...

El NBU endurece las reglas de ciberseguridad para las instituciones financieras no bancarias

by Roman Cheplyk
lunes, diciembre 15, 2025
3 MIN
Cybersecurity engineer inspecting network security hardware in a Ukrainian data center, no text
Economía Investments Legislation Negocios en Ucrania Technologies

Qué implican los nuevos estándares de seguridad de la información para inversores y operadores

El Banco Nacional de Ucrania ha actualizado los requisitos de seguridad de la información y ciberprotección para los proveedores del mercado financiero no bancario, incluidos aseguradores, cooperativas de crédito, compañías financieras y casas de empeño. La norma entró en vigor el 13 de diciembre de 2025 y el sector dispone de un año para adaptar sus operaciones.

Para inversores y financiadores, no es solo un cambio de cumplimiento normativo. Es una señal de que el regulador está elevando el nivel mínimo de resiliencia operativa y gobernanza, al tiempo que aumenta los costes a corto plazo para las entidades con tecnología heredada o controles débiles.

Qué exige la norma en la práctica

El enfoque es de gestión basada en riesgos y refuerza la responsabilidad interna. Se espera que las decisiones tecnológicas estén respaldadas por políticas, roles y controles verificables.

  • Gestión de riesgos: proceso obligatorio de gestión de ciber riesgos y riesgos de seguridad de la información.
  • Responsable designado: la dirección debe nombrar a una persona responsable de implementar los requisitos, o asumir esa función de forma directa.
  • Políticas internas: elaboración, aprobación y revisión anual de documentos internos de seguridad de la información.
  • Concienciación: usuarios y usuarios privilegiados deben confirmar que han leído los documentos internos.
  • Base tecnológica: uso de software y hardware conforme a la normativa aplicable, incluidas restricciones relacionadas con sanciones y protección de la información.
  • Software con soporte: uso de versiones oficiales con soporte del fabricante y actualizaciones de seguridad.
  • Controles compensatorios: si se utiliza software sin soporte, se requiere análisis de riesgos y medidas como monitorización, auditoría y copias de seguridad.
  • Migración con plazo: un plan de transición aprobado a nivel de consejo de supervisión debe ejecutarse en un plazo que no supere dos años.

Impacto en la economía del sector

La adaptación puede ser más exigente para entidades pequeñas y para quienes dependen de sistemas heredados. El calendario acelera la demanda de servicios gestionados de seguridad, auditoría y modernización de infraestructura, y puede impulsar procesos de consolidación en segmentos con baja capitalización.

Qué debería vigilar un inversor en 2026

En due diligence, lo decisivo es la ejecución real. La presencia de políticas es insuficiente si no existen evidencias operativas y presupuesto para cerrar brechas en el plazo regulatorio.

  • Gobernanza de ciberseguridad y líneas de reporte a la dirección.
  • Políticas actualizadas con revisión anual y confirmación del personal.
  • Inventario de software y estado de soporte del proveedor, con plan de migración.
  • Gestión de incidentes, monitorización y copias de seguridad verificables.
  • Plan financiero y calendario compatibles con el periodo de adaptación de un año.

En conjunto, los requisitos del NBU elevan el estándar del mercado no bancario. Para operadores sólidos puede convertirse en ventaja competitiva, y para los rezagados en una fuente visible de riesgo operativo.

roman-cheplyk
Roman Cheplyk
You will be interested