Спростити звітність перед НБУ та розвантажити ІТ-штат. Що кажуть експерти про нову постанову НБУ № 99

1 травня 2026 року завершився перехідний період для фінансових установ, що користуються хмарними сервісами. Постанова НБУ № 99, що набула чинності за пів року до цього, діє тепер для всі учасників ринку.  Документ визначає, як регульовані фінансові установи в Україні можуть використовувати хмарні послуги.

Чому робота з провайдерами з «білого списку» може бути дешевшою за утримання власного штату ІТ-фахівців, як не потрапити у неприємності через партнерів та чому ринок сприймає ці зміни як «етап дорослішання», а не зайву бюрократію — розбираємося разом із експертами De Novo та «ФінПей».

Спростити звітність перед НБУ та розвантажити ІТ-штат

Документ спрямований передусім на користувачів хмарних послуг — банки, платіжні системи тощо, які мають інформувати НБУ, управляти ризиками, контролювати договори та відповідати за використання хмарної інфраструктури. У постанові № 99 НБУ формалізує використання хмар у регульованому фінансовому секторі. Організації мають право використовувати хмарні сервіси IaaS, PaaS, SaaS, SECaaS та інші, зокрема у складі приватних, колективних і гібридних моделей. Це важлива зміна для українського ринку, оскільки тепер хмара остаточно стає допустимою частиною операційної моделі фінансової організації.

«Суть постанови в тому, що фінансовим компаніям буде простіше, якщо вони розміщують свою інфраструктуру у зрозумілого й перевіреного провайдера — коментує Євген Лановенко керівник відділу розвитку клієнтів De Novo — Зараз певна частина компаній фінансового сектору все ще працюють на власному залізі, орендують виділені сервери або використовують VPS/VDS на невідомих хостингах. Для НБУ це означає більше ризиків і, відповідно, більше вимог до перевірок та аудитів, а для компанії — додаткові витрати, час та навантаження на IT-команду.

Якщо інфраструктура розміщена у прозорого, сертифікованого й зрозумілого регулятору провайдера, все стає значно простіше. У такому випадку компанії достатньо раз на рік надсилати до НБУ копію договору з цим провайдером та короткий супровідний лист із його описом. Якщо провайдер входить до списку схвалених, додаткових запитань, як правило, не виникає.

По суті, НБУ поділяє хмарних провайдерів на дві групи. Перша — це білий список: зрозумілі, перевірені компанії, у яких від початку прозора модель захисту. Друга — це сірі або маловідомі хостинги, де ризики вищі й де регулятору потрібно уважніше розбиратися, як влаштована інфраструктура та наскільки вона захищена.

Є ще один важливий момент. Обслуговування інфраструктури у провайдера з «білого списку» може коштувати приблизно на 20% дорожче, але натомість компанія економить на постійних аудитах, погодженнях та кадрах, час яких коштує чималих грошей. Для невеликої фінансової установи витрати на «білий» хмарний сервіс становлять орієнтовно $3-5 тис на місяць. Альтернатива — найняти власних ІТ-фахівців, що будуть “головою” відповідати за проходження аудитів та дотримання всіх вимог НБУ. Один такий спеціаліст обійдетеся мінімум в  $4-5 на місяць, а практика показує, що їх треба, щонайменше, двоє. Тобто, цифри говорять самі за себе.

Саме тому постанову варто сприймати не як додаткове навантаження, а скоріше як стимул перейти на більш зрозумілу й безпечну інфраструктуру. Для багатьох компаній це означає менше стресу, ручної роботи, витрат на постійне доведення НБУ, що все в порядку».

Ризик-менеджмент — обов’язкова вимога

За новими правилами НБУ, вибір хмарного провайдера остаточно вийшов за межі суто технічних параметрів чи привабливої ціни. Тепер на перший план виходить "гігієна" інфраструктури: регулятор висуває безпрецедентно жорсткі вимоги до перевірки постачальників. Жодного прямого чи опосередкованого зв’язку з державою-агресором, прозора структура власності та чітка юрисдикція кожного дата-центру — це лише "вхідний квиток" для роботи на фінансовому ринку. Постанова № 99 фактично перетворює кожну фінансову установу на аудитора, що зобов’язаний знати свій цифровий ланцюг постачання до останнього гвинта.

«Постанова НБУ №99 — це важливий і, на мою думку, дуже своєчасний крок для всього фінансового сектору України. Чіткі правила використання хмарних сервісів — це не обмеження для ринку, а навпаки, необхідна основа для його здорового розвитку», — Аліна Святна, СЕО компанії «ФінПей» — «Постанова №99 знімає багато невизначеності: компанії отримують зрозумілі вимоги до вибору хмарного провайдера, оцінки ризиків, захисту даних, резервного копіювання, безперервності роботи та договірних відносин із технологічними партнерами.

Водночас фінансовий сектор — це сфера, де швидкість розвитку не може бути важливішою за безпеку. Ми працюємо з даними клієнтів, платіжними процесами, фінансовими операціями та сервісами, до яких користувачі мають мати стабільний і захищений доступ. Тому чіткі правила використання хмарних сервісів — це не обмеження для ринку, а навпаки, необхідна основа для його здорового розвитку.

Для «ФінПей» безпека, надійність і безперервність роботи сервісів завжди були пріоритетом. Тому Постанова №99 не змінює нашого базового підходу, але робить його ще більш структурованим. Звичайно, для частини компаній нові вимоги означатимуть додаткову роботу: потрібно буде актуалізувати документи, перевірити договори, посилити контроль за провайдерами та процесами інформаційної безпеки. Але я не сприймаю це як зайву бюрократію. Для фінансового сектору це нормальний етап дорослішання ринку».

Як експертиза De Novo допомагає фінансовому сектору відповідати вимогам Постанови №99

Постанова НБУ № 99 фактично змінює логіку вибору хмарного партнера для фінансових організацій, бо тепер недостатньо оцінити лише вартість ресурсів чи технічні параметри майданчика. Банкам, страховим компаніям, платіжним сервісам та іншим учасникам фінансового ринку потрібен провайдер, який може підтвердити зрілість своєї операційної моделі документами, процедурами, сертифікаціями та регулярними аудитами. Хмарний провайдер має бути готовий не лише надати інфраструктуру, але й пройти перевірку безпеки, пояснити розподіл відповідальності, підтвердити контроль доступів, описати процеси реагування на інциденти тощо.

Також постанова конкретизує зміст договору, що укладається між фінансовою компанією та хмарним провайдером. У договорі необхідно зафіксувати:

• перелік та опис хмарних послуг;
• порядок забезпечення інформаційної безпеки;
• звітність провайдера перед установою;
• умови доступу до хмарних ресурсів;
• відповідальність сторін;
• умови повернення та безпечного видалення даних після завершення або розірвання договору;
• розподіл зон відповідальності та інші важливі питання.

Для відповідальних провайдерів, які давно працюють на ринку, — це стандартна процедура, але для менш підготовлених операторів такий рівень деталізації може стати бар’єром для входу у фінансовий сектор.

De Novo багато років будує хмарну інфраструктуру саме для таких сценаріїв — корпоративних, державних і фінансових навантажень. Компанія має сертифікації ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701, PCI DSS, а також КСЗІ та ОТР. Все це частина нашої операційної моделі, яка охоплює інформаційну безпеку, захист персональних даних, безпеку хмарних сервісів, контроль процесів і відповідність вимогам регуляторів.

Лише один факт — De Novo щороку проходить десятки незалежних аудитів не враховуючи численних внутрішніх перевірок. Це означає, що всі процеси безпеки, доступу, експлуатації, захисту даних працюють на практиці, постійно перевіряються, документуються й підтримуються в робочому стані.

У поєднанні з розподіленою інфраструктурою, що об’єднує кілька власних дата-центрів в Україні та майданчики в ЄС, це дозволяє клієнтам будувати архітектури з урахуванням вимог до розміщення, оброблення й зберігання критичних даних. Для фінансового сектору De Novo виступає інфраструктурним партнером, який вже працює в логіці регуляторної відповідальності та високої операційної дисципліни.