Законодавство
Критично важливі банківські інформаційні об’єкти внесуть у реєстр
Набрала чинності постанова Правління Національного банку України «Про затвердження Положення про визначення об’єктів критичної інфраструктури в банківській системі України» від 30 листопада 2020 р. № 151.
Затверджене нею Положення встановлює критерії та порядок віднесення банків України до об’єктів критичної інфраструктури в банківській системі України та визначає інформаційні системи банків, віднесених до об’єктів критичної інформаційної інфраструктури.
До об’єктів критичної інфраструктури в банківській системі Україні в частині забезпечення кібербезпеки та стабільності банківської системи належать:
1) Національний банк;
2) банки, які відповідають хоча б одному з таких критеріїв:
– банк, який включено до переліку системно важливих банків;
– банк, який включено до переліку банків України, уповноважених для роботи (здійснення операцій) в особливий період;
– банк, у якому держава прямо чи опосередковано володіє часткою понад 75 % від статутного капіталу банку.
Національний банк формує перелік об’єктів критичної інфраструктури в банківській системі України відповідно до вищезазначених критеріїв, який затверджується відповідним рішенням Правління Національного банку.
НБУ інформує банк про його включення до переліку об’єктів критичної інфраструктури в банківській системі України листом.
До об’єктів критичної інформаційної інфраструктури об’єктів критичної інфраструктури в банківській системі України належать:
1) система автоматизації банку;
2) інформаційна система кваліфікованого надавача електронних довірчих послуг;
3) внутрішньобанківська міжфілійна платіжна система;
4) система дистанційного обслуговування;
5) система депозитарного обліку цінних паперів банку.
Банк зобов’язаний:
– віднести до об’єктів критичної інформаційної інфраструктури також інші інформаційні системи, кіберінцидент або кібератака на які може суттєво вплинути на стале функціонування банку;
– протягом місяця з дня отримання повідомлення про включення до переліку об’єктів критичної інфраструктури в банківський системі України затвердити внутрішнім документом перелік інформаційних систем банку, віднесених до об’єктів критичної інформаційної інфраструктури, та надати цей перелік Національному банку;
– підтримувати в актуальному стані перелік інформаційних систем банку, віднесених до об’єктів критичної інформаційної інфраструктури, та невідкладно надавати оновлену інформацію Національному банку.
Банки щороку переглядають перелік інформаційних систем банку, віднесених до об’єктів критичної інформаційної інфраструктури, та забезпечують його актуальність. Про результати перегляду та внесені зміни банки інформують Національний банк щороку, до 20 грудня.
Банки, віднесені до об’єктів критичної інфраструктури в банківській системі України, зобов’язані надавати протягом місяця після затвердження власного переліку об’єктів критичної інформаційної інфраструктури Національному банку відомості про об’єкти критичної інформаційної інфраструктури для внесення до відповідного реєстру за формою, наведеною в додатку до цього Положення.
