Reziliența operațională digitală a sectorului financiar

SINTEZĂ PRIVIND:

Regulamentul (UE) 2022/2554 privind reziliența operațională digitală a sectorului financiar

CARE ESTE ROLUL ACESTUI REGULAMENT?

Acesta stabilește norme uniforme privind securitatea rețelelor și a sistemelor informatice ale entităților financiare, cum ar fi băncile, societățile de asigurări și firmele de investiții.

Acesta acoperă o gamă largă de entități financiare reglementate din Uniunea Europeană (UE), cerându-le să reziste, să reacționeze și să se redreseze în urma oricărei perturbări sau amenințări care implică tehnologiile informației și comunicațiilor (TIC).

ASPECTE-CHEIE

Domeniul de aplicare

Regulamentul vizează:

• instituții de credit, instituții de plată, instituții emitente de monedă electronică și instituții de pensii ocupaționale;
• prestatori de servicii de informare cu privire la conturi, de criptoactive, de raportare a datelor, de finanțare participativă și terțe părți TIC;
• firme de investiții, fonduri de investiții alternative, societăți de administrare, agenții de rating de credit și administratori de indici de referință critici;
• registre centrale de tranzacții și de securitizări, depozitari centrali de titluri de valoare, contrapărți centrale și locuri de tranzacționare;
• societăți de asigurare, intermediari de asigurări și societăți de reasigurare.

Gestionarea riscurilor TIC

Entitățile financiare, altele decât microîntreprinderile, trebuie:

• să dispună de măsuri interne de guvernanță și control care să asigure o gestionare eficace și prudentă a riscurilor TIC;
• să se asigure că organul lor de conducere definește, aprobă, supraveghează și este responsabil pentru toate dispozițiile relevante;
• să dispună de un cadru solid, cuprinzător și bine documentat de gestionare a riscurilor TIC, cu strategiile, politicile, procedurile, protocoalele și instrumentele necesare pentru a răspunde rapid și eficient;
• să utilizeze și să mențină sisteme, protocoale și instrumente TIC actualizate, care sunt adecvate, fiabile, rezistente din punct de vedere tehnologic și au o capacitate suficientă;
• să identifice, să clasifice și să documenteze în mod corespunzător toate funcțiile operaționale și toate rolurile și responsabilitățile sprijinite de TIC și să revizuiască scenariile de risc;
• să monitorizeze în mod continuu securitatea și funcționarea sistemelor și a instrumentelor TIC pentru a reduc la minimum impactul oricărui risc TIC;
• să detecteze cu promptitudine anomaliile și să identifice potențialele puncte de defecțiune;
• să instituie o politică cuprinzătoare de continuitate a activității TIC, cu planuri, proceduri și mecanisme specifice;
• să elaboreze și documenteze politicile privind copiile de rezervă și procedurile de restaurare și recuperare;
• să aloce resurse și personal pentru a evalua vulnerabilitățile și amenințările cibernetice, incidentele legate de TIC, în special atacurile cibernetice, și să analizeze impactul potențial al acestora asupra rezilienței operaționale digitale a entității;
• să elaboreze planuri de comunicare în situații de criză pentru a dezvălui clienților, partenerilor și publicului cel puțin incidentele sau vulnerabilitățile majore legate de TIC.

Gestionarea, clasificarea și raportarea incidentelor legate de TIC

Entitățile financiare trebuie:

• să definească, să instituie și să pună în aplicare măsuri pentru a detecta, a gestiona și a notifica incidentele legate de TIC;
• să clasifice incidentele și să determine impactul acestora pe baza unor criterii precum numărul de clienți și contrapărți afectate, durata, întinderea geografică și pierderile de date;
• să prezinte un raport referitor la incidentele majore legate de TIC autorității competente desemnate, care le transmite unui organism superior, cum ar fi Banca Centrală Europeană sau Autoritatea bancară europeană.

Testarea rezilienței operaționale digitale

Entitățile financiare, altele decât microîntreprinderile, trebuie:

• să stabilească, să mențină și să revizuiască un program solid și cuprinzător de testare a rezilienței operaționale digitale, dotat cu evaluările, testele, metodologiile, practicile și instrumentele necesare;
• să efectueze, cel puțin o dată la trei ani, teste de penetrare bazate pe amenințări, pe baza profilului lor de risc și ținând seama de circumstanțele operaționale – și să utilizeze numai entități de testare care sunt certificate, care posedă expertiza și adecvarea necesare și care au asigurare de răspundere civilă profesională.

Gestionarea riscurilor TIC generate de părți terțe

Entitățile financiare trebuie:

• să gestioneze riscurile generate de părți terțe ca parte integrantă a riscului TIC global;
• să dispună de acorduri contractuale pentru serviciile TIC pentru a-și desfășura operațiunile comerciale în deplină conformitate cu legislația relevantă;
• să țină seama de natura, amploarea, complexitatea și importanța dependențelor legate de TIC și de orice riscuri potențiale;
• să evalueze beneficiile și costurile soluțiilor alternative atunci când identifică și evaluează orice riscuri implicate;
• să includă în contract drepturile și obligațiile fiecărei părți, precum și acordul de servicii.

Cadrul de supraveghere a furnizorilor terți esențiali de servicii TIC

Cadrul:

• încredințează Autorităților europene de supraveghere (AES) sarcina de a:
  • desemna, pe baza unor criterii clare, furnizorii terți de servicii TIC considerați a fi esențiali pentru entitățile financiare;
  • desemna, în calitate de supraveghetor principal pentru fiecare furnizor terț esențial de servicii, AES responsabilă pentru entitatea financiară în cauză;
• instituie un Forum de supraveghere pentru:
  • a discuta evoluțiile relevante privind riscurile și vulnerabilitățile TIC și să promoveze o abordare consecventă a UE în materie de monitorizare;
  • a evalua anual activitățile de supraveghere, a promova măsuri de sporire a rezilienței operaționale digitale și a încuraja cele mai bune practici;
  • a prezenta criterii de referință cuprinzătoare pentru furnizorii terți esențiali de servicii TIC;
• mandatează supraveghetorul principal:
  • să fie principalul punct de contact pentru furnizorii terți esențiali de servicii TIC;
  • să evalueze dacă fiecare furnizor esențial dispune de norme, proceduri, mecanisme și măsuri cuprinzătoare, solide și eficace;
  • să solicite toate informațiile și documentația relevante, să efectueze investigații și inspecții (inclusiv în țările din afara UE), să precizeze măsuri de remediere și să emită recomandări;
• permite Autorității bancare europene, Autorității europene de asigurări și pensii ocupaționale și Autorității europene pentru valori mobiliare și piețe să colaboreze cu autoritățile de reglementare și de supraveghere din afara UE cu privire la riscurile TIC generate de părți terțe;
• solicită AES să prezinte Parlamentului European, Consiliului Uniunii Europene și Comisiei Europene, la fiecare cinci ani, un raport confidențial privind relațiile sale cu autoritățile din afara UE.

Acorduri privind schimbul de informații

Entitățile financiare pot face schimb reciproc de informații și date operative privind amenințările cibernetice, cu condiția ca acestea:

• să vizeze consolidarea rezilienței lor operaționale digitale;
• să aibă loc în cadrul comunităților lor de încredere;
• să protejeze secretul comercial și datele cu caracter personal și să respecte normele politicii în domeniul concurenței.

Sancțiuni și măsuri de remediere

Autoritățile competente:

• dispun de toate competențele de supraveghere, de investigare și de sancționare necesare pentru a-și îndeplini atribuțiile;
• impun și publică pe site-urile lor internet sancțiunile administrative și măsurile de remediere stabilite de legislația națională.

AES elaborează proiecte de standarde tehnice de reglementare pentru instrumentele de gestionare a riscurilor TIC, clasificarea și raportarea incidentelor legate de TIC și desfășurarea activităților de supraveghere.

Comisia:

• are competența de a adopta acte delegate;
• prezintă Parlamentului și Consiliului, până la 17 ianuarie 2028, o reexaminare a regulamentului, după ce se consultă cu AES și Comitetului european pentru risc sistemic.

Regulamentul modifică Regulamentele (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 909/2014, (UE) nr. 600/2014 și (UE) 2016/1011.

DE CÂND SE APLICĂ REGULAMENTUL?

Se aplică de la 17 ianuarie 2025.

CONTEXT

Reformele care au urmat crizei financiare din 2008 au consolidat în primul rând stabilitatea financiară a sectorului. Riscurile legate de TIC au fost abordate doar indirect în anumite domenii și au continuat să reprezinte o provocare la adresa rezilienței operaționale, a performanței și a stabilității sistemului financiar al UE.

Regulamentul, cunoscut sub numele de DORA, face parte dintr-un pachet mai amplu de măsuri privind finanțarea digitală, care are ca scop promovarea dezvoltării tehnologice și asigurarea stabilității financiare și a protecției consumatorilor. Celelalte elemente ale sale cuprind o strategie privind finanțele digitale, piețele de criptoactive și tehnologia registrelor distribuite.

Pentru informații suplimentare, consultați:

• Pachetul privind finanțele digitale (Comisia Europeană).

DOCUMENTUL PRINCIPAL

Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, pp. 1-79).

DOCUMENTE CONEXE

Comunicare a Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social European și Comitetul Regiunilor referitoare la Strategia UE privind finanțele digitale [COM(2020) 591 final, 24.9.2020].

Regulamentul (UE) 2016/1011 al Parlamentului European și al Consiliului din 8 iunie 2016 privind indicii utilizați ca indici de referință în cadrul instrumentelor financiare și al contractelor financiare sau pentru a măsura performanțele fondurilor de investiții și de modificare a Directivelor 2008/48/CE și 2014/17/UE și a Regulamentului (UE) nr. 596/2014 (JO L 171, 29.6.2016, pp. 1-65).

Modificările succesive aduse Regulamentului (UE) 2016/1011 au fost integrate în textul de bază. Această versiune consolidată are doar un caracter informativ.

Regulamentul (UE) nr. 909/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind îmbunătățirea decontării titlurilor de valoare în Uniunea Europeană și privind depozitarii centrali de titluri de valoare și de modificare a Directivelor 98/26/CE și 2014/65/UE și a Regulamentului (UE) nr. 236/2012 (JO L 257, 28.8.2014, pp. 1-72).

A se vedea versiunea consolidată.

Regulamentul (UE) nr. 600/2014 al Parlamentului European și al Consiliului din 15 mai 2014 privind piețele instrumentelor financiare și de modificare a Regulamentului (UE) nr. 648/2012 (JO L 173, 12.6.2014, pp. 84-148).

A se vedea versiunea consolidată.

Regulamentul (UE) nr. 648/2012 al Parlamentului European și al Consiliului din 4 iulie 2012 privind instrumentele financiare derivate extrabursiere, contrapărțile centrale și registrele centrale de tranzacții (JO L 201, 27.7.2012, pp. 1-59)

A se vedea versiunea consolidată.

Regulamentul (CE) nr. 1060/2009 al Parlamentului European și al Consiliului din 16 septembrie 2009 privind agențiile de rating de credit (JO L 302, 17.11.2009, pp. 1-31).

A se vedea versiunea consolidată.

Data ultimei actualizări: 10.01.2024