În Monitorul Oficial nr. 233 din 16 martie a.c. a fost publicată Norma Autorității de Supraveghere Financiară nr. 4/2018 privind gestionarea riscurilor operaționale generate de sistemele informatice utilizate de entitățile autorizate/avizate/înregistrate, reglementate și/sau supravegheate de către Autoritatea de Supraveghere Financiară.
CAPITOLUL I
Dispoziţii generale
Art. 1.
(1) Prezenta normă stabileşte cerinţele la nivelul entităţilor autorizate/avizate/înregistrate, reglementate şi/sau supravegheate de către Autoritatea de Supraveghere Financiară, denumită în continuare A.S.F., pentru identificarea, prevenirea şi reducerea impactului potenţial negativ al riscurilor operaţionale generate de utilizarea tehnologiei informaţiei şi comunicaţiilor la nivel de oameni, procese, sisteme şi mediu extern, inclusiv pentru fapte ce ţin de criminalitatea informatică.
(2) Prezenta normă reglementează activităţile şi operaţiunile pentru evaluarea, supravegherea şi controlul riscurilor operaţionale generate de utilizarea sistemelor informatice, precum şi gestionarea riscurilor privind securitatea sistemelor informatice importante în vederea asigurării securităţii informatice a entităţilor prevăzute la alin. (1).
Art. 2.
Prezenta normă se aplică următoarelor categorii de entităţi autorizate/avizate/înregistrate, reglementate şi/sau supravegheate de către A.S.F., denumite în continuare entităţi:
a) operatori de piaţă/operatori de sistem;
b) societăţi de administrare a investiţiilor (S.A.I.), administratori de fonduri de investiţii alternative (A.F.I.A.), respectiv:
- societăţi care deţin active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de peste 250 milioane euro, echivalent lei;
- societăţi care deţin active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de până la 250 milioane euro, echivalent lei;
c) depozitari centrali, case de compensare/contrapărţi centrale;
d) intermediari – societăţi de servicii de investiţii financiare (S.S.I.F.) sucursale ale intermediarilor din state terţe şi instituţii de credit din România autorizate de Banca Naţională a României în conformitate cu legislaţia bancară şi înscrise în Registrul instrumentelor şi investiţiilor financiare al A.S.F. în calitate de intermediar, respectiv:
- intermediari care au calitatea de operatori independenţi;
- S.S.I.F. semnificative din punctul de vedere al mărimii, organizării interne şi naturii, extinderii şi complexităţii activităţii, conform reglementărilor specifice;
- intermediari care prestează servicii conexe de păstrare în siguranţă şi administrare a instrumentelor financiare în contul clienţilor, inclusiv custodia şi servicii în legătură cu aceasta, cum ar fi administrarea fondurilor sau garanţiilor;
- intermediari care folosesc facilităţi de tranzacţionare prin internet (ADP/AS) – platforme de preluare şi transmitere a ordinelor clienţilor;
- intermediari care au calitatea de market makeri şi/sau furnizori de lichiditate;
- intermediari care tranzacţionează pe cont propriu şi nu se încadrează în categoriile de la pct. 1-5;
- intermediari care nu tranzacţionează pe cont propriu şi nu se încadrează în categoriile de la pct. 1-5;
e) traderi;
f) Fondul de compensare a investitorilor, Fondul de garantare a asiguraţilor şi Fondul de garantare a drepturilor din sistemul de pensii private;
g) societăţi de asigurare şi reasigurare;
h) brokeri de asigurare;
i) Biroul asigurătorilor de autovehicule din România;
j) entităţi care desfăşoară activitatea de depozitare a activelor organismelor de plasament colectiv şi a fondurilor de pensii private;
k) administratorii fondurilor de pensii private.
Art. 3.
(1) Entităţile prevăzute la art. 2 au obligaţia de a identifica toate sistemele informatice importante utilizate pe ambele componente, respectiv infrastructura hardware şi software, care sunt esenţiale în activitatea desfăşurată de către acestea.
(2) Sistemele informatice importante prevăzute la alin. (1) cuprind, în funcţie de tipul entităţii, cel puţin următoarele, fără a se limita la acestea:
a) sisteme informatice necesare pentru derularea în bune condiţii a activităţii autorizate/avizate de A.S.F.:
- sisteme de tranzacţionare/sisteme alternative de tranzacţionare;
- sisteme de compensare, decontare, depozitare şi custodie;
- platforme/aplicaţii de tranzacţionare sau distribuţie prin internet sau telefon;
- sisteme de gestiune asiguraţi;
- sisteme de gestiune şi subscriere contracte de asigurare;
- sisteme de înregistrare şi gestiune a dosarelor de daună;
- platforme de emitere a contractelor de asigurare;
- sisteme de calcul al comisioanelor;
- sisteme de gestiune a contractelor de reasigurare;
- sisteme de gestiune a participanţilor la fondurile de pensii private;
- sisteme de administrare a portofoliilor de instrumente financiare ale fondurilor de pensii private;
- sisteme de call-center;
- aplicaţii online utilizate în scopul de distribuţie şi informare a clienţilor, precum accesarea conturilor online;
- sisteme informatice de back-office, altele decât cele care se încadrează la pct. 1-13;
b) sisteme interne pentru asigurarea raportărilor către A.S.F, şi alte instituţii/entităţi ale pieţei financiare;
c) sisteme informatice folosite în activitatea financiar-contabilă a entităţii, cum ar fi programele de contabilitate;
d) sisteme electronice de vot şi alte sisteme informatice cu implicaţii semnificative asupra sistemului de guvernanţă al entităţii, precum sisteme de tip teieconferinţă/videoconferinţă utilizate pentru desfăşurarea la distanţă a şedinţelor consiliului de administraţie/consiliului de supraveghere;
e) sisteme informatice cu impact asupra planului pentru continuitatea afacerii şi redresării activităţii în caz de dezastre;
f) aplicaţii centrale de business, altele decât cele care se încadrează la lit. a)-e);
g) infrastructura informatică utilizată pentru sistemele informatice importante găzduite în locaţiile de centre de date.
(3) Entităţile au obligaţia să întocmească şi să actualizeze permanent un registru cu sistemele informatice importante identificate în conformitate cu prevederile alin. (1) şi (2).
(4) Registrul întocmit în conformitate cu prevederile alin. (3) este supus verificării de către auditorul IT.
Art. 4.
Entităţile extind scopul auditului IT şi la alte sisteme în situaţiile prevăzute la art. 29 alin. (1).
Art. 5.
(1) Prevederile prezentei norme se aplică de către entităţi în funcţie de categoria de risc stabilită de către A.S.F. conform prevederilor art. 10 şi 11, precum şi în funcţie de rezultatul evaluării interne a riscurilor, pe baza celor mai bune practici în domeniu.
(2) Categoria de risc corespunzătoare fiecărui tip de entitate este stabilită de către A.S.F. în funcţie de natura, dimensiunea şi complexitatea activităţii acesteia, precum şi de riscurile pe care le poate induce şi care au impact asupra activităţii.
Art. 6.
(1) Entităţile au obligaţia să evalueze anual şi să monitorizeze continuu riscurile operaţionale generate de utilizarea sistemelor informatice importante, să prioritizeze resursele, să implementeze măsuri de securitate informatică şi să monitorizeze eficacitatea acestora prin aplicarea managementului de risc.
(2) Modalitatea de implementare a măsurilor de securitate informatică prevăzute la alin. (1) este stabilită de fiecare entitate, în funcţie de profilul de risc, de riscurile identificate, de incidentele apărute, în conformitate cu cerinţele legale aplicabile.
Art. 7.
Entităţile participă la colectarea, analizarea, monitorizarea şi raportarea evenimentelor de securitate informatică, în cadrul sistemului care va fi dezvoltat de către A.S.F.
Art. 8.
Termenii şi expresiile utilizate în prezenta normă au înţelesul prevăzut în anexa nr. 1.