ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ КАЗАХСТАН

от 29 апреля 2026 года №47

Об утверждении Правил формирования системы управления рисками и внутреннего контроля для операторов обмена необеспеченных цифровых активов, операторов платформы цифровых финансовых активов, операторов торговой платформы цифровых активов

В соответствии с подпунктом 10) части второй пункта 1 статьи 4 Закона Республики Казахстан "О цифровых активах в Республике Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемые Правила формирования системы управления рисками и внутреннего контроля для операторов обмена необеспеченных цифровых активов, операторов платформы цифровых финансовых активов, операторов торговой платформы цифровых активов (далее – Правила).

2. Департаменту платежных систем и цифровых финансовых технологий Национального Банка Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:

1) совместно с Юридическим департаментом Национального Банка Республики Казахстан государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

2) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент Национального Банка Республики Казахстан сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Национального Банка Республики Казахстан.

4. Настоящее постановление вводится в действие с 1 мая 2026 года и подлежит официальному опубликованию.

Приостановить до 12 июля 2026 года действие:

подпунктов 1), 8) и 27) пункта 2 Правил, установив, что в период приостановления данные подпункты действуют в следующей редакции:

"1) информационный актив – совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки;

8) риск информационной безопасности – вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов ПУЦА;

27) риск информационных технологий – вероятность возникновения ущерба вследствие отказа (нарушения функционирования) информационно-коммуникационных технологий, эксплуатируемых ПУЦА;";

подпункта 16) пункта 2 Правил, установив, что в период приостановления данный подпункт действует в следующей редакции:

"16) операционный риск – риск возникновения расходов (убытков) в результате недостатков или ошибок в ходе осуществления внутренних процессов, допущенных со стороны работников (человеческих ресурсов) и ходе ненадлежащего функционирования информационных систем, цифровых платформ (торговых платформ) и технологий, а также вследствие влияния внешних событий, за исключением стратегического риска и репутационного риска;";

подпункта 24) пункта 2 Правил, установив, что в период приостановления данный подпункт действует в следующей редакции:

"24) система управления рисками – совокупность взаимосвязанных элементов: процедур, методик, информационных систем, объединенных в единый процесс по управлению реализованными и потенциальными рисками в рамках приемлемого для акционера (участника) уровня риска и направленных на достижение целей и задач по управлению рисками. В процессе выявления и управления реализованными и потенциальными рисками, влияющими на деятельность ПУЦА, участвуют органы ПУЦА, руководящие работники и работники структурных подразделений (ответственные работники) в пределах закрепленной компетенции и ответственности. Процесс выявления и управления реализованными и потенциальными рисками включает в себя оценку риска, измерение риска, контроль риска и мониторинг риска;";

подпункта 1) пункта 3 Правил, установив, что в период приостановления данный подпункт действует в следующей редакции:

"1) эффективного управления рисками ПУЦА посредством своевременного их выявления, измерения, контроля и мониторинга для обеспечения соответствия деятельности ПУЦА, выбранной бизнес модели, требованиям по корпоративному управлению, функционированию информационных систем, цифровых платформ (торговых платформ) и систем управленческой информации, проведению разрешенных операций, управлению активами и обязательствами, функционированию системы учета ПУЦА и иных информационных и коммуникационных систем ПУЦА, а также уровню принимаемых им рисков и наличия соответствующего уровня ликвидности;";

подпунктов 3), 4) и 5) пункта 7 Правил, установив, что в период приостановления данные подпункты действуют в следующей редакции:

"3) проведение регулярного мониторинга систем учета, иных информационных и коммуникационных систем (цифровых платформ, торговых платформ) в целях обеспечения бесперебойности, непрерывности деятельности процесса оказания услуг цифровых активов для ПУЦА (за исключением оператора обмена необеспеченных цифровых активов), учета прав по цифровым активам и иным финансовым инструментам, расчетов в цифровых активов и (или) деньгах, а также отражения сведений, содержащихся в соответствующих системах учета;

4) проведение ежегодного внутреннего аудита программно-технического обеспечения ПУЦА, включая информационные и коммуникационные системы, используемые ПУЦА в своей деятельности;