ЦБ расширил требования по защите информации для некредитных финансовых организаций
Банк России утвердил новые стандарты информационной безопасности для участников финансового рынка. Указание регулятора № 7219-У, зарегистрированное Минюстом 16 февраля 2026 года, обязывает микрофинансовые организации, страховщиков и негосударственные пенсионные фонды внедрить дополнительные меры защиты данных. Основная часть требований вступит в силу с 1 января 2027 года.
Регулятор существенно расширил периметр контроля некредитных финансовых организаций (НФО). Теперь под действие норм подпадают операторы инвестиционных и финансовых платформ, а также большинство микрофинансовых организаций (МФО). Компании обязаны использовать сертифицированные средства криптографической защиты, применять антивирусное ПО и обеспечивать целостность электронных сообщений посредством усиленной электронной подписи.
Страховые компании, негосударственные пенсионные фонды (НПФ) и регистраторы должны регулярно проходить внешний аудит. Не реже одного раза в три года эти организации обязаны привлекать сторонних лицензиатов для проверки уровня защиты информации на соответствие требованиям национального стандарта (ГОСТ). Также вводится обязательная оценка прикладного программного обеспечения, которое компании предоставляют клиентам для совершения операций. Софт должен соответствовать 4-му или 5-му уровню доверия в зависимости от категории организации.
Отдельный блок изменений касается реагирования на киберинциденты. Указание устанавливает жесткие временные рамки для информирования регулятора. Организации, реализующие усиленный и стандартный уровни защиты, должны направлять сведения о выявленных инцидентах, включая незаконное раскрытие персональных данных, в течение трех часов. Для компаний с минимальным уровнем защиты этот срок составляет 24 часа. Данные меры направлены на повышение прозрачности и оперативности взаимодействия с ФинЦЕРТ Банка России.
Обновленные правила вносят изменения в Положение Банка России № 757-П от 2021 года. Решение принято в рамках стратегии регулятора по борьбе с незаконными финансовыми операциями и повышению киберустойчивости финансового сектора, который сталкивается с растущим количеством цифровых угроз.
