Перейти до основного вмісту
Думки та бачення:
Думки та бачення
13 січ. 2026

Оновлено вимоги до кіберзахисту для небанківських фінансових установ

Інформаційне повідомлення

Підписуйтесь на телеграм-канал Deloitte Ukraine Voices
Підписуйтесь на телеграм-канал Deloitte Ukraine Voices

Місяць тому, 13 грудня 2025 року, набрала чинності Постанова Правління НБУ від 9 грудня 2025 року №143 «Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки та кіберзахисту надавачами фінансових послуг» (далі – «Положення»). Положення було розроблено з урахуванням європейського регулювання, зокрема Регламенту (ЄС) 2022/2554 Європейського парламенту та Ради від 14 грудня 2022 року про цифрову операційну стійкість фінансового сектору (DORA) та національних стандартів у сфері інформаційної безпеки (далі – «ІБ») й кіберзахисту.

Фінансові компанії, страховики, кредитні спілки та ломбарди зобов’язані узгодити свою діяльність із новими вимогами протягом одного року.

Положення встановлює обов’язкові вимоги до управління кіберризиками, організації ІБ, реагування на кіберінциденти, а також до документообігу і контролю доступу в інформаційно-комунікаційних системах для надавачів фінансових послуг.

Суб’єкти, на яких поширюється дія Положення, зобов’язані, зокрема:

  1. Запровадити заходи із забезпечення ІБ та кіберзахисту на основі ризик-орієнтованого підходу, що охоплюють захист інфраструктури, сервісів та ланцюга постачання, управління доступом та автентифікацією, а також протоколювання і реєстрацію подій;
  2. Застосовувати такі заходи до об’єктів захисту на всіх стадіях життєвого циклу з урахуванням особливостей функціонування власних інформаційно-комунікаційних систем. 

Водночас надавачі фінансових послуг мають право:

  • запроваджувати процес управління кіберризиками та ризиками ІБ у межах власної системи управління ризиками;
  • самостійно визначати підходи (методики) оцінювання та оброблення кіберризиків і ризиків ІБ;
  • залучати третіх осіб до виконання заходів із забезпечення ІБ та реагування на кіберінциденти за умови наявності в договорах із такими особами положення про нерозголошення інформації (NDA).

Запроваджені зміни спрямовані на підвищення кіберстійкості фінансового сектору та гармонізацію українських вимог з європейськими підходами у сфері інформаційної безпеки.

Як спеціалісти Deloitte можуть допомогти?

Наша команда, до складу якої входять досвідчені фахівці з кібербезпеки та юристи, пропонує, зокрема, такі послуги:

  • оцінювання поточного стану ІБ/кіберзахисту та управління ризиками постачальників відповідно до вимог Постанови №143 і DORA;
  • визначення та проєктування заходів (контролів) для мінімізації ризиків;
  • розроблення/оновлення політик і процедур безпеки (управління доступом, MFA, паролі, журналювання, мережевий захист, управління вразливостями);
  • тестування на проникнення, оцінювання архітектури PAM/MFA та SIEM/SOC (use cases для MFA, brute-force, privilege escalation, lateral movement);
  • проєктування сегментації мережі, зон підвищеної безпеки, захисту периметра та сервісів для зовнішніх підключень із застосуванням таких сучасних підходів і технологій, як Zero Trust Network Access, Secure Service Edge, Cloud Security Posture Management, у партнерстві зі світовими лідерами індустрії безпеки;
  • формулювання та перевірка договірних вимог до третіх осіб (NDA, санкційні/юрисдикційні обмеження, інцидент-репортинг, вимоги до хмар/ЦОД);
  • проведення тренінгів та кризових вправ (tabletop exercises) з питань кіберстійкості ланцюга постачання, реагування на інциденти, забезпечення безперервності бізнесу та аварійного відновлення.

За потреби ми залучаємо експертів із глобальної мережі Deloitte з підтвердженим досвідом впровадження вимог DORA та суміжних стандартів у країнах Європи, що забезпечує застосування найкращих міжнародних практик.

Якщо у вас є запитання або потрібна консультація, будь ласка, зв’яжіться з нами. 

Ми в Deloitte продовжуємо уважно стежити за змінами, а також практикою реалізації нововведень. Наша команда й надалі ділитиметься з вами корисною інформацією.

Коментарі спеціалістів Deloitte, зазначені в цьому повідомленні, носять виключно інформативний характер та не мають бути використані платниками податків без детального аналізу конкретного питання за участю спеціалістів.

Deloitte Ukraine Voices

Повернутися до: Податково-юридичний інформаційний бюлетень

Зв’язатися з нами

Дмитро Павленко

Дмитро Павленко

Керівник податково-юридичного департаменту, Deloitte Ukraine
+380 (44) 461 90 00
Андрій Красний

Андрій Красний

Кіберлідер, Deloitte Ukraine
+380 (50) 464 81 45
Вікторія Сидоренко

Вікторія Сидоренко

Директорка, податково-юридичний департамент
+380 (44) 461 90 00

Чи було це для вас корисним?

Дякуємо за ваш зворотний зв'язок

Your feedback is important to us

To tell us what you think, please update your settings to accept analytics and performance cookies.

Need help updating cookies?

Актуальне

Кіпр: оновлення щодо майбутньої податкової реформи

У продовження нашого повідомлення щодо можливих змін до податкового законодавства Кіпру інформуємо про такі оновлення.
Думки та бачення

Скринінг прямих іноземних інвестицій

Наприкінці вересня 2025 року до Верховної Ради України було подано законопроєкт №14062 «Про скринінг прямих іноземних інвестицій», який пропонує запровадити механізми моніторингу прямих іноземних інвестицій у критично важливих секторах економіки.
Думки та бачення

Дефенс Сіті: нові можливості для оборонної індустрії

Президент України вже підписав законопроєкт №13420 (Закон №4577-ІX щодо змін до Податкового кодексу) та законопроєкт №13421 (Закон №4578-IX щодо змін до Митного кодексу). Закон №4577-ІX почне діяти 5 жовтня 2025 року, а Закон №4578-IX – 24 жовтня 2025 року.
Думки та бачення

Податково-юридичний інформаційний бюлетень

Ознайомтесь з останніми інформаційними повідомленнями податково-юридичного відділу Deloitte Ukraine.
Думки та бачення
Дізнатися більше