Банк России планирует ограничить двумя часами допустимое время, в течение которого приложения и другие сервисы банков могут быть недоступны. Как следует из документа, размещенного на сайте ЦБ, не более двух часов могут быть недоступны процессы, связанные со вкладами, переводами, открытием и ведением банковских счетов, операциями на финансовом рынке, кассовыми операциями и онлайн-сервисами дистанционного обслуживания, а также с идентификацией по биометрическим данным. Крупным банкам с активам более 500 млрд руб. на восстановление процессов, которые обеспечивают размещение и обновление биометрических и персональных данных в Единой биометрической системе, планируется дать не более получаса.
О сбоях и принятых мерах банки должны будут сообщать в ЦБ. Их также обяжут уведомлять регулятора о планируемом размещении сообщений на официальных сайтах о сбоях.
Кроме того, банки не реже раза в год должны будут «проводить анализ необходимости пересмотра значений целевых показателей операционной надежности с учетом требований к системе контрольных показателей уровня операционного риска». Под операционной надежностью понимается способность банка обеспечить непрерывное протекание критически важных процессов, если произойдет отказ или сбой систем или оборудования или будет проведена хакерская атака.
Крупные банки с активами более 500 млрд руб. должны будут проводить противодействия целевым компьютерным атакам, моделировать их сценарии, проводить плановые тренировки и оперативно взаимодействовать с ЦБ, говорится в проекте положения.
В ЦБ планируют, что новые нормы вступят в силу 1 октября 2022 года.