UA
5 Min Read
Нові вимоги НБУ до кібербезпеки фінансових установ: Постанова №143 та що потрібно зробити до грудня 2026
Що сталося
13 грудня 2025 року набрала чинності Постанова НБУ №143 — «Положення про організацію заходів із забезпечення інформаційної безпеки та кіберзахисту надавачами фінансових послуг».
Це перший комплексний нормативний акт, який встановлює обов'язкові вимоги до кібербезпеки для небанківських фінансових установ України.
На кого поширюється:
Страхові компанії
Кредитні спілки
Фінансові компанії
Ломбарди
Інші надавачі фінансових послуг
Дедлайн: 12 місяців з дати набрання чинності — до грудня 2026 року всі зазначені установи повинні привести свою діяльність у відповідність.
Що вимагає Постанова №143
Постанова розроблена з урахуванням трьох ключових стандартів:
EU DORA (Регламент ЄС 2022/2554 про цифрову операційну стійкість)
ДСТУ ISO/IEC 27001:2023
ДСТУ ISO/IEC 27002:2023
Основні вимоги:
1. Управління кіберризиками та ризиками інформаційної безпеки
Установа зобов'язана впровадити систематичний процес ідентифікації, оцінки та обробки ризиків ІБ. Це не формальний документ «для галочки», а робочий процес з регулярним переглядом.
2. Базові вимоги до організації заходів захисту
Мінімальний набір технічних та організаційних заходів: контроль доступу, захист мережі, управління вразливостями, шифрування, резервне копіювання.
3. Процеси реагування на кіберінциденти
Обов'язковий план реагування на інциденти, процедури ескалації, повідомлення регулятора. Фактично — побудова власного або аутсорсинг процесу Incident Response.
4. Внутрішні документи щодо доступу до ІКТ-систем
Політики та процедури управління доступом, включаючи привілейований доступ, перегляд прав, процедури надання та відкликання.
Постанова НБУ №1/2026: оновлення BankID
10 січня 2026 року набрала чинності Постанова НБУ №1 — оновлення Положення про Систему BankID Національного банку України.
BankID — ключовий інструмент електронної ідентифікації клієнтів у фінансовому секторі. Оновлення регулювання безпосередньо впливає на учасників системи BankID та їхні процедури верифікації клієнтів.
Як це пов'язано з іншими змінами 2025 року
Постанова №143 — частина масштабного оновлення нормативної бази кібербезпеки України:
Закон №4336-IX (квітень 2025) — перехід від класичної КСЗІ до профілів безпеки
Постанова КМУ №712 (червень 2025) — порядок розробки профілів безпеки та авторизації з безпеки
Накази ДССЗЗІ №409 та №419 (липень 2025) — базові профілі безпеки для систем з різним рівнем конфіденційності інформації
Постанова КМУ №447 (березень 2025) — вимоги щодо управління ризиками, планів кіберзахисту та реагування
Для фінансових установ, які також є об'єктами критичної інфраструктури, ці вимоги сумуються.
Що потрібно зробити вже зараз
Крок 1: Gap-аналіз (1-2 тижні)
Оцініть поточний стан відповідності вимогам Постанови №143. Визначте розриви між тим, що є, і тим, що вимагається.
Крок 2: Дорожня карта приведення у відповідність (1 тиждень)
На основі gap-аналізу — пріоритизований план дій з термінами та відповідальними.
Крок 3: Впровадження (3-6 місяців)
Розробка або оновлення політик ІБ
Впровадження процесу управління ризиками (відповідно до ISO 27001)
Побудова процесу реагування на інциденти
Технічні заходи: контроль доступу, моніторинг, управління вразливостями
Навчання персоналу
Крок 4: Внутрішній аудит (1-2 тижні)
Перевірка готовності до перевірок НБУ.
Як Active Audit Agency може допомогти
Ми спеціалізуємося на впровадженні систем інформаційної безпеки та маємо досвід роботи з фінансовим сектором:
Gap-аналіз відповідності Постанові НБУ №143 — оцінка поточного стану та детальний звіт з рекомендаціями.
Впровадження ISO 27001 — Постанова №143 базується на ДСТУ ISO/IEC 27001:2023. Впровадження ISO 27001 одночасно закриває вимоги НБУ та дає міжнародну сертифікацію.
Оцінка кіберзахисту та пентестинг — перевірка реального стану захищеності ваших систем.
Розробка документації — політики ІБ, процедури реагування на інциденти, управління доступом.
Навчання та awareness — підготовка команди до виконання вимог.
Відповідність EU DORA — для компаній з європейськими партнерами або амбіціями виходу на ринок ЄС.
Не впевнені з чого почати? Зв'яжіться з нами для безкоштовної 30-хвилинної консультації щодо відповідності Постанові НБУ №143.
Active Audit Agency — кібербезпека, аудит, відповідність.
Join our newsletter list
Sign up to get the most recent blog articles in your email every week.
Similar Topic
Related Blogs
More Articles
Latest Blogs
Frequently Asked Questions
Wondering About Something? Let’s Clear Things Up!
We’ve gathered all the important info right here. Explore our FAQs and find the answers you need.
What types of cybersecurity services does Audit3A offer?
Audit3A provides comprehensive cybersecurity services including application and infrastructure security, cybersecurity governance risk and compliance, SIEM solutions, vulnerability management, and anti-malware solutions. We also offer penetration testing, web and mobile application security, and fraud risk management.
How can Audit3A help my business comply with industry-specific regulations?
Our team specializes in assisting organizations with establishing effective cybersecurity governance frameworks, managing cybersecurity risks, and conducting audits for compliance with various regulations and standards. We ensure your cybersecurity practices align with industry best practices and regulatory requirements specific to your sector.
What makes Audit3A different from other cybersecurity companies?
Audit3A stands out due to our comprehensive approach, combining advanced technology with expert human analysis. We offer tailored solutions for businesses of all sizes, have a global presence with local expertise, and maintain a strong focus on research and development to stay ahead of emerging threats.
How often should my organization conduct a cybersecurity audit?
The frequency of cybersecurity audits can vary depending on your industry, regulatory requirements, and risk profile. However, we generally recommend conducting a comprehensive audit at least annually, with more frequent assessments of specific areas or in response to significant changes in your IT environment.
Can Audit3A provide cybersecurity solutions for small businesses as well as large enterprises?
Yes, Audit3A offers scalable solutions suitable for organizations of all sizes. We have specific packages designed for small businesses that provide essential security measures while being cost-effective. Our team can tailor our services to meet the unique needs and budget constraints of your business.
What is the process for engaging Audit3A's services?
The engagement process typically begins with an initial consultation to understand your specific needs and challenges. We then conduct a preliminary assessment of your current security posture. Based on this, we propose a customized security plan. Once agreed, we implement the solutions, provide necessary training, and offer ongoing support and monitoring.
How does Audit3A stay updated with the latest cybersecurity threats and technologies?
Audit3A invests heavily in research and development. We have our own R&D lab dedicated to studying emerging cyber threats. We also collaborate with leading universities, participate in developing international security standards, and maintain a program for independent security researchers. Our team regularly updates their skills and certifications to stay at the forefront of cybersecurity technology and practices.
You can copy our materials only after making sure that your services are safe.
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.