Стаття 66. Управління операційними ризиками та ризиками безпеки
1. Банки та небанківські надавачі платіжних послуг зобов’язані затвердити та дотримуватися внутрішніх правил щодо ефективного зниження та контролю за операційними ризиками, кіберризиками та ризиками безпеки, пов’язаними з наданням платіжних послуг (виконанням платіжних операцій).
{Абзац перший частини першої статті 66 із змінами, внесеними згідно із Законом № 2888-IX від 12.01.2023 }
Під кіберризиком для цілей цієї частини розуміється ризик виникнення внаслідок реалізації кіберзагроз збитків та/або додаткових втрат банків, інших осіб, які здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, операторів платіжних систем та/або учасників платіжних систем, технологічних операторів платіжних послуг.
Зазначені правила мають також містити процедури забезпечення безпеки виконання платіжних операцій, вжиття заходів з ідентифікації помилкових та неналежних платіжних операцій (суб’єктів таких платіжних операцій) та заходів із запобігання або припинення таких платіжних операцій, реагування на інциденти безпеки, здійснення моніторингу та ведення бази даних операційних інцидентів, кіберінцидентів та інцидентів безпеки, пов’язаних з наданням платіжних послуг (виконанням платіжних операцій).
2. Банки та небанківські надавачі платіжних послуг зобов’язані повідомляти Національний банк України у встановленому ним порядку про істотні операційні інциденти, кіберінциденти та інциденти безпеки, пов’язані з наданням ними платіжних послуг (виконанням платіжних операцій).
{Частина друга статті 66 із змінами, внесеними згідно із Законом № 2888-IX від 12.01.2023 }
3. Національний банк України своїми нормативно-правовими актами встановлює вимоги щодо управління банками та небанківськими надавачами платіжних послуг кіберризиками та ризиками безпеки як складовими операційного ризику під час провадження діяльності з надання платіжних послуг і визначає критерії істотності операційних інцидентів, кіберінцидентів та інцидентів безпеки.
{Абзац перший частини третьої статті 66 в редакції Закону № 2888-IX від 12.01.2023 }
Для належної ідентифікації суб’єктів помилкових, неналежних платіжних операцій, вжиття заходів із запобігання або припинення таких платіжних операцій надавачі платіжних послуг повинні повідомляти інших надавачів платіжних послуг про таких суб’єктів і такі платіжні операції в обсязі, встановленому правилами відповідної платіжної системи або договором між надавачами платіжних послуг. Для запобігання або припинення зазначених платіжних операцій надавачі платіжних послуг зобов’язані підтверджувати інформацію на електронні запити центральних органів виконавчої влади, що реалізують державну політику у сфері забезпечення охорони прав і свобод людини, інтересів суспільства і держави, протидії злочинності.
На підставі договорів та відповідно до цього Закону діяльність з ідентифікації суб’єктів помилкових, неналежних платіжних операцій, вжиття заходів із запобігання або припинення зазначених платіжних операцій та запобігання легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення має право здійснювати юридична особа, засновниками якої є надавачі фінансових і нефінансових послуг та послуг, суміжних з платіжними. Надавачі фінансових, нефінансових платіжних послуг, послуг, суміжних з платіжними, і заснована ними юридична особа повинні забезпечити технологічний та програмно-апаратний захист персональних даних суб’єктів помилкових, неналежних платежів згідно з цим Законом.
{Абзац третій частини третьої статті 66 із змінами, внесеними згідно із Законом № 2888-IX від 12.01.2023 }
Надавачі платіжних послуг мають передбачити у договорі про надання платіжних послуг отримання дозволу у користувача на надання надавачем платіжних послуг користувача іншим надавачам платіжних послуг інформації, що містить банківську таємницю, комерційну таємницю, таємницю надавача платіжних послуг, таємницю фінансового моніторингу.