Gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile reglementate, autorizate/avizate şi/sau supravegheate de ASF (Norma ASF nr. 6/2015)

În M. Of. nr. 227 din 3 aprilie 2015, s-a publicat Norma ASF nr. 6/2015 privind gestionarea riscurilor operaționale generate de sistemele informatice utilizate de entitățile reglementate, autorizate/avizate și/sau supravegheate de ASF.

Art. 1 prevede următoarele:

„(1) Prezenta normă stabilește cerințele la nivelul entităților autorizate/avizate, reglementate și/sau supravegheate de către Autoritatea de Supraveghere Financiară, denumită în continuare A.S.F., pentru identificarea, prevenirea și reducerea impactului potențial negativ al riscurilor operaționale generate de utilizarea tehnologiei informației și comunicațiilor la nivel de oameni, procese, sisteme și mediu extern, inclusiv de fapte ce țin de criminalitatea informatică.

(2) Prezenta normă stabilește activități și operațiuni pentru evaluarea, supravegherea și controlul riscurilor operaționale generate de utilizarea sistemelor informatice și ale securității informatice”.

Potrivit art. 2, respectiva normă se aplică următoarelor categorii de entități autorizate/avizate, reglementate și/sau supravegheate de A.S.F., denumite în continuare entități:

a) operatori de piață/operatori de sistem;

b) societăți de administrare a investițiilor (SAI), organisme de plasament colectiv (OPC și AOPC) care se autoadministrează, după cum urmează:

1. societăți cu active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de peste 250 milioane euro, echivalent lei;

2. societăți cu active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de până la 250 milioane euro, echivalent lei;

c) depozitari centrali, case de compensare/contrapărți centrale;

d) intermediari – societăți de servicii de investiții financiare (S.S.I.F.) încadrate la art. 6 alin. (1) din Legea nr. 297/2004 privind piața de capital, cu modificările și completările ulterioare, sucursale ale intermediarilor din state nemembre și instituții de credit din România autorizate de Banca Națională a României în conformitate cu legislația bancară și înscrise în Registrul public al A.S.F. în calitate de intermediar, și anume:

1. intermediari care au calitatea de operator independent;

2. intermediari care prestează servicii conexe, prevăzute la art. 5 alin. (11) lit. a) din Legea nr. 297/2004, cu modificările și completările ulterioare;

3. intermediari care folosesc facilități de tranzacționare prin internet (ADP/AS) – platforme de preluare și transmitere a ordinelor clienților;

4. intermediari care au calitatea de market makeri și/sau furnizori de lichiditate;

5. intermediari care tranzacționează pe cont propriu și nu se încadrează în categoriile de la pct. 1-4;

6. intermediari care nu tranzacționează pe cont propriu și nu se încadrează în categoriile de la pct. 1-4;

e) traderi;

f) Fondul de compensare a investitorilor;

g) societăți de asigurare/reasigurare;

h) brokeri de asigurare/reasigurare;

i) entități care desfășoară activitatea de depozitare a activelor organismelor de plasament colectiv și a fondurilor de pensii private;

j) societăți de administrare a fondurilor de pensii private.

Conform art. 3, termenii și expresiile utilizate în prezenta normă au înțelesul prevăzut în anexa nr. 1.

Art. 4 are următorul conținut:

„(1) Prevederile prezentei norme se aplică de către entități în funcție de categoria de risc stabilită de A.S.F. conform art. 6 alin. (1) și, respectiv, în funcție de rezultatul evaluării interne a riscurilor, pe baza celor mai bune practici în domeniu.

(2) Categoria de risc corespunzătoare fiecărui tip de entitate este stabilită de către A.S.F. în funcție de natura, dimensiunea și complexitatea activității acesteia, precum și de riscurile pe care le poate induce, respectiv de impactul asupra activității, în conformitate cu prevederile art. 6 alin. (1).

(3) Entitățile vor participa la colectarea, analizarea, monitorizarea și raportarea evenimentelor de securitate informatică, în cadrul sistemului dezvoltat de A.S.F.”.

Art. 5 prevede următoarele:

„(1) Entitățile evaluează anual și monitorizează continuu riscurile operaționale generate de utilizarea sistemelor informatice, prioritizează resursele, implementează măsuri de securitate informatică și monitorizează eficacitatea acestora prin aplicarea managementului de risc.

(2) Modalitatea de implementare a măsurilor de securitate informatică este stabilită de fiecare entitate, în funcție de profilul de risc, de riscurile identificate, de incidentele apărute, în conformitate cu cerințele legale aplicabile”.

Art. 6 are următorul conținut:

„(1) În scopul prezentei norme, entitățile prevăzute la art. 2 se includ în patru categorii de risc: «risc major», «risc important», «risc mediu», «risc scăzut», după cum urmează:

a) entitățile prevăzute la art. 2 lit. a), c) și lit. d) pct. 1 reprezintă entități încadrate în categoria de «risc major»;

b) entitățile prevăzute la art. 2. lit. d) pct. 2, 3 și 4, lit. g) și i) reprezintă entități încadrate în categoria de «risc important»;

c) entitățile prevăzute la art. 2 lit. b) pct. 1, lit. d) pct. 5 și lit. f) reprezintă entități încadrate în categoria de «risc mediu»;

d) entitățile prevăzute la art. 2 lit. b) pct. 2, lit. d) pct. 6, lit. e) și h) reprezintă entități încadrate în categoria de «risc scăzut».

(2) Entitatea care prestează mai multe tipuri de activități autorizate de către A.S.F., încadrându-se astfel în mai multe categorii de risc dintre cele menționate la alin. (1), va respecta obligațiile instituite pentru fiecare activitate autorizată în parte.

(3) Societățile de administrare a fondurilor de pensii private vor fi încadrate individual în categorii de risc, conform prevederilor art. 44 alin. (4) lit. e) și ale art. 51 din Norma Consiliului Autorității de Supraveghere Financiară nr. 3/2014 privind controlul intern, auditul intern și administrarea riscurilor în sistemul de pensii private.

(4) Încadrarea, respectiv reîncadrarea entităților menționate la art. 2 lit. b) se realizează la începutul fiecărui an, în baza valorii totale a activelor în portofoliu/administrate din ultima zi lucrătoare a anului anterior.

(5) Încadrarea, respectiv reîncadrarea entităților menționate la art. 2 lit. d) se realizează la începutul fiecărui an, în baza activității autorizate de A.S.F. și a deținerii calității de market maker/furnizor de lichiditate în ultima zi lucrătoare a anului anterior”.

Art. 7 prevede următoarele:

„(1) Entitățile desfășoară cel puțin activitățile obligatorii corespunzătoare fiecărei categorii de risc prevăzute la art. 6 alin. (1), conform tabelului din anexa nr. 2.

(2) În termen 90 de zile de la publicarea prezentei norme în Monitorul Oficial al României, Partea I, A.S.F. va elabora și publica pe site-ul propriu ghidul de îndrumare care cuprinde detalii și parametrii referitori la modalitatea de implementare a activităților obligatorii menționate la alin. (1). Acest ghid are un caracter orientativ și poate fi actualizat de A.S.F. în funcție de bunele practici în materie”.

Art. 8 are următorul conținut:

„(1) Raportat la activitatea desfășurată entitățile se asigură că sistemele informatice utilizate îndeplinesc cel puțin următoarele cerințe:

a) asigură integritatea, confidențialitatea, autenticitatea, disponibilitatea datelor în concordanță cu categoria de risc a sistemului informatic definită intern de către entitate, precum și prelucrarea acestora în conformitate cu reglementările A.S.F., luând în considerare posibilitatea actualizării acestora, în funcție de modificările intervenite în legislația incidență;

b) asigură respectarea conținutului de informații prevăzut în formularele de raportare corespunzătoare entităților, așa cum sunt prevăzute în legislația specifică, precum și alte raportări solicitate prin reglementările A.S.F.;

c) asigură reconstituirea rapoartelor și informațiilor supuse verificării;

d) asigură stocarea și păstrarea datelor înregistrate și jurnalizate de către sistemele de tranzacționare și back-office pentru o perioadă de timp în conformitate cu legislația aplicabilă în vigoare. Sistemul de păstrare a datelor trebuie să asigure posibilitatea ca aceste date să poată fi transmise sau puse la dispoziția A.S.F. la cerere;

e) asigură posibilitatea de restaurare a datelor arhivate pe suport digital extern, precum, dar fără a se limita la, informații, date introduse, situații financiare sau alte documente;

f) asigură elemente de identificare a datelor supuse prelucrării sau verificării. Sistemele informatice asigură identificarea exactă a timpului la care au fost efectuate înregistrările și identificarea utilizatorilor sistemului la acel moment;

g) asigură confidențialitatea și protecția informațiilor și a programelor prin parole, coduri de identificare pentru accesul la informații, precum și realizarea de copii de siguranță pentru programele și informațiile deținute;

h) asigură mecanisme de securitate și control al sistemelor informatice, pentru păstrarea în siguranță a datelor și informațiilor stocate, a fișierelor și bazelor de date, inclusiv în situația unor evenimente de risc.

(2) Sistemele informatice care oferă intermediarilor și clienților lor accesul la platforme electronice de tranzacționare, precum și cele care evidențiază operațiuni de compensare, decontare și registru pentru instrumente financiare și operațiuni cu aceste instrumente, asigură cel puțin, fără a se limita la:

a) securitatea și integritatea datelor procesate prin folosirea unei modalități de securizare atât asupra datelor trimise către platformele electronice de tranzacționare și către cele de compensare, decontare și registru, cât și asupra datelor recepționate de la aceste sisteme;

b) mecanisme care să garanteze nerepudierea datelor transmise și recepționate;

c) jurnalizarea în timp real a informației despre ordinele transmise spre executare, a stării acestor ordine, respectiv a modificărilor care se aduc acestor ordine în decursul existenței lor de către clienții și intermediarii care utilizează aceste sisteme informatice;

d) mecanisme de nerepudiere a integrității înregistrării operațiunilor de sistem informatic”.

Secț. 1: „Auditul informatic”

Art. 9 prevede următoarele:

„(1) Entitățile încadrate la categoria de risc major au obligația de a audita extern sistemul informatic utilizat, cu periodicitate anuală.

(2) Entitățile încadrate la categoria de risc important au obligația de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 2 ani.

(3) Entitățile încadrate la categoria de risc mediu au obligația de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 3 ani.

(4) Entitățile încadrate la categoria de risc scăzut au obligația de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 4 ani.

(5) A.S.F este îndreptățită să instituie în sarcina entității obligația auditării externe a sistemului informatic pentru activitățile solicitate de către A.S.F. dacă:

a) în urma constatărilor rezultă că o entitate nu a desfășurat toate activitățile minime obligatorii categoriei de risc în care aceasta se încadrează, conform prevederilor art. 7, sau activitățile desfășurate au un caracter formal;

b) A.S.F. apreciază că se impune efectuarea unor investigații suplimentare ale sistemelor informatice.

(6) Instituirea de către A.S.F. a obligației de auditare a sistemului IT conform alin. (5) este însoțită de termenul până la care entitatea este obligată să transmită
la A.S.F. raportul de audit, iar acest termen nu poate să depășească 90 de zile lucrătoare.

(7) Auditul extern se efectuează în baza unui contract încheiat între entitatea care a solicitat auditarea și unul dintre auditorii IT avizați de A.S.F. conform prevederilor art. 10 alin. (2). Entitate nu pot contracta auditul IT cu același auditor IT pentru mai mult de 3 auditări obligatorii consecutive dintre cele prevăzute la alin. (1)-(4).

(8) Contractul de audit IT prevăzut la alin. (7) cuprinde în mod obligatoriu clauze cu privire la faptul că auditorul IT are obligația de a respecta cerințele necesare efectuării auditului sistemului informatic, în conformitate cu prevederile prezentei norme și cu bunele practici în domeniu.

(9) Contractul menționat la alin. (7) trebuie să conțină o clauză expresă prin care auditorul se obligă să notifice în cel mai scurt timp posibil și în scris A.S.F. cu privire la orice fapt sau act în legătură cu sistemul informatic și de comunicații utilizat de entitate și care:

a) este de natură să afecteze continuitatea activității entității auditate;

b) poate conduce la o opinie de audit cu rezerve, la imposibilitatea exprimării unei opinii profesionale sau la o opinie negativă.
(10) Contractul prevăzut la alin. (7) trebuie să conțină o clauză expresă prin care, la solicitarea scrisă a A.S.F., auditorul se obligă să prezinte A.S.F.;

a) orice raport sau document ce a fost adus la cunoștința entității auditate;

b) o declarație care să indice motivele de încetare a contractului de audit, indiferent de natura acestora;

c) orice alte informații sau documente solicitate în legătură cu activitatea de audit IT la care s-a angajat conform contractului.

(11) Respectarea prevederilor alin. (9) și (10) nu contravine dispozițiilor Codului privind conduita etică și profesională în domeniul auditului financiar, nu constituie o încălcare a niciunei restricții privind divulgarea de informații și nu va atrage niciun fel de răspundere asupra persoanei în cauză. Clauza de confidențialitate nu este opozabilă A.S.F.”.

Art. 10 are următorul conținut:

„(1) Auditorul IT extern, care intenționează să presteze servicii pentru entitățile cărora le sunt incidente prevederile prezentei norme, are obligația obținerii avizului A.S.F.

(2) În vederea obținerea avizului A.S.F., auditorul IT extern depune la A.S.F. o cerere împreună cu documentația care trebuie să cuprindă următoarele, după caz:

a) datele de identificare ale auditorului:

(i) numele complet/denumirea și adresa/sediul (adresa completă – stradă, număr, bloc, scară, etaj, apartament, oraș, județ/sector, cod poștal);

(ii) datele înregistrării fiscale;

(iii) adresa unde își desfășoară activitatea;

(iv) telefon/fax, e-mail, adresa paginii de internet;

(v) dovada experienței și a specializării pe domeniul de audit al sistemelor informatice;

b) numele și prenumele auditorului persoană fizică certificată și a reprezentantului societății, care vor semna raportul de audit, împreună cu următoarele documente:

(i) copia actului de identitate a auditorului;

(ii) curriculum vitae al auditorului, datat și semnat, cu prezentarea experienței profesionale;

(iii) copia certificatului de auditor IT, semnată pentru conformitate cu originalul;

(iv) certificatul de cazier judiciar și certificatul de cazier fiscal, în original, aflate în termenul de valabilitate;

c) copia contractului/poliței de asigurare de răspundere civilă profesională a auditorului IT, pentru suma asigurată de minimum 100.000 euro;

d) copia documentului de plată a tarifului de înscriere în Registrul public al A.S.F.

(3) Avizarea și înscrierea auditorului IT în Registrul public al A.S.F. sau refuzul avizării, motivat, se realizează în termen de maximum 30 de zile calendaristice de la primirea dosarului complet al solicitantului. Refuzul motivat se transmite auditorului IT. Orice modificare a documentației prevăzute la alin. (2) trebuie transmisă A.S.F. în termen de maximum 30 de zile calendaristice de la data modificării.