În Monitorul Oficial nr. 227 din 3 aprilie a.c. a fost publicată Norma nr. 6/2015 a Autorităţii de Supraveghere Financiară privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile reglementate, autorizate/avizate şi/sau supravegheate de Autoritatea de Supraveghere Financiară.
În extras
CAPITOLUL I
Dispoziţii generale
Art. 1.
(1) Prezenta normă stabileşte cerinţele la nivelul entităţilor autorizate/avizate, reglementate şi/sau supravegheate de către Autoritatea de Supraveghere Financiară, denumită în continuare A.S.F., pentru identificarea, prevenirea şi reducerea impactului potenţial negativ al riscurilor operaţionale generate de utilizarea tehnologiei informaţiei şi comunicaţiilor la nivel de oameni, procese, sisteme şi mediu extern, inclusiv de fapte ce ţin de criminalitatea informatică.
(2) Prezenta normă stabileşte activităţi şi operaţiuni pentru evaluarea, supravegherea şi controlul riscurilor operaţionale generate de utilizarea sistemelor informatice şi ale securităţii informatice.
Art. 2.
Prezenta normă se aplică următoarelor categorii de entităţi autorizate/avizate, reglementate şi/sau supravegheate de A.S.F., denumite în continuare entităţi:
- a) operatori de piaţă/operatori de sistem;
- b) societăţi de administrare a investiţiilor (SAI), organisme de plasament colectiv (OPC şi AOPC) care se autoadministrează, după cum urmează:
- societăţi cu active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de peste 250 milioane euro, echivalent lei;
- societăţi cu active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de până la 250 milioane euro, echivalent lei;
- c) depozitari centrali, case de compensare/contrapărţi centrale;
- d) intermediari — societăţi de servicii de investiţii financiare (S.S.I.F.) încadrate la art. 6 alin. (1) din Legea nr. 297/2004 privind piaţa de capital, cu modificările şi completările ulterioare, sucursale ale intermediarilor din state nemembre şi instituţii de credit din România autorizate de Banca Naţională a României în conformitate cu legislaţia bancară şi înscrise în Registrul public al A.S.F. în calitate de intermediar, şi anume:
- intermediari care au calitatea de operator independent;
- intermediari care prestează servicii conexe, prevăzute la art. 5 alin. (11) lit. a) din Legea nr. 297/2004, cu modificările şi completările ulterioare;
- intermediari care folosesc facilităţi de tranzacţionare prin internet (ADP/AS) — platforme de preluare şi transmitere a ordinelor clienţilor;
- intermediari care au calitatea de market makeri şi/sau furnizori de lichiditate;
- intermediari care tranzacţionează pe cont propriu şi nu se încadrează în categoriile de la pct. 1—4;
- intermediari care nu tranzacţionează pe cont propriu şi nu se încadrează în categoriile de la pct. 1—4;
- e) traderi;
- f) Fondul de compensare a investitorilor;
- g) societăţi de asigurare/reasigurare;
- h) brokeri de asigurare/reasigurare;
- i) entităţi care desfăşoară activitatea de depozitare a activelor organismelor de plasament colectiv şi a fondurilor de pensii private;
- j) societăţi de administrare a fondurilor de pensii private.
Art. 3.
Termenii şi expresiile utilizate în prezenta normă au înţelesul prevăzut în anexa nr. 1.
Art. 4.
(1) Prevederile prezentei norme se aplică de către entităţi în funcţie de categoria de risc stabilită de A.S.F. conform art. 6 alin. (1) şi, respectiv, în funcţie de rezultatul evaluării interne a riscurilor, pe baza celor mai bune practici în domeniu.
(2) Categoria de risc corespunzătoare fiecărui tip de entitate este stabilită de către A.S.F. în funcţie de natura, dimensiunea şi complexitatea activităţii acesteia, precum şi de riscurile pe care le poate induce, respectiv de impactul asupra activităţii, în conformitate cu prevederile art. 6 alin. (1).
(3) Entităţile vor participa la colectarea, analizarea, monitorizarea şi raportarea evenimentelor de securitate informatică, în cadrul sistemului dezvoltat de A.S.F.
Art. 5.
(1) Entităţile evaluează anual şi monitorizează continuu riscurile operaţionale generate de utilizarea sistemelor informatice, prioritizează resursele, implementează măsuri de securitate informatică şi monitorizează eficacitatea acestora prin aplicarea managementului de risc.
(2) Modalitatea de implementare a măsurilor de securitate informatică este stabilită de fiecare entitate, în funcţie de profilul de risc, de riscurile identificate, de incidentele apărute, în conformitate cu cerinţele legale aplicabile.
CAPITOLUL II
Încadrarea entităţilor în categorii de risc
Art. 6.
(1) În scopul prezentei norme, entităţile prevăzute la art. 2 se includ în patru categorii de risc: „risc major”, „risc important”, „risc mediu”, „risc scăzut”, după cum urmează:
- a) entităţile prevăzute la art. 2 lit. a), c) şi lit. d) pct. 1 reprezintă entităţi încadrate în categoria de „risc major”;
- b) entităţile prevăzute la art. 2. lit. d) pct. 2, 3 şi 4, lit. g) şi i) reprezintă entităţi încadrate în categoria de „risc important”;
- c) entităţile prevăzute la art. 2 lit. b) pct. 1, lit. d) pct. 5 şi lit. f) reprezintă entităţi încadrate în categoria de „risc mediu”;
- d) entităţile prevăzute la art. 2 lit. b) pct. 2, lit. d) pct. 6, lit. e) şi h) reprezintă entităţi încadrate în categoria de „risc scăzut”.
(2) Entitatea care prestează mai multe tipuri de activităţi autorizate de către A.S.F., încadrându-se astfel în mai multe categorii de risc dintre cele menţionate la alin. (1), va respecta obligaţiile instituite pentru fiecare activitate autorizată în parte.
(3) Societăţile de administrare a fondurilor de pensii private vor fi încadrate individual în categorii de risc, conform prevederilor art. 44 alin. (4) lit. e) şi ale art. 51 din Norma Consiliului Autorităţii de Supraveghere Financiară nr. 3/2014 privind controlul intern, auditul intern şi administrarea riscurilor în sistemul de pensii private.
(4) Încadrarea, respectiv reîncadrarea entităţilor menţionate la art. 2 lit. b) se realizează la începutul fiecărui an, în baza valorii totale a activelor în portofoliu/administrate din ultima zi lucrătoare a anului anterior.
(5) Încadrarea, respectiv reîncadrarea entităţilor menţionate la art. 2 lit. d) se realizează la începutul fiecărui an, în baza activităţii autorizate de A.S.F. şi a deţinerii calităţii de market maker/furnizor de lichiditate în ultima zi lucrătoare a anului anterior.