Новости

Положение ЦБ РФ 779-П об операционной надежности НФО: ключевые изменения

С 1 января 2027 года вступают в силу изменения Положения № 779-П, внесенные Указанием Банка России от 28 октября 2025 г. № 7221-У «О внесении изменений в Положение Банка России от 15 ноября 2021 года № 779-П». Банк России внес существенные коррективы в требования к обеспечению операционной надежности некредитных финансовых организаций (НФО).
ОГЛАВЛЕНИЕ
Введение
Ключевые изменения:
1. Расширение перечня организаций и процессов
2. Квартальное планирование доступности
3. Сигнальные и контрольные значения
4. Исключение показателя режима работы
5. Новые правила фиксации инцидентов
6. Новая логика расчета ДДД
7. Расчет фактической деградации (ФД)
8. Обязательные меры по нейтрализации угроз
9. Ужесточение сроков уведомления
Подводя итог

Введение

Новая редакция Положения ЦБ РФ № 779-П смещает фокус с определения и контроля фактических значений целевых показателей операционной надежности на внедрение системы управления сигнальными и контрольными значениями, ужесточает требования к реагированию и уведомлению об инцидентах и расширяет перечень компаний, на которые распространяются требования к обеспечению операционной надежности.

Давайте разберем самые важные изменения.

1. Расширение перечня организаций и процессов

Новая редакция положения расширила перечень организаций, обязанных выполнять требования 779-П. Теперь в него входят и микрофинансовые организации (МФО). Важно, что МФО будут обязаны реализовывать минимальный уровень защиты ГОСТ57580.1

В перечень критических технологических процессов (Приложение к Положению) было добавлено два технологических процесса для МФО: «Технологический процесс, обеспечивающий предоставление микрозайма дистанционно с использованием сети ''Интернет''» и «Технологический процесс, обеспечивающий погашение микрозайма дистанционно с использованием сети ''Интернет'''»

2. Квартальное планирование времени

Закреплена необходимость ежеквартально определять и фиксировать для каждого технологического процесса планируемую продолжительность времени работы (функционирования) технологического процесса в течение следующего квартала.

3. Сигнальные и контрольные значения

Если в действующей редакции 779-П НФО обязаны устанавливать пороговые значения целевых показателей операционной надежности (ЦПОН), то новая редакция вводит сигнальные и контрольные значения для показателей операционной надежности (ПОН).

Организация должна:
- определить сигнальные и контрольные значения ПОН;
- не реже одного раза в квартал проводить анализ необходимости их пересмотра;
- закрепить орган управления, утверждающий установленные значения.

Сигнальное значение — это порог, при достижении которого организация должна немедленно начать реализацию мер по устранению превышения.

Контрольное значение — это критический порог, при достижении которого информация в обязательном порядке доводится до совета директоров (или единоличного исполнительного органа).

4. Исключение показателя режима работы

Показатель соблюдения режима работы (функционирования) технологического процесса исключен из перечня показателей операционной надежности.
ЦПОН (до 31 декабря 2026 года)
ПОН (с 1 января 2027 года)
Состав
• допустимое отношение общего количества финансовых операций, совершенных во время деградации технологического процесса в рамках события операционного риска, к ожидаемому количеству финансовых операций за тот же период в случае непрерывного оказания финансовых услуг (доля деградации технологических процессов) • допустимое время простоя и (или) деградации технологического процесса • суммарное время простоя и (или) деградации технологического процесса в течение последних двенадцати календарных месяцев • показатель соблюдения режима работы (функционирования) технологического процесса
• допустимое отношение общего количества финансовых операций, не совершенных во время деградации технологического процесса в рамках события операционного риска, к ожидаемому количеству финансовых операций за тот же период в случае непрерывного оказания финансовых услуг (допустимая доля деградации технологического процесса) • допустимое время простоя и (или) деградации технологического процесса в рамках события операционного риска (в случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологического процесса); • допустимое суммарное время простоя и (или) деградации технологического процесса (в случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологического процесса) в течение очередного календарного года.
Периодичность пересмотра
Не реже одного раза в год
Не реже одного раза в три месяца
Значения
Пороговые
Сигнальные и контрольные

5. Новые правила фиксации инцидентов

Изменено требование к фиксации инцидента операционной надежности. В текущей редакции 779-П положение Банка России время простоя фиксируется в случае превышения порогового уровня допустимой доли деградации (ДДД) технологического процесса. По новым требованиям фиксация начинается после 5 минут несоблюдения сигнального значения ДДД.

6. Новая логика расчета ДДД

Изменена методика расчета ДДД. Если в действующей версии показатель определяется как доля операций, выполненных во время простоя или деградации процесса, то в новой редакции он рассчитывается как доля операций, не выполненных в этот период, относительно ожидаемого объема.

7. Расчет фактической деградации

Определена методика расчета фактической доли деградации (ФД). Теперь она считается по формуле:
Kt — количество операций, выполненных во время простоя или деградации процесса,
ОКt — ожидаемое количество операций за тот же период.

Показатель рассчитывается как единица минус отношение фактически выполненных операций к ожидаемому объему, то есть напрямую отражает долю недовыполнения.

8. Обязательные меры по нейтрализации угроз

Новая редакция положения прямо указывает на необходимость принятия мер, направленных на нейтрализацию информационных угроз. Важно отметить, что эта необходимость затрагивает как угрозы со стороны поставщиков услуг (включая технологическую зависимость), так и угрозы со стороны внутреннего нарушителя (работников НФО и персонала подрядчиков).

9. Ужесточение сроков уведомления

Ужесточены требования к отчетности и коммуникации с Банком России. Если ранее о проведении пресс-конференций или публикации релизов, связанных с инцидентами, требовалось уведомлять не позднее чем за 1 рабочий день, то в новой редакции — до их проведения. А об инцидентах необходимо сообщать регулятору в течение 3 часов с момента выявления.

Дополнительно расширен перечень данных, подлежащих регистрации при событиях операционного риска. В частности, требуется фиксировать причины отклонений от сигнальных и контрольных значений, а также результаты восстановления технологического процесса.

Подводя итог по Положению 779-П

Новая редакция Положения № 779-П фиксирует переход к более зрелой модели управления операционной надежностью. Акцент смещается с формального соблюдения целевых показателей на постоянный мониторинг, управление отклонениями и оперативное реагирование на инциденты.

Регулятор усиливает требования к прозрачности процессов, скорости коммуникации и глубине анализа инцидентов, а также расширяет зону ответственности за счет учета рисков, связанных с подрядчиками и внутренними нарушителями.

Для НФО это означает необходимость пересмотра действующих подходов: от методик расчета показателей до процедур эскалации и отчетности. В центре внимания — не фиксация факта нарушения, а способность своевременно его выявить, оценить влияние и минимизировать последствия.

Окажем экспертную поддержку

Эксперты Infosecurity помогут провести комплексный аудит и внедрение изменений в соответствии с новой редакцией Положения № 779-П:
  • аудит текущей системы мониторинга и проверка соответствия новым триггерам и формулам расчета деградации
  • актуализация документации и отражение в ОРД новых требований и изменений процессов
  • методология для МФО и создание или актуализация процессов обеспечения операционной надежности, соответствующих требованиям ЦБ РФ
Оставьте заявку на бесплатную консультацию >>>
2026-04-14 14:00 Законодательство Экспертиза