Встановлено мінімальні вимоги до кібербезпеки банків. З 1 березня банки зобов'язані запровадити систему управління інформаційною безпекою, а також процес управління ризиками.
У банках мають бути призначені уповноважені особи, які несуть відповідальність за інформаційну безпеку (Chief Information Security Officer). Такі особи мають повноваження, достатні для ухвалення управлінських рішень (посада не нижча за заступника голови правління банку), і забезпечують стратегічне керівництво з питань інформаційної безпеки банку і контроль за впровадженням заходів безпеки інформації у банку.
Також усі співробітники банку пройдуть спеціальне навчання, при розробці програми якого враховуватимуться кібератаки, що вже відбулися.
Крім того, банки повинні забезпечити захист користувачів в інформаційних системах банку. Зокрема, обліковий запис користувача блокуватиметься, у разі 5-разового неправильного введення пароля або невикористання системи впродовж 90 днів.
Заходи кібербезпеки також включають криптографічний захист інформації, захист від шкідливого коду, заходи безпеки при використанні електронної пошти і заходу безпеки в мережі банку.
Положення про організацію заходів по забезпеченню інформаційної безпеки у банківській системі України затверджене постановою НБУ від 28 вересня 2017 року № 95, яка набула чинності 1 березня 2018 року, крім розділу V «Додаткові заходи безпеки інформації», вимоги якого набудуть чинності з 1 вересня 2019 року.
