Упростить отчетность перед НБУ и разгрузить ИТ-штат. Что говорят эксперты о новом постановлении НБУ № 99

1 мая 2026 года завершился переходный период для финансовых учреждений, использующих облачные сервисы. Постановление НБУ № 99, вступившее в силу за полгода до этого, теперь действует для всех участников рынка. Документ определяет, как регулируемые финансовые учреждения в Украине могут использовать облачные услуги.

Почему работа с провайдерами из «белого списка» может быть дешевле содержания собственного штата ИТ-специалистов, как избежать проблем из-за партнеров и почему рынок воспринимает эти изменения как «этап взросления» вместо лишней бюрократии — разбираемся вместе с экспертами De Novo и «ФинПей».

Упростить отчетность перед НБУ и разгрузить ИТ-штат

Документ направлен прежде всего на пользователей облачных услуг — банки, платежные системы и другие организации, которые должны информировать НБУ, управлять рисками, контролировать договоры и нести ответственность за использование облачной инфраструктуры.

В постановлении № 99 НБУ формализует использование облаков в регулируемом финансовом секторе. Организации имеют право использовать облачные сервисы IaaS, PaaS, SaaS, SECaaS и другие, в частности в составе частных, коллективных и гибридных моделей. Это важное изменение для украинского рынка, поскольку теперь облако окончательно становится допустимой частью операционной модели финансовой организации.

«Суть постановления в том, что финансовым компаниям будет проще, если они размещают свою инфраструктуру у понятного и проверенного провайдера, — комментирует Евгений Лановенко, руководитель отдела развития клиентов De Novo. — Сейчас определенная часть компаний финансового сектора все еще работает на собственном железе, арендует выделенные серверы или использует VPS/VDS на неизвестных хостингах. Для НБУ это означает больше рисков и, соответственно, больше требований к проверкам и аудитам, а для компании — дополнительные расходы, время и нагрузку на ИТ-команду.

Если инфраструктура размещена у прозрачного, сертифицированного и понятного для регулятора провайдера, все становится значительно проще. В таком случае компании достаточно раз в год отправлять в НБУ копию договора с этим провайдером и короткое сопроводительное письмо с его описанием. Если провайдер входит в список одобренных, дополнительных вопросов, как правило, не возникает.

По сути, НБУ делит облачных провайдеров на две группы. Первая — белый список: понятные, проверенные компании, у которых изначально прозрачная модель защиты. Вторая — серые или малоизвестные хостинги, где риски выше и где регулятору нужно внимательнее разбираться, как устроена инфраструктура и насколько она защищена.

Есть еще один важный момент. Обслуживание инфраструктуры у провайдера из «белого списка» может стоить примерно на 20% дороже, но взамен компания экономит на постоянных аудитах, согласованиях и кадрах, время которых стоит немалых денег. Для небольшого финансового учреждения расходы на «белый» облачный сервис составляют ориентировочно $3–5 тыс. в месяц. Альтернатива — нанять собственных ИТ-специалистов, которые будут лично отвечать за прохождение аудитов и соблюдение всех требований НБУ. Один такой специалист обойдется минимум в $4–5 тыс. в месяц, а практика показывает, что их нужно как минимум двое. То есть цифры говорят сами за себя.

Именно поэтому постановление стоит воспринимать не как дополнительную нагрузку, а скорее как стимул перейти на более понятную и безопасную инфраструктуру. Для многих компаний это означает меньше стресса, ручной работы и расходов на постоянное доказательство НБУ, что все в порядке».

Риск-менеджмент — обязательное требование

По новым правилам НБУ выбор облачного провайдера окончательно вышел за пределы сугубо технических параметров или привлекательной цены. Теперь на первый план выходит «гигиена» инфраструктуры: регулятор предъявляет беспрецедентно жесткие требования к проверке поставщиков. Отсутствие прямой или опосредованной связи с государством-агрессором, прозрачная структура собственности и четкая юрисдикция каждого дата-центра — это лишь «входной билет» для работы на финансовом рынке. Постановление № 99 фактически превращает каждое финансовое учреждение в аудитора, который обязан знать свою цифровую цепочку поставок до последнего винта.

«Постановление НБУ № 99 — это важный и, на мой взгляд, очень своевременный шаг для всего финансового сектора Украины. Четкие правила использования облачных сервисов — это не ограничение для рынка, а наоборот, необходимая основа для его здорового развития, — говорит Алина Святная, CEO компании «ФинПей». — Постановление № 99 снимает много неопределенности: компании получают понятные требования к выбору облачного провайдера, оценке рисков, защите данных, резервному копированию, непрерывности работы и договорным отношениям с технологическими партнерами. 

В то же время финансовый сектор — это сфера, где скорость развития не может быть важнее безопасности. Мы работаем с данными клиентов, платежными процессами, финансовыми операциями и сервисами, к которым пользователи должны иметь стабильный и защищенный доступ. Поэтому четкие правила использования облачных сервисов — это не ограничение для рынка, а наоборот, необходимая основа для его здорового развития.

Для «ФинПей» безопасность, надежность и непрерывность работы сервисов всегда были приоритетом. Поэтому постановление № 99 не меняет наш базовый подход, но делает его еще более структурированным. Конечно, для части компаний новые требования будут означать дополнительную работу: нужно будет актуализировать документы, проверить договоры, усилить контроль за провайдерами и процессами информационной безопасности. Но я не воспринимаю это как лишнюю бюрократию. Для финансового сектора это нормальный этап взросления рынка». 

Как экспертиза De Novo помогает финансовому сектору соответствовать требованиям постановления № 99

Постановление НБУ № 99 фактически меняет логику выбора облачного партнера для финансовых организаций, поскольку теперь недостаточно оценить только стоимость ресурсов или технические параметры площадки. Банкам, страховым компаниям, платежным сервисам и другим участникам финансового рынка нужен провайдер, который может подтвердить зрелость своей операционной модели документами, процедурами, сертификациями и регулярными аудитами.

Облачный провайдер должен быть готов не только предоставить инфраструктуру, но и пройти проверку безопасности, объяснить распределение ответственности, подтвердить контроль доступов, описать процессы реагирования на инциденты и другие критически важные элементы.

Также постановление конкретизирует содержание договора, который заключается между финансовой компанией и облачным провайдером. В договоре необходимо зафиксировать:

• перечень и описание облачных услуг;
• порядок обеспечения информационной безопасности;
• отчетность провайдера перед учреждением;
• условия доступа к облачным ресурсам;
• ответственность сторон;
• условия возврата и безопасного удаления данных после завершения или расторжения договора;
• распределение зон ответственности и другие важные вопросы.

Для ответственных провайдеров, которые давно работают на рынке, это стандартная процедура, но для менее подготовленных операторов такой уровень детализации может стать барьером для входа в финансовый сектор.

De Novo много лет строит облачную инфраструктуру именно для таких сценариев — корпоративных, государственных и финансовых нагрузок. Компания имеет сертификации ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701, PCI DSS, а также КСЗИ и ОТР. Все это часть нашей операционной модели, которая охватывает информационную безопасность, защиту персональных данных, безопасность облачных сервисов, контроль процессов и соответствие требованиям регуляторов.

Достаточно одного факта: De Novo ежегодно проходит десятки независимых аудитов, не считая многочисленных внутренних проверок. Это означает, что все процессы безопасности, доступа, эксплуатации и защиты данных работают на практике, постоянно проверяются, документируются и поддерживаются в рабочем состоянии.

В сочетании с распределенной инфраструктурой, объединяющей несколько собственных дата-центров в Украине и площадки в ЕС, это позволяет клиентам строить архитектуры с учетом требований к размещению, обработке и хранению критических данных. Для финансового сектора De Novo выступает инфраструктурным партнером, который уже работает в логике регуляторной ответственности и высокой операционной дисциплины.