Codirlaşu, CFA România: O mare parte din reglementările pentru rezilienţa operaţională digitală DORA sunt prinse în legislaţia românească

O mare pare din reglementările cu care vine Directiva europeană privind rezilienţa operaţională digitală (DORA) sunt prinse într-un fel sau altul în legislaţia românească, dar va trebui să vedem unde sunt golurile şi cum le acoperim, a afirmat miercuri Adrian Codirlaşu, vicepreşedinte CFA România, într-o conferinţă de specialitate.
AGERPRES - mie, 06 nov. 2024, 15:46
Codirlaşu, CFA România: O mare parte din reglementările pentru rezilienţa operaţională digitală DORA sunt prinse în legislaţia românească

„Riscul cibernetic şi riscul aferent furnizorilor terţi sunt riscuri operaţionale. Prin urmare, DORA se referă la o componentă a riscului operaţional. Însă dacă ne uităm, să zicem, la tipurile de evenimente de risc operaţional prevăzute de legislaţie, începând cu Basel II, sunt şapte tipuri de evenimente şi aş spune că DORA se referă la patru dintre ele. Poate chiar la cinci. Practic, la ce ne poate duce neluarea în considerare a acestui risc aferent utilizării de echipamente IT? La fraude ne poate conduce, în cazul în care sistemele nu sunt corect setate şi avem asemenea evenimente şi ne mai poate conduce la întreruperi ale activităţii într-o instituţie financiară. De asemenea, când nu sunt corect implementate sau corect calibrate pentru activitatea pe care o avem, ne poate duce la erori în relaţia cu clienţii şi chiar cu reglementatorii atunci când avem de raportat anumite lucruri făcute de sisteme şi nu reuşim să raportăm. Deci, vedem că merge către o mare parte din riscurile operaţionale. De asemenea, trebuie să ne uităm şi la relaţia cu terţii”, a explicat Adrian Codirlaşu, la conferinţa „DORA – Strategy, Regulation, Resilience” organizată de Oxygen Events şi Model Tree.

El a adăugat că în legislaţia românească pe partea de sistem bancar există regulamentul BNR, care se referă la condiţiile de externalizare semnificativă, unde trebuie expres aprobarea Băncii Naţionale, lucru care este mai strict reglementat decât de Directiva DORA, scrie Agerpres.

Adrian Codirlaşu a afirmat că şi pe partea de piaţă financiară nebancară, România are norme ASF care reglementează riscul cibernetic şi relaţiile cu terţii, însă Directiva DORA vine cu ceva suplimentar.

„Până acum în legislaţia aveam doar partea de externalizări, dar mai putem avea relaţii cu terţii care nu sunt externalizări, sunt de exemplu contracte pe o perioadă limitată. Însă, asemenea relaţii implică instituţia financiară. Dacă se întâmplă o fraudă la furnizorul terţ sau scurgere de informaţii la furnizorii terţi, nouă ne vine ca instituţie financiară amenda de la reglementator. Deci, noi răspundem pentru ceea ce face tereţul. Şi în contextul acesta vine DORA cu nişte cerinţe care trebuie puse pe furnizorii de asemenea servicii pentru a gestiona tocmai riscurile operaţionale aferente sistemelor IT din aceste instituţii terţe”, a explicat Adrian Codirlaşu.

Potrivit acestuia, Directiva vine cu cerinţe privind teste de penetrare a sistemelor, inclusiv pentru companiile terţe, fapt care va creşte costul furnizării de asemenea servicii.

„În concluzie, o mare parte dintre componentele riscului operaţional sunt acoperite de DORA. În legislaţia românească aveam o mare parte dintre ele, deci avem pe ce construi. E adevărat, trebuie să punem într-un anumit framework toate lucrurile acestea, însă nu pornim de la zero. O mare parte din aceste reglementări sunt cumva într-un fel sau altul prinse în legislaţia a românească. Altele erau să zicem implicite, nu prevăzute expres însă va trebui să să existe un proces de a vedea unde sunt gap-urile şi de a le acoperi”, a mai spus Adrian Codirlaşu.

Guvernul a aprobat, în septembrie, un proiect de lege care transpune în legislaţia naţională Directiva DORA, pentru consolidarea securităţii cibernetice a entităţilor financiare şi, implicit, o mai bună protejare a informaţiilor clienţilor de servicii financiare, a declarat atunci purtătorul de cuvânt al Executivului, Mihai Constantin.

„Începând cu 17 ianuarie 2025, anul viitor aşadar, vor fi aplicate în România noi reglementări pentru consolidarea securităţii cibernetice a entităţilor financiare şi, implicit, o mai bună protejare a informaţiilor clienţilor de servicii financiare. Este vorba despre transpunerea în legislaţia naţională a Directivei DORA printr-un proiect de lege aprobat astăzi de către Guvern şi care urmează să fie transmis, tot în procedură de urgenţă, Parlamentului. Directiva DORA se va aplica începând, aşa cum am anunţat, cu 17 ianuarie anul viitor, împreună cu Regulamentul 2554 pe 2022 al Uniunii Europene privind rezilienţa operaţională digitală pentru sectorul financiar, care este de directă aplicare şi nu necesită transpunere în dreptul intern. Ambele aceste documente, regulamentul şi proiectul de lege, au scopul să sprijine şi să faciliteze consolidarea securităţii cibernetice în domeniul serviciilor financiare”, a precizat Mihai Constantin.

Acesta a dat şi exemple de aplicabilitate a reglementărilor europene menţionate.

„De exemplu, Banca Naţională a României va fi informată cu privire la orice incident operaţional sau de securitate major. De asemenea, potrivit regulamentului DORA, care se va aplica în mod direct, se menţionează că în cazul în care are loc un incident major legat de tehnologia informaţiilor, atunci asupra intereselor financiare ale clienţilor, entităţile financiare îi informează pe aceştia, fără întârzieri nejustificate, de îndată ce află despre acest incident major. De asemenea, informează pe clienţii afectaţi cu privire la eventualele măsuri de protecţie luate pentru a preveni aceste atacuri sau pentru a combate un atac deja precizat”, a arătat purtătorul de cuvânt al Guvernului.

Te-ar mai putea interesa și
Ministrul Cercetării Bogdan Ivan: Poșta Română este o instituție strategică. Nu se pune problema desființării de oficii poștale sau de concedieri
Ministrul Cercetării Bogdan Ivan: Poșta Română este o instituție strategică. Nu se pune problema desființării de ...
Ministrul Cercetării, Inovării şi Digitalizării, Bogdan Ivan, a declarat, joi, că nu se pune problema desfiinţării de oficii poştale sau să fie daţi oameni afară, menţionând că Poşta......
Companiile din indicele BET înregistrează o creștere de 45% a profitului net în T3 2024, datorită câștigurilor unice raportate de Digi Communications și Banca Transilvania
Companiile din indicele BET înregistrează o creștere de 45% a profitului net în T3 2024, datorită câștigurilor unice ...
Indicele BET al Bursei de Valori București traversează un an remarcabil, ca urmare atât a unor elemente unice, cât și ...
Stay Fit Gym deschide al 47-lea centru de fitness și devine cea mai mare rețea din România și Europa de Est
Stay Fit Gym deschide al 47-lea centru de fitness și devine cea mai mare rețea din România și Europa de Est
Stay Fit Gym, rețeaua de fitness cu cea mai mare acoperire la nivel de orașe din România, anunță deschiderea unui nou ...
Guvernul a prelungit până la 19 decembrie termenul de aplicare a amnistiei fiscale
Guvernul a prelungit până la 19 decembrie termenul de aplicare a amnistiei fiscale
Termenul pentru aplicarea amnistiei fiscale a fost prelungit până la data de 19 decembrie 2024, dar termenul limită pentru ...