Про затвердження Змін до Положення про застосування Національним банком України заходів впливу
Відповідно до статей 7, 15, 55, 56 Закону України "Про Національний банк України", статей 66, 67, 73, 74 Закону України "Про банки і банківську діяльність", пункту 8 розділу VI Закону України від 16 листопада 2021 року № 1882-IX "Про критичну інфраструктуру", з метою врегулювання питання застосування Національним банком України заходів впливу до банків за порушення законодавства України з питань захисту критичної інфраструктури, кіберзахисту та інформаційної безпеки Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Зміни до Положення про застосування Національним банком України заходів впливу, затвердженого постановою Правління Національного банку України від 17 серпня 2012 року № 346, зареєстрованого в Міністерстві юстиції України 17 вересня 2012 року за № 1590/21902 (зі змінами), що додаються.
2. Департаменту методології регулювання діяльності банків (Наталія Іваненко) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.
3. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
ЗМІНИ
до Положення про застосування Національним банком України заходів впливу
1. У розділі І:
1) у главі 1:
пункт 1.1 після слів "господарські товариства," доповнити словами "з питань захисту критичної інфраструктури, кіберзахисту та інформаційної безпеки,";
у пункті 1.2:
слова "Закону про банки в частині запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення," виключити;
пункт після слів "(далі - законодавство з питань фінансового моніторингу), законодавства" доповнити словами "України з питань захисту критичної інфраструктури, кіберзахисту та інформаційної безпеки,";
2) у пункті 3.1 глави 3:
в абзаці першому слова "законодавства з питань фінансового моніторингу" замінити словами "законодавства України з питань фінансового моніторингу, з питань захисту критичної інфраструктури, кіберзахисту та інформаційної безпеки";
пункт доповнити новим абзацом такого змісту:
"перевірок дотримання банками законодавства України з питань захисту критичної інфраструктури, кіберзахисту та інформаційної безпеки.".
2. У розділі II:
1) у главі 1:
у пункті 1.1 слова "законодавства з питань фінансового моніторингу, законодавства" замінити словами "законодавства України з питань фінансового моніторингу, з питань захисту критичної інфраструктури, кіберзахисту та інформаційної безпеки,";
у пункті 1.3:
в абзаці першому слова "законодавства з питань фінансового моніторингу, законодавства" замінити словами "законодавства України з питань фінансового моніторингу, з питань захисту критичної інфраструктури, кіберзахисту та інформаційної безпеки,";
підпункт "и" викласти в такій редакції:
"и) усунення порушення законодавства України з питань захисту критичної інфраструктури, кіберзахисту та інформаційної безпеки, уключаючи вимоги нормативно-правових актів Національного банку щодо організації системи управління інформаційною безпекою та/або системою управління ризиками (щодо ризику інформаційної безпеки/кіберризику);";
2) у главі 7:
пункт 7.1 доповнити новим абзацом такого змісту:
"порушення законодавства України з питань захисту критичної інфраструктури, кіберзахисту та інформаційної безпеки.";
главу після пункту 7.32 доповнити новим пунктом 7.33 такого змісту:
"7.33. Національний банк накладає на банк штраф за порушення законодавства України з питань захисту критичної інфраструктури, кіберзахисту та інформаційної безпеки, наслідками яких є виникнення реальної загрози для безпечного функціонування об'єкта критичної інфраструктури банку, безпеки інформації банку та його клієнтів та/або реалізації системного кіберризику в банківській системі, у розмірі 0,01 відсотка від суми зареєстрованого статутного капіталу банку.
Системним кіберризиком є ризик порушення стабільності банківської системи внаслідок реалізації кіберзагроз щодо окремого банку через відповідні недоліки в його кіберстійкості.".
У зв'язку з цим пункти 7.33-7.37 уважати відповідно пунктами 7.34-7.38;
3) підпункт 13 пункту 11.2 глави 11 викласти в такій редакції:
"13) порушення банком вимог нормативно-правових актів Національного банку з питань захисту критичної інфраструктури, кіберзахисту та інформаційної безпеки щодо впровадження заходів безпеки інформації/кіберзахисту та/або організації управління кіберризиками, що призвели до масштабного негативного впливу (інциденту інформаційної безпеки/кіберінциденту) на життєдіяльність банку та/або банківську систему, реалізації загрози для безпеки інформації банку та його клієнтів;".