Постанова НБУ № 143: що це означає для небанківського фінансового ринку і як підготуватися без паніки

Грудень 2025 року приніс небанківському фінансовому сектору серйозний регуляторний виклик. Постанова Правління Національного банку України № 143 від 9 грудня 2025 року набрала чинності та встановила нові обов'язкові вимоги до інформаційної безпеки і кіберзахисту для страховиків, кредитних спілок, фінансових компаній і ломбардів.

SHERIFF CYBER, що спеціалізується на регуляторному консалтингу та супроводі фінансових установ, ділиться ключовими тезами та практичними порадами.

До цього часу вимоги до кібербезпеки на рівні НБУ стосувалися переважно банків і платіжних установ. Постанова № 143 змінює цю ситуацію, вона поширює єдині стандарти інформаційної безпеки на весь небанківський фінансовий сектор. Регулятор чітко дає зрозуміти: безпека має бути керованою, задокументованою та підтверджуваною на практиці.

До 13 грудня 2026 року фінансові установи зобов'язані виконати весь перелік вимог.

Що саме потрібно зробити?

1. Призначити відповідальну особу з інформаційної безпеки та затвердити внутрішні документи з кіберзахисту

Підписуйтеся на наші соцмережі

2. Впровадити систему управління кіберризиками: ідентифікація, оцінка, контроль

3. Налаштувати управління доступами за принципом мінімальних привілеїв (паролі від 12 символів для користувачів, 15 — для привілейованих; ротація кожні 90 днів)

4. Забезпечити обов'язкову багатофакторну автентифікацію для віддаленого доступу

5. Провести сегментацію мережі, захист від DDoS та захист від шкідливого ПЗ

6. Налагодити логування ключових подій безпеки та моніторинг інцидентів

7. Розробити та затвердити план реагування на інциденти

8. Перейти на офіційне програмне забезпечення з підтримкою оновлень

Де найбільше ризиків?

Для більшості невеликих фінансових компаній найбільша складність не технічна, а організаційна. Потрібно побудувати цілісну систему управління безпекою з документацією, розподілом відповідальності та регулярним контролем. Саме цього компаніям найважче досягти власними силами.

Як SHERIFF CYBER може допомогти?

•        Аналіз поточного стану (GAP-аналіз) та складання дорожньої карти змін

•        Розробка внутрішніх політик, регламентів та документів з кібербезпеки відповідно до вимог НБУ

•        Практичне впровадження технічних і організаційних заходів захисту

•        Повний супровід під час перевірки НБУ з відповідальністю за результат

•        Навчання персоналу та підвищення обізнаності з питань інформаційної безпеки

До дедлайну 13 грудня 2026 року залишається менше року. Враховуючи обсяг документації, яку потрібно розробити та технічних заходів, які потрібно впровадити, - часу набагато менше, ніж здається. Ті, хто розпочне підготовку зараз, матимуть перевагу і уникнуть стресу наближення дедлайну.