Gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile reglementate, autorizate/avizate şi/sau supravegheate de ASF (Norma ASF nr. 6/2015)

Actul normativ Sumar
Norma ASF nr. 6/2015
privind gestionarea riscurilor operaţionale
generate de sistemele informatice utilizate
de entităţile reglementate, autorizate/avizate
şi/sau supravegheate de ASF
(M. Of. nr. 227 din 3 aprilie 2015)
Cap. I: „Dispoziţii generale”

Cap. II: „Încadrarea entităţilor în categorii de risc”

Cap. III: „Activităţile desfăşurate de entităţi”

Cap. IV: „Auditarea şi testarea sistemului informatic”

Cap. V: „Cerinţe de raportare”

Cap. VI: „Contravenţii”

Cap. VII: „Dispoziţii tranzitorii şi finale”

În M. Of. nr. 227 din 3 aprilie 2015, s-a publicat Norma ASF nr. 6/2015 privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile reglementate, autorizate/avizate şi/sau supravegheate de ASF.

Cap. I: „Dispoziţii generale”

Art. 1 prevede următoarele:

„(1) Prezenta normă stabileşte cerinţele la nivelul entităţilor autorizate/avizate, reglementate şi/sau supravegheate de către Autoritatea de Supraveghere Financiară, denumită în continuare A.S.F., pentru identificarea, prevenirea şi reducerea impactului potenţial negativ al riscurilor operaţionale generate de utilizarea tehnologiei informaţiei şi comunicaţiilor la nivel de oameni, procese, sisteme şi mediu extern, inclusiv de fapte ce ţin de criminalitatea informatică.

(2) Prezenta normă stabileşte activităţi şi operaţiuni pentru evaluarea, supravegherea şi controlul riscurilor operaţionale generate de utilizarea sistemelor informatice şi ale securităţii informatice”.

Potrivit art. 2, respectiva normă se aplică următoarelor categorii de entităţi autorizate/avizate, reglementate şi/sau supravegheate de A.S.F., denumite în continuare entităţi:

a) operatori de piaţă/operatori de sistem;

b) societăţi de administrare a investiţiilor (SAI), organisme de plasament colectiv (OPC şi AOPC) care se autoadministrează, după cum urmează:

1. societăţi cu active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de peste 250 milioane euro, echivalent lei;

2. societăţi cu active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de până la 250 milioane euro, echivalent lei;

c) depozitari centrali, case de compensare/contrapărţi centrale;

d) intermediari – societăţi de servicii de investiţii financiare (S.S.I.F.) încadrate la art. 6 alin. (1) din Legea nr. 297/2004 privind piaţa de capital, cu modificările şi completările ulterioare, sucursale ale intermediarilor din state nemembre şi instituţii de credit din România autorizate de Banca Naţională a României în conformitate cu legislaţia bancară şi înscrise în Registrul public al A.S.F. în calitate de intermediar, şi anume:

Pachet: Codul administrativ comentat. Explicatii, jurisprudenta, doctrina. Volumul I si Volumul II

1. intermediari care au calitatea de operator independent;

2. intermediari care prestează servicii conexe, prevăzute la art. 5 alin. (11) lit. a) din Legea nr. 297/2004, cu modificările şi completările ulterioare;

3. intermediari care folosesc facilităţi de tranzacţionare prin internet (ADP/AS) – platforme de preluare şi transmitere a ordinelor clienţilor;

4. intermediari care au calitatea de market makeri şi/sau furnizori de lichiditate;

5. intermediari care tranzacţionează pe cont propriu şi nu se încadrează în categoriile de la pct. 1-4;

6. intermediari care nu tranzacţionează pe cont propriu şi nu se încadrează în categoriile de la pct. 1-4;

e) traderi;

f) Fondul de compensare a investitorilor;

g) societăţi de asigurare/reasigurare;

h) brokeri de asigurare/reasigurare;

i) entităţi care desfăşoară activitatea de depozitare a activelor organismelor de plasament colectiv şi a fondurilor de pensii private;

j) societăţi de administrare a fondurilor de pensii private.

Conform art. 3, termenii şi expresiile utilizate în prezenta normă au înţelesul prevăzut în anexa nr. 1.

Art. 4 are următorul conţinut:

„(1) Prevederile prezentei norme se aplică de către entităţi în funcţie de categoria de risc stabilită de A.S.F. conform art. 6 alin. (1) şi, respectiv, în funcţie de rezultatul evaluării interne a riscurilor, pe baza celor mai bune practici în domeniu.

(2) Categoria de risc corespunzătoare fiecărui tip de entitate este stabilită de către A.S.F. în funcţie de natura, dimensiunea şi complexitatea activităţii acesteia, precum şi de riscurile pe care le poate induce, respectiv de impactul asupra activităţii, în conformitate cu prevederile art. 6 alin. (1).

(3) Entităţile vor participa la colectarea, analizarea, monitorizarea şi raportarea evenimentelor de securitate informatică, în cadrul sistemului dezvoltat de A.S.F.”.

Art. 5 prevede următoarele:

„(1) Entităţile evaluează anual şi monitorizează continuu riscurile operaţionale generate de utilizarea sistemelor informatice, prioritizează resursele, implementează măsuri de securitate informatică şi monitorizează eficacitatea acestora prin aplicarea managementului de risc.

(2) Modalitatea de implementare a măsurilor de securitate informatică este stabilită de fiecare entitate, în funcţie de profilul de risc, de riscurile identificate, de incidentele apărute, în conformitate cu cerinţele legale aplicabile”.

 

Cap. II: „Încadrarea entităţilor în categorii de risc”

Art. 6 are următorul conţinut:

„(1) În scopul prezentei norme, entităţile prevăzute la art. 2 se includ în patru categorii de risc: «risc major», «risc important», «risc mediu», «risc scăzut», după cum urmează:

a) entităţile prevăzute la art. 2 lit. a), c) şi lit. d) pct. 1 reprezintă entităţi încadrate în categoria de «risc major»;

b) entităţile prevăzute la art. 2. lit. d) pct. 2, 3 şi 4, lit. g) şi i) reprezintă entităţi încadrate în categoria de «risc important»;

c) entităţile prevăzute la art. 2 lit. b) pct. 1, lit. d) pct. 5 şi lit. f) reprezintă entităţi încadrate în categoria de «risc mediu»;

d) entităţile prevăzute la art. 2 lit. b) pct. 2, lit. d) pct. 6, lit. e) şi h) reprezintă entităţi încadrate în categoria de «risc scăzut».

(2) Entitatea care prestează mai multe tipuri de activităţi autorizate de către A.S.F., încadrându-se astfel în mai multe categorii de risc dintre cele menţionate la alin. (1), va respecta obligaţiile instituite pentru fiecare activitate autorizată în parte.

(3) Societăţile de administrare a fondurilor de pensii private vor fi încadrate individual în categorii de risc, conform prevederilor art. 44 alin. (4) lit. e) şi ale art. 51 din Norma Consiliului Autorităţii de Supraveghere Financiară nr. 3/2014 privind controlul intern, auditul intern şi administrarea riscurilor în sistemul de pensii private.

(4) Încadrarea, respectiv reîncadrarea entităţilor menţionate la art. 2 lit. b) se realizează la începutul fiecărui an, în baza valorii totale a activelor în portofoliu/administrate din ultima zi lucrătoare a anului anterior.

(5) Încadrarea, respectiv reîncadrarea entităţilor menţionate la art. 2 lit. d) se realizează la începutul fiecărui an, în baza activităţii autorizate de A.S.F. şi a deţinerii calităţii de market maker/furnizor de lichiditate în ultima zi lucrătoare a anului anterior”.

 

Cap. III: „Activităţile desfăşurate de entităţi”

Art. 7 prevede următoarele:

„(1) Entităţile desfăşoară cel puţin activităţile obligatorii corespunzătoare fiecărei categorii de risc prevăzute la art. 6 alin. (1), conform tabelului din anexa nr. 2.

(2) În termen 90 de zile de la publicarea prezentei norme în Monitorul Oficial al României, Partea I, A.S.F. va elabora şi publica pe site-ul propriu ghidul de îndrumare care cuprinde detalii şi parametrii referitori la modalitatea de implementare a activităţilor obligatorii menţionate la alin. (1). Acest ghid are un caracter orientativ şi poate fi actualizat de A.S.F. în funcţie de bunele practici în materie”.

Art. 8 are următorul conţinut:

„(1) Raportat la activitatea desfăşurată entităţile se asigură că sistemele informatice utilizate îndeplinesc cel puţin următoarele cerinţe:

a) asigură integritatea, confidenţialitatea, autenticitatea, disponibilitatea datelor în concordanţă cu categoria de risc a sistemului informatic definită intern de către entitate, precum şi prelucrarea acestora în conformitate cu reglementările A.S.F., luând în considerare posibilitatea actualizării acestora, în funcţie de modificările intervenite în legislaţia incidenţă;

b) asigură respectarea conţinutului de informaţii prevăzut în formularele de raportare corespunzătoare entităţilor, aşa cum sunt prevăzute în legislaţia specifică, precum şi alte raportări solicitate prin reglementările A.S.F.;

c) asigură reconstituirea rapoartelor şi informaţiilor supuse verificării;

d) asigură stocarea şi păstrarea datelor înregistrate şi jurnalizate de către sistemele de tranzacţionare şi back-office pentru o perioadă de timp în conformitate cu legislaţia aplicabilă în vigoare. Sistemul de păstrare a datelor trebuie să asigure posibilitatea ca aceste date să poată fi transmise sau puse la dispoziţia A.S.F. la cerere;

e) asigură posibilitatea de restaurare a datelor arhivate pe suport digital extern, precum, dar fără a se limita la, informaţii, date introduse, situaţii financiare sau alte documente;

f) asigură elemente de identificare a datelor supuse prelucrării sau verificării. Sistemele informatice asigură identificarea exactă a timpului la care au fost efectuate înregistrările şi identificarea utilizatorilor sistemului la acel moment;

g) asigură confidenţialitatea şi protecţia informaţiilor şi a programelor prin parole, coduri de identificare pentru accesul la informaţii, precum şi realizarea de copii de siguranţă pentru programele şi informaţiile deţinute;

h) asigură mecanisme de securitate şi control al sistemelor informatice, pentru păstrarea în siguranţă a datelor şi informaţiilor stocate, a fişierelor şi bazelor de date, inclusiv în situaţia unor evenimente de risc.

(2) Sistemele informatice care oferă intermediarilor şi clienţilor lor accesul la platforme electronice de tranzacţionare, precum şi cele care evidenţiază operaţiuni de compensare, decontare şi registru pentru instrumente financiare şi operaţiuni cu aceste instrumente, asigură cel puţin, fără a se limita la:

a) securitatea şi integritatea datelor procesate prin folosirea unei modalităţi de securizare atât asupra datelor trimise către platformele electronice de tranzacţionare şi către cele de compensare, decontare şi registru, cât şi asupra datelor recepţionate de la aceste sisteme;

b) mecanisme care să garanteze nerepudierea datelor transmise şi recepţionate;

c) jurnalizarea în timp real a informaţiei despre ordinele transmise spre executare, a stării acestor ordine, respectiv a modificărilor care se aduc acestor ordine în decursul existenţei lor de către clienţii şi intermediarii care utilizează aceste sisteme informatice;

d) mecanisme de nerepudiere a integrităţii înregistrării operaţiunilor de sistem informatic”.

 

Cap. IV: „Auditarea şi testarea sistemului informatic”

Secţ. 1: „Auditul informatic”

Art. 9 prevede următoarele:

„(1) Entităţile încadrate la categoria de risc major au obligaţia de a audita extern sistemul informatic utilizat, cu periodicitate anuală.

(2) Entităţile încadrate la categoria de risc important au obligaţia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 2 ani.

(3) Entităţile încadrate la categoria de risc mediu au obligaţia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 3 ani.

(4) Entităţile încadrate la categoria de risc scăzut au obligaţia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 4 ani.

(5) A.S.F este îndreptăţită să instituie în sarcina entităţii obligaţia auditării externe a sistemului informatic pentru activităţile solicitate de către A.S.F. dacă:

a) în urma constatărilor rezultă că o entitate nu a desfăşurat toate activităţile minime obligatorii categoriei de risc în care aceasta se încadrează, conform prevederilor art. 7, sau activităţile desfăşurate au un caracter formal;

b) A.S.F. apreciază că se impune efectuarea unor investigaţii suplimentare ale sistemelor informatice.

(6) Instituirea de către A.S.F. a obligaţiei de auditare a sistemului IT conform alin. (5) este însoţită de termenul până la care entitatea este obligată să transmită
la A.S.F. raportul de audit, iar acest termen nu poate să depăşească 90 de zile lucrătoare.

(7) Auditul extern se efectuează în baza unui contract încheiat între entitatea care a solicitat auditarea şi unul dintre auditorii IT avizaţi de A.S.F. conform prevederilor art. 10 alin. (2). Entitate nu pot contracta auditul IT cu acelaşi auditor IT pentru mai mult de 3 auditări obligatorii consecutive dintre cele prevăzute la alin. (1)-(4).

(8) Contractul de audit IT prevăzut la alin. (7) cuprinde în mod obligatoriu clauze cu privire la faptul că auditorul IT are obligaţia de a respecta cerinţele necesare efectuării auditului sistemului informatic, în conformitate cu prevederile prezentei norme şi cu bunele practici în domeniu.

(9) Contractul menţionat la alin. (7) trebuie să conţină o clauză expresă prin care auditorul se obligă să notifice în cel mai scurt timp posibil şi în scris A.S.F. cu privire la orice fapt sau act în legătură cu sistemul informatic şi de comunicaţii utilizat de entitate şi care:

a) este de natură să afecteze continuitatea activităţii entităţii auditate;

b) poate conduce la o opinie de audit cu rezerve, la imposibilitatea exprimării unei opinii profesionale sau la o opinie negativă.
(10) Contractul prevăzut la alin. (7) trebuie să conţină o clauză expresă prin care, la solicitarea scrisă a A.S.F., auditorul se obligă să prezinte A.S.F.;

a) orice raport sau document ce a fost adus la cunoştinţa entităţii auditate;

b) o declaraţie care să indice motivele de încetare a contractului de audit, indiferent de natura acestora;

c) orice alte informaţii sau documente solicitate în legătură cu activitatea de audit IT la care s-a angajat conform contractului.

(11) Respectarea prevederilor alin. (9) şi (10) nu contravine dispoziţiilor Codului privind conduita etică şi profesională în domeniul auditului financiar, nu constituie o încălcare a niciunei restricţii privind divulgarea de informaţii şi nu va atrage niciun fel de răspundere asupra persoanei în cauză. Clauza de confidenţialitate nu este opozabilă A.S.F.”.

Art. 10 are următorul conţinut:

„(1) Auditorul IT extern, care intenţionează să presteze servicii pentru entităţile cărora le sunt incidente prevederile prezentei norme, are obligaţia obţinerii avizului A.S.F.

(2) În vederea obţinerea avizului A.S.F., auditorul IT extern depune la A.S.F. o cerere împreună cu documentaţia care trebuie să cuprindă următoarele, după caz:

a) datele de identificare ale auditorului:

(i) numele complet/denumirea şi adresa/sediul (adresa completă – stradă, număr, bloc, scară, etaj, apartament, oraş, judeţ/sector, cod poştal);

(ii) datele înregistrării fiscale;

(iii) adresa unde îşi desfăşoară activitatea;

(iv) telefon/fax, e-mail, adresa paginii de internet;

(v) dovada experienţei şi a specializării pe domeniul de audit al sistemelor informatice;

b) numele şi prenumele auditorului persoană fizică certificată şi a reprezentantului societăţii, care vor semna raportul de audit, împreună cu următoarele documente:

(i) copia actului de identitate a auditorului;

(ii) curriculum vitae al auditorului, datat şi semnat, cu prezentarea experienţei profesionale;

(iii) copia certificatului de auditor IT, semnată pentru conformitate cu originalul;

(iv) certificatul de cazier judiciar şi certificatul de cazier fiscal, în original, aflate în termenul de valabilitate;

c) copia contractului/poliţei de asigurare de răspundere civilă profesională a auditorului IT, pentru suma asigurată de minimum 100.000 euro;

d) copia documentului de plată a tarifului de înscriere în Registrul public al A.S.F.

(3) Avizarea şi înscrierea auditorului IT în Registrul public al A.S.F. sau refuzul avizării, motivat, se realizează în termen de maximum 30 de zile calendaristice de la primirea dosarului complet al solicitantului. Refuzul motivat se transmite auditorului IT. Orice modificare a documentaţiei prevăzute la alin. (2) trebuie transmisă A.S.F. în termen de maximum 30 de zile calendaristice de la data modificării.