Structurile de guvernare (sau cele care răspund de asigurarea conformității) din cadrul organizațiilor ar trebui să aibă cunoștință despre proiectele legislative și să inițieze demersurile necesare din timp.

Digital Operational Resilience Act este propunerea de regulament care stabilește ”cerințe uniforme privind securitatea rețelelor și a sistemelor informatice care susțin procesele operaționale ale entităților financiare, necesare pentru a atinge un nivel comun ridicat de reziliență operațională digitală”.

Regulamentul este în curs de aprobare în Parlamentul European, consultările s-au finalizat în anul ce tocmai se încheie. Versiunea finală a regulamentului este așteptată în termen de 18 până la 24 de luni…..Mai este timp 🙂

DORA este în fapt o extensie a ….NIS în cazul instituțiilor financiare (”În ceea ce privește entitățile financiare identificate drept operatori de servicii esențiale în temeiul normelor naționale care transpun articolul 5 din Directiva (UE) 2016/1148, prezentul regulament este considerat drept act juridic al Uniunii specific unui sector în sensul articolului 1 alineatul (7) din directiva respectivă.”). Cea mai mare parte din măsurile minime de securitate cerute de DNSC vor acoperi și cerințele DORA (reponsabilitatea managementului, managementul riscurlor, raportarea incidentelor, pen test…).

….acesta va consolida și va raționaliza modul în care entitățile financiare gestionează riscurile TIC, va stabili o testare amănunțită a sistemelor TIC, va spori gradul de conștientizare a autorităților de supraveghere cu privire la riscurile cibernetice și incidentele legate de TIC cu care se confruntă entitățile financiare și va introduce competențe pentru autoritățile de supraveghere financiară în scopul monitorizării riscurilor care decurg din dependența entităților financiare de furnizorii terți de servicii TIC. Propunerea va crea un mecanism coerent de raportare a incidentelor, care va contribui la reducerea sarcinilor administrative pentru entitățile financiare și va consolida eficacitatea supravegherii.

Dacă în cazul sistemului bancar există ghidurile EBA (de exemplu Guidelines on ICT and security risk management, Guidelines on security measures for operational and security risks under the PSD2) DORA va armoniza regulile de gestionare a riscurilor TIC, raportarea incidentelor, testarea securității (pen test) și riscul asociat terților prin eliminarea obstacolelor din calea și îmbunătățirea înființării și funcționării pieței interne a serviciilor financiare.se va aplica:

a) instituții de credit; 

(b) instituții de plată;

(c) instituții emitente de monedă electronică;

(d) firme de investiții;

(e) furnizori de servicii de criptoactive, emitenți de criptoactive, emitenți de tokenuri raportate la active și emitenți de tokenuri semnificative raportate la active;

(f) depozitari centrali de titluri de valoare;

(g) contrapărți centrale;

(h) locuri de tranzacționare;

(i) registre centrale de tranzacții;

(j) administratori de fonduri de investiții alternative;

(k) societăți de administrare;

(l) furnizori de servicii de raportare a datelor;

(m) întreprinderi de asigurare și de reasigurare;

(n) intermediari de asigurări, intermediari de reasigurări și intermediari de asigurări auxiliare;

(o) instituții pentru furnizarea de pensii ocupaționale;

(p)agenții de rating de credit;

(q) auditori statutari și societăți de audit;

(r) administratori ai indicilor de referință critici;

(s) furnizori de servicii de finanțare participativă;

(t) registre centrale de securitizări;

(u) furnizori terți de servicii TIC.

Proiectul de regulament nu impune o standardizare specifică ci se bazează pe standarde tehnice sau pe cele mai bune practici din industrie, recunoscute la nivel european și internațional și prevede că cerințele trebuie adaptate la dimensiunea, activitatea economică și profilurile de risc ale organizațiilor financiare afectate. Însă, așa cum am evidențiat mai sus, noutatea ține de nominalizarea explicită a furnizorilor de servicii IT și a faptului că ar trebui să existe competența de audit din partea instituției financiare asupra furnizorului de servicii.

Este responsabilitatea organului de conducere al instituției să ”aprobe și verifice periodic planurile de audit al TIC, auditurile TIC și modificările semnificative aduse acestora;”