Постанова визначає порядок управління кіберризиками, інцидентами та доступом до інформаційних систем

Національний банк України затвердив новий порядок організації заходів із забезпечення інформаційної безпеки та кіберзахисту для учасників небанківського фінансового ринку. Постанова №143, ухвалена 9 грудня 2025 року, встановлює єдині та обов’язкові вимоги до страховиків, кредитних спілок, фінансових компаній, ломбардів та інших установ, що працюють із фінансовими послугами. Документ набирає чинності 13 грудня 2025 року, а адаптаційний період триватиме один рік.

Регулятор визначив вимоги до:

• управління кіберризиками та ризиками інформаційної безпеки;
• організації заходів із кіберзахисту на рівні процесів та IT-інфраструктури;
• порядку реагування на кіберінциденти та інциденти інформаційної безпеки;
• внутрішньої документації щодо доступів до інформаційних та комунікаційних систем.

Мета змін — підвищити рівень інформаційної стійкості учасників ринку та зміцнити загальну стабільність фінансової системи України.

Як це впливає на бізнес

1. Підвищення стандартів безпеки — додаткові витрати, але й менші ризики. Небанківські установи повинні будуть оновити внутрішні політики, модернізувати системи захисту, запровадити процедури кібермоніторингу та інцидент-менеджменту. Це вимагатиме інвестицій, але знижуватиме ризики витоку даних, шахрайства та простоїв.
2. Єдині правила — більше довіри на ринку. Уніфіковані вимоги НБУ створюють прозоре середовище, де всі гравці працюють за однаковими стандартами. Це підвищує довіру інвесторів, страхувальників, вкладників і користувачів фінансових сервісів.
3. Посилення відповідальності топменеджменту. Компаніям доведеться формувати чіткі механізми управління кіберризиками, що включає роль ради директорів та керівництва у прийнятті рішень і контролі за IT-безпекою.
4. Можливість для ринку кібербезпеки та IT-провайдерів. Нові вимоги стимулюють попит на спеціалізовані послуги: аудит ІБ, розробку внутрішньої документації, впровадження SOC-центрів, інструментів моніторингу та управління доступами.
5. Зменшення системних ризиків. Підвищення кіберстійкості небанківського сектору знижує ймовірність ланцюгових збоїв у фінансовій інфраструктурі, що важливо в умовах кіберзагроз під час війни.

Що цьому передувало

Український фінансовий ринок кілька років перебуває під посиленим кібертиском — зростає кількість атак на страхові компанії, кредитні спілки, фінансові сервісні платформи. Водночас НБУ системно працює над гармонізацією вимог інформаційної безпеки з європейськими стандартами (зокрема, DORA — Digital Operational Resilience Act), а також над формуванням комплексної моделі кіберзахисту для фінансового сектору.

У 2023–2025 роках регулятор посилив вимоги до банківського сектору, а тепер переходить до небанківських установ, які також зберігають великі масиви персональних та фінансових даних і беруть участь у ключових фінансових операціях. Подальший розвиток цифрових фінансових послуг, включно з інтернет-страхуванням, онлайн-кредитуванням та платіжними сервісами, зробив питання кіберзахисту критично важливим.