Regulamentul BNR nr. 2/2020 privind măsurile de securitate referitoare la riscurile operaţionale şi de securitate şi cerinţele de raportare aferente serviciilor de plată – publicare

În M. Of. nr. 115 din 14 februarie 2020 a fost publicat Regulamentul BNR nr. 2/2020 privind măsurile de securitate referitoare la riscurile operaționale și de securitate și cerințele de raportare aferente serviciilor de plată.

Astfel, prin respectivul regulament se reglementează măsurile de securitate referitoare la riscurile operaționale și de securitate și cerințele de raportare aferente serviciilor de plată.

Vă prezentăm, în continuare, cele mai importante dispoziții ale Regulamentului BNR nr. 2/2020 privind măsurile de securitate referitoare la riscurile operaționale și de securitate și cerințele de raportare aferente serviciilor de plată.

Structura

– Titlul I („Domeniul de aplicare, obiectul și definiții”);

– Titlul II („Măsurile de securitate privind gestionarea riscurilor operaționale și de securitate legate de serviciile de plată pe care le oferă”);

– Cap. I („Dispoziții generale”);

– Cap. II („Cadrul de gestionare a riscurilor operaționale și de securitate și condițiile de externalizare a unor funcții operaționale aferente serviciilor de plată”);

– Secț. 1 („Cadrul de gestionare al riscurilor operaționale și de securitate”);

– Secț. 2 („Externalizarea unor funcții operaționale aferente serviciilor de plată”);

– Cap. III („Gestionarea riscurilor operaționale și de securitate”);

– Secț. 1 („Identificarea și clasificarea funcțiilor, a proceselor și a activelor”);

– Secț. 2 („Evaluarea riscurilor funcțiilor, a proceselor și a activelor informaționale”);

– Cap. IV („Măsurile de securitate preventive”);

– Secț. 1 („Dispoziții generale”);

– Secț. 2 („Integritatea și confidențialitatea datelor și sistemelor”);

– Secț. 3 („Securitatea fizică și controlul accesului”);

– Cap. V („Măsurile de detecție”);

– Secț. 1 („Monitorizarea continuă și detecția”);

– Secț. 2 („Monitorizarea și raportarea incidentelor operaționale sau de securitate”);

– Cap. VI („Continuitatea activității”);

– Secț. 1 („Dispoziții generale”);

– Secț. 2 („Planificarea continuității activității pe bază de scenariu”);

– Secț. 3 („Testarea planurilor de continuitate a activității și comunicarea în situații de criză”);

– Cap. VII („Testarea măsurilor de securitate”);

– Cap. VIII („Cunoașterea situației și învățarea continuă”);

– Secț. 1 („Cadrul amenințărilor și cunoașterea situației”);

– Secț. 2 („Programe de formare și de cunoaștere în materie de securitate”);

– Cap. IX („Gestionarea relației cu utilizatorul serviciilor de plată”);

– Titlul III („Raportarea incidentelor operaționale și de securitate majore”);

– Cap. I („Încadrarea incidentelor operaționale și/sau de securitate în categoria incidentelor majore”);

– Cap. II („Notificarea incidentelor operaționale sau de securitate majore”);

– Secț. 1 („Dispoziții generale”);

– Secț. 2 („Raportul inițial”);

– Secț. 3 („Raportul intermediar”);

– Secț. 4 („Raportul final”);

– Cap. III („Raportarea delegată și consolidată”);

– Titlul IV („Raportarea datelor statistice privind fraudele legate de diferite mijloace de plată”);

– Cap. I („Obiectul raportării”);

– Cap. II („Cerințe generale privind datele raportate”);

– Cap. III („Frecvență și termen de raportare”);

– Cap. IV („Defalcarea geografică”);

– Cap. V („Data înregistrării și data de referință”);

– Cap. VI („Defalcarea datelor”);

– Titlul V („Măsuri administrative și sancțiuni”);

– Titlul VI („Dispoziții finale”).

Prezentare generală

Potrivit art. 1 alin. (1) lit. a), regulamentul prevede cerințele și documentația ce trebuie prezentată BNR cu privire la măsurile de diminuare a riscurilor operaționale și de securitate, precum și mecanismele de control adecvate pentru a gestiona riscurile operaționale și de securitate, legate de serviciile de plată oferite de către entitățile menționate la alin. (2), astfel:

– prestatorii de servicii de plată prevăzuți la art. 223 alin. (1) lit. a)-e) din Legea nr. 209/2019;

– prestatorii de servicii de plată prevăzuți la art. 223 alin. (1) lit. a), b) și e) din Legea nr. 209/2019;

– prestatorii de servicii de plată prevăzuți la art. 223 alin. (1) lit. a), c)-e) din Legea nr. 209/2019.

Activele de informare sunt definite ca date sau alte cunoștințe care au valoare pentru instituție, inclusiv sisteme ale tehnologiei informației și comunicațiilor, configurațiile acestora, alte infrastructuri, precum și conexiunile cu alte sisteme externe și interne, în vreme ce prin expresia apărare în adâncime se desemnează un ansamblu de mai multe tipuri de controale care acoperă același risc, precum principiul celor patru ochi, autentificarea pe baza a doi factori, segmentarea rețelei și mecanisme multiple de tip firewall.

Conform art. 3, prestatorii de servicii de plată trebuie să prevadă într-un document formal măsuri de securitate adecvate pentru gestionarea riscurilor operaționale și de securitate, legate de serviciile de plată pe care le oferă, iar nivelul de detaliu al descrierii măsurilor trebuie să fie proporțional cu dimensiunea prestatorului de servicii de plată, precum și cu natura, scopul, complexitatea și caracterul riscant al serviciilor de plată pe care prestatorul de servicii de plată le oferă sau intenționează să le ofere.

Mai mult, prestatorii de servicii de plată au obligația să stabilească un cadru de măsuri de diminuare și mecanisme de control adecvate pentru a gestiona riscurile operaționale și de securitate potrivit prevederilor art. 218 alin. (1) din Legea nr. 209/2019, desemnat prin sintagma cadru de gestionare a riscurilor. Cadrul trebuie aprobat și revizuit, cel puțin o dată pe an, de către organul de conducere și, dacă este cazul, de către conducerea superioară.

Măsurile de securitate prevăzute de prestatorii de servicii de plată trebuie să fie auditate de auditori cu experiență în securitatea informației și a plăților și să fie independenți din punct de vedere operațional de prestatorul de servicii de plată, indiferent dacă își desfășoară activitatea în cadrul sau separat de acesta.

De asemenea, prestatorii de servicii de plată trebuie să identifice, să stabilească și să actualizeze regulat evidența funcțiilor aferente activității lor, rolurilor-cheie și a responsabilităților-cheie asociate acestora, precum și a proceselor-suport, pentru a determina importanța fiecărei funcții, a fiecărui rol și a fiecărui proces-suport, precum și interdependențele acestora raportat la riscurile operaționale și de securitate.