( Пункт 46 розділу III в редакції Постанови Національного банку № 16 від 11.02.2025 )
47. Технологічний оператор зобов’язаний оприлюднювати на власному офіційному вебсайті інформацію щодо:
1) свого повного найменування відповідно до відомостей з Єдиного державного реєстру та комерційного (фірмового) найменування відповідно до установчих документів (за наявності);
2) юридичної адреси та фактичного місцезнаходження;
3) номера контактного телефону, адреси корпоративної електронної поштової скриньки або інший спосіб зв’язку для оперативного звернення;
4) повного найменування юридичних осіб (оператора платіжної системи, учасника платіжної системи, надавача платіжних послуг, емітента електронних грошей), яким він надає послуги як технологічний оператор.
48. Об’єкт оверсайту зобов’язаний оприлюднювати інформацію, передбачену в пунктах 45-47 розділу III цього Положення, у такі строки:
не пізніше 20 робочих днів із дати прийняття Національним банком рішення про включення надавача платіжних послуг та емітента електронних грошей до Реєстру або з дати початку надання платіжних послуг (для надавачів платіжних послуг банків, щодо яких не передбачено внесення Національним банком відомостей до Реєстру);
не пізніше 10 робочих днів із дати прийняття Національним банком рішення про включення платіжної системи, учасника платіжної системи та технологічного оператора до Реєстру.
Об’єкт оверсайту зобов’язаний розміщувати оновлену інформацію, передбачену в пунктах 45-47 розділу III цього Положення, не пізніше п’яти робочих днів із дня настання відповідних обставин або з дня, коли об’єкт оверсайту дізнався, або повинен був дізнатися про настання відповідних обставин.
( Пункт 49 розділу III виключено на підставі Постанови Національного банку № 16 від 11.02.2025 )( Пункт 50 розділу III виключено на підставі Постанови Національного банку № 16 від 11.02.2025 )
51. Учасник платіжної системи, який використовує комерційне найменування/торговельну марку/знак для товарів та послуг, що відрізняється від найменування платіжної системи, послуги якої надаються, зобов’язаний під час надання платіжних послуг з використанням вебсайту/вебсайтів та/або їх рекламування зазначати найменування платіжної системи перед комерційним найменуванням/торговельною маркою/знаком для товарів та послуг. Найменування платіжної системи подається шрифтом та/або розміром не менше половини розміру шрифту та/або розміру, яким подано комерційне найменування/торговельну марку/знак для товарів та послуг.
( Пункт 51 розділу III із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
IV. Забезпечення безперервності діяльності об’єктами оверсайту
52. Оператор платіжної системи зобов’язаний надавати учасникам платіжної системи, розрахунковому банку та технологічному оператору інформацію, потрібну для забезпечення безперервності діяльності платіжної системи та управління операційним ризиком (уключаючи кіберризик) у платіжній системі.
53. Оператор платіжної системи зобов’язаний надавати учаснику платіжної системи, розрахунковому банку платіжної системи, технологічному оператору інформацію про порядок:
1) повідомлення заінтересованих осіб про виникнення надзвичайної події;
2) взаємодії та комунікацій у разі виникнення надзвичайної події між працівниками оператора платіжної системи, а також оператором платіжної системи та заінтересованими особами;
3) дій щодо забезпечення виконання/надання критичних операцій/послуг у разі відмови електронних комунікаційних мереж та/або окремих складових програмно-технічного забезпечення.
( Підпункт 3 пункту 53 розділу IV із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
54. Об’єкт оверсайту для забезпечення безперервності діяльності повинен здійснювати організаційні та технічні заходи, визначені в пунктах 1-6 додатка до цього Положення, та забезпечити належний контроль за їх виконанням.
55. Об’єкт оверсайту зобов’язаний встановити у своїх документах порядок забезпечення безперервності діяльності відповідно до організаційних та технічних заходів, зазначених у пунктах 1-6 додатка до цього Положення.
56. Об’єкт оверсайту після виникнення кожного інциденту порушення безперервності діяльності зобов’язаний документально зафіксувати інформацію про:
1) дату та час виникнення порушення безперервності діяльності;
2) тривалість порушення безперервності діяльності;
3) причини виникнення порушення безперервності діяльності;
4) види послуг, на безперервність яких вплинуло порушення;
5) заходи, ужиті для відновлення діяльності та недопущення надалі порушень безперервності діяльності об’єкта оверсайту.
57. Об’єкт оверсайту (крім Національного банку) у разі проведення регламентних робіт, що призводять до неспроможності своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності об’єкта оверсайту або платіжної системи, оператором якої є об’єкт оверсайту, протягом двох годин або більш тривалого часу, зобов’язаний:
1) документально зафіксувати інформацію про проведення регламентних робіт - дату і їх тривалість у годинах, види послуг, на безперервність надання яких вплине проведення регламентних робіт;
2) повідомити інших об’єктів оверсайту, з якими укладені договори про надання відповідних послуг, суб’єктів платіжної системи (крім користувачів платіжних послуг), на діяльність яких впливають регламентні роботи, зазначені в абзаці першому пункту 57 розділу IV цього Положення, про проведення таких регламентних робіт не пізніше ніж за один робочий день.
( Пункт 57 розділу IV в редакції Постанови Національного банку № 16 від 11.02.2025 )
57-1. Учасник платіжної системи зобов’язаний повідомити користувачів платіжних послуг, яким він надає послуги з виконання платіжних операцій за допомогою цієї системи, про:
1) проведення регламентних робіт в учасника платіжної системи, що призводять до неспроможності своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності, не пізніше ніж за один робочий день до їх проведення;
2) проведення регламентних робіт в інших суб’єктів платіжної системи, у діяльності платіжної системи, що призводять до неспроможності учасника платіжної системи своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності, не пізніше наступного робочого дня після отримання повідомлення від іншого суб’єкта цієї платіжної системи відповідно до підпункту 2 пункту 57 розділу IV цього Положення.
( Розділ IV доповнено новим пунктом 57-1 згідно з Постановою Національного банку № 16 від 11.02.2025 )
57-2. Порядок інформування про регламентні роботи в платіжній системі визначається у внутрішніх документах такої системи.
Об’єкт оверсайту зобов’язаний забезпечити документування інформації та повідомлення про проведення регламентних робіт таким чином, щоб бути здатним оперативно надавати інформацію та документи стосовно повідомлення про проведення регламентних робіт на запит Національного банку.
( Розділ IV доповнено новим пунктом 57-2 згідно з Постановою Національного банку № 16 від 11.02.2025 )( Пункт 58 розділу IV виключено на підставі Постанови Національного банку № 16 від 11.02.2025 )
59. Вимоги розділу IV цього Положення застосовуються до розрахункових банків у частині надання ними послуг у платіжній системі.
V. Визначення важливості об’єктів оверсайту
60. Національний банк за результатами моніторингу платіжної інфраструктури та відповідно до критеріїв важливості, установлених у пунктах 61-66 розділу V цього Положення, визначає важливість платіжних систем, учасників платіжних систем, надавачів платіжних послуг, емітентів електронних грошей та технологічних операторів.
Національний банк визначає важливість об’єктів оверсайту в лютому за підсумками їх діяльності протягом попереднього року.
61. Національний банк визначає платіжну систему системно важливою платіжною системою в разі її відповідності хоча б одному з таких критеріїв важливості:
( Абзац перший пункту 61 розділу V із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
1) платіжна система забезпечує проведення міжбанківських платіжних операцій, частка яких становить більше ніж 10% від загальної кількості та/або суми платіжних операцій, виконаних у країні системами міжбанківських розрахунків та через кореспондентські рахунки банків, відкриті в інших банках України;
( Підпункт 1 пункту 61 розділу V із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
2) платіжна система здійснює платіжні операції за правочинами з державними цінними паперами на відкритому ринку;
3) платіжна система забезпечує врегулювання зобов’язань учасників платіжних систем, які виникають в інших платіжних системах.
62. Національний банк визначає платіжну систему важливою платіжною системою в разі її відповідності хоча б одному з таких критеріїв важливості:
( Абзац перший пункту 62 розділу V із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
1) платіжна система здійснює платіжні операції, частка яких перевищує 10% від загальної кількості та/або суми платіжних операцій, виконаних у межах України, в Україну та за її межі платіжними системами, створеними резидентами та нерезидентами (крім систем міжбанківських розрахунків та платіжних систем, які здійснюють емісію електронних платіжних засобів);
( Підпункт 1 пункту 62 розділу V із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
2) платіжна система здійснює операції з використанням електронних платіжних засобів, емітованих у цій платіжній системі, частка яких перевищує 10% від загальної кількості та/або суми платіжних операцій, виконаних на території України платіжними системами, що здійснюють емісію електронних платіжних засобів.
( Підпункт 2 пункту 62 розділу V із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
Національний банк має право визначати платіжну систему, що є єдиною на ринку за видом послуг, які надаються з її використанням, важливою платіжною системою.
( Абзац четвертий пункту 62 розділу V із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
63. Національний банк визнає учасника значущої платіжної системи важливим, якщо він забезпечує виконання платіжних операцій, частка яких перевищує 25% від загальної суми та/або кількості платіжних операцій, виконаних у межах цієї платіжної системи.
Вимога пункту 63 розділу V цього Положення не поширюється на оператора платіжної системи, який виконує функцію учасника у створеній ним платіжній системі.
64. Національний банк визнає надавача платіжних послуг важливим, якщо він здійснює платіжні операції, частка яких перевищує 10% від загальної суми платіжних операцій, виконаних надавачами платіжних послуг у межах України.
65. Національний банк визнає емітента електронних грошей важливим, якщо частка платіжних операцій із використанням електронних грошей цього емітента перевищує 10% від загальної суми платіжних операцій, виконаних з електронними грошима та електронними платіжними засобами.
66. Національний банк визначає технологічного оператора важливим у разі його відповідності хоча б одному з таких критеріїв важливості:
1) обробляє більше 10% операцій (від загальної кількості та/або суми), оброблених технологічними операторами в платіжних системах;
2) обробляє більше 10% операцій (від загальної кількості та/або суми) системно важливих платіжних систем;
3) обробляє більше 10% операцій (від загальної кількості та/або суми) у важливих платіжних системах.
( Пункт 66 розділу V в редакції Постанови Національного банку № 16 від 11.02.2025 )
67. Рішення про визначення об’єкта оверсайту важливим, платіжної системи важливою платіжною системою або системно важливою платіжною системою приймає Комітет з питань нагляду та регулювання діяльності банків, оверсайта платіжної інфраструктури (далі - Комітет).
Об’єкт оверсайту та/або платіжна система втрачають важливість, визначену в рішенні Комітету, прийнятому в попередньому році, з дня, наступного за днем прийняття Комітетом рішення, зазначеного в абзаці першому пункту 67 розділу V цього Положення, якщо за результатами діяльності в році, у якому було прийнято рішення про визначення об’єктів оверсайту важливими, платіжних систем важливими платіжними системами або системно важливими платіжними системами, у наступному році вони не визначені важливим об’єктом оверсайту, важливою платіжною системою або системно важливою платіжною системою.
( Пункт 67 розділу V в редакції Постанови Національного банку № 16 від 11.02.2025 )
68. Національний банк протягом 15 календарних днів після віднесення об’єкта оверсайту до відповідної категорії важливості або про визнання його таким, що більше не відповідає встановленим критеріям важливості:
1) уносить відповідну інформацію до Реєстру та оприлюднює на сторінках офіційного Інтернет-представництва Національного банку;
2) надсилає оператору платіжної системи (крім платіжної системи, створеної Національним банком) або її представництву в Україні письмове повідомлення про відповідність платіжної системи критеріям важливості або про визнання платіжної системи такою, що більше не відповідає встановленим критеріям важливості.
У повідомленні про відповідність зазначається:
дата визнання платіжної системи системно важливою або важливою платіжною системою;
категорія важливості платіжної системи;
потреба виконання вимог цього Положення;
3) надсилає учаснику платіжної системи, надавачу платіжних послуг, емітенту електронних грошей, технологічному оператору письмове повідомлення про відповідність їх діяльності критеріям важливості або про визнання їх такими, що більше не відповідають установленим критеріям важливості.
У повідомленні про відповідність зазначається:
дата визнання об’єкта оверсайту важливим;
інформація про відповідність установленим критеріям важливості;
потреба виконання вимог цього Положення.
69. Національний банк має право після віднесення платіжної системи, створеної нерезидентом, до категорії важливості надіслати центральному банку країни, резидентом якої є оператор цієї платіжної системи, письмовий запит для отримання інформації про оцінювання платіжної системи на відповідність міжнародним стандартам оверсайту.
70. Оператор системно важливої/важливої платіжної системи зобов’язаний привести діяльність цієї платіжної системи у відповідність до вимог, зазначених у розділах VI-XIII цього Положення, протягом 180 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність платіжної системи критеріям важливості.
( Пункт 70 розділу V із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
71. Важливий об’єкт оверсайту зобов’язаний виконати вимоги, зазначені в розділі XIV цього Положення, протягом 180 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність об’єкта оверсайту критеріям важливості.
Важливий об’єкт оверсайту (надавач платіжних послуг та емітент електронних грошей) як оператор платіжної схеми зобов’язаний виконати вимоги, зазначені в розділі XV цього Положення, протягом 180 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність об’єкта оверсайту критеріям важливості.
72. Національний банк має право на підставі обґрунтованого клопотання об’єкта оверсайту прийняти рішення про продовження строку виконання вимог цього Положення, зазначеного в пункті 71 розділу V цього Положення, на строк, що не може перевищувати 90 календарних днів.
( Пункт 72 розділу V із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
VI. Вимоги до документів системно важливої платіжної системи, важливої платіжної системи
( Заголовок розділу VI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
73. Оператор системно важливої/важливої платіжної системи зобов’язаний визначити в документах платіжної системи:
( Абзац перший пункту 73 розділу VI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
1) цілі та завдання діяльності платіжної системи, уключаючи:
забезпечення безперервності діяльності та кіберстійкості платіжної системи;
планові показники операційної діяльності платіжної системи (кількість та сума операцій у платіжній системі: за певний період - за годину, добу, місяць, квартал, рік; середнє та максимальне навантаження за платіжними операціями), час відновлення діяльності в разі виникнення надзвичайної події, рівень операційної доступності (операційні цілі).
( Абзац третій підпункту 1 пункту 73 розділу VI в редакції Постанови Національного банку № 16 від 11.02.2025 )
Цілі та завдання системно важливої платіжної системи повинні бути орієнтовані на підтримку фінансової стабільності, забезпечення безпеки та ефективності платіжної системи та інших аспектів, що становлять суспільний інтерес;
( Підпункт 1 пункту 73 розділу VI доповнено новим абзацом згідно з Постановою Національного банку № 16 від 11.02.2025 )
2) порядок та механізми контролю за відповідністю досягнутих результатів діяльності платіжної системи поставленим цілям та завданням, забезпечити його здійснення не менше одного разу на рік;
3) склад, обов’язки, повноваження, порядок діяльності керівних органів оператора платіжної системи, відповідальність керівних органів та їх членів;
4) обов’язки, повноваження, відповідальність, порядок звітування керівним органам особи та/або підрозділу, відповідальної/відповідального за функції, визначені в пункті 79 розділу VII цього Положення, та їх розподіл;
5) порядок організації та здійснення внутрішнього контролю в системно важливій платіжній системі, у важливій платіжній системі. Оператор системно важливої/важливої платіжної системи (крім платіжної системи, створеної Національним банком) визначає процедури та види контролю, включаючи заходи контролю за інформаційною інфраструктурою (контроль за належним функціонуванням інформаційної інфраструктури, контроль за управлінням доступами, контроль за інформаційною інфраструктурою під час придбання, розроблення та/або супроводження), а також контроль за дотриманням суб’єктами такої платіжної системи правил та/або процедур діяльності платіжної системи та інших вимог, встановлених до них оператором системно важливої/важливої платіжної системи відповідно до цього Положення;
( Підпункт 5 пункту 73 розділу VI в редакції Постанови Національного банку № 16 від 11.02.2025 )
6) порядок звітування особою та/або підрозділом, відповідальною/відповідальним за функції, визначені в пункті 79 розділу VII цього Положення, перед керівними органами оператора системно важливої/важливої платіжної системи;
7) порядок вирішення конфліктів інтересів між заінтересованими особами та оператором платіжної системи під час прийняття ним рішень;
8) порядок та механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу ризиків, на які наражається у своїй діяльності, та/або спричиняє платіжна система:
( Абзац перший підпункту 8 пункту 73 розділу VI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
правового ризику (уключаючи правила та порядок зменшення правового ризику, що виникає, якщо платіжна система або її учасники є суб’єктом права різних юрисдикцій);
кредитного ризику, ризику ліквідності, загального комерційного ризику, депозитарного ризику, інвестиційного ризику (далі - фінансові ризики);
розрахункового ризику;
операційного ризику, уключаючи кіберризик;
системного ризику;
інших ризиків, які оператор системно важливої/важливої платіжної системи має право визначати як такі, що притаманні діяльності платіжної системи;
( Абзац сьомий підпункту 8 пункту 73 розділу VI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
9) вимоги до розрахункового банку платіжної системи (крім Національного банку);
10) відповідальність сторін та порядок дій, уключаючи здійснення розрахунків, використання ресурсів та покриття втрат, у разі невиконання зобов’язання учасником платіжної системи;
11) порядок відновлення ліквідності;
12) порядок забезпечення безперервності діяльності платіжної системи відповідно до організаційних та технічних заходів, зазначених у додатку до цього Положення;
13) заходи, спрямовані на реалізацію вимог щодо досягнення кіберстійкості платіжної системи, зазначених у пункті 95 розділу XI цього Положення, і забезпечити їх перегляд не менше одного разу на рік;
14) вимоги до забезпечення, що приймається від учасників платіжної системи, для управління кредитним ризиком (у разі прийняття такого забезпечення).
74. Оператор системно важливої/важливої платіжної системи, у якій передбачена багаторівнева структура участі, зобов’язаний установити в документах платіжної системи вимогу до прямих учасників платіжної системи щодо надання оператору платіжної системи не менше двох разів на рік інформації про:
1) непрямих учасників платіжної системи та/або прямих учасників, яким оператором платіжної системи надано право проводити розрахунки за операціями інших учасників у цій платіжній системі, обсяги платіжних операцій яких протягом 180 календарних днів більші, ніж обсяги платіжних операцій, здійснених за аналогічний період прямими учасниками платіжної системи, через яких здійснюються розрахунки в платіжній системі;
2) відповідальність прямого та непрямого учасника платіжної системи за остаточність розрахунків, що здійснюються прямим учасником платіжної системи за дорученням непрямого учасника платіжної системи, та порядок здійснення розрахунків у разі невиконання зобов’язань прямим та/або непрямим учасником платіжної системи.
75. Оператор системно важливої/важливої платіжної системи зобов’язаний розробити план заходів із забезпечення безперервності діяльності цієї платіжної системи (далі - План заходів) та проводити його перегляд і тестування не менше одного разу на рік.
( Абзац перший пункту 75 розділу VI в редакції Постанови Національного банку № 16 від 11.02.2025 )
План заходів повинен передбачати:
1) порядок відновлення безперервності діяльності платіжної системи в разі виникнення надзвичайної події;
( Підпункт 1 пункту 75 розділу VI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
2) технологію виконання операцій (опис послідовних дій щодо ініціювання, виконання та завершення операцій, а також процедур оброблення інформації про операції, її фіксації та зберігання) у разі виникнення надзвичайної події;
( Підпункт 2 пункту 75 розділу VI в редакції Постанови Національного банку № 16 від 11.02.2025 )
3) строк відновлення безперервності діяльності платіжної системи та момент її відновлення;
4) порядок повідомлення заінтересованих осіб про виникнення надзвичайної події;
5) порядок взаємодії та комунікацій в разі виникнення надзвичайної події між працівниками оператора платіжної системи, а також між оператором платіжної системи та заінтересованими особами;
6) порядок забезпечення безперервного виконання/надання критичних операцій/послуг, включно з порядком дій у разі відмови електронних комунікаційних мереж та/або окремих складових програмно-технічного забезпечення;
( Підпункт 6 пункту 75 розділу VI в редакції Постанови Національного банку № 16 від 11.02.2025 )
7) функції та відповідальність працівників, які забезпечують виконання/надання критичних операцій/послуг, у разі виникнення надзвичайної події;
8) порядок формування, склад, завдання та функції тимчасової структурної одиниці оператора платіжної системи, яка формується на час надзвичайної події та ліквідації її наслідків і відповідає за реалізацію Плану заходів, проведення консультацій із заінтересованими особами та повідомлення про виникнення надзвичайної події;
9) потенційні внутрішні та зовнішні загрози для діяльності платіжної системи та можливий їх вплив;
10) критерії класифікації операцій/послуг, що виконуються/надаються платіжною системою за ступенем їх критичності;
11) критерії віднесення прямих, непрямих учасників платіжної системи та технологічних операторів (за їх наявності) до тих, від яких оператор платіжної системи критично залежить;
12) перелік критичних залежностей і критичних операцій/послуг платіжної системи, уключаючи ті, що передано технологічному оператору, механізми управління та мінімізації впливу критичних залежностей;
( Підпункт 12 пункту 75 розділу VI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
13) порядок реєстрації та аналізу операційних проблем та фактів порушення безперервності діяльності платіжної системи;
14) порядок дій щодо блокування/знищення критичних засобів захисту інформації в надзвичайній події та розгортання системи захисту інформації платіжної системи в резервній робочій зоні;
15) порядок використання резервної робочої зони.
( Пункт 75 розділу VI доповнено новим підпунктом згідно з Постановою Національного банку № 16 від 11.02.2025 )
76. Оператор системно важливої платіжної системи зобов’язаний додатково передбачити в Плані заходів порядок відновлення безперервності діяльності платіжної системи та роботи інформаційної структури в разі настання надзвичайної події з урахуванням вимоги, зазначеної в пункті 101 розділу XI цього Положення.
( Пункт 76 розділу VI в редакції Постанови Національного банку № 16 від 11.02.2025 )
VII. Управління та організація діяльності системно важливої платіжної системи, важливої платіжної системи
( Заголовок розділу VII із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
77. До складу керівних органів оператора системно важливої/важливої платіжної системи повинні входити фізичні особи, які мають досвід, потрібний для виконання своїх обов’язків щодо забезпечення функціонування платіжної системи та управління ризиками, не менше одного року.
( Пункт 77 розділу VII в редакції Постанови Національного банку № 16 від 11.02.2025 )
78. Керівні органи оператора системно важливої/важливої платіжної системи зобов’язані забезпечити:
( Абзац перший пункту 78 розділу VII із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
1) відповідність діяльності платіжної системи встановленим цілям та завданням;
2) ефективне управління ризиками в платіжній системі та потрібні для цього ресурси;
3) повноту, достовірність та своєчасність надання інформації Національному банку, органам державної влади, власникам оператора платіжної системи, учасникам платіжної системи та іншим заінтересованим особам;
4) внутрішній контроль за діяльністю системно важливої платіжної системи, важливої платіжної системи та за управлінням ризиками;
( Підпункт 4 пункту 78 розділу VII із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
5) захист від зловживань інформацією з обмеженим доступом;
6) оцінку ефективності процесів управління;
7) відповідність системи захисту інформації платіжної системи законодавству України;
8) чіткий розподіл між виконанням операційної функції, функцій, пов’язаних із внутрішнім контролем, управлінням ризиками та внутрішнім аудитом у системно важливій платіжній системі, важливій платіжній системі.
( Підпункт 8 пункту 78 розділу VII в редакції Постанови Національного банку № 16 від 11.02.2025 )
Особа та/або підрозділ, відповідальна/відповідальний за внутрішній контроль, управління ризиками, не може/не можуть виконувати функції, пов’язані з внутрішнім аудитом та виконанням операційної функції у системно важливій платіжній системі, важливій платіжній системі.
( Абзац десятий пункту 78 розділу VII в редакції Постанови Національного банку № 16 від 11.02.2025 )
79. Керівні органи оператора системно важливої/важливої платіжної системи зобов’язані призначити особу та/або підрозділ, відповідальну/відповідальний за:
( Абзац перший пункту 79 розділу VII із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
1) управління ризиками в платіжній системі;
( Підпункт 1 пункту 79 розділу VII із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
2) забезпечення безперервності діяльності, включаючи розроблення, перегляд, оновлення та тестування Плану заходів, звітування про інциденти порушення безперервності діяльності згідно з вимогами, зазначеними в пунктах 98-1, 98-3 розділу XI цього Положення;
( Підпункт 2 пункту 79 розділу VII в редакції Постанови Національного банку № 16 від 11.02.2025 )
3) систему внутрішнього контролю у системно важливій платіжній системі, важливій платіжній системі.
( Пункт 79 розділу VII доповнено новим підпунктом згідно з Постановою Національного банку № 16 від 11.02.2025 )
80. Керівні органи оператора системно важливої/важливої платіжної системи зобов’язані в разі виникнення надзвичайної події забезпечити створення та/або функціонування тимчасової структурної одиниці, що формується на час надзвичайної події та ліквідації її наслідків і відповідає за реалізацію Плану заходів, проведення консультацій із заінтересованими особами та направлення їм повідомлення про виникнення надзвичайної події.
( Пункт 80 розділу VII в редакції Постанови Національного банку № 16 від 11.02.2025 )
81. Оператор системно важливої/важливої платіжної системи з метою ефективного управління ризиками зобов’язаний забезпечити взаємодію особи/підрозділу, відповідальної/відповідального за управління ризиками та систему внутрішнього контролю в цій платіжній системі, з керівними органами оператора системно важливої/важливої платіжної системи та її/його незалежність.
( Пункт 81 розділу VII в редакції Постанови Національного банку № 16 від 11.02.2025 )
82. Оператор системно важливої/важливої платіжної системи зобов’язаний інформувати заінтересованих осіб та за потреби громадськість про основні рішення керівних органів оператора платіжної системи.
VIII. Система управління ризиками та внутрішнього контролю у системно важливій платіжній системі, важливій платіжній системі
( Заголовок розділу VIII в редакції Постанови Національного банку № 16 від 11.02.2025 )
83. Оператор системно важливої/важливої платіжної системи зобов’язаний:
1) не менше одного разу на рік аналізувати ризики, що виникають у діяльності системно важливої платіжної системи, важливої платіжної системи та можуть призвести до виникнення ризиків у діяльності осіб, з якими взаємодіє оператор цієї платіжної системи, та встановлювати допустимі межі ризиків;
2) не менше одного разу на рік аналізувати внутрішні та зовнішні загрози, що можуть спричинити виникнення ризиків у системно важливій платіжній системі, важливій платіжній системі, та їх джерела;
3) забезпечувати щоквартальне звітування особи та/або підрозділу, відповідальної/відповідального за управління ризиками, за систему внутрішнього контролю, за забезпечення безперервності діяльності, про виконання покладених на них функцій відповідно до вимог цього Положення та результати аналізу дотримання вимог щодо забезпечення безперервності діяльності перед керівними органами оператора системно важливої/важливої платіжної системи.
( Пункт 83 розділу VIII в редакції Постанови Національного банку № 16 від 11.02.2025 )
84. Оператор системно важливої/важливої платіжної системи зобов’язаний уживати заходів щодо мінімізації та усунення наслідків впливу ризиків, що виникають у системно важливій платіжній системі, важливій платіжній системі.
( Пункт 84 розділу VIII в редакції Постанови Національного банку № 16 від 11.02.2025 )
85. Оператор системно важливої/важливої платіжної системи зобов’язаний:
1) здійснювати кількісну оцінку, моніторинг, управління та контроль за фінансовими ризиками;
2) підтримувати на достатньому рівні ліквідні ресурси у валюті здійснення розрахунків у платіжній системі;
3) диверсифікувати ліквідні активи за джерелами їх надходження та регулярно перевіряти доступність ліквідних активів;
4) контролювати грошові потоки та операційні витрати платіжної системи;
5) аналізувати не менше одного разу на рік потенційні зміни доходів та операційних витрат, а також можливість виникнення значних разових збитків за умови підвищення загального комерційного ризику;
6) контролювати концентрацію поточного та потенційного майбутнього кредитних ризиків та ризику ліквідності, на які він наражається в результаті взаємодії з розрахунковим банком.
86. Оператор системно важливої/важливої платіжної системи, у якій здійснюються відкладені нетто-розрахунки без забезпечення та учасники якої наражаються на кредитний ризик, зобов’язаний у разі виникнення надзвичайної події забезпечити покриття найбільшого сукупного кредитного ризику двох прямих учасників платіжної системи з урахуванням кредитного ризику непрямих учасників платіжної системи, за дорученням яких діють зазначені прямі учасники платіжної системи.
87. Оператор системно важливої/важливої платіжної системи, що залучає для здійснення розрахунків у цій платіжній системі розрахунковий банк, зобов’язаний вимагати від нього виконання вимог пункту 86 розділу VIII цього Положення.
( Пункт 87 розділу VIII із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
88. Оператор системно важливої/важливої платіжної системи, у якій передбачено розподіл непокритого дефіциту ліквідності між учасниками платіжної системи, зобов’язаний узгодити з учасниками платіжної системи порядок розподілу непокритого дефіциту ліквідності між учасниками платіжної системи та довести його до відома учасників платіжної системи.
IX. Забезпечення в системно важливій платіжній системі, важливій платіжній системі
( Заголовок розділу IX в редакції Постанови Національного банку № 16 від 11.02.2025 )
89. Оператор системно важливої/важливої платіжної системи, документами якої передбачено прийняття забезпечення для управління кредитним ризиком, зобов’язаний:
1) приймати в забезпечення тільки активи з низьким рівнем кредитного ризику, ризику ліквідності та ринкового ризику;
2) здійснювати аналіз потенційних змін вартості забезпечення та ринкової ситуації;
3) диверсифікувати активи, які він приймає як забезпечення;
4) мінімізувати ризики, пов’язані з використанням активів, прийнятих у забезпечення, що виражені в іноземній валюті та/або розміщені за межами України, та/або емітовані нерезидентом України.
90. Оператор системно важливої/важливої платіжної системи не має права:
1) укладати активи учасників платіжної системи в цінні папери учасників платіжної системи як прямих, так і непрямих та цінні папери їх афілійованих осіб;
2) використовувати активи учасників платіжної системи для власної комерційної діяльності, уключаючи надання кредитів.
X. Організація грошових розрахунків та остаточність розрахунків у системно важливій платіжній системі, важливій платіжній системі
( Заголовок розділу X в редакції Постанови Національного банку № 16 від 11.02.2025 )
91. Оператор системно важливої/важливої платіжної системи зобов’язаний:
1) використовувати для розрахунків активи з мінімальним або нульовим кредитним ризиком та ризиком ліквідності;
2) узгодити строк здійснення остаточного розрахунку з розрахунковим банком.
92. Оператор системно важливої/важливої платіжної системи зобов’язаний забезпечувати своєчасний остаточний розрахунок.
93. Оператор системно важливої/важливої платіжної системи, що здійснює розрахунки за двома взаємозалежними зобов’язаннями, повинен мінімізувати ризик втрати основної суми операції шляхом забезпечення здійснення остаточного розрахунку за одним із зобов’язань тільки після остаточного розрахунку за іншим незалежно від того, який режим розрахунків застосовується в платіжній системі.
94. Оператор системно важливої платіжної системи зобов’язаний:
1) мати ефективні операційні та аналітичні інструменти для постійного та своєчасного виявлення, вимірювання та відстеження грошових потоків, пов’язаних із розрахунками та фінансуванням, уключаючи використання ліквідності в межах дня;
2) підтримувати ліквідні ресурси в усіх валютах, у яких у платіжній системі здійснюються розрахунки, достатні для забезпечення завершення розрахунків упродовж операційного дня, та в разі різних потенційних стрес-сценаріїв;
3) розробити різні стрес-сценарії, що можуть унеможливити виконання/надання критичних операцій/послуг, з урахуванням різних ризиків (дефіцит ліквідності, спричинений дефолтом учасника, загальні збитки, відмова розрахункового банку, технологічного оператора від виконання покладених на них обов’язків, значний вплив на капітал та ліквідність, серйозні втрати через зловмисників, значні зміни курсів валют, шахрайство, репутаційні кризи);
4) здійснювати розрахунки в режимі реального часу або забезпечувати завершення розрахунків упродовж операційного дня та в разі виникнення надзвичайної події.
XI. Управління операційним ризиком та забезпечення безперервності діяльності системно важливої платіжної системи, важливої платіжної системи
( Заголовок розділу XI в редакції Постанови Національного банку № 16 від 11.02.2025 )
95. Оператор системно важливої/важливої платіжної системи для забезпечення кіберстійкості платіжної системи зобов’язаний:
1) установити чіткий розподіл функцій, обов’язків, повноважень і відповідальності за забезпечення кіберстійкості платіжної системи та забезпечити належний рівень управління цим процесом;
2) аналізувати специфіку діяльності платіжної системи (операції/послуги, процеси, інформацію, персонал) і зовнішні взаємозв’язки та залежності, що можуть становити загрозу для кіберстійкості платіжної системи, за ступенем їх критичності для діяльності платіжної системи в разі кіберінциденту та/або кібератаки на неї;
3) уживати заходів для забезпечення захисту, виявлення, реагування на кіберзагрози, кібератаки та кіберінциденти, що можуть мати вплив на здійснення/надання критичних операцій/послуг платіжної системи, та оперативного відновлення після них;
4) уживати заходів для підвищення рівня обізнаності працівників, які забезпечують діяльність платіжної системи, щодо наявних та потенційних кіберзагроз, що можуть мати вплив на безперервність діяльності платіжної системи, процедур повідомлення про виникнення кіберінцидентів і кібератак та реагування на них;
5) забезпечувати навчання та підвищення кваліфікації працівників, на яких покладено обов’язки, пов’язані з управлінням операційним ризиком та забезпеченням кіберстійкості платіжної системи;
6) здійснювати тестування ефективності заходів для забезпечення кіберстійкості платіжної системи не менше одного разу на рік.
96. Оператор системно важливої/важливої платіжної системи має право визнати учасника платіжної системи та/або технологічного оператора таким, від якого він критично залежить, та встановити до такого учасника платіжної системи/технологічного оператора у внутрішніх документах платіжної системи або у відповідних договорах додаткові вимоги щодо управління ризиками та безперервності діяльності в платіжній системі, про що повідомляє цього учасника/технологічного оператора протягом п’яти робочих днів із дня такого визнання.
Оператор системно важливої/важливої платіжної системи має право встановити до розрахункового банку, що бере участь у проведенні розрахунків у цій платіжній системі (крім випадків, коли оператор системно важливої/важливої платіжної системи виконує функції розрахункового банку відповідно до вимог законодавства України), у внутрішніх документах платіжної системи або у відповідних договорах додаткові вимоги щодо безперервності діяльності в платіжній системі, про що повідомляє цей розрахунковий банк протягом п’яти робочих днів із дня прийняття рішення про встановлення таких вимог.
( Пункт 96 розділу XI в редакції Постанови Національного банку № 16 від 11.02.2025 )
97. Оператор системно важливої/важливої платіжної системи зобов’язаний забезпечувати наявність зв’язку для взаємодії між працівниками оператора платіжної системи, а також між оператором платіжної системи та заінтересованими особами під час виникнення надзвичайної події.
98. Оператор системно важливої/важливої платіжної системи зобов’язаний вести, постійно оновлювати та мати в наявності контактну інформацію про працівників, які забезпечують виконання/надання критичних операцій/послуг платіжної системи, а також контактних осіб заінтересованих осіб та їх резервних робочих зон.
( Пункт 98 розділу XI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
98-1. Оператор системно важливої/важливої платіжної системи-резидент зобов’язаний не пізніше ніж через 36 годин після виникнення істотного інциденту порушення безперервності діяльності надавати Національному банку інформацію, зазначену в пункті 56 розділу IV цього Положення.
( Розділ XI доповнено новим пунктом 98-1 згідно з Постановою Національного банку № 16 від 11.02.2025 )
98-2. Оператор системно важливої/важливої платіжної системи-нерезидент зобов’язаний:
1) у разі виникнення кожного інциденту порушення безперервності діяльності - документально зафіксувати інформацію про дату і час виникнення порушення безперервності діяльності, тривалість порушення безперервності діяльності, причини виникнення порушення безперервності діяльності, види послуг, на безперервність яких вплинуло порушення, заходи, ужиті для відновлення діяльності та недопущення надалі порушень безперервності діяльності оператора системно важливої/важливої платіжної системи та/або системно важливої платіжної системи, важливої платіжної системи;
2) надавати Національному банку інформацію, зазначену в підпункті 1 пункту 98-2 розділу XI цього Положення, не пізніше ніж через 36 годин після виникнення істотного інциденту порушення безперервності.
( Розділ XI доповнено новим пунктом 98-2 згідно з Постановою Національного банку № 16 від 11.02.2025 )
98-3. Інформація про виникнення істотного інциденту порушення безперервності діяльності системно важливої платіжної системи, важливої платіжної системи та/або оператора такої платіжної системи, зазначена в пунктах 98-1 та 98-2 розділу XI цього Положення, надсилається оператором системно важливої/важливої платіжної системи Національному банку:
1) засобами системи електронної пошти Національного банку (у разі підключення);
2) на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua;
3) іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу;
4) засобами поштового зв’язку в паперовій формі (у разі неможливості внаслідок порушення безперервності діяльності надсилання повідомлення засобами системи електронної пошти або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу).
Національний банк визначає порядок надсилання повідомлення щодо виникнення істотного інциденту порушення безперервності діяльності створених ним системно важливих платіжних систем, важливих платіжних систем для цілей оверсайту в документах цих платіжних систем.
( Розділ XI доповнено новим пунктом 98-3 згідно з Постановою Національного банку № 16 від 11.02.2025 )
99. Оператор системно важливої/важливої платіжної системи зобов’язаний у разі виникнення надзвичайної події:
( Абзац перший пункту 99 розділу XI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
1) передбачити можливість передавання інформації через альтернативні та/або резервні канали зв’язку в разі неможливості передавання інформації фіксованим і мобільним зв’язком;
( Підпункт 1 пункту 99 розділу XI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
2) забезпечувати надання послуг у системно важливій платіжній системі, важливій платіжній системі на рівні, не нижчому, ніж планові показники операційної діяльності, визначені в документах платіжної системи.
( Підпункт 2 пункту 99 розділу XI в редакції Постанови Національного банку № 16 від 11.02.2025 )
100. Оператор системно важливої/важливої платіжної системи зобов’язаний для забезпечення безперервності діяльності:
1) здійснювати організаційні та технічні заходи, зазначені в додатку до цього Положення, та належний контроль за їх виконанням.
Оператор системно важливої/важливої платіжної системи-нерезидент здійснює організаційні та технічні заходи, зазначені в додатку до цього Положення, та контроль за їх виконанням у разі використання інформаційної інфраструктури, включаючи комплекс програмно-апаратних засобів, яка розміщена в межах території України;
2) забезпечити підключення суб’єктів системно важливої платіжної системи, важливої платіжної системи каналами зв’язку, які відокремлені один від одного та мають різні маршрути, до основного центру обробки даних платіжної системи мінімум через двох постачальників електронних комунікаційних послуг та до резервного центру обробки даних платіжної системи мінімум через одного постачальника електронних комунікаційних послуг;
3) забезпечити роботу оператора системно важливої/важливої платіжної системи та надати можливість використання суб’єктами системно важливої платіжної системи, важливої платіжної системи резервних каналів зв’язку.
Оператор системно важливої/важливої платіжної системи зобов’язаний для забезпечення резервними каналами зв’язку визначити за першочерговий пріоритет упровадження та застосування технологій супутникового зв’язку та/або інших каналів зв’язку, що є незалежними від централізованого електропостачання;
4) забезпечити можливість тестування всіх наявних каналів зв’язку з центрами обробки даних системно важливої платіжної системи, важливої платіжної системи та підтримувати їх у щоденному "гарячому" резерві з можливістю переключення між ними;
5) забезпечити безпеку діяльності системно важливої платіжної системи, важливої платіжної системи, оператора системно важливої/важливої платіжної системи та здійснення операцій у пунктах надання фінансових послуг шляхом:
налагодження постійного своєчасного обміну інформацією про протиправні посягання на оператора системно важливої/важливої платіжної системи та/або його пункти надання фінансових послуг;
надання пріоритету роботі платіжних пристроїв, що розміщені у приміщеннях, забезпечених додатковими джерелами енергоживлення та охороною або дротовими енергонезалежними засобами сигналізації;
6) забезпечити наявність резервної робочої зони та виконання заходів для оперативного використання резервної робочої зони в разі виникнення надзвичайної події: