Ця постанова НБУ № 66 є **** (оскільки стосується регулювання фінансового сектору та кібербезпеки), вона встановлює чіткі правила захисту критичної інформаційної інфраструктури (КІІ) у фінансовому секторі. Документ визначає критерії, за якими банківські та небанківські фінансові установи мають ідентифікувати свої інформаційно-комунікаційні системи як об’єкти КІІ. Також постанова зобов’язує операторів критичної інфраструктури формувати реєстр таких об’єктів та подавати його до Нацбанку. Документ запроваджує посилені заходи кіберзахисту для цих систем та вносить зміни до існуючих положень НБУ щодо кібербезпеки.
### Структура та основні положення
Постанова складається з нормативної частини та трьох додатків:
1. **Положення про КІІ фінансового сектору:** визначає термінологію, критерії віднесення систем до КІІ, порядок ведення реєстру та вимоги до кіберзахисту для різних категорій операторів (банків, платіжних систем, адміністраторів баз даних).
2. **Зміни до Положення № 43:** оновлюють вимоги до захисту інформації на платіжному ринку, зокрема щодо класифікації кіберінцидентів та порядку звітування про них.
3. **Зміни до Положення № 178:** коригують організацію кіберзахисту в банківській системі, зокрема уточнюють склад учасників інформаційного обміну та вимоги до зовнішнього аудиту для банків-операторів КІІ.
Порівняно з попередніми версіями, ці зміни систематизують підхід до кіберзахисту, інтегруючи його з вимогами законів «Про критичну інфраструктуру» та «Про основні засади забезпечення кібербезпеки України».
### Найважливіші положення для застосування
* **Критерії КІІ:** Система стає об’єктом КІІ, якщо її зупинка призведе до кризової ситуації, а альтернативи для її заміни у фінансової установи немає.
* **Заборона використання ПЗ:** Операторам категорично заборонено використовувати програмне забезпечення та обладнання, що включені до переліку заборонених (зокрема, пов’язані з державою-агресором або підсанкційними особами).
* **Звітність:** Оператори зобов’язані протягом двох місяців після набрання чинності постановою визначити свої об’єкти КІІ та надати інформацію про них до НБУ. Надалі перелік має переглядатися щорічно (станом на 1 листопада).
* **Відповідальні особи:** Установи повинні призначити відповідальних за КІІ, які забезпечуватимуть актуалізацію даних та виконання вимог щодо кіберзахисту.
* **Класифікація інцидентів:** Оновлено вимоги до повідомлень про кіберінциденти, включаючи рівні критичності (від жовтого до чорного), що вимагає від учасників ринку швидкої реакції та звітування через Центр кіберзахисту НБУ.
