Obligatii privind DORA - Regulamentul ce redefineste rezilienta digitala in sectorul financiar
Incepand cu 17 ianuarie 2025, entitatile financiare din Uniunea Europeana trebuie sa respecte noi reguli stricte privind securitatea cibernetica si rezilienta operationala digitala, conform Regulamentului (UE) 2022/2554, cunoscut sub numele „DORA” (Digital Operational Resilience Act). Regulamentul stabileste un cadru unitar pentru gestionarea riscurilor IT&C si raportarea incidentelor cibernetice, consolidand securitatea infrastructurilor digitale ale sectorului financiar.
Ce inseamna rezilienta operationala digital si risc TIC?
DORA defineste rezilienta digitala ca abilitatea unei entitati financiare de a asigura integritatea si continuitatea serviciilor sale financiare, inclusiv in timpul unor perturbari semnificative. Regulamentul impune dezvoltarea unor mecanisme robuste pentru protejarea retelelor si sistemelor informatice si crearea unui plan pentru gestionarea eficienta a incidentelor IT&C.
Principalele cerinte ale regulamentului
1. Gestionarea riscurilor IT&C:
- Elaborarea unui cadru detaliat de gestionare a riscurilor IT&C.
- Politici si proceduri pentru identificarea, prevenirea si remedierea vulnerabilitatilor.
2. Raportarea incidentelor IT&C:
- Notificarea autoritatilor competente in cazul incidentelor majore.
- Posibilitatea de raportare voluntara a amenintarilor cibernetice semnificative.
3. Testarea rezilientei operationale:
- Introducerea unor programe de testare a infrastructurilor IT, inclusiv teste avansate bazate pe simulari ale amenintarilor reale.
4. Relatia cu furnizorii terti de servicii IT&C:
- Stabilirea unor reguli stricte pentru contractele cu furnizorii terti, inclusiv drepturi de audit si monitorizare continua.
- Supravegherea directa a furnizorilor esentiali de servicii IT&C de catre autoritatile competente.
5. Schimbul de informatii:
- Promovarea colaborarii intre entitatile financiare prin crearea unor mecanisme voluntare de schimb de informatii privind amenintarile si vulnerabilitatile.
Entitatile vizate
Potrivit art. 2 din Regulamentul (UE) 2022/2554, sunt vizate urmatoarele entitati:
a) institutiile de credit;
b) institutiile de plata, inclusiv institutiile de plata exceptate in temeiul Directivei (UE) 2015/2366;
c) prestatorii de servicii de informare cu privire la conturi;
d) institutiile emitente de moneda electronica, inclusiv institutiile emitente de moneda electronica exceptate in temeiul Directivei 2009/110/CE;
e) firmele de investitii;
f) prestatorii de servicii de criptoactive autorizati in temeiul unui regulament al Parlamentului European si al Consiliului privind pietele criptoactivelor si de modificare a Regulamentelor (UE) nr. 1093/2010 si (UE) nr. 1095/2010 si a Directivelor 2013/36/UE si (UE) 2019/1937 si emitentii de tokenuri raportate la active;
g) depozitarii centrali de titluri de valoare;
h) contrapartile centrale;
i) locurile de tranzactionare;
j) registrele centrale de tranzactii;
k) administratorii de fonduri de investitii alternative;
l) societatile de administrare;
m) furnizorii de servicii de raportare a datelor;
n) intreprinderile de asigurare si de reasigurare;
o) intermediarii de asigurari, intermediarii de reasigurari si intermediarii de asigurari auxiliare;
p) institutiile pentru furnizarea de pensii ocupationale;
q) agentiile de rating de credit;
r) administratorii de indici de referinta critici;
s) furnizorii de servicii de finantare participativa;
t) registrele centrale de securitizari;
u) furnizorii terti de servicii TIC.
In sensul prezentului regulament, entitatile mentionate la lit. a)-t) sunt denumite colectiv „entitati financiare”.
Regulamentul nu se aplica urmatoarelor entitati:
a) administratorii de fonduri de investitii alternative (art. 3 alin. 2) din Directiva 2011/61/UE);
b) intreprinderile de asigurare si de reasigurare (art. 4 din Directiva 2009/138/CE);
c) institutiile pentru furnizarea de pensii ocupationale care gestioneaza sisteme de pensii care impreuna nu au mai mult de 15 membri in total;
d) persoanele fizice sau juridice exceptate in temeiul art. 2 si 3 din Directiva 2014/65/UE;
e) intermediarii de asigurari, intermediarii de reasigurari si intermediarii de asigurari auxiliare care sunt microintreprinderi sau intreprinderi mici sau mijlocii;
f) oficiile postale care efectueaza operatiuni de virament (art. 2 alin. 5) pct. 3 din Directiva 2013/36/UE).
De ce este necesar DORA?
Sectorul financiar, extrem de digitalizat, este vulnerabil la atacuri cibernetice care pot avea consecinte sistemice. Conform unui raport din 2020 al Comitetului European pentru Risc Sistemic, interdependentele dintre infrastructurile IT ale celor aproximativ 22.000 de entitati financiare din UE pot amplifica efectele unui incident localizat, afectand intregul sistem financiar.
Ce urmeaza?
Fiecare stat membru UE trebuie sa stabileasca sanctiuni si proceduri pentru entitatile care nu respecta DORA. In Romania, autoritatile de reglementare vor supraveghea implementarea acestor cerinte, astfel incat sectorul financiar sa fie pregatit sa faca fata provocarilor digitale.
Concluzie
DORA reprezinta o schimbare de paradigma in abordarea securitatii cibernetice si a rezilientei digitale. Pentru entitatile financiare, aceasta este o obligatie, dar si o oportunitate de a-si intari infrastructurile digitale si de a castiga increderea pietei intr-un mediu tot mai interconectat.
Newsletter PortalCodulFiscal.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalCodulFiscal.ro si primesti cadou Raportul special "SAF-T 2025"!
Un produs marca 