Gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile reglementate, autorizate/avizate şi/sau supravegheate de ASF (Norma ASF nr. 6/2015)

(4) A.S.F. retrage avizul auditorului IT extern în oricare dintre următoarele cazuri:

a) la cerere;

b) în cazul lichidării sau la declanșarea insolvenței;

c) în cazul nerespectării, în mod repetat, a prevederilor alin. (3), teza a III-a;

d) în cazul nerespectării prevederilor art. 9 alin. (9) și (10), precum și în cazul nerespectării obligațiilor stabilite în sarcina sa de prezenta normă;

e) din alte cauze prevăzute de legislația în vigoare.

(5) Pentru toate situațiile menționate la alin (4) lit. c)-e), A.S.F. va transmite auditorului IT extern o notificare prealabilă prin care se aduc la cunoștință faptele pentru care se va proceda la retragerea avizului A.S.F.

(6) Entitățile adoptă toate măsurile necesare pentru evitarea conflictelor de interese ce pot interveni în desfășurarea activității de audit IT.

(7) Activitatea de audit trebuie să fie independentă față de activitatea auditată, pentru a nu fi compromisă obiectivitatea activității de audit. Auditorii trebuie să fie independenți și obiectivi în toate aspectele legate de misiunea de audit.

(8) Entitățile, inclusiv cele care efectuează auditul IT cu resurse interne certificate, sunt obligate să furnizeze auditorului informații complete, corespunzătoare, relevante și în timp util, pentru a permite efectuarea în bune condiții a activității de audit IT.

(9) La finalizarea auditului IT, auditorii IT au obligația de a întocmi un raport de audit care să cuprindă cel puțin următoarele elemente:

a) titlul raportului, identificarea și descrierea entității auditate, respectiv beneficiarul raportului;

b) destinatarii raportului și orice restricții privind conținutul și circulația raportului;

c) domeniul auditat, obiectivele activității, perioada auditată;

d) natura, cronologia și gradul de acoperire ale procedurilor de audit efectuate;

e) orice calificare de opinie sau limitare a ariei acoperite de audit;

f) datele de identificare ale membrilor echipei de audit, care cuprind cel puțin numele și prenumele, telefon, fax, e-mail și adresa unde își desfășoară activitatea;

g) semnătura coordonatorului certificat al echipei de audit și semnătura reprezentantului legal al auditorului persoană juridică;

h) locul auditării;

i) data raportului;

j) descrierea ariei auditului, incluzând:

(i) descrierea sistemelor auditate;

(ii) măsurile organizatorice: politicile aplicabile și procedurile implementate;

(iii) identificarea aplicațiilor utilizate și a persoanelor implicate;

(iv) componentele sistemelor informatice utilizate;

(v) un sumar conținând analiza riscurilor aferente activității, a posibilelor deficiențe ale sistemului informatic auditat și a măsurilor de reducere a riscurilor asociate, în baza controalelor generale sau specifice implementate conform prezentei norme;

(vi) referire cu privire la corectitudinea raportărilor efectuate în conformitate cu art. 14 alin. (4) aferente perioadei dintre două activități de auditare IT;

(vii) descrierea modului prin care s-a efectuat atacul etic/testul de penetrare, în cazul entităților care sunt obligate să efectueze teste de penetrare conform tabelului din anexa nr. 2;

k) concluziile detaliate ale echipei de audit privind îndeplinirea cerințelor prevăzute la art. 5, 8, 11, 12 și 13, pentru fiecare cerință, cu mențiunea: DA/NU, precum și motivația, în cazul nerespectării acesteia;

l) afirmația de conformitate, reflectată prin «opinia pozitivă» cu privire la conformarea parțială/totală referitoare la obiectivele auditului, indicând punctele care trebuie îmbunătățite, reflectate prin „opinia cu rezerve/calificată”, sau de neîndeplinire a obiectivelor testate/auditate, reflectata prin „opinia negativă”;

m) o anexă la raportul de audit IT, însușită de entitatea auditată prin semnarea acesteia de către un reprezentant legal al entității, conținând:

(i) constatările și concluziile;

(ii) neconformitățile, lipsa controalelor sau controale ineficiente;

(iii) importanța neconformității sau deficienței de control;

(iv) probabilitatea ca aceste constatări să aibă un impact semnificativ și riscuri asociate;

(v) recomandările pentru acțiuni corective și răspunsul conducerii entității auditate pentru fiecare constatare din raport, inclusiv termenul de aplicare;

(vi) rezultatul obținut la atacul etic/testul de penetrare, în cazul entităților care sunt obligate să efectueze teste de penetrare conform tabelului din anexa nr. 2;

n) declarația pe propria răspundere a auditorului IT cu privire la faptul că auditul a fost efectuat în conformitate cu prezenta normă și cu standardele de audit în vigoare la momentul realizării auditului, cu menționarea acestora;

o) declarația pe propria răspundere a auditorului IT extern cu privire la faptul că acesta nu se află în relații cu entitatea auditată sau cu angajații entității care ar putea să îi afecteze independența sau obiectivitatea activității de audit”.

Secț. a 2-a: „Cerințe referitoare la furnizorii externi și furnizorii de servicii IT externalizate pentru sistemele informatice importante”

Art. 11 prevede următoarele:

„(1) Entitățile se asigură că, pentru sistemele informatice importante, furnizorii de servicii IT externalizate, inclusiv prin externalizările în lanț, cu excepția furnizorilor de servicii de comunicații, a celor de hardware și de licențe software, raportat strict pentru activitatea externalizată:

a) respectă aceleași cerințe de auditare ca și cele solicitate entității prin prezenta normă;

b) prezintă, la solicitarea A.S.F., modalitatea prin care sunt îndeplinite cerințele adresate entității prin prezenta normă;

c) permit A.S.F. și auditorului IT să verifice și/sau să auditeze sistemele sale informatice conform prezentei norme.

(2) Orice externalizare se realizează cu respectarea prevederilor legale aplicabile incidente sectorului de activitate.

(3) În situațiile în care nu există alte prevederi legale aplicabile sectorului respectiv de activitate, pentru externalizarea unor servicii IT și în toate cazurile în care sunt utilizate serviciile unor furnizori externi, definiți la pct. 28 din anexa nr. 1, entitatea are obligația de a notifica A.S.F., furnizorul extern sau furnizorul de servicii IT externalizate în termen de 10 zile lucrătoare de la momentul încheierii contractului cu acesta, exclusiv pentru sistemele informatice importante.

(4) Notificarea prevăzută la alin. (3) trebuie să includă următoarele informații și documente anexate, după caz:

a) descrierea serviciilor furnizate/externalizate;

b) datele de identificare ale furnizorului:

(i) sediul societății, respectiv adresa completă – stradă, număr, bloc, scară, etaj, apartament, oraș, județ/sector, cod poștal, după caz;

(ii) datele înregistrării fiscale;

(iii) telefon/fax, e-mail, pagina de internet;

c) certificări în funcție de tipul serviciului sau activității desfășurate:

(i) SR ISO/IEC 27001 sau certificări pentru standarde echivalente;

(ii) pentru furnizarea și dezvoltarea de programe informatice software – certificări aferente;

(iii) pentru furnizarea de servicii externalizate – certificări aferente;

(iv) pentru furnizarea de servicii de găzduire sau externalizare prin intermediul centrelor de date – condiții tehnice conform TIA-942 nivel 2 sau echivalent;

(v) pentru furnizarea de servicii de arhivare electronică prin centre de date – autorizare conform prevederilor legale;

(vi) pentru furnizarea de servicii externalizate de tip cloudcomputing public se prezintă certificate specifice activităților externalizate.

(5) În cazul modificării unor informații sau documente, copia sau originalul documentelor modificate se va depune la A.S.F., în termen de maximum 30 de zile calendaristice de la data modificării”.

Secț. a 3-a: „Cerințe cu privire la testarea sistemelor/programelor informatice importante”

Art. 12 are următorul conținut:

„(1) Entitățile au obligația de a identifica toate sistemele/programele informatice utilizate și de a le evidenția într-un registru care trebuie să cuprindă:

a) sistemele/programele informatice importante;

b) modificările sistemelor/programelor informatice importante;

c) detalii referitoare la modificările majore ale sistemelor/ programelor informatice importante.

(2) În aplicarea prevederilor alin. (1) lit. c), modificările majore se referă la:

a) schimbarea integrală a sistemelor/programelor informatice importante;

b) externalizarea unor servicii IT;

c) schimbarea proceselor de arhivare electronică, de restaurare sau sincronizare a bazelor de date”.

Art. 13 dispune:

„(1) Entitățile au obligația să testeze sistemele/programele informatice importante înainte de prima utilizare și la orice modificare în cadrul ciclului de viață al acestora, indiferent dacă sunt realizate cu resurse interne sau de către furnizori externi.

(2) Rezultatul testărilor prevăzute la alin. (1) se consemnează într-un raport de testare IT care cuprinde cel puțin următoarele elemente:

a) scopul testării;

b) perioada testării;

c) descrierea programului testat;

d) identificarea aplicațiilor utilizate și a persoanelor implicate;

e) analiza riscurilor implicate de achiziția sau modificarea programului informatic important, a posibilelor vulnerabilități și a măsurilor de reducere a riscurilor asociate prin controale de sistem sau de program informatic;

f) descrierea modului prin care s-au efectuat testele, scenariile de test, eventualele norme sau standarde aplicate și rezultatul testării;

g) concluzia echipei de testare;

h) semnătura membrilor echipei de testare.

(3) Rapoartele de testare IT se păstrează la entitate, cel puțin până la următoarea auditare IT, și sunt puse la dispoziția auditorului IT și A.S.F. la cerere”.

Art. 14 prevede următoarele:

„(1) Entitățile au obligația raportării evaluării prevăzute la art. 5 alin. (1) și a auditării prevăzute la art. 9, astfel:

a) rezultatul evaluării interne a riscurilor operaționale este transmis A.S.F. anual până la 31 martie a anului curent, pentru anul anterior;

b) raportul de audit IT este transmis A.S.F. până la 30 iunie a anului curent, pentru perioada supusă auditării, corespunzătoare fiecărei categorii de risc prevăzute la
art. 6 alin. (1).

(2) Entitățile depun raportul de audit IT împreună cu planul de acțiune din care să rezulte modalitatea de remediere a vulnerabilităților identificate pe parcursul derulării activității de audit IT, dacă este cazul.

(3) Rapoartele privind evaluarea internă a riscurilor operaționale prevăzute la alin. (1) lit. a) și rapoartele de audit IT prevăzute la alin. (1) lit. b) se depun la A.S.F. pe suport hârtie sau în format electronic cu semnătură electronică extinsă.

(4) Entitățile transmit până la data de 31 martie a anului curent, pentru anul anterior, o raportare electronică anuală cu indicatorii menționați în anexa nr. 3, în măsura în care acești indicatori sunt aplicabili și sunt aferenți sistemelor informatice importante.

(5) Pentru situațiile în care datele referitoare la anumiți indicatori nu sunt disponibile în cazul unei anumite entități din cauza tipului acesteia, naturii, dimensiunii sau complexității activităților desfășurate de aceasta, în celula corespunzătoare din raport se va insera acronimul N/A (neaplicabil)”.

Potrivit art. 15, nerespectarea prevederilor prezentei norme de către entitățile prevăzute la art. 2 constituie contravenție conform prevederilor art. 39 alin. (2) lit.
a) din Legea nr. 32/2000 privind activitatea de asigurare și supravegherea asigurărilor, cu modificările și completările ulterioare, respectiv ale art. 272 alin. (1) lit. a) pct. 6, lit. b) pct. 5, lit. c) pct. 4, lit. d) pct. 4, lit. e) pct. 6, lit. f) pct. 3, lit. h) pct. 8, lit. j) pct. 17 și lit. k) pct. 3 din Legea nr. 297/2004, cu modificările și completările ulterioare, în funcție de tipul entității.

Art. 16 are următorul conținut:

„(1) Cerințele prevăzute de prezenta normă sunt puse în aplicare de către entități, începând cu data de 1 ianuarie 2016, cu excepția prevederilor art. 11 referitoare la furnizorii externi și furnizorii de servicii IT externalizate care se aplică începând cu data de 30 septembrie 2016, iar entitățile vor transmite notificările menționate la art. 11 alin. (3) până la 31 decembrie 2016.

(2) Până la data de 30 iunie 2016, toate entitățile vor transmite A.S.F. rezultatul primei evaluări interne a riscurilor operaționale prevăzut la art. 14 alin. (1) lit. a), precum și prima raportare electronică prevăzută la art. 14 alin. (4).

(3) Începând cu data de 1 ianuarie 2017, toate entitățile trebuie să efectueze raportările la termenele prevăzute la art. 14.

(4) Pentru toate entitățile, prima auditare IT se va realiza cel mai târziu până la data de 31 decembrie 2016.

Art. 17 prevede următoarele:

(1) La data de 1 iulie 2015 se abrogă Instrucțiunea nr. 2/2011 privind auditarea sistemelor informatice utilizate de entitățile autorizate, reglementate și supravegheate de Comisia Națională a Valorilor Mobiliare, aprobată prin Ordinul Comisiei Naționale a Valorilor Mobiliare nr. 10/2011, publicată în Monitorul Oficial al României, Partea I, nr. 118 din 16 februarie 2011, cu modificările ulterioare.

(2) La data intrării în vigoare a prezentei norme se abrogă:

a) Dispunerea de măsuri a Comisiei Naționale a Valorilor Mobiliare nr. 19/20101 ;

b) art. 25 din Normele privind principiile de organizare a unui sistem de control intern și management al riscurilor, precum și organizarea și desfășurarea activității de audit intern la asigurători/reasigurători, aprobate prin Ordinul Comisiei de Supraveghere a Asigurărilor nr. 18/2009, publicat în Monitorul Oficial al României, Partea I, nr. 621 din 16 septembrie 2009, cu modificările și completările ulterioare;

c) orice dispoziție contrară prevederilor prezentei norme”.

Potrivit art. 18, anexele nr. 1-3 fac parte integrantă din prezenta normă.

Conform art. 19, respectiva normă se publică în Monitorul Oficial al României, Partea I, precum și în Buletinul A.S.F. și intră în vigoare la data publicării acesteia.