4.1. В случае если некредитная финансовая организация на дату определения уровня защиты информации определила более высокий уровень защиты информации по сравнению с реализуемым ею уровнем защиты информации, такая некредитная финансовая организация должна обеспечить выполнение предусмотренных настоящим Положением требований к более высокому уровню защиты информации не позднее девяти месяцев с даты определения уровня защиты информации.
4.2. В случае совмещения некредитной финансовой организацией видов деятельности в сфере финансовых рынков, осуществление которых обусловливает необходимость реализации одновременно двух уровней защиты информации, такая некредитная финансовая организация должна обеспечить соблюдение требований, предъявляемых к более высокому уровню защиты информации, при условии, что при совмещении деятельности она использует единые объекты информационной инфраструктуры.
4.3. Действие настоящего Положения не распространяется на отношения, регулируемые Федеральным законом от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст.4736).
При обеспечении безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются при осуществлении финансовых операций некредитными финансовыми организациями и которые являются объектами критической информационной инфраструктуры Российской Федерации, настоящее Положение применяется наряду с требованиями Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
Действие настоящего Положения не распространяется на лиц, осуществляющих актуарную деятельность.
4.4. Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 4 декабря 2020 года N ПСД-29) вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых настоящим пунктом установлены иные сроки вступления их в силу.
Абзац четвертый подпункта 1.4.2, абзацы одиннадцатый - четырнадцатый подпункта 1.4.3 пункта 1.4, главы 2 и 3, за исключением абзаца четвертого пункта 3.3, настоящего Положения вступают в силу с 1 января 2022 года.
Подпункт 1.4.4 пункта 1.4 настоящего Положения вступает в силу с 1 июля 2022 года.
Абзац первый пункта 1.7 настоящего Положения вступает в силу с 1 января 2022 года и действует по 30 июня 2023 года включительно.
Абзац второй пункта 1.7 настоящего Положения вступает в силу с 1 июля 2023 года.
Абзац четвертый пункта 3.3 настоящего Положения вступает в силу с 1 января 2024 года.
4.5. Со дня вступления в силу настоящего Положения признать утратившим силу Положение Банка России от 17 апреля 2019 года N 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций", зарегистрированное Министерством юстиции Российской Федерации 16 мая 2019 года N 54634.
Председатель
Центрального банка
Российской Федерации
Э.С.Набиуллина
СОГЛАСОВАНО:
Директор
Федеральной службы безопасности
Российской Федерации
А.В.Бортников
Директор
Федеральной службы по техническому
и экспортному контролю
В.В.Селин
Зарегистрировано
в Министерстве юстиции
Российской Федерации
15 июня 2021 года,
регистрационный N 63880