НБУ встановив мінімальні вимоги до кібербезпеки банків. Так, банки зобов'язані впровадити систему управління інформаційною безпекою, а також процес управління рисками.
У банку призначатиметься уповноважена особа, відповідальна за інформаційну безпеку (Chief Information Security Officer). До його повноважень віднесений визначення напрямів розвитку інформаційної безпеки банків, а також контроль за впровадженням заходів кібербезпеки.
Також усі співробітники банку проходитимуть спеціальне навчання, при розробці програми якого враховуватимуться кибератаки, що сталися.
Крім того, банки повинні забезпечити захист користувачів в інформаційних системах банку. Зокрема, обліковий запис користувача блокуватиметься, у разі 5-разового неправильного введення пароля або невикористання системи впродовж 90 днів.
Заходи кибербезопансости також включають криптографічний захист інформації, захист від шкідливого коду, заходи безпеки при використанні електронної пошти і заходу безпеки в мережі банку.
Положення про організацію заходів по забезпеченню інформаційної безпеки у банківській системі України затверджене постановою НБУ від 28 вересня 2017 року № 95. Постанова набуває чинності з 1 березня 2018 року, окрім розділу V "Додаткові заходи безпеки інформації", вимоги якого набудуть чинності з 1 вересня 2019 року.
