів обробки даних, що розміщені на території держави-агресора, держави, що здійснює / здійснювала збройну агресію проти України, тимчасово окупованій території та/або належать суб’єктам, діяльність яких підпадає під дію Закону України "Про санкції" та стосовно яких прийнято рішення про застосування санкцій в Україні.
11. Установа - користувач хмарних послуг у порядку, передбаченому законодавством України, несе відповідальність за неправомірне розкриття третім особам інформації з обмеженим доступом під час використання хмарних послуг.
12. Установа - користувач хмарних послуг зобов’язана здійснювати моніторинг доступу надавача хмарних послуг до інформації з обмеженим доступом, розпорядником / власником якої є установа - користувач хмарних послуг.
13. Установа - користувач хмарних послуг зобов’язана здійснювати моніторинг подій щодо даних, які обробляються в хмарі, включаючи кіберінциденти, інциденти інформаційної безпеки, інциденти порушення безперервності діяльності, що впливають (можуть вплинути) на надання послуг.
14. Установа - користувач хмарних послуг зобов’язана у своєму внутрішньому документі визначити відповідальних осіб за впровадження та використання хмарних послуг.
15. Установа - користувач хмарних послуг має право використовувати ланцюгові хмарні послуги лише в тому випадку, якщо надавач хмарних послуг відповідно до порядку, визначеному в Договорі, підтвердив, що партнер надавача хмарних послуг, у межах функцій, що йому передаються, буде повністю виконувати зобов’язання, що є між установою - користувачем хмарних послуг та надавачем хмарних послуг.
III. Управління ризиками під час використання хмарних послуг
16. Установа - користувач хмарних послуг зобов’язана запровадити процес управління ризиками використання хмарних послуг.
17. Установа - користувач хмарних послуг має право запровадити процес управління ризиками використання хмарних послуг у межах своєї системи управління ризиками.
18. Установа - користувач хмарних послуг має право самостійно визначати підходи (методики) оцінювання та оброблення ризиків використання хмарних послуг.
19. Установа - користувач хмарних послуг зобов’язана розробити внутрішній документ із питань управління ризиками, що пов’язані з використанням хмарних послуг, та здійснювати управління ними згідно з вимогами, установленими в Положенні про організацію системи управління ризиками в банках України та банківських групах, затвердженому постановою Правління Національного банку України від 11 червня 2018 року № 64 (зі змінами) (далі - Положення № 64), Положенні про порядок здійснення оверсайту платіжної інфраструктури в Україні, затвердженому постановою Правління Національного банку України від 24 серпня 2022 року № 187 (зі змінами), Положенні про встановлення критеріїв, за якими визначається профіль ризику надавачів фінансових послуг, їх суспільна важливість, на підставі яких визначаються наглядові дії Національного банку України, затвердженому постановою Правління Національного банку України від 08 листопада 2023 року № 143 (у редакції постанови Правління Національного банку від 29 листопада 2024 року № 141), Положенні про вимоги до системи управління страховика, затвердженому постановою Правління Національного банку України від 27 грудня 2023 року № 194 (зі змінами), Положенні про вимоги до системи управління надавача фінансових платіжних послуг, затвердженому постановою Правління Національного банку України від 10 жовтня 2024 року № 123 (зі змінами). Внутрішній документ щодо використання хмарних послуг може бути складовою політики управління ризиками установи - користувача хмарних послуг або окремим документом, та має переглядатися не рідше одного разу на рік, та/або у разі змін у наданні / користуванні хмарними послугами.
20. Установа - користувач хмарних послуг зобов’язана під час планування використання хмарних послуг та вибору надавача хмарних послуг провести аналіз ризиків та вжити відповідних заходів для їх зменшення. Аналіз ризиків має включати щонайменше оцінку таких ризиків:
1) ризик порушення безперервності діяльності установи - користувача хмарних послуг у результаті збоїв у наданні хмарних послуг;
2) ризик порушення безперервності діяльності установи - користувача хмарних послуг, цілісності та доступності даних під час переходу від одного надавача хмарних послуг до іншого;
3) ризик концентрації хмарних послуг в одного надавача хмарних послуг (зростання впливу можливих збоїв у роботі надавача хмарних послуг у випадку, коли один надавач хмарних послуг надає установі - користувачу хмарних послуг кілька різних хмарних послуг);
4) ризик наявності розбіжностей стосовно порядку оброблення інформації з обмеженим доступом між законодавством України та законодавством країни реєстрації надавача хмарних послуг;
5) операційні ризики (включаючи ризики інформаційної безпеки та кіберризики);
6) ризики, пов’язані з ланцюговими хмарними послугами;
7) комплаєнс-ризики.
21. Установа - користувач хмарних послуг зобов’язана здійснити оцінку впливу надавача хмарних послуг на діяльність установи - користувача хмарних послуг з урахуванням:
1) впливу діяльності надавача хмарних послуг на безперервність роботи, виконання зобов’язань перед клієнтами та пов’язані з цим ризики;
2) впливу діяльності надавача хмарних послуг, що може призвести до порушення конфіденційності, цілісності або доступності даних.
22. Установа - користувач хмарних послуг зобов’язана здійснювати оцінку ризиків, пов’язаних із захистом інформації з обмеженим доступом, вимоги щодо захисту якої встановлені законом.
23. Установа - користувач хмарних послуг приймає рішення щодо використання хмарних послуг за результатами аналізу ризиків та оцінки впливу діяльності надавача хмарних послуг, проведення яких передбачені пунктами 20, 21 розділу III цього Положення.
24. Установа - користувач хмарних послуг під час використання хмарних послуг зобов’язана забезпечувати безперервність своєї діяльності та розробити план забезпечення безперервної діяльності згідно з вимогами, установленими в Положенні № 64, Положенні про порядок здійснення оверсайту платіжної інфраструктури в Україні, затвердженому постановою Правління Національного банку України від 24 серпня 2022 року № 187 (зі змінами), Положенні про порядок підготовки та оновлення плану безперервної діяльності, плану відновлення діяльності та плану фінансування страховика, затвердженому постановою Правління Національного банку України від 21 червня 2024 року № 74, Положенні про вимоги до системи управління кредитною спілкою, затвердженому постановою Правління Національного банку України від 02 лютого 2024 року № 15 (зі змінами), Положенні про організацію забезпечення безперебійного функціонування в умовах особливого періоду банківської системи України, діяльності небанківських фінансових установ та інших осіб, які не є фінансовими установами, але мають право надавати окремі фінансові послуги, регулювання та нагляд за діяльністю яких здійснює Національний банк України, затвердженому постановою Правління Національного банку України від 14 червня 2024 року № 67, Положенні про вимоги до системи управління надавача фінансових платіжних послуг, затвердженому постановою Правління Національного банку України від 10 жовтня 2024 року № 123 (зі змінами).
25. Планом забезпечення безперервної діяльності установи - користувача хмарних послуг під час використання хмарних послуг, який має бути розроблено відповідно до пункту 24 розділу III цього Положення, має бути передбачено:
1) відновлення роботи після зупинки роботи надавача хмарних послуг;
2) відновлення функціонування системи резервування зі сторони установи - користувача хмарних послуг для гарантованого відновлення роботи інформаційних систем установи - користувача хмарних послуг і збереження інформації з обмеженим доступом;
3) порядок дій для забезпечення безперервності в разі припинення використання хмарних послуг;
4) порядок дій для забезпечення безперервності в разі переходу до іншого надавача хмарних послуг.
IV. Вимоги до Договору
26. Договір повинен містити:
1) перелік та опис послуг, що надаються;
2) порядок та умови забезпечення інформаційної безпеки установою - користувачем хмарних послуг та надавачем хмарних послуг;
3) порядок та строки звітування надавача хмарних послуг перед установою - користувачем хмарних послуг із питань дотримання вимог Договору, включаючи питання інформаційної безпеки;
4) умову щодо права установи - користувача хмарних послуг на розірвання Договору в односторонньому порядку, внесення змін до Договору на підставах та в порядку, передбаченому Договором;
5) заходи із забезпечення безперервності надання послуг установі - користувачу хмарних послуг, які має виконувати надавач хмарних послуг;
6) зобов’язання надавача хмарних послуг не розкривати третім особам інформації про дані установи - користувача хмарних послуг, що стала відома надавачу хмарних послуг під час надання послуг, якщо інше не визначене законодавством країни реєстрації надавача хмарних послуг або умовами Договору;
7) зобов’язання надавача хмарних послуг періодично, але не рідше одного разу на рік надавати установі - користувачу хмарних послуг або оприлюднювати (зі зазначенням назви ресурсу) сертифікати відповідності міжнародним стандартам інформаційної безпеки, які включають сертифікацію тих хмарних послуг, що надаються установі - користувачу хмарних послуг;
8) умови надання та скасування доступу установі - користувачу хмарних послуг до хмарних ресурсів надавача хмарних послуг;
9) заборону щодо обробки та зберігання даних установи - користувача хмарних послуг за допомогою технології хмарних обчислень та центрів обробки даних, розміщених на території держави-агресора, держави, що здійснює / здійснювала збройну агресію проти України, тимчасово окупованій території та/або належать суб’єктам, діяльність яких підпадає під дію Закону України "Про санкції" та стосовно яких прийнято рішення про застосування санкцій в Україні;
10) умову про те, що надавач хмарних послуг відповідальний за управління вразливостями та надання спеціалізованої підтримки в разі виникнення інциденту інформаційної безпеки в хмарній інфраструктурі надавача хмарних послуг, з використанням якої забезпечується надання хмарних послуг установі - користувачу хмарних послуг;
11) умови надання, повернення та видалення даних із ресурсів надавача хмарних послуг (під час надання хмарної послуги, після закінчення строку дії Договору або його розірвання), які мають забезпечувати повне та безпечне видалення даних таким чином, щоб запобігти їх подальшому відновленню;
12) відповідальність сторін Договору;
13) умову про те, що надавач хмарних послуг відповідальний за належне виконання умов Договору в разі залучення надавачем хмарних послуг партнерів надавача хмарних послуг;
14) зобов’язання надавача хмарних послуг надавати установі - користувачу хмарних послуг можливість здійснювати моніторинг доступу надавача хмарних послуг до інформації з обмеженим доступом, власником якої є установа - користувач хмарних послуг;
15) зобов’язання надавача хмарних послуг повідомляти установі - користувачу хмарних послуг про будь-які заплановані зміни партнерів надавача хмарних послуг або послуг, що надаються партнерами надавача хмарних послуг, зазначених у Договорі, які можуть вплинути на здатність надавача хмарних послуг виконувати свої обов’язки відповідно до Договору (далі - зміни партнерів / послуг партнерів);
16) період повідомлення про зміни партнерів / послуг партнерів;
17) умову щодо права установи - користувача хмарних послуг розірвати в односторонньому порядку Договір, якщо надавач хмарних послуг планує зміну чи змінив партнерів надавача хмарних послуг або послуги, що надаються партнерами надавача хмарних послуг, які за результатами оцінки установи - користувача хмарних послуг негативно впливають на надання хмарних послуг надавачем хмарних послуг та/або не відповідають вимогам цього Положення, та/або підвищують ризики, пов’язані з отриманням хмарних послуг;
18) визначення права країни, що застосовується до Договору (якщо надавач хмарних послуг є нерезидентом України).
27. Період повідомлення про зміни партнерів / послуг партнерів обирається установою - користувачем хмарних послуг таким чином, щоб мати можливість здійснити оцінку ризику наслідків запропонованих змін до настання фактичної зміни партнерів надавача хмарних послуг чи послуг, що надаються партнерами надавачами хмарних послуг. Надавач хмарних послуг залишається відповідальним за належне виконання умов Договору після здійснення такого повідомлення і не має права переводити свої зобов’язання перед установою - користувачем хмарних послуг на своїх партнерів.
28. Договір має містити розподіл взаємної відповідальності за договірними зобов’язаннями з інформаційної безпеки між надавачем хмарних послуг і установою - користувачем хмарних послуг, який повинен визначати зони відповідальності в межах забезпечення:
1) управління криптографічними ключами: генерація, зберігання, розподіл, використання та знищення криптографічних ключів, які використовуються для забезпечення конфіденційності, цілісності та автентичності даних у хмарі;
2) моніторингу безпеки, управління журналами, виявлення та управління вразливостями;
3) доступності 24/7 сервісів установи - користувача хмарних послуг;
4) підтримки та оновлення сервісів установи - користувача хмарних послуг;
5) конфігурування та управління правами доступу до системи та даних;
6) реагування на кіберінциденти та інциденти інформаційної безпеки;
7) реагування на події, що можуть впливати на безперервність діяльності установи - користувача хмарних послуг;
8) сертифікації та аудитів сервісів установи - користувача хмарних послуг;
9) резервного копіювання та відновлення даних.
29. Установа - користувач хмарних послуг зобов’язана визначити, чи належать дані, що передаються надавачу хмарних послуг (у разі їх передачі), до інформації з обмеженим доступом, та описати в Договорі заходи, які необхідно виконувати надавачу хмарних послуг для забезпечення захисту таких даних. Договір повинен містити умови щодо зобов’язання надавача хмарних послуг зі свого боку забезпечити збереження конфіденційності даних, що передаються установою - користувачем хмарних послуг, принаймні на тому самому рівні захищеності, що був визначений установою - користувачем хмарних послуг. Договір має визначати відповідальність надавача хмарних послуг за порушення збереження конфіденційності даних установи - користувача хмарних послуг, вимоги щодо захисту яких визначені Договором.
30. Договір, який укладається для об’єкта критичної інформаційної інфраструктури, додатково має містити істотні умови, визначені в частині третій статті 10 Закону України "Про хмарні послуги".
31. Установі - користувачу хмарних послуг заборонено укладати Договір із надавачем хмарних послуг, який є нерезидентом України, якщо такий Договір не відповідає вимогам, визначеним у пунктах 26-30 розділу IV цього Положення.
32. Установа - користувач хмарних послуг має право укладати договір приєднання з надавачем хмарних послуг у межах договору, укладеного фінансовою групою, та/або договір із надавачем хмарних послуг, який є членом фінансової групи. Водночас договір приєднання (договір) має містити вимоги, визначені пунктами 26-30 розділу IV цього Положення, якщо їх немає в договорі, укладеному фінансовою групою або членом фінансової групи.
V. Інформування Національного банку про використання хмарних послуг
33. Установа - користувач хмарних послуг зобов’язана протягом одного місяця з дати укладення Договору надати Національному банку інформацію шляхом направлення повідомлення про укладений з надавачем хмарних послуг Договір за формою, наведеною в додатку 1 до цього Положення на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу. Керівник установи - користувача хмарних послуг або інша особа (за наявності), яка може вчиняти дії від імені установи - користувача хмарних послуг, відомості про яких містяться в Єдиному державному реєстрі юридичних осіб, фізичних осіб - підприємців та громадських формувань (далі - Єдиний державний реєстр), підписує це повідомлення кваліфікованим електронним підписом або удосконаленим електронним підписом з кваліфікованим сертифікатом.
34. Установа - користувач хмарних послуг зобов’язана протягом одного місяця з дня внесення змін у Договір або появи нової інформації, зазначеної в додатку 1 до цього Положення, повідомити про це Національний банк, надіславши повідомлення про внесення змін у Договір за формою, наведеною в додатку 2 до цього Положення, на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу. Керівник установи - користувача хмарних послуг або інша особа (за наявності), яка може вчиняти дії від імені установи - користувача хмарних послуг, відомості про яких містяться в Єдиному державному реєстрі, підписує це повідомлення кваліфікованим електронним підписом або удосконаленим електронним підписом із кваліфікованим сертифікатом.
35. Установа - користувач хмарних послуг зобов’язана протягом одного місяця з дня розірвання Договору надіслати Національному банку повідомлення про розірвання Договору за формою, наведеною в додатку 3 до цього Положення, на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу. Керівник установи - користувача хмарних послуг або інша особа (за наявності), яка може вчиняти дії від імені установи - користувача хмарних послуг, відомості про яких містяться в Єдиному державному реєстрі, підписує це повідомлення кваліфікованим електронним підписом або удосконаленим електронним підписом із кваліфікованим сертифікатом.
36. Оброблення інформації з використанням хмарних послуг не може бути підставою для затримки або відмови в наданні цієї інформації установою - користувачем хмарних послуг на запити уповноважених органів, здійснені відповідно до законодавства України.
Додаток 1
до Положення про порядок застосування
технології хмарних обчислень
(пункт 33 розділу V)
Повідомлення
про укладений з надавачем хмарних послуг Договір
( Див. текст )
Додаток 2
до Положення про порядок застосування
технології хмарних обчислень
(пункт 34 розділу V)
Повідомлення
про внесення змін у Договір
( Див. текст )
Додаток 3
До Положення про порядок
застосування технології хмарних
обчислень
(пункт 35 розділу V)
Повідомлення
про розірвання Договору
( Див. текст )
