Указание Банка России от 28.10.2025 N 7221-У "О внесении изменений в Положение Банка России от 15 ноября 2021 года N 779-П" (Зарегистрировано в Минюсте России 06.02.2026 N 85264)
Зарегистрировано в Минюсте России 6 февраля 2026 г. N 85264
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
от 28 октября 2025 г. N 7221-У
В ПОЛОЖЕНИЕ БАНКА РОССИИ ОТ 15 НОЯБРЯ 2021 ГОДА N 779-П
На основании статьи 76.4-2 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", части 1 статьи 12 Федерального закона от 20 июля 2020 года N 211-ФЗ "О совершении финансовых сделок с использованием финансовой платформы", части 15 статьи 5, части 11 статьи 10 Федерального закона от 31 июля 2020 года N 259-ФЗ "О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации":
1. Внести в Положение Банка России от 15 ноября 2021 года N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" <1> следующие изменения:
--------------------------------
<1> Зарегистрировано Минюстом России 28 марта 2022 года, регистрационный N 67961.
1.1. В пункте 1.2:
КонсультантПлюс: примечание.
Абз. 2 пп. 1.1 п. 1 вступает в силу с 01.01.2028.
абзац первый после слов "клиринговую деятельность, репозитарную деятельность," дополнить словами "микрофинансовых организаций,";
в абзаце первом слова "финансовых операций", зарегистрированного Министерством юстиции Российской Федерации 15 июня 2021 года N 63880" заменить словами "финансовых операций" <1>";
дополнить абзацами следующего содержания:
"Некредитные финансовые организации ежеквартально должны определять и фиксировать для каждого технологического процесса планируемую продолжительность времени работы (функционирования) технологического процесса в течение следующего квартала.
При определении планируемой продолжительности времени работы (функционирования) технологических процессов в расчет не включаются периоды времени плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов и проводимых в соответствии с внутренними документами некредитных финансовых организаций.";
дополнить сноской 1 следующего содержания:
"<1> Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880, с изменениями, внесенными Указанием Банка России от 28 октября 2025 года N 7219-У (зарегистрировано Минюстом России 6 февраля 2026 года, регистрационный N 85262)".
1.2. Пункт 1.3 изложить в следующей редакции:
"1.3. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны установить и соблюдать для каждого осуществляемого ими технологического процесса, указанного в приложении к настоящему Положению, следующие значения контрольных показателей уровня операционного риска для целей обеспечения операционной надежности (далее - показатели операционной надежности):
сигнальное значение показателя операционной надежности, при достижении которого проводится реализация мер, направленных на устранение превышения фактического значения показателя над данным значением (далее - сигнальное значение);
контрольное значение показателя операционной надежности, при достижении которого информация доводится до совета директоров (наблюдательного совета) некредитной финансовой организации, коллегиального исполнительного органа некредитной финансовой организации (в случае его отсутствия - до единоличного исполнительного органа некредитной финансовой организации) (далее - контрольное значение).
Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны определить орган управления некредитной финансовой организации, который утверждает сигнальные и контрольные значения показателей операционной надежности.
К показателям операционной надежности относятся:
допустимая доля деградации технологического процесса, определяемая как допустимое отношение общего количества финансовых операций, не совершенных во время деградации технологического процесса в рамках события или серии связанных событий операционного риска, вызванных информационными угрозами, которые привели к неоказанию или ненадлежащему оказанию финансовых услуг (далее - событие операционного риска, связанное с нарушением операционной надежности), к ожидаемому количеству финансовых операций за тот же период в случае непрерывного оказания финансовых услуг;
допустимое время простоя и (или) деградации технологического процесса в рамках события операционного риска, связанного с нарушением операционной надежности (в случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологического процесса);
допустимое суммарное время простоя и (или) деградации технологического процесса (в случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологического процесса) в течение очередного календарного года.
Контрольное значение допустимого времени простоя и (или) деградации технологического процесса в рамках события операционного риска, связанного с нарушением операционной надежности, устанавливается некредитной финансовой организацией, обязанной соблюдать усиленный, стандартный или минимальный уровень защиты информации, не выше значений, предусмотренных приложением к настоящему Положению.
Сигнальное и контрольное значения допустимой доли деградации технологических процессов должны рассчитываться некредитной финансовой организацией, обязанной соблюдать усиленный, стандартный или минимальный уровень защиты информации, на основании статистических данных за период не менее двенадцати календарных месяцев, предшествующих дате определения сигнального и контрольного значений данного показателя операционной надежности, за исключением случая, предусмотренного абзацем одиннадцатым настоящего пункта, и (или) иных данных, обосновывающих их определение (по выбору некредитной финансовой организации).
В случае если технологический процесс функционирует менее двенадцати календарных месяцев, некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны определять сигнальное и контрольное значения допустимой доли деградации технологического процесса на основании статистических данных за период с даты начала его функционирования и (или) иных данных, обосновывающих их определение (по выбору некредитной финансовой организации).
В случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны фиксировать:
фактическое время простоя и (или) деградации технологического процесса, исчисляемое по каждому событию операционного риска, связанному с нарушением операционной надежности (с момента нарушения технологического процесса по причине реализации события операционного риска, связанного с нарушением операционной надежности, до момента восстановления выполнения технологического процесса);
суммарное время простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев;
фактическую долю деградации технологического процесса в рамках события операционного риска, связанного с нарушением операционной надежности, рассчитываемую по формуле:
ФД - фактическая доля деградации технологического процесса;
Кt - общее количество финансовых операций, осуществленных во время простоя и (или) деградации технологического процесса;
ОКt - ожидаемое во время деградации технологического процесса количество финансовых операций, осуществляемых в рамках данного технологического процесса, в случае непрерывного оказания финансовых услуг.
По каждому событию операционного риска, связанному с нарушением операционной надежности, некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны регистрировать следующую информацию:
данные, используемые для фиксации несоблюдения установленных сигнальных и контрольных значений показателей операционной надежности;
данные, позволяющие выявить причину несоблюдения установленных сигнальных и контрольных значений показателей операционной надежности;
информацию о принятых мерах и проведенных мероприятиях по реагированию на выявленное некредитной финансовой организацией или Банком России событие операционного риска, связанное с нарушением операционной надежности;
информацию о результате восстановления технологического процесса.
При определении времени простоя и (или) деградации технологических процессов в расчет не включаются периоды времени проведения плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов.
Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны обеспечить контроль за соблюдением сигнальных и контрольных значений показателей операционной надежности.
Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны не реже одного раза в три месяца проводить анализ необходимости пересмотра сигнальных и контрольных значений показателей операционной надежности, по итогам которого указанные некредитные финансовые организации должны актуализировать их либо принять решение об отсутствии необходимости в актуализации указанных значений.
Некредитные финансовые организации, осуществляющие деятельность клиринговой организации, центрального контрагента, центрального депозитария и репозитария, должны выполнять требования настоящего пункта наряду с требованиями к системе управления рисками, установленными пунктами 7 и 8 Положения Банка России от 2 октября 2023 года N 827-П "О требованиях к управлению рисками клиринговых организаций, центральных контрагентов, центрального депозитария и репозитариев в части управления операционным риском" <2>. Некредитные финансовые организации, осуществляющие деятельность организатора торговли, должны выполнять требования настоящего пункта наряду с требованиями к системе управления рисками, установленными подпунктами 3.1.16 и 3.1.17 пункта 3.1 Указания Банка России от 7 мая 2018 года N 4791-У "О требованиях к организации организатором торговли системы управления рисками, связанными с организацией торгов, а также с осуществлением операций с собственным имуществом, и к документам организатора торговли, определяющим меры, направленные на снижение указанных рисков и предотвращение конфликта интересов" <3>.";
дополнить сносками 2 и 3 следующего содержания:
"<2> Зарегистрировано Минюстом России 29 ноября 2023 года, регистрационный N 76162.
<3> Зарегистрировано Минюстом России 17 сентября 2018 года, регистрационный N 52176, с изменениями, внесенными Указаниями Банка России от 2 октября 2023 года N 6557-У (зарегистрировано Минюстом России 29 ноября 2023 года, регистрационный N 76167), от 13 мая 2025 года N 7053-У (зарегистрировано Минюстом России 10 июня 2025 года, регистрационный N 82603).".
1.3. В пункте 1.5:
абзац второй признать утратившим силу;
абзац третий изложить в следующей редакции:
"организацию и выполнение процедур управления изменениями в критичной архитектуре, включая планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение непрерывного оказания финансовых услуг;".
1.4. В пункте 1.7:
в абзаце втором слова "управление риском реализации информационных угроз при привлечении поставщиков услуг" заменить словами "принятие мер, направленных на нейтрализацию информационных угроз, связанных с привлечением поставщиков услуг";
абзац третий изложить в следующей редакции:
"принятие мер, направленных на нейтрализацию информационных угроз, обусловленных технологической зависимостью функционирования своих объектов информационной инфраструктуры от поставщиков услуг.".
1.5. В пункте 1.9 слова "в рамках обеспечения операционной надежности" заменить словами "в части принятия мер, направленных на нейтрализацию информационных угроз со стороны внутреннего нарушителя,".
1.6. В абзаце первом пункта 1.11 слова "управление риском возникновения зависимости обеспечения операционной надежности от субъектов доступа - работников" заменить словами "принятие мер, направленных на нейтрализацию информационных угроз в отношении зависимости обеспечения операционной надежности от работников".
1.7. В абзаце шестом пункта 1.13 слова "обеспечить реализацию требований к операционной надежности начиная с разработки и планирования" заменить словами "реализовывать требования к операционной надежности начиная с".
1.8. Абзацы второй, шестой - девятый пункта 1.14 признать утратившими силу.
1.9. В пункте 1.15:
в абзаце втором слова "в случае превышения допустимой доли деградации технологических процессов" заменить словами "в случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов";
в абзаце третьем слова "не позднее одного рабочего дня до проведения мероприятия" заменить словами "до проведения указанных мероприятий".
1.10. В пункте 1.16:
в абзаце втором слова "значений целевых показателей" заменить словами "сигнальных и контрольных значений показателей";
абзац третий изложить в следующей редакции:
"определять и фиксировать по итогам указанного в абзаце втором настоящего пункта анализа перечень технологических процессов, пороговые уровни допустимого времени простоя и (или) деградации технологических процессов, а также закреплять или пересматривать сигнальные и контрольные значения показателей операционной надежности либо принимать мотивированное решение об отсутствии необходимости в обеспечении непревышения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, соблюдения сигнальных и контрольных значений показателей операционной надежности;";
в абзаце четвертом слова "и значений целевых показателей" заменить словами ", сигнальных и контрольных значений показателей".
1.11. В приложении:
1.11.1. В строке 12.3:
графу 2 изложить в следующей редакции: "Технологический процесс, обеспечивающий работу сайтов в части размещения информации, предусмотренной пунктом 6 статьи 6 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации", за исключением работы сайтов в целях осуществления обязательного страхования гражданской ответственности владельцев транспортных средств (для работы сайтов в целях осуществления обязательного страхования гражданской ответственности владельцев транспортных средств - в соответствии с Указанием Банка России от 6 апреля 2023 года N 6405-У "О требованиях к обеспечению бесперебойности и непрерывности функционирования официальных сайтов страховщиков и профессионального объединения страховщиков в информационно-телекоммуникационной сети "Интернет", а в случаях, предусмотренных правилами обязательного страхования, иных информационных систем в целях осуществления обязательного страхования гражданской ответственности владельцев транспортных средств" <4>)";
дополнить сноской 4 следующего содержания:
"<4> Зарегистрировано Минюстом России 13 июля 2023 года, регистрационный N 74256, с изменениями, внесенными Указаниями Банка России от 3 февраля 2025 года N 6995-У (зарегистрировано Минюстом России И марта 2025 года, регистрационный N 81502), от 1 августа 2025 года N 7134-У (зарегистрировано Минюстом России 2 сентября 2025 года, регистрационный N 83437).".
1.11.2. В графе 2 строки 13.1 слова "и негосударственного пенсионного обеспечения" заменить словами ", негосударственного пенсионного обеспечения и формирования долгосрочных сбережений".
1.11.3. В графе 2 строки 13.3 слова "Пенсионный фонд" заменить словами "Фонд пенсионного и социального страхования".
1.11.4. В графе 2 строки 13.5 слова "об обязательном пенсионном страховании с негосударственным пенсионным фондом" заменить словами "долгосрочных сбережений, договора об обязательном пенсионном страховании с фондом".
КонсультантПлюс: примечание.
Пп. 1.11.5 п. 1 вступает в силу с 01.01.2028.
1.11.5. Дополнить строками следующего содержания:
2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 12 сентября 2025 года N ПСД-27) вступает в силу с 1 января 2027 года, за исключением абзаца второго подпункта 1.1 и подпункта 1.11.5 пункта 1 настоящего Указания.
Абзац второй подпункта 1.1 и подпункт 1.11.5 пункта 1 настоящего Указания вступают в силу с 1 января 2028 года.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875