Общий знаменатель. ЦБ подготовил указание для МФО и НФО по кибербезопасности

Центральный банк России опубликовал указание №7219-У, которое повышает требования по информационной безопасности для микро- и некредитных финансовых организаций (МФО и НФО). Согласно сообщению регулятора, с 1 января 2027 г. МФО должны применять антивирусные средства и регистрировать события, связанные с защитой информации, а все страховые компании, негосударственные пенсионные фонды (НПФ) и регистраторы должны реализовывать дополнительные меры по защите информации.

"К примеру, не реже одного раза в три года они обязаны с учетом требований национального стандарта привлекать сторонних специалистов, чтобы те проверяли уровень защиты информации организации. Компании также должны оценивать программное обеспечение и приложения, в том числе предоставляемые клиентам, с точки зрения соответствия требованиям безопасности", - говорится в сообщении регулятора.

Представитель пресс-службы ЦБ РФ отметил, что Банк России постоянно анализирует эффективность и достаточность требований и актуализирует их по мере необходимости. Он напомнил, что финансовые организации обязаны выполнять требования Центробанка, и защита информации - не исключение. В обратном случае регулятор вправе применить меры надзорного реагирования.

https://www.comnews.ru/content/243793/2026-02-13/2026-w07/1008/troechku…

"Банк России опубликовал указание, вносящее серьезные изменения в регулирование информационной безопасности для некредитных финансовых организаций. В первую очередь обращает на себя внимание, что микрофинансовые организации (МФО) впервые включены в сферу действия этих требований и с 1 января 2027 г. они будут обязаны применять криптографические средства защиты информации (СКЗИ), регистрировать все действия клиентов (время соединения, IP-адреса) и внедрять меры по обеспечению целостности электронных сообщений", - рассказал советник ООО "Юридическая фирма Интеллект" (Intellect) Дмитрий Абросимов

Он добавил, что ключевым нововведением для всех остальных игроков (страховых компаний, негосударственных пенсионных фондов, регистраторов) станет обязательное привлечение сторонних специалистов для проверки уровня защиты информации не реже одного раза в три года и сертификация или оценка соответствия всего используемого программного обеспечения, включая клиентские приложения. По его словам, "заметным" ужесточением стало сокращение сроков реагирования на инциденты: теперь об утечках или компьютерных атаках организации с усиленным уровнем защиты обязаны сообщать в ЦБ РФ в течение трех часов, а не суток.

"Регулятор запретил использование технологии "единого входа" (однократной аутентификации) через Госуслуги для финансовых операций, требуя каждый раз запрашивать новое подтверждение. Очевидно, что эти изменения связаны с резким ростом кибератак и мошеннических операций именно в сегменте микрофинансирования и среди нефинансовых структур, которые раньше оставались на периферии внимания регулятора. Кроме того, расширение практик с биометрией и цифровыми активами потребовало более жестких стандартов защиты для всех участников рынка. По сути, ЦБ РФ приводит требования для всех финансовых посредников к общему знаменателю, ориентируясь на повышенные банковские стандарты безопасности", - отметил Дмитрий Абросимов.

https://www.comnews.ru/content/243842/2026-02-17/2026-w08/1009/centroba…

Коммерческий директор ООО "Гриндата" (GreenData) Сергей Лебедев отметил, что уровень информационной безопасности в банковском секторе в целом выше, чем у остальных участников профильного рынка. По его мнению, это результат многолетнего регуляторного давления, выстроенных процессов мониторинга и реагирования, а также крупных бюджетов на информационную безопасность. Но не смотря на это, банки все еще остаются в зоне повышенных киберрисков. Он сослался на данные ФинЦЕРТа, согласно которым ЦБ РФ зафиксировал рост киберинцидентов, включая атаки с шифрованием на инфраструктуру с целью не только выкупа, но и нанесения максимального ущерба.

"У МФО и части некредитных финансовых организаций ситуация более неоднородная. У многих из них меньше внутренних ИБ-команд, выше зависимость от подрядчиков и типовых решений, а контроль процессов и уязвимостей часто менее зрелый. Страховые компании и НПФ в среднем ближе к банковскому уровню, но разрыв между крупными и средними игроками заметен. Именно на это регулятор делает акцент, в том числе на проверках защиты и оценке ПО и клиентских приложений", - рассказал он.

О "неоднородности" информационной безопасности в российском финансовом секторе рассказал и директор по маркетингу ООО "Веб3 Интегратор" (Web3 Tech) Матвей Войтов. Он согласился, что крупные банки за последние годы организовали надежные подходы к безопасности - на уровне мировых стандартов, но в сегменте негосударственных пенсионных фондов и микрофинансовых организаций ситуация иная.

"Их инфраструктура в большинстве случаев менее защищена, а бюджеты на кибербезопасность ограничены. При этом цифровые сервисы этих организаций активно развиваются, они хранят и обрабатывают чувствительные данные. Так что разрыв между текущими рисками ИБ и уровнем защиты действительно существует в данном сегменте", - сказал он.

https://www.comnews.ru/content/243842/2026-02-17/2026-w08/1009/centroba…

Матвей Войтов отметил, что разрыв между уровнями безопасности больших банков и других финансовых организаций при росте количества кибератак и усложнении финансовых технологий стал причиной повышения требований ЦБ РФ. По его мнению, цель регулятора - распространить безопасную среду на всех участников финрынка и их инфраструктуру, как внутренние системы, так и клиентские приложения. Он сказал, что строительство доверенной цифровой среды требует единых и жестких стандартов безопасности для всех участников на всех уровнях, и новые указания ЦБ направлены на устранение "узких" мест.

С ним согласился Сергей Лебедев. По его словам, ужесточение требований - это снижение системного риска и повышение доверия к финансовым сервисам вне банковского сектора.

"Цифровизация операций у МФО и НФО растет, а вместе с ней растет и поверхность атак: от фишинга и социнженерии до компрометации приложений и инфраструктуры. Банк России прямо указывает, что расширяет круг НФО, которые должны повысить уровень защиты при проведении операций с клиентами, и вводит для МФО базовые, но обязательные меры вроде антивирусной защиты и регистрации событий ИБ. Эти требования для большинства МФО станут обязательными с 1 января 2027 г.", - заключил он.

https://www.comnews.ru/content/243815/2026-02-16/2026-w08/1008/cb-rossi…