НКЦБФР обновляет правила кибербезопасности для фондового рынка согласно стандартам ЕС

03-07-2026 14:41
news-image

Национальная комиссия по ценным бумагам и фондовому рынку (НКЦБФР) инициирует обновление правил контроля за программным обеспечением, которое используют профессиональные участники рынка. Новые нормы разработаны на базе европейского Регламента о цифровой устойчивости (DORA), что обеспечит высокий уровень безопасности финансовых данных.

После завершения общественных обсуждений обновленный документ будет передан в Министерство юстиции для государственной регистрации.

Устаревшие правила, действовавшие с 2012 года, перестали соответствовать реалиям цифровой экономики. Стремительное развитие облачных решений, мобильных приложений, автоматизированных ботов и больших языковых моделей требовало существенного просмотра подходов к регулированию.

Новая система контроля позволит Комиссии одновременно следить за соблюдением санкционного законодательства и минимизировать риск масштабных кибератак.

Ключевые требования к участникам рынка

Теперь профессиональные участники рынка обязаны предоставлять Комиссии исчерпывающую отчетность по своей IT-инфраструктуре.

Подробный перечень новых требований включает:

  1. Прозрачность инфраструктуры. Отчет о регистрации программного обеспечения, использовании облачных сервисов, расположении серверов и уровне защиты систем.

  2. Мониторинг автоматизации. Обязательно декларирование использования автоматизированных ботов и алгоритмических систем.

  3. Оперативное реагирование. Компании должны немедленно информировать НКЦБФР о любых хакерских атаках, программных сбоях или обнаружении подсанкционного ПО, запрещенного Госспецсвязью.

  4. Цифровая отчетность. Информацию необходимо подавать онлайн в формате XML-файлов, заверенных электронной подписью, непосредственно в Комиссию или через информационных агентов.

Что касается сроков, то после вступления в силу новых правил компаниям будет предоставлено 90 дней для первого отчета. В дальнейшем подавать обновленные данные нужно будет ежегодно до 1 февраля. Если же в течение года программное обеспечение претерпевает существенные изменения, об этом следует сообщить в течение одного месяца.

Источник: Минфин