ЦБ ужесточил требования к ИБ: страховщикам необходимо улучшить защиту

От 40% до 60% компаний придется улучшить защиту. Это связано с тем, что ЦБ повысил требования к уровню информационной безопасности некредитных участников финансового рынка, в том числе страховщиков. 

В феврале 2026 года ЦБ ужесточил требования к обеспечению информационной безопасности некредитными финансовыми организациями (НФО). Теперь некредитные финансовые организации обязаны реализовывать дополнительные меры по защите информации. 

Основные изменения коснулись страховщиков, реализующих в данный момент минимальный уровень защиты информации — для них повышаются требования до обеспечения стандартного уровня защиты информации. Так компании должны не реже одного раза в три года привлекать сторонних специалистов для проверки уровня защиты информации с учетом требований национального стандарта. Также организации должны оценивать программное обеспечение и приложения, в том числе предоставляемые клиентам, с точки зрения соответствия требованиям безопасности. 

По оценкам экспертов, минимальный уровень защиты информации реализован примерно у 40–60% страховых компаний. В частности, у топ-10 страховщиков (федеральные игроки, группы с банками) уже внедрены практики ближе к стандартному уровню. Основная «зона роста» — средние и региональные компании, где ИБ исторически развивалась менее системно и часто носила комплаенс-характер. В целом рынок страхования отстает от банковского сектора на 2–4 года по зрелости ИБ-процессов, что подтверждается и регуляторной логикой повышения требований.

У большинства страховщиков уже внедрены базовые СЗИ (антивирус и EDR начального уровня), межсетевые экраны на периметре, контроль доступа и доменная инфраструктура, базовый центр мониторинга информационной безопасности или аутсорсинг мониторинга, выполнение требований по КИИ и ПДН в части инфраструктуры. Внедрить придется гораздо больше позиций. В частности речь идет о многофакторной аутентификации — особенно для критичных систем, администраторов и удаленного доступа, cегментации сети, управлении уязвимостями, усилении мониторинга и реагирования развитие центра мониторинга информационной безопасности, системе анализа поведения пользователей и объектов или решения для мониторинга сетевого трафика у крупных игроков, безопасной разработке — наиболее чувствительный блок для компаний с собственными ИТ-платформами ( тут пока даже у крупных игроков, все на зачаточном уровне), криптографии и УНЭП.