Цифровые сервисы: гид

Новые требования НКЦБФР к IT-инфраструктуре по регламенту

Национальная комиссия по ценным бумагам и фондовому рынку Украины сообщила о полном обновлении правил контроля за компьютерными программами, которые используют профессиональные участники рынков капитала.

Контроль станет ближе к IT-архитектуре компаний

Из сообщения следует, что регулятор хочет получать от участников рынка более подробные сведения о программных системах. Компании должны будут отчитываться о том, в какой стране зарегистрировано используемое программное обеспечение, какими облачными сервисами они пользуются и где размещены серверы.

Отдельно в опубликованной информации упоминаются вопросы защиты систем и использование автоматизированных ботов. Также компании должны будут немедленно сообщать о хакерских атаках, сбоях в программах и обнаружении в системах подсанкционного программного обеспечения, запрещенного Госспецсвязью.

Для рынка цифровых решений это означает, что поставщикам и заказчикам придется внимательнее относиться к описанию инфраструктуры: где физически и юридически находятся компоненты сервиса, какие облачные платформы используются, как оформлены обновления и кто отвечает за передачу информации регулятору. Особенно это касается решений, которые работают как SaaS, используют мобильные приложения, автоматизацию или элементы на базе больших языковых моделей — такие технологии прямо названы среди причин, по которым прежние правила перестали соответствовать текущей практике.

Сроки и формат отчетности уже обозначены

По данным опубликованного сообщения, предыдущие правила были утверждены в 2012 году. В Нацкомиссии указывают, что с тех пор технологии существенно изменились: появились облачные сервисы, мобильные приложения, большие языковые модели и автоматизированные боты.

После общественных обсуждений решение планируют передать на регистрацию в Министерство юстиции Украины. Замечания и предложения к проекту, как сообщается, принимаются до 27 июля 2026 года.

Если новые правила вступят в силу, отчитаться нужно будет в течение 90 дней. Затем отчетность должна подаваться ежегодно до 1 февраля. При изменении или обновлении программного обеспечения участнику рынка нужно будет сообщать об этом Комиссии в течение месяца.

Формат подачи также описан: информацию предполагается передавать онлайн через информационных агентов или напрямую в Комиссию в виде XML-файлов, заверенных электронной подписью. Для IT-команд это практический момент: данные о системах, провайдерах, облаках и обновлениях должны быть не только известны внутри компании, но и подготовлены в структурированном виде.

Что стоит отслеживать участникам и поставщикам решений

Пока речь идет о проекте правил, который проходит общественное обсуждение и еще должен быть окончательно утвержден и зарегистрирован. Поэтому преждевременно делать выводы о финальной редакции требований или срочно перестраивать инфраструктуру только на основании сообщения.

Но уже сейчас участникам рынков капитала и их IT-подрядчикам стоит проверить, насколько прозрачно у них описаны используемые программные продукты, облачные сервисы, серверная инфраструктура и процессы обновления. Если в компании есть автоматизированные боты, мобильные приложения или решения с большими языковыми моделями, эти компоненты, судя по логике проекта, также могут попасть в поле внимания регулятора.

Отдельный риск — оперативное уведомление о сбоях, кибератаках и выявлении запрещенного подсанкционного ПО. Это требует не только технического мониторинга, но и понятной внутренней процедуры: кто фиксирует инцидент, кто принимает решение о сообщении регулятору и какие данные передаются.

Главное, за чем теперь стоит следить, — итоговая версия правил после обработки замечаний, факт передачи решения в Минюст и дата вступления новых требований в силу. Именно от этого будет зависеть, когда начнется отсчет 90-дневного срока для первичной отчетности.

Проверка первоисточников

Где сверить правила и документы

Ссылки помогают быстро перейти от советов в статье к официальным реестрам, правилам или справочным сервисам. Перед оплатой или претензией сохраняйте дату проверки.