Reziliența operațională digitală a sectorului financiar

ASPECTE-CHEIE

Domeniul de aplicare

Regulamentul vizează:

• instituții de credit, instituții de plată, instituții emitente de monedă electronică și instituții de pensii ocupaționale;
• prestatori de servicii de informare cu privire la conturi, de criptoactive, de raportare a datelor, de finanțare participativă și terțe părți TIC;
• firme de investiții, fonduri de investiții alternative, societăți de administrare, agenții de rating de credit și administratori de indici de referință critici;
• registre centrale de tranzacții și de securitizări, depozitari centrali de titluri de valoare, contrapărți centrale și locuri de tranzacționare;
• societăți de asigurare, intermediari de asigurări și societăți de reasigurare.

Gestionarea riscurilor TIC

Entitățile financiare, altele decât microîntreprinderile, trebuie:

• să dispună de măsuri interne de guvernanță și control care să asigure o gestionare eficace și prudentă a riscurilor TIC;
• să se asigure că organul lor de conducere definește, aprobă, supraveghează și este responsabil pentru toate dispozițiile relevante;
• să dispună de un cadru solid, cuprinzător și bine documentat de gestionare a riscurilor TIC, cu strategiile, politicile, procedurile, protocoalele și instrumentele necesare pentru a răspunde rapid și eficient;
• să utilizeze și să mențină sisteme, protocoale și instrumente TIC actualizate, care sunt adecvate, fiabile, rezistente din punct de vedere tehnologic și au o capacitate suficientă;
• să identifice, să clasifice și să documenteze în mod corespunzător toate funcțiile operaționale și toate rolurile și responsabilitățile sprijinite de TIC și să revizuiască scenariile de risc;
• să monitorizeze în mod continuu securitatea și funcționarea sistemelor și a instrumentelor TIC pentru a reduc la minimum impactul oricărui risc TIC;
• să detecteze cu promptitudine anomaliile și să identifice potențialele puncte de defecțiune;
• să instituie o politică cuprinzătoare de continuitate a activității TIC, cu planuri, proceduri și mecanisme specifice;
• să elaboreze și documenteze politicile privind copiile de rezervă și procedurile de restaurare și recuperare;
• să aloce resurse și personal pentru a evalua vulnerabilitățile și amenințările cibernetice, incidentele legate de TIC, în special atacurile cibernetice, și să analizeze impactul potențial al acestora asupra rezilienței operaționale digitale a entității;
• să elaboreze planuri de comunicare în situații de criză pentru a dezvălui clienților, partenerilor și publicului cel puțin incidentele sau vulnerabilitățile majore legate de TIC.

Gestionarea, clasificarea și raportarea incidentelor legate de TIC

Entitățile financiare trebuie:

• să definească, să instituie și să pună în aplicare măsuri pentru a detecta, a gestiona și a notifica incidentele legate de TIC;
• să clasifice incidentele și să determine impactul acestora pe baza unor criterii precum numărul de clienți și contrapărți afectate, durata, întinderea geografică și pierderile de date;
• să prezinte un raport referitor la incidentele majore legate de TIC autorității competente desemnate, care le transmite unui organism superior, cum ar fi Banca Centrală Europeană sau Autoritatea Bancară Europeană.

Testarea rezilienței operaționale digitale

Entitățile financiare, altele decât microîntreprinderile, trebuie:

• să stabilească, să mențină și să revizuiască un program solid și cuprinzător de testare a rezilienței operaționale digitale, dotat cu evaluările, testele, metodologiile, practicile și instrumentele necesare;
• să efectueze, cel puțin o dată la trei ani, teste de penetrare bazate pe amenințări, pe baza profilului lor de risc și ținând seama de circumstanțele operaționale, și să utilizeze numai entități de testare care sunt certificate, care posedă expertiza și adecvarea necesare și care au asigurare de răspundere civilă profesională.

Gestionarea riscurilor TIC generate de părți terțe

Entitățile financiare trebuie:

• să gestioneze riscurile generate de părți terțe ca parte integrantă a riscului TIC global;
• să dispună de acorduri contractuale pentru serviciile TIC pentru a-și desfășura operațiunile comerciale în deplină conformitate cu legislația relevantă;
• să țină seama de natura, amploarea, complexitatea și importanța dependențelor legate de TIC și de orice riscuri potențiale;
• să evalueze beneficiile și costurile soluțiilor alternative atunci când identifică și evaluează orice riscuri implicate;
• să includă în contract drepturile și obligațiile fiecărei părți, precum și acordul de servicii.

Cadrul de supraveghere a furnizorilor terți esențiali de servicii TIC

Cadrul:

• încredințează Autorităților europene de supraveghere (AES) sarcina de a:
• • desemna, pe baza unor criterii clare, furnizorii terți de servicii TIC considerați a fi esențiali pentru entitățile financiare;
  • desemna, în calitate de supraveghetor principal pentru fiecare furnizor terț esențial de servicii, AES responsabilă pentru entitatea financiară în cauză;
• instituie un Forum de supraveghere pentru:
• • a discuta evoluțiile relevante privind riscurile și vulnerabilitățile TIC și să promoveze o abordare consecventă a UE în materie de monitorizare;
  • a evalua anual activitățile de supraveghere, a promova măsuri de sporire a rezilienței operaționale digitale și a încuraja bunele practici;
  • a prezenta criterii de referință cuprinzătoare pentru furnizorii terți esențiali de servicii TIC;
• mandatează supraveghetorul principal:
• • să fie principalul punct de contact pentru furnizorii terți esențiali de servicii TIC;
  • să evalueze dacă fiecare furnizor esențial dispune de norme, proceduri, mecanisme și măsuri cuprinzătoare, solide și eficace;
  • să solicite toate informațiile și documentația relevante, să efectueze investigații și inspecții (inclusiv în țările din afara UE), să precizeze măsuri de remediere și să emită recomandări;
• să permită Autorității Bancare Europene, Autorității Europene de Asigurări și Pensii Ocupaționale și Autorității Europene pentru Valori Mobiliare și Piețe să colaboreze cu autoritățile de reglementare și de supraveghere din afara UE cu privire la riscurile TIC generate de părți terțe;
• să solicite AES să prezinte Parlamentului European, Consiliului Uniunii Europene și Comisiei Europene, la fiecare cinci ani, un raport confidențial privind relațiile sale cu autoritățile din afara UE.

Criterii pentru desemnarea furnizorilor critici

În temeiul Regulamentului delegat (UE) 2024/1502, furnizorii terți de servicii TIC pot fi desemnați ca fiind critici și puși sub supravegherea directă a AES în urma unei evaluări în două etape.

• Pasul 1 – criterii cantitative

Furnizorul trebuie să îndeplinească praguri măsurabile, precum:

• numărul de entități financiare sau ponderea din totalul activelor acestora care depind de serviciile furnizorului;
• dacă deservește instituții de importanță sistemică (instituții de importanță sistemică globală (G-SII) sau alte instituții de importanță sistemică (O-SII));
• dacă serviciile sale pot fi înlocuite sau dacă trecerea la un alt furnizor ar fi dificilă sau costisitoare.

• Pasul 2 – criterii calitative

Furnizorii care îndeplinesc pasul 1 sunt apoi evaluați în raport cu considerații mai ample, inclusiv:

• impactul potențial sistemic, în cazul în care serviciile lor ar fi perturbate;
• gradul de interdependență dintre entitățile financiare care utilizează același furnizor;
• criticitatea funcțiilor susținute;
• dependența de subcontractanți comuni.

Un furnizor este desemnat critic numai atunci când îndeplinește criteriile prevăzute la ambii pași.

Acorduri privind schimbul de informații

Entitățile financiare pot face schimb reciproc de informații și date operative privind amenințările cibernetice, cu condiția ca acestea:

• să vizeze consolidarea rezilienței lor operaționale digitale;
• să aibă loc în cadrul comunităților lor de încredere;
• să protejeze secretul comercial și datele cu caracter personal și să respecte normele politicii în domeniul concurenței.

Sancțiuni și măsuri de remediere

Autoritățile competente:

• dispun de toate competențele de supraveghere, de investigare și de sancționare necesare pentru a-și îndeplini atribuțiile;
• impun și publică pe site-urile lor internet sancțiunile administrative și măsurile de remediere stabilite de legislația națională.

AES elaborează proiecte de standarde tehnice de reglementare pentru instrumentele de gestionare a riscurilor TIC, clasificarea și raportarea incidentelor legate de TIC și desfășurarea activităților de supraveghere.

Comisia:

• are competența de a adopta acte delegate;
• prezintă Parlamentului și Consiliului, până la 17 ianuarie 2028, o reexaminare a regulamentului, după ce se consultă cu AES și Comitetului european pentru risc sistemic.

Regulamentul modifică Regulamentul (CE) nr. 1060/2009, regulamentele (UE) nr. 648/2012, 909/2014 și 600/2014 și Regulamentul (UE) 2016/1011.