Асоціація українських банків провела вебінар «Вимоги НБУ до хмари: Постанова №99 та практичний чекліст підготовки для фінансових установ», присвячений практичним аспектам виконання вимог Національного банку України щодо використання хмарних сервісів.
Участь у заході взяли понад 140 представників банків, небанківських фінансових установ та ІТ-компаній. Спікером вебінару став Олександр Гончарук, Head of Corporate Products GigaCloud, який представив практичний алгоритм підготовки до виконання вимог Постанови НБУ №99 та поділився досвідом впровадження хмарних рішень у фінансовому секторі.
Постанова НБУ №99: ключові вимоги
Розвиток хмарних технологій відкриває фінансовим установам нові можливості для цифрової трансформації. Разом із цим актуальними залишаються питання управління ризиками, кібербезпеки, безперервності діяльності та відповідності регуляторним вимогам.
Під час вебінару учасники детально розглянули ключові положення Постанови НБУ №99, яка встановлює вимоги до використання хмарних сервісів, управління ризиками, організації внутрішнього контролю та взаємодії з постачальниками таких послуг.
Практичний чекліст підготовки
Окрему увагу було приділено практичним крокам, які необхідно здійснити фінансовим установам для виконання вимог регулятора.
Зокрема, йшлося про проведення оцінки ризиків, перевірку хмарних провайдерів, визначення відповідальних осіб, підготовку планів безперервності діяльності (BCP), організацію внутрішнього контролю та приведення договорів у відповідність до вимог Постанови №99.
Спікер також наголосив, що більшість внутрішніх документів не подаються до Національного банку автоматично, однак мають бути підготовлені та актуалізовані, адже регулятор може запросити їх під час перевірки.
Особливості роботи із закордонними хмарними провайдерами
Однією з найактуальніших тем вебінару стала співпраця з міжнародними хмарними провайдерами.
Під час дискусії учасники звернули увагу на практичні труднощі виконання окремих вимог Постанови №99 у разі використання сервісів AWS, Microsoft Azure та Google Cloud. Зокрема, обговорювалося питання типових договорів міжнародних провайдерів, до яких фінансові установи не можуть вносити зміни, необхідні для повної відповідності окремим вимогам українського регулятора.
Окремо наголошувалося, що міжнародні постачальники вже мають сертифікацію за міжнародними стандартами безпеки, тому одним із ключових питань залишається пошук механізмів, які дозволять поєднати вимоги українського законодавства з міжнародною практикою.
Практичні рішення для забезпечення відповідності
Під час вебінару також обговорили практичні інструменти, які можуть допомогти фінансовим установам забезпечити відповідність новим регуляторним вимогам.
Йшлося про належне документальне оформлення взаємодії з провайдерами, сертифікацію, розміщення та резервування даних, підготовку планів безперервності діяльності, використання сучасних інструментів кіберзахисту та постійний перегляд внутрішніх процедур відповідно до змін у регуляторному середовищі.
Запитання учасників та рекомендації експерта
Значна частина вебінару була присвячена обговоренню практичних кейсів. Учасники порушили питання застосування вимог Постанови №99 до міжнародних хмарних сервісів, можливості використання реселерських моделей, ролі міжнародних сертифікатів безпеки та перспектив гармонізації українських вимог із європейськими підходами, зокрема вимогами DORA.
У ході дискусії також прозвучала пропозиція консолідувати позицію учасників ринку та напрацювати пропозиції щодо вдосконалення окремих положень регуляторної бази. Асоціація українських банків і надалі залишатиметься майданчиком для професійного діалогу між фінансовим сектором, експертною спільнотою та регулятором щодо практичного впровадження нових нормативних вимог.
