Требования к некредитным финкомпаниям по защите информации ужесточат с 2027 года

Банк России расширил перечень некредитных финансовых организаций (НФО), которые с 2027 года обязаны усилить защиту информации при операциях с клиентами. Основание — Указание Банка России от 28.10.2025 № 7219-У, которым вносятся изменения в Положение Банка России от 20.04.2021 № 757-П. Документ опубликован на сайте регулятора и зарегистрирован в Минюсте в начале февраля.

Содержание

Кого коснутся изменения и что именно нужно сделать
Ключевые обновления в Положении № 757-П
Как подготовиться к 2027 году: практический чек-лист
Ответы на вопросы
Нормативные акты и стандарты Указание Банка России от 28.10.2025 № 7219-У «О внесении изменений в Положение Банка России от 20.04.2021 № 757-П». Положение Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

Кого коснутся изменения и что именно нужно сделать

Категория НФО	Новые/уточненные требования	Нормативная база	Срок
Все НФО	Расширен круг организаций, обязанных усиливать защиту информации при клиентских операциях	№ 7219-У к № 757-П	с 2027 года
Страховые организации, НПФ, регистраторы	Привлечение независимых специалистов не реже 1 раза в 3 года с учетом ГОСТ Р 57580.2-2018; анализ ПО и клиентских приложений на соответствие требованиям ИБ	№ 7219-У, ГОСТ Р 57580.2-2018	с 2027 года
МФО	Обязательное использование антивирусных средств; регистрация событий, связанных с защитой данных	№ 7219-У	с 2027 года
Все НФО	Уточнение требований к электронной подписи и средствам криптографической защиты (СКЗИ); порядок регистрации информации о действиях клиентов при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях	№ 7219-У, ГОСТ Р 57580.1-2017	с 2027 года

Читать далее С 20 февраля 2026 упрощены выплаты в цифровых рублях по реестрам для компаний

Ключевые обновления в Положении № 757-П

Скорректирован подп. 1.4.3 п. 1.4 в части требований ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
Для страховщиков, НПФ и регистраторов вводится обязательная независимая проверка защиты данных не реже одного раза в три года с учетом ГОСТ Р 57580.2-2018 «Методика оценки соответствия».
Обязателен анализ программного обеспечения и клиентских приложений на соответствие требованиям по защите информации.
Для МФО устанавливается обязательное применение антивирусных средств и регистрация событий информационной безопасности.
Уточняются требования к электронной подписи и средствам криптографической защиты.
Фиксируется порядок регистрации информации о действиях клиентов при приеме к исполнению электронных сообщений в автоматизированных системах и приложениях.

Как подготовиться к 2027 году: практический чек-лист

Проведите GAP-анализ на соответствие ГОСТ Р 57580.1-2017 и обновленным требованиям № 757-П.
Запланируйте независимую проверку (для страховщиков, НПФ и регистраторов) с учетом ГОСТ Р 57580.2-2018.
Пересмотрите архитектуру ИБ: антивирусная защита, управление уязвимостями, мониторинг и регистрация событий безопасности.
Проведите ревизию ПО и клиентских приложений, оформите результаты тестов и оценки соответствия.
Обновите регламенты по ЭП и СКЗИ, включая политику управления ключами и порядок применения ЭП.
Настройте учет действий клиентов в автоматизированных системах и мобильных/веб‑приложениях: журналирование, хранение и доступность записей.
Обучите персонал и закрепите ответственность за ИБ в локальных актах.

Ответы на вопросы

Бесплатная консультация юриста

Вопрос	Ответ
Кого касаются изменения с 2027 года?	Некредитные финансовые организации, включая страховщиков, НПФ, регистраторов, а также МФО, — в части, установленной № 7219-У к № 757-П.
Как часто нужна независимая проверка?	Для страховых, НПФ и регистраторов — не реже одного раза в три года с учетом требований ГОСТ Р 57580.2-2018.
Кому обязательно использовать антивирусные средства и регистрировать события ИБ?	МФО — в силу новых требований; для прочих НФО меры защиты реализуются по № 757-П и ГОСТ Р 57580.1-2017.
Какие каналы подпадают под учет действий клиентов?	Автоматизированные системы и приложения, через которые принимаются электронные сообщения к исполнению (например, веб‑кабинеты и мобильные приложения).
Нужно ли заранее уведомлять Банк России о выполнении требований?	Оформляйте выполнение документально и будьте готовы предоставлять подтверждения по запросу регулятора в рамках действующих процедур контроля.
Когда начать подготовку?	Уже сейчас: провести GAP-анализ, утвердить план-график до 2027 года, заложить бюджет на доработки и независимую проверку (при необходимости).

Читать далее Кабмин 28 января 2026 утвердил критерии для внесения в реестр посреднических цифровых платформ

Нормативные акты и стандарты

Указание Банка России от 28.10.2025 № 7219-У «О внесении изменений в Положение Банка России от 20.04.2021 № 757-П».

Положение Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».

ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

Полина Недашковская

Опытный юрист с более чем 9-летним стажем работы с запросами клиентов и компаний. Эксперт в области гражданского права, специализируется на сложных делах, требующих глубоких знаний и нестандартных решений. Регулярно публикует статьи в юридическом журнале AMULEX, делясь с читателями экспертным взглядом и анализом актуальных правовых вопросов.