Надавачі фінансових послуг, до яких відносяться страховики, кредитні спілки, фінансові компанії та ломбарди, мають привести свою діяльність у відповідність до нових вимог протягом 12 місяців з дня набрання чинності цією постановою.

Нове Положення НБУ ґрунтується на ризик-орієнтованому підході. Основними об'єктами захисту є інформація, що становить таємницю страхування та таємницю фінансової послуги, а також інформаційно-комунікаційні системи, що підтримують основні бізнес-процеси та взаємодіють з НБУ.

Управління та відповідальність

Керівник зобов'язаний здійснювати загальну організацію діяльності, затверджувати внутрішні документи з кібербезпеки та призначати відповідальну особу за забезпечення впровадження вимог з інформаційної безпеки та кіберзахисту.

Відповідальна особа має забезпечувати виконання вимог, розробляти внутрішні документи, організовувати моніторинг та розслідування кіберінцидентів.

Надавачі послуг мають щорічно переглядати та оновлювати внутрішні документи.

Контроль доступу та аутентифікація

Багатофакторна (множинна) автентифікація стає обов'язковою для користувачів та привілейованих користувачів при віддаленому доступі до інформаційно-комунікаційних систем.

Вимоги до паролів. Користувачі: не менше 12 символів. Привілейовані користувачі: не менше 15 символів. Зміна паролів — не рідше одного разу на 90 днів.

Блокування облікових записів: Обов'язкове блокування/видалення облікових записів у разі кількох невдалих спроб аутентифікації (до 5), відсутності авторизації протягом 90 днів, звільнення працівника або завершення договору з клієнтом.

Автоматичне блокування робочого столу операційної системи, якщо немає активності користувача протягом 15 хвилин.

Мережевий захист та програмне забезпечення

Сегментація мережі: Надавачі зобов'язані здійснити розмежування інформаційно-комунікаційних систем на фізичному та/або логічному рівні з обмеженням доступу.

Зона підвищеної безпеки: Сервіси, відкриті для доступу клієнтів із зовнішніх мереж, мають розміщуватися в зоні мережі з підвищеним рівнем безпеки.

Оновлення безпеки: Використання операційних систем та прикладного програмного забезпечення, для яких діє підтримка з надання оновлень безпеки від виробника/розробника.

План переходу: У разі використання ПЗ без підтримки необхідно розробити план переходу на підтримувані версії у термін, що не перевищує двох років.

Журнали реєстрації подій (Логи)

Обов'язкова реєстрація, збереження та захист від модифікації інформації про ключові події.

Журнали реєстрації подій повинні зберігатися не менше одного року з моменту архівації.

Управління кіберінцидентами

Впровадження процесу управління кіберінцидентами та затвердження плану реагування, який має бути частиною плану безперервної діяльності.

НБУ має право вимагати надання інформації щодо реагування на кіберінциденти.

Ця постанова є важливим кроком до посилення кіберзахисту українського фінансового сектору та забезпечення його цифрової операційної стійкості.