Постанова НБУ №143: що потрібно зробити страховикам, кредитним спілкам та фінансовим компаніям | Softprom
News | 09.04.2026
У грудні 2025 року Національний банк України затвердив постанову №143 — нормативний акт, що встановлює обов'язкові вимоги до інформаційної безпеки та кіберзахисту для небанківських фінансових установ. Документ набув чинності 10 грудня 2025 року. Дедлайн виконання — грудень 2026. Під дію підпадають понад 2600 організацій: страхові компанії, кредитні спілки, фінансові компанії та ломбарди. Невиконання загрожує санкціями від НБУ та НКЦПФР аж до відкликання ліцензії.
Softprom — VAD-дистриб'ютор із понад 120 вендорів кіберрішень у портфелі. Нижче — практичний гід: які саме вимоги висуває постанова, які класи рішень їх закривають і які продукти з портфеля Softprom допоможуть досягти відповідності.
Замовте безкоштовний аналіз відповідності НБУ №143 — зв'яжіться з нашим менеджером.
Що таке Постанова НБУ №143?
Постанова НБУ №143 — нормативний акт НБУ, що встановлює обов'язкові вимоги до організації заходів з інформаційної безпеки та кіберзахисту для небанківських надавачів фінансових послуг.
Кого це стосується?
Страхові компанії, кредитні спілки, фінансові компанії (лізингові, факторингові, платіжні), ломбарди. Банки регулюються окремими нормативами і під дію цієї постанови не підпадають.
- Страхові компанії: близько 130 активних ліцензіатів
- Кредитні спілки: понад 300 організацій
- Фінансові компанії (лізинг, факторинг, платіжні системи): понад 700
- Ломбарди: понад 1500
Коли дедлайн?
- Постанова набула чинності 10 грудня 2025 року. Строк виконання — 12 місяців, тобто до грудня 2026 року. Вимоги щодо EOL-програмного забезпечення мають розширений строк — до 2 років.
Які санкції за невиконання?
- Письмове попередження, штрафні санкції, зупинення або відкликання ліцензії. Крім НБУ, частину організацій наглядає НКЦПФР — подвійна відповідальність.
Чи поширюється на ломбарди та малі компанії?
- Так, на всіх. Але постанова передбачає пропорційний підхід — мінімально необхідний рівень захисту визначається, виходячи з реальних ризиків і обсягу операцій організації.
10 напрямків, які вимагає Постанова НБУ №143
1 Призначити відповідальну особу з ІБ (п. 11/2)
Керівник зобов'язаний призначити особу, відповідальну за виконання вимог ІБ та кіберзахисту — штатного або зовнішнього спеціаліста. Обов'язки мають бути задокументовані.
Клас рішень: організаційні заходи
2 Розробити внутрішні документи з ІБ (пп. 11–14)
Затвердити політику ІБ, положення, стандарти та інструкції. Щорічний перегляд. Письмове підтвердження ознайомлення всіх співробітників.
Клас рішень: організаційні заходи
3 Управління доступом: IAM + PAM + MFA (пп. 16, 17, 18–25)
Ідентифікація та автентифікація всіх користувачів; блокування після 5 невдалих спроб; автоблокування через 90 днів неактивності. Для адмінів — окремі облікові записи, паролі 15+ символів, сесійне журналювання. Обов'язкова MFA при будь-якому дистанційному підключенні.
- IAM: суміжні задачі IAM частково покривають Ivanti (управління правами та конфігураціями) і Remedio (Gytpol) (контроль GPO та policy)
- PAM — Softprom пропонує: Segura
- MFA — Softprom пропонує: OneSpan, ProID
4 Мережева безпека: VPN, NGFW, NAC, Anti-DDoS (пп. 25, 29–32)
Сегментація мережі; контрольовані точки доступу; ізольована DMZ; захист від DDoS; заборона роботи неідентифікованого обладнання в ІКС.
- VPN / Secure Remote Access — Softprom пропонує: Belden macmon ZTNA, Citrix, Ivanti, VMware by Broadcom
- NGFW / Firewall / DMZ — Softprom пропонує: Akamai, Barracuda Networks, Forcepoint
- Anti-DDoS — Softprom пропонує: Akamai, Thales (Imperva)
- NAC — Softprom пропонує: Belden macmon NAC, Ivanti, Portnox
5 Захист кінцевих точок: EPP/EDR + DLP (пп. 32, 35–40)
Захист від шкідливого ПЗ; перевірка змінних носіїв; облік та ідентифікація всіх носіїв; знищення інформації перед виведенням з експлуатації.
- EPP / EDR — Softprom пропонує: AppGuard, Deceptive Bytes, ESET, Rapid7
- DLP / Media Control — Softprom пропонує: Forcepoint, Seclore
- Browser / Web Isolation (рекомендовано): Akamai, Menlo Security (Votiro)
6 Моніторинг та журналювання: SIEM + NDR + SOC (пп. 26–29, 43–44)
Централізований збір та зберігання журналів подій мінімум 1 рік; захист від модифікації; доступ лише відповідальній особі; рекомендовано — моніторинг 24/7.
- SIEM / Log Management — Softprom пропонує: NXLog, Rapid7, SecureGate (SG Box), Stellar Cyber
- NDR — Softprom пропонує: Greycortex, LECS, LiveAction, Stellar Cyber, VMware by Broadcom
- SOC / Incident Monitoring (рекомендовано): Rapid7, SecureGate (SG Box), Stellar Cyber
7 Управління вразливостями та оновленнями (пп. 33–34)
Регулярний аудит для виявлення вразливостей; лише підтримувані версії ОС та ПЗ; при EOL — план переходу протягом 2 років.
- Vulnerability Management — Softprom пропонує: ImmuniWeb, Rapid7, Tripwire
- Patch Management — Softprom пропонує: Automox, Ivanti, Remedio (Gytpol)
8 Резервне копіювання та BCM (пп. 34)
Резервне копіювання як обов'язковий компенсуючий захід; план BC як частина плану реагування на кіберінциденти.
- Backup & Recovery — Softprom пропонує: AWS, Barracuda Networks, Google Cloud
9 Управління активами та реєстри (п. 25/4)
Реєстр ПЗ та апаратних засобів ІКС; актуалізація не рідше 1 разу на рік; контроль несанкціонованого ПЗ та обладнання.
10 Управління інцидентами та підрядниками (пп. 40–46)
Розробка плану реагування на кіберінциденти; взаємодія з НБУ; NDA з підрядниками; заборона залучення резидентів держав-агресорів.
- IRP / SOAR — Softprom пропонує: Rapid7, SecureGate (SG Box), Stellar Cyber
- Vendor / Third-party Management — Softprom пропонує: OneTrust
- Threat Intelligence (рекомендовано): BrandShield, Flare, HackNotice, KELA, ZeroFox
- Digital Risk / Anti-Phishing (рекомендовано): Akamai, BrandShield, Cofense, ZeroFox
- Security Awareness & Training — Softprom пропонує: Cofense, Cyberbit
Таблиця рішень по вимогах НБУ №143
| Вимога НБУ | Клас рішень | Вендори Softprom |
|---|---|---|
| Відповідальна особа (п. 11) | GRC | Організаційні заходи |
| Внутрішні документи (пп. 11–13) | Policy Management | Організаційні заходи |
| IAM (пп. 18–25) | Identity Mgmt | Ivanti, Remedio — часткове покриття |
| PAM (пп. 22–24) | Privileged Access | Segura |
| MFA (п. 16) | Multi-Factor Auth | OneSpan, ProID |
| VPN / NAC (пп. 16, 25) | Network Access | Belden, Citrix, Ivanti, Portnox, VMware by Broadcom |
| NGFW / Anti-DDoS (пп. 29–31) | Network Security | Akamai, Barracuda Networks, Thales (Imperva), Forcepoint |
| EPP / EDR (пп. 32, 39) | Endpoint | AppGuard, Automox, Deceptive Bytes, ESET, Rapid7 EDR |
| DLP (пп. 35–40) | Data Loss Prevention | Forcepoint, Seclore |
| SIEM (пп. 26–29) | Log Management | NXLog, Rapid7, SecureGate (SG Box), Stellar Cyber |
| NDR (пп. 26–29) | Network Detection | Greycortex, LECS, LiveAction, Stellar Cyber |
| Vulnerability Mgmt (пп. 33–34) | VM / Scanning | ImmuniWeb, Rapid7, Tripwire |
| Patch Management (пп. 33–34) | Patching | Automox, Ivanti, Remedio (Gytpol) |
| Backup (пп. 34) | Backup & Recovery | AWS, Barracuda Networks, Google Cloud |
| Asset Management (п. 14, 25) | CMDB | Armis, Ivanti, Remedio (Gytpol) |
| IRP / SOAR (пп. 42–46) | Incident Response | Rapid7, SecureGate (SG Box), Stellar Cyber |
| Vendor Management (пп. 7–9) | Third-party Risk | OneTrust |
Чому фінансові установи звертаються до Softprom
- 120+ вендорів у портфелі — більшість напрямків НБУ №143 в одному місці. Не потрібно окремо шукати рішення для MFA, SIEM, DLP.
- Чесна комунікація щодо прогалин. Якщо для якогось напрямку у нас немає оптимального рішення — ми скажемо про це прямо і допоможемо знайти альтернативу. Не продаємо те, що не підходить.
- Безкоштовний gap-аналіз без зобов'язань. Аналізуємо інфраструктуру, порівнюємо з вимогами постанови, надаємо конкретний список прогалин.
- Рішення під реальний бюджет. Підбираємо мінімально необхідний набір для compliance — без переплат за зайвий функціонал.
- Підбір сертифікованого інтегратора. Після визначення архітектури Softprom підбирає партнера-інтегратора зі спеціалізацією під ваш стек.
Замовте безкоштовний аудит відповідності НБУ №143. Ми проаналізуємо вашу інфраструктуру, порівняємо з вимогами постанови і підготуємо список конкретних прогалин із рекомендованими рішеннями під ваш бюджет. Без зобов'язань.
Часті запитання про Постанову НБУ №143
Постанова не передбачає окремого перехідного періоду. Єдиний дедлайн для всіх — 12 місяців із дати набуття чинності. Принцип пропорційності дозволяє малим організаціям обмежитися мінімально необхідним набором відповідно до реальних ризиків.
Аналіз — порівняння поточного стану вашої інфраструктури з вимогами Постанови. Результат: конкретний список прогалин із пріоритетами та рекомендованими рішеннями. Softprom проводить аналіз безкоштовно.
SIEM — система централізованого збору та аналізу журналів подій безпеки. Постанова (пп. 26–29) вимагає централізованого зберігання журналів мінімум 1 рік із захистом від модифікації — де-факто SIEM або аналог обов'язковий. Для малих організацій: NXLog + SecureGate (SG Box).
Відповідно до п. 10 Постанови — керівник надавача фінансових послуг, який зобов'язаний призначити відповідальну особу з ІБ. У невеликих організаціях цю роль може виконувати IT-менеджер за сумісництвом, але обов'язки мають бути задокументовані.
Більшість технічних вимог — обов'язкові (невиконання тягне санкції). Рекомендованими є, наприклад, цілодобовий SOC-моніторинг для малих організацій і деякі заходи threat intelligence.
Офіційний текст Постанови Правління НБУ від 09.12.2025 №143 доступний за посиланням.
Softprom — VAD-дистриб'ютор рішень з кібербезпеки та IT-інфраструктури. Представляємо понад 120 вендорів в Україні, Східній Європі, Центральній Азії та на Близькому Сході.
Share:
