Суть постанови полягає у вдосконаленні механізмів контролю за кібербезпекою в банківській системі України. Документ вносить зміни до двох положень НБУ щодо контролю за інформаційною безпекою банків та організації кіберзахисту. Ключова новація – запровадження чіткої процедури інформування про кіберінциденти та посилення вимог до банків щодо кібербезпеки.
Структура та основні положення:
1. Зміни до Положення про контроль за дотриманням банками вимог з інформбезпеки:
– Уточнення термінології та процедур контролю
– Нові вимоги щодо звітування банків
– Деталізація процедур перевірок банків
2. Зміни до Положення про організацію кіберзахисту:
– Введення поняття “значний кіберінцидент”
– Встановлення чітких строків звітування про інциденти
– Визначення рівнів критичності кіберінцидентів
– Деталізація процедур інформування НБУ про кіберінциденти
Ключові практичні аспекти:
1. Банки зобов’язані повідомляти НБУ про значні кіберінциденти протягом 24 годин
2. Запроваджується трирівнева система звітування: попереднє повідомлення (24 год), проміжне (72 год) та фінальний звіт (1 місяць)
3. НБУ встановлює таксономію кіберінцидентів та рівні їх критичності
4. Банки повинні інформувати НБУ про істотні зміни в організації кіберзахисту протягом 5 робочих днів
