Norma ASF nr. 4/2018 privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile autorizate/avizate/înregistrate, reglementate şi/sau supravegheate de către ASF – modificări (Norma ASF nr. 24/2021)

De Redacția ProLege

13 sept. 2021

Vizualizari: 411

Actul modificat

Actul modificator

Sumar

Norma Autorității de Supraveghere Financiară (ASF) nr. 4/2018 privind gestionarea riscurilor operaționale generate de sistemele informatice utilizate de entitățile autorizate/avizate/înregistrate, reglementate și/sau supravegheate de către ASF

(M. Of. nr. 233 din 16 martie 2018)

Norma ASF nr. 24/2021 pentru modificarea și completarea Normei ASF nr. 4/2018 privind gestionarea riscurilor operaționale generate de sistemele informatice utilizate de entitățile autorizate/avizate/înregistrate, reglementate și/sau supravegheate de către ASF

(M. Of. nr. 872 din 10 septembrie 2021)

– modifică: art. 11, art. 15 alin. (2) și (3), art. 39, art. 41, art. 43, art. 55, anexa nr. 1: pct. 5, anexa nr. 3: pct. I, lit. F și G, pct. II pct. 5, pct. 7;

– introduce: art. 2 lit. l), art. 15 alin. (4^1), art. 15 alin. (6) și (7), art. 21 alin. (3), anexa nr. 1: pct. 9^1, anexa. nr. 5.

În M. Of. nr. 872 din 10 septembrie 2021 s-a publicat Norma Autorității de Supraveghere Financiară (ASF) nr. 24/2021 pentru modificarea și completarea Normei ASF nr. 4/2018 privind gestionarea riscurilor operaționale generate de sistemele informatice utilizate de entitățile autorizate/avizate/înregistrate, reglementate și/sau supravegheate de către ASF.

Redăm, în cele ce urmează, cele mai importante dispoziții din respectiva normă.

Art. 11

Vechea reglementare

„Încadrarea entităților prevăzute la art. 2 lit. k) se realizează individual în categoriile de risc prevăzute la art. 9, conform prevederilor art. 44 alin. (4) lit. e) și ale art. 51 din Norma Autorității de Supraveghere Financiară nr. 3/2014 privind controlul intern, auditul intern și administrarea riscurilor în sistemul de pensii private”.

Noua reglementare

Articolul 11 se modifică și va avea următorul cuprins:

„Încadrarea entităților prevăzute la art. 2 lit. k) și l) se realizează individual în categoriile de risc prevăzute la art. 9, conform prevederilor art. 44 alin. (4) lit. e) și ale art. 51 din Norma Autorității de Supraveghere Financiară nr. 3/2014 privind controlul intern, auditul intern și administrarea riscurilor în sistemul de pensii private, cu modificările și completările ulterioare”.

Conferința națională „Prevenirea și combaterea spălării banilor”. Impactul noii legi asupra profesiilor liberale

Art. 15 alin. (4^1)

Noua reglementare

La articolul 15, după alineatul (4) se introduce un nou alineat, alineatul (4¹), cu următorul cuprins:

„(4¹) În executarea obligației prevăzute la alin. (4), entitățile trebuie să se asigure că persoanele care efectuează testarea dețin cel puțin una dintre următoarele certificări: CEH – Certified Ethical Hacker, GPEN – GIAC Certified Penetration Tester, GWAPT – GIAC Web Application, LPT – Licensed Penetration Tester, OPST – OSSTMM Professional Security Tester Accredited Certification, OSCE – Offensive Security Certified Expert, OSCP – Offensive Security Certified Professional, PTC – MILLE2 Certified Penetration Testing Consultant, CPT – Certified Penetration Tester, GIAC – Penetration Tester (GPEN), GIAC – Web Application Penetration Tester (GWAPT), GIAC – Exploit Researcher and Advanced Penetration Tester (GXPN), GIAC – Mobile Device Security Analyst (GMOB), GIAC – Assessing and Auditing Wireless Networks (GAWN), CREST – Certified Simulated Attack Specialist, CSX – Cybersecurity Nexus”.

Art. 15 alin. (6) și (7)

Noua reglementare

La articolul 15, după alineatul (5) se introduc două noi alineate, alineatele (6) și (7), cu următorul cuprins:

„(6) Entitățile au obligația să elaboreze și să aplice o metodologie privind procesul de identificare, soluționare și raportare către A.S.F. a incidentelor de securitate cu cel mai mare grad de severitate apărute la nivelul sistemelor informatice importante, în scopul monitorizării și înregistrării acestora.

(7) În metodologia prevăzută la alin. (6) entitățile trebuie să stabilească praguri și criterii corespunzătoare pentru clasificarea unui eveniment drept incident de securitate în diferite grade de severitate și să prevadă un termen maxim de raportare către A.S.F. a incidentelor de securitate cu cel mai mare grad de severitate apărute la nivelul sistemelor informatice importante, termen ce nu poate depăși două zile lucrătoare”.

Art. 41

Vechea reglementare

„Orice modificare a documentației prevăzute la art. 39 lit. b) pct. 1, 3, 5, 6 și 7 trebuie transmisă A.S.F. în termen de maximum 30 de zile de la data efectuării modificării”.

Noua reglementare

Articolul 41 se modifică și va avea următorul cuprins:

„(1) Orice modificare a documentației prevăzute la art. 39 pct. 1 lit. a), c), e), f) și g) și la pct. 2 lit. a)-d) și f) trebuie transmisă A.S.F. în termen de maximum 30 de zile de la data efectuării modificării.

(2) Prevederile alin. (1) se aplică și coordonatorului certificat al societății de audit IT prevăzut la art. 39 pct. 2 lit. e) pentru documentația prevăzută la art. 39 pct. 1 lit. a), c), e), f) și g)”.

Art. 43

Vechea reglementare

„Pentru toate situațiile menționate la art. 42 lit. c) și d), A.S.F. transmite auditorului IT extern o notificare prealabilă prin care i se aduc la cunoștință faptele pentru care A.S.F. va proceda la inițierea demersurilor pentru radierea din Lista auditorilor IT externi”.

Noua reglementare

Articolul 43 se modifică și va avea următorul cuprins:

„(1) Pentru toate situațiile menționate la art. 42 lit. c) și d), A.S.F. transmite auditorului IT extern o notificare prealabilă prin care i se aduc la cunoștință faptele pentru care A.S.F. va proceda la inițierea demersurilor pentru radierea din Lista auditorilor IT externi.

(2) În situațiile în care A.S.F. nu poate contacta auditorul IT extern care se află în unul dintre cazurile menționate la art. 42 lit. b) sau acesta nu transmite informațiile solicitate în conformitate cu prevederile art. 41, pentru clarificarea situației se solicită informațiile necesare de la Oficiul Național al Registrului Comerțului”.

Art. 55

Vechea reglementare

„Anexele nr. 1-4 fac parte integrantă din prezenta normă”.

Noua reglementare

Articolul 55 se modifică și va avea următorul cuprins:

„Anexele nr. 1-5 fac parte integrantă din prezenta normă”.

Anexa nr.

Pct. 5

Vechea reglementare

„II. Anexe la raportul de audit IT: (…) 5. Concluzii ale echipei de audit privind respectarea cerințelor impuse

5. Concluzii ale echipei de audit privind respectarea cerințelor impuse:

Nr.	Articol supus verificării	Conformitate DA/NU/PARȚIAL/NEAPLICABIL	Comentarii/Motivații în cazul nerespectării prevederii
1.	Art. 3 (3)
2.	Art. 6 (1)
3.	Art. 6 (2)
4.	Art. 15 (1)
5.	Art. 15 (2)
6.	Art. 15 (3)
7.	Art. 15 (4)
8.	Art. 16 (1) – a)
9.	Art. 16 (1) – b)
10.	Art. 16 (1) – c)
11.	Art. 16 (1) – d)
12.	Art. 16 (1) – e)
13.	Art. 16 (1) – f)
14.	Art. 16 (1) – g)
15.	Art. 16 (1) – h)
16.	Art. 16 (2)
17.	Art. 17 (1)
18.	Art. 17 (2)
19.	Art. 18 (1) – a)
20.	Art. 18 (1) – b)
21.	Art. 18 (1) – c)
22.	Art. 18 (1) – d)
23.	Art. 18 (1) – e)
24.	Art. 19 – a)
25.	Art. 19 – b)
26.	Art. 19 – c)
27.	Art. 19 – d)
28.	Art. 20 – a)
29.	Art. 20 – b)
30.	Art. 20 – c)
31.	Art. 20 – d)
32.	Art. 35 (1) – a)
33.	Art. 35 (1) – b)
34.	Art. 35 (1) – c)
35.	Art. 35 (2)
36.	Art. 36 (1)
37.	Art. 36 (2) – a)
38.	Art. 36 (2) – b)
39.	Art. 36 (2) – c)
40.	Art. 36 (2) – d)
41.	Art. 36 (2) – e)
42.	Art. 36 (2) – f)
43.	Art. 36 (2) – g)
44.	Art. 36 (2) – h)
45.	Art. 36 (2) – i)
46.	Art. 37
47.	Art. 45
48.	Art. 46 (1) – a)
49.	Art. 46 (1) – b)
50.	Art. 46 (1) – c)
51.	Art. 46 (1) – d)
52.	Art. 46 (2)
53.	Art. 47
54.	Art. 48 – a)
55.	Art. 48 – b)
56.	Art. 48 – c)”

Noua reglementare

La anexa nr. 3 punctul II „Anexe la raportul de audit IT”, punctul 5 se modifică și va avea cuprinsul prevăzut în anexa nr. 1, care face parte integrantă din prezenta normă.

Art. II din Norma ASF nr. 24/2021

„Auditul IT în curs de desfășurare la data intrării în vigoare a prezentei norme va continua în conformitate cu reglementările în vigoare la data începerii auditului IT”.

Art. III din Norma ASF nr. 24/2021

„Prezenta normă se publică în Monitorul Oficial al României, Partea I, și intră în vigoare la data publicării”.

Anexa nr. 1, care face parte integrantă din prezenta normă, conține modelul Concluziilor echipei de audit privind respectarea cerințelor impuse, regăsite în anexa nr. 3, pct. 5 din anexa la norme, iar anexa nr. 2 cuprinde modelul Cererii pentru înscrierea în Lista auditorilor IT externi menținută de ASF.

Norma ASF nr. 4/2018 privind gestionarea riscurilor operaționale generate de sistemele informatice utilizate de entitățile autorizate/avizate/înregistrate, reglementate și/sau supravegheate de către ASF – modificări (Norma ASF nr. 24/2021) was last modified: septembrie 13th, 2021 by Redacția ProLege