ЦБ обязует банки обеспечить исполнение требований к 30 июня 2017 года.
Еще несколько рекомендаций получили статус обязательных требований. Например, если компьютер подключен к платежной системе, он должен быть недоступен по локальной сети банка. Кроме того, компьютеры, участвующие в осуществлении платежей в ЦБ, должны постоянно мониториться на предмет модификации ПО или попыток подключения к неизвестным серверам. ЦБ оставляет за банками решение, сообщать ли о киберинцидентах, связанных исключительно с банком. Например, банк может не докладывать в ЦБ о DDoS-атаке, но обязан уведомить в кратчайшие сроки обо всех инцидентах, затрагивающих инфраструктуру ЦБ.
После публикации новых требований ЦБ банки, умолчавшие об инцидентах, могут быть наказаны — вплоть до отключения от системы БЭСП и крупного штрафа до 1% от размера уставного капитала.