Національний банк України оновив вимоги до організації заходів з інформаційної безпеки та кіберзахисту для учасників небанківського фінринку, зокрема для страховиків, кредитних спілок, фінансових компаній і ломбардів. Норми набрали чинності 13 грудня 2025 року, а на приведення діяльності у відповідність відведено один рік.
Для інвестора це не лише формальна регуляторика. Це спроба підняти мінімальний рівень стійкості та керованості ризиків у секторі, який часто працює з критичними даними і залежить від безперервності сервісів. Одночасно це означає новий цикл витрат на комплаєнс і модернізацію ІТ у гравців, які відкладали оновлення.
Що саме вимагає регулятор
Підхід стає ризик орієнтованим і прив’язується до відповідальності керівництва та внутрішніх процедур. Важливий акцент зроблено на документах, ролях, контролях доступу і стані програмного забезпечення.
- Управління ризиками: обов’язковий процес управління кіберризиками та ризиками інформаційної безпеки.
- Відповідальна особа: призначення відповідальної особи за впровадження вимог або виконання цих функцій керівником.
- Політики та стандарти: розроблення, затвердження та щорічний перегляд внутрішніх документів з інформаційної безпеки.
- Ознайомлення персоналу: користувачі та привілейовані користувачі мають підтвердити ознайомлення з документами під підпис.
- Базові техвимоги: використання програмних і апаратних засобів з урахуванням вимог українського законодавства, включно з обмеженнями щодо санкцій та захисту інформації.
- Тільки підтримуване ПЗ: використання офіційних версій ПЗ з підтримкою виробника та безпековими оновленнями.
- Спадщина під контролем: для непідтримуваного ПЗ потрібні аналіз ризиків, компенсуючі заходи на кшталт моніторингу, аудиту і резервного копіювання.
- План переходу: план міграції на підтримувані версії має бути затверджений наглядовою радою та реалізований у строк, що не перевищує двох років.
Економіка впливу на сектор
Найбільший ефект відчують установи з легасі системами і слабкою дисципліною доступів. Однорічне вікно підштовхує до інвестицій у кіберзахист, а також підсилює попит на керовані безпекові послуги, аудит і модернізацію інфраструктури. Для ринку це може означати прискорення консолідації та відсів найслабших гравців.
Що перевіряти інвестору у 2026 році
Під час аналізу цілей у небанківському сегменті важливо дивитися на виконання, а не на декларації. Практична перевірка зосереджується на ролях, реальних контролях і готовності фінансувати зміни у строк.
- Хто є власником кіберризику в управлінні та як працює звітність.
- Оновлені політики та докази щорічного перегляду і ознайомлення персоналу.
- Інвентар ПЗ і статус підтримки, плюс реалістичний план міграції.
- Процеси реагування на інциденти, моніторинг і резервні копії.
- Бюджет і дорожня карта, які вкладаються в однорічний дедлайн.
Нові вимоги НБУ піднімають планку для небанківського фінринку. Для сильних операторів це може стати конкурентною перевагою, а для слабких — дедлайном, який швидко проявить приховані операційні ризики.
