Comunica experienta
MonitorulJuridic.ro
────────── Pus în aplicare prin NORMA nr. 21 din 10 august 2021, publicată în Monitorul Oficial, Partea I, nr. 869 din 10 septembrie 2021.────────── I. Domeniu de aplicare Cui i se adresează? 1. Prezentul ghid se aplică autorităţilor competente şi: (i) administratorilor de fonduri de investiţii alternative (AFIA) şi depozitarilor de fonduri de investiţii alternative; (ii) organismelor de plasament colectiv în valori mobiliare (OPCVM), societăţilor de administrare şi depozitarilor OPCVM şi societăţilor de investiţii care nu au desemnat o societate de administrare autorizată în conformitate cu Directiva OPCVM; (iii) contrapărţilor centrale (CPC), inclusiv CPC-urilor de nivel 2 din ţări terţe care respectă cerinţele EMIR relevante; (iv) registrelor centrale de tranzacţii (RCT); (v) firmelor de investiţii şi instituţiilor de credit atunci când desfăşoară servicii şi activităţi de investiţii, furnizorilor de servicii de raportare a datelor şi operatorilor de piaţă ai locurilor de tranzacţionare; (vi) depozitarilor centrali de titluri de valoare (CSD); (vii) agenţiilor de rating de credit (ARC); (viii) registrelor centrale de securitizări (RCS) şi (ix) administratorilor de indici de referinţă critici. 2. ESMA va lua în considerare, de asemenea, acest ghid atunci când va evalua măsura în care conformitatea cu cerinţele EMIR relevante de către o contraparte centrală de nivel 2 dintr-o ţară terţă este asigurată de conformitatea sa cu cerinţele comparabile din ţara terţă, în conformitate cu art. 25 alin. (2b) lit. (a) din EMIR. Ce se aplică? 3. Prezentul ghid se aplică în legătură cu următoarele dispoziţii: a) art. 15, 18, 20 şi art. 21 alin. (8) din DAFIA; art. 13, 22, 38, 39, 40, 44, 45, art. 57 alin. (1) lit. (d), art. 57 alin. (2), art. 57 alin. (3), art. 58, 75, 76, 77, 79, 81, 82 şi 98 din Regulamentul delegat (UE) nr. 231/2013 al Comisiei; b) art. 12 alin. (1) lit. (a), art. 13, art. 14 alin. (1) lit. (c), art. 22, 22a, art. 23 alin. (2), art. 30 şi 31 din Directiva OPCVM; art. 4 alin. (1)-(3), art. 4 alin. (5), art. 5 alin. (2), art. 7, 9, art. 23 alin. (4), art. 32, 38, 39 şi 40 din Directiva 2010/43/UE a Comisiei; art. 2 alin. (2) lit. (j), art. 3 alin. (1), art. 13 alin. (2), art. 15, 16 şi 22 din Regulamentul delegat (UE) 2016/438 al Comisiei; c) art. 25, art. 26 alin. (1), art. 26 alin. (3), art. 26 alin. (6), art. 34, 35 şi 78-81 din EMIR; art. 5 şi 12 din SFTR; art. 3 alin. (1) lit. (f), art. 3 alin. (2), art. 4, art. 7 alin. (2) lit. (d) şi (f), art. 9 şi 17 din Regulamentul delegat (UE) nr. 153/2013 al Comisiei; art. 16 şi 21 din Regulamentul delegat (UE) nr. 150/2013 al Comisiei; art. 16 şi 21 din Regulamentul delegat (UE) 2019/359 al Comisiei; d) art. 16 alin. (2), art. 16 alin. (4), art. 16 alin. (5), art. 18 alin. (1), art. 19 alin. (3) lit. (a), art. 47 alin. (1) lit. (b) şi (c), art. 48 alin. (1), art. 64 alin. (4), art. 65 alin. (5) şi art. 66 alin. (3)^1 din MiFID II; art. 21 alin. (1) - (3), art. 23, art. 29 alin. (5), art. 30, 31 şi 32 din Regulamentul delegat (UE) 2017/565 al Comisiei; art. 6, 15 şi art. 16 alin. (6) din Regulamentul delegat (UE) 2017/584 al Comisiei; art. 6, 7, 8 şi 9 din Regulamentul delegat (UE) 2017/571 al Comisiei; e) art. 22, 26, 30, 42, 44 şi 45 din CSDR şi art. 33, 47, art. 50 alin. (1), art. 57 alin. (2) lit. (i), art. 66, 68, 75, 76, 78 şi 80 din Regulamentul delegat (UE) 2017/392 al Comisiei; f) art. 9 şi anexa I secţiunea A pct. 4 şi 8 şi anexa II pct. 17 din Regulamentul ARC şi art. 11 şi 25 din Regulamentul delegat (UE) nr. 449/2012 al Comisiei; g) art. 10 alin. (2) din SECR; h) art. 6 alin. (3) şi art. 10 din Regulamentul privind indicii de referinţă şi pct. 7 din anexa I la Regulamentul delegat (UE) 2018/1.646 al Comisiei. Când se aplică? 4. Prezentul ghid se aplică de la 31 iulie 2021 tuturor angajamentelor de externalizare în cloud încheiate, reînnoite sau modificate la această dată sau ulterior. Societăţile trebuie să revizuiască şi să modifice în consecinţă angajamentele existente de externalizare în cloud, pentru a se asigura că iau în considerare prezentul ghid până la 31 decembrie 2022. În cazul în care revizuirea angajamentelor de externalizare în cloud a funcţiilor critice sau importante nu este finalizată până la data de 31 decembrie 2022, societăţile trebuie să informeze autoritatea competentă corespunzătoare cu privire la acest aspect, precizând inclusiv măsurile avute în vedere pentru a finaliza revizuirea sau pentru posibila strategie de ieşire. II. Referinţe legislative, abrevieri şi definiţii Referinţe legislative
┌────────────┬─────────────────────────┐
│ │Regulamentul (UE) nr. │
│ │1.095/2010 al │
│ │Parlamentului European şi│
│ │al Consiliului din 24 │
│ │noiembrie 2010 de │
│ │instituire a Autorităţii │
│Regulamentul│europene de supraveghere │
│ESMA │(Autoritatea europeană │
│ │pentru valori mobiliare │
│ │şi pieţe), de modificare │
│ │a Deciziei nr. 716/2009/ │
│ │CE şi de abrogare a │
│ │Deciziei 2009/77/CE a │
│ │Comisiei^2 │
├────────────┼─────────────────────────┤
│ │Directiva 2011/61/UE a │
│ │Parlamentului European şi│
│ │a Consiliului din 8 iunie│
│ │2011 privind │
│ │administratorii │
│DAFIA │fondurilor de investiţii │
│ │alternative şi de │
│ │modificare a Directivelor│
│ │2003/41/CE şi 2009/65/CE │
│ │şi a Regulamentelor (CE) │
│ │nr. 1.060/2009 şi (UE) │
│ │nr. 1.095/2010^3 │
├────────────┼─────────────────────────┤
│ │Regulamentul delegat (UE)│
│ │nr. 231/2013 al Comisiei │
│ │din 19 decembrie 2012 de │
│ │completare a Directivei │
│Regulamentul│2011/61/UE a │
│delegat (UE)│Parlamentului European şi│
│nr. 231/2013│a Consiliului în ceea ce │
│al Comisiei │priveşte derogările, │
│ │condiţiile generale de │
│ │operare, depozitarii, │
│ │efectul de levier, │
│ │transparenţa şi │
│ │supravegherea^4 │
├────────────┼─────────────────────────┤
│ │Directiva 2009/65/CE a │
│ │Parlamentului European şi│
│ │a Consiliului din 13 │
│ │iulie 2009 de coordonare │
│Directiva │a actelor cu putere de │
│OPCVM │lege şi a actelor │
│ │administrative privind │
│ │organismele de plasament │
│ │colectiv în valori │
│ │mobiliare (OPCVM)^5 │
├────────────┼─────────────────────────┤
│ │Directiva 2010/43/UE a │
│ │Comisiei din 1 iulie 2010│
│ │de punere în aplicare a │
│ │Directivei 2009/65/CE a │
│ │Parlamentului European şi│
│ │a Consiliului în ceea ce │
│Directiva │priveşte cerinţele │
│2010/43/UE a│organizatorice, │
│Comisiei │conflictele de interese, │
│ │regulile de conduită, │
│ │administrarea riscului şi│
│ │conţinutul acordului │
│ │dintre depozitar şi │
│ │societatea de │
│ │administrare^6 │
├────────────┼─────────────────────────┤
│ │Regulamentul delegat (UE)│
│ │2016/438 al Comisiei din │
│Regulamentul│17 decembrie 2015 de │
│delegat (UE)│completare a Directivei │
│2016/438 al │2009/65/CE a │
│Comisiei │Parlamentului European şi│
│ │a Consiliului în ceea ce │
│ │priveşte obligaţiile │
│ │depozitarilor^7 │
├────────────┼─────────────────────────┤
│ │Regulamentul (UE) nr. 648│
│ │/2012 al Parlamentului │
│ │European şi al │
│ │Consiliului din 4 iulie │
│EMIR │2012 privind │
│ │instrumentele financiare │
│ │derivate extrabursiere, │
│ │contrapărţile centrale şi│
│ │registrele centrale de │
│ │tranzacţii^8 │
├────────────┼─────────────────────────┤
│ │Regulamentul (UE) 2015/ │
│ │2.365 al Parlamentului │
│ │European şi al │
│ │Consiliului din 25 │
│ │noiembrie 2015 privind │
│ │transparenţa │
│SFTR │operaţiunilor de │
│ │finanţare prin │
│ │instrumente financiare şi│
│ │transparenţa reutilizării│
│ │şi de modificare a │
│ │Regulamentului (UE) nr. │
│ │648/2012^9 │
├────────────┼─────────────────────────┤
│ │Regulamentul delegat (UE)│
│ │nr. 153/2013 al Comisiei │
│ │din 19 decembrie 2012 │
│ │privind completarea │
│Regulamentul│Regulamentului (UE) nr. │
│delegat (UE)│648/2012 al Parlamentului│
│nr. 153/2013│European şi al │
│al Comisiei │Consiliului, în ceea ce │
│ │priveşte standarde │
│ │tehnice de reglementare │
│ │privind cerinţele pentru │
│ │contrapărţile centrale^10│
├────────────┼─────────────────────────┤
│ │Regulamentul delegat (UE)│
│ │nr. 150/2013 al Comisiei │
│ │din 19 decembrie 2012 de │
│ │completare a │
│ │Regulamentului (UE) nr. │
│ │648/2012 al Parlamentului│
│ │European şi al │
│Regulamentul│Consiliului privind │
│delegat (UE)│instrumentele financiare │
│nr. 150/2013│derivate extrabursiere, │
│al Comisiei │contrapărţile centrale şi│
│ │registrele centrale de │
│ │tranzacţii în ceea ce │
│ │priveşte standarde │
│ │tehnice de reglementare │
│ │în care se precizează │
│ │detaliile cererii de │
│ │înregistrare ca registru │
│ │central de tranzacţii^11 │
├────────────┼─────────────────────────┤
│ │Regulamentul delegat (UE)│
│ │2019/359 al Comisiei din │
│ │13 decembrie 2018 de │
│ │completare a │
│ │Regulamentului (UE) 2015/│
│ │2.365 al Parlamentului │
│Regulamentul│European şi al │
│delegat (UE)│Consiliului în ceea ce │
│2019/359 al │priveşte standardele │
│Comisiei │tehnice de reglementare │
│ │care precizează detaliile│
│ │cererii de înregistrare │
│ │ca registru central de │
│ │tranzacţii şi de │
│ │extindere a acestei │
│ │înregistrări^12 │
├────────────┼─────────────────────────┤
│ │Directiva 2014/65/UE a │
│ │Parlamentului European şi│
│ │a Consiliului din 15 mai │
│ │2014 privind pieţele │
│MiFID II │instrumentelor financiare│
│ │şi de modificare a │
│ │Directivei 2002/92/CE şi │
│ │a Directivei 2011/61/UE^ │
│ │13 │
├────────────┼─────────────────────────┤
│ │Regulamentul (UE) nr. 600│
│ │/2014 al Parlamentului │
│ │European şi al │
│ │Consiliului din 15 mai │
│MiFIR │2014 privind pieţele │
│ │instrumentelor financiare│
│ │şi de modificare a │
│ │Regulamentului (UE) nr. │
│ │648/2012^14 │
├────────────┼─────────────────────────┤
│ │Regulamentul delegat (UE)│
│ │2017/565 al Comisiei din │
│ │25 aprilie 2016 de │
│ │completare a Directivei │
│ │2014/65/UE a │
│Regulamentul│Parlamentului European şi│
│delegat (UE)│a Consiliului în ceea ce │
│2017/565 al │priveşte cerinţele │
│Comisiei │organizatorice şi │
│ │condiţiile de funcţionare│
│ │aplicabile firmelor de │
│ │investiţii şi termenii │
│ │definiţi în sensul │
│ │directivei menţionate^15 │
├────────────┼─────────────────────────┤
│ │Regulamentul delegat (UE)│
│ │2017/584 al Comisiei din │
│ │14 iulie 2016 de │
│ │completare a Directivei │
│Regulamentul│2014/65/UE a │
│delegat (UE)│Parlamentului European şi│
│2017/584 al │a Consiliului în ceea ce │
│Comisiei │priveşte standardele │
│ │tehnice de reglementare │
│ │în care sunt precizate │
│ │cerinţele organizatorice │
│ │pentru locurile de │
│ │tranzacţionare^16 │
├────────────┼─────────────────────────┤
│ │Regulamentul delegat (UE)│
│ │2017/571 al Comisiei din │
│ │2 iunie 2016 de │
│ │completare a Directivei │
│ │2014/65/UE a │
│ │Parlamentului European şi│
│Regulamentul│a Consiliului în ceea ce │
│delegat (UE)│priveşte standardele │
│2017/571 al │tehnice de reglementare │
│Comisiei │referitoare la │
│ │autorizarea, cerinţele │
│ │organizatorice şi │
│ │publicarea tranzacţiilor │
│ │pentru furnizorii de │
│ │servicii de raportare a │
│ │datelor^17 │
├────────────┼─────────────────────────┤
│ │Regulamentul (UE) nr. 909│
│ │/2014 din 23 iulie 2014 │
│ │privind îmbunătăţirea │
│ │decontării titlurilor de │
│ │valoare în Uniunea │
│CSDR │Europeană şi privind │
│ │depozitarii centrali de │
│ │titluri de valoare şi de │
│ │modificare a Directivelor│
│ │98/26/CE şi 2014/65/UE şi│
│ │a Regulamentului (UE) nr.│
│ │236/2012^18 │
├────────────┼─────────────────────────┤
│ │Regulamentul delegat (UE)│
│ │2017/392 al Comisiei din │
│ │11 noiembrie 2016 de │
│ │completare a │
│ │Regulamentului (UE) nr. │
│Regulamentul│909/2014 al Parlamentului│
│delegat (UE)│European şi al │
│2017/392 al │Consiliului cu privire la│
│Comisiei │standarde tehnice de │
│ │reglementare în materie │
│ │de autorizare, │
│ │supraveghere şi cerinţe │
│ │operaţionale pentru │
│ │depozitarii centrali de │
│ │titluri de valoare^19 │
├────────────┼─────────────────────────┤
│ │Regulamentul (CE) nr. │
│ │1.060/2009 al │
│Regulamentul│Parlamentului European şi│
│ARC │al Consiliului din 16 │
│ │septembrie 2009 privind │
│ │agenţiile de rating de │
│ │credit^20 │
├────────────┼─────────────────────────┤
│ │Regulamentul delegat (UE)│
│ │nr. 449/2012 al Comisiei │
│ │din 21 martie 2012 de │
│ │completare a │
│ │Regulamentului (CE) nr. │
│Regulamentul│1.060/2009 al │
│delegat (UE)│Parlamentului European şi│
│nr. 449/2012│al Consiliului în ceea ce│
│al Comisiei │priveşte standardele │
│ │tehnice de reglementare │
│ │privind informaţiile care│
│ │trebuie furnizate pentru │
│ │înregistrarea şi │
│ │certificarea agenţiilor │
│ │de rating de credit^21 │
├────────────┼─────────────────────────┤
│ │Regulamentul (UE) 2017/ │
│ │2.402 al Parlamentului │
│ │European şi al │
│ │Consiliului din 12 │
│ │decembrie 2017 de │
│ │stabilire a unui cadru │
│ │general privind │
│ │securitizarea şi de │
│ │creare a unui cadru │
│SECR │specific pentru o │
│ │securitizare simplă, │
│ │transparentă şi │
│ │standardizată, şi de │
│ │modificare a Directivelor│
│ │2009/65/CE, 2009/138/CE │
│ │şi 2011/61/UE, precum şi │
│ │a Regulamentelor (CE) nr.│
│ │1.060/2009 şi (UE) nr. │
│ │648/2012^22 │
├────────────┼─────────────────────────┤
│ │Regulamentul (UE) 2016/ │
│ │1.011 al Parlamentului │
│ │European şi al │
│ │Consiliului din 8 iunie │
│ │2016 privind indicii │
│ │utilizaţi ca indici de │
│Regulamentul│referinţă în cadrul │
│privind │instrumentelor financiare│
│indicii de │şi al contractelor │
│referinţă │financiare sau pentru a │
│ │măsura performanţele │
│ │fondurilor de investiţii │
│ │şi de modificare a │
│ │Directivelor 2008/48/CE │
│ │şi 2014/17/UE şi a │
│ │Regulamentului (UE) nr. │
│ │596/2014^23 │
├────────────┼─────────────────────────┤
│ │Regulamentul delegat (UE)│
│ │2018/1.646 al Comisiei │
│ │din 13 iulie 2018 de │
│ │completare a │
│ │Regulamentului (UE) 2016/│
│Regulamentul│1.011 al Parlamentului │
│delegat (UE)│European şi al │
│2018/1.646 │Consiliului în ceea ce │
│al Comisiei │priveşte standardele │
│ │tehnice de reglementare │
│ │pentru informaţiile care │
│ │trebuie furnizate într-o │
│ │cerere de autorizare şi │
│ │într-o cerere de │
│ │înregistrare^24 │
├────────────┼─────────────────────────┤
│ │Regulamentul (UE) 2016/ │
│ │679 al Parlamentului │
│ │European şi al │
│ │Consiliului din 27 │
│ │aprilie 2016 privind │
│ │protecţia persoanelor │
│RGPD │fizice în ceea ce │
│ │priveşte prelucrarea │
│ │datelor cu caracter │
│ │personal şi privind │
│ │libera circulaţie a │
│ │acestor date şi de │
│ │abrogare a Directivei 95/│
│ │46/CE^25 │
└────────────┴─────────────────────────┘
Abrevieri:
┌────┬─────────────────────────────────┐
│- │- furnizor de servicii cloud; │
│FSC │ │
├────┼─────────────────────────────────┤
│- │- Autoritatea Europeană pentru │
│ESMA│Valori Mobiliare şi Pieţe; │
├────┼─────────────────────────────────┤
│- UE│- Uniunea Europeană. │
└────┴─────────────────────────────────┘
Definiţii:
┌──────────────┬───────────────────────┐
│ │- orice procese, │
│- funcţie │servicii sau │
│ │activităţi; │
├──────────────┼───────────────────────┤
│ │- orice funcţie a cărei│
│ │anomalie sau deficienţă│
│ │în îndeplinirea sa ar │
│ │compromite │
│ │considerabil: │
│ │a) respectarea de către│
│ │societate a │
│- funcţie │obligaţiilor sale în │
│critică sau │temeiul legislaţiei │
│importantă │aplicabile; │
│ │b) performanţa │
│ │financiară a unei │
│ │societăţi; sau │
│ │c) viabilitatea sau │
│ │continuitatea │
│ │principalelor servicii │
│ │şi activităţi ale unei │
│ │societăţi; │
├──────────────┼───────────────────────┤
│- servicii │- servicii furnizate │
│cloud │utilizând cloud │
│ │computing; │
├──────────────┼───────────────────────┤
│ │- o paradigmă care │
│ │permite accesul în │
│ │reţea la un bazin │
│ │scalabil şi elastic de │
│ │resurse fizice sau │
│- cloud │virtuale care pot fi │
│computing sau │partajate (de exemplu, │
│cloud^26 │servere, sisteme de │
│ │operare, reţele, │
│ │software, aplicaţii şi │
│ │echipamente de stocare)│
│ │cu funcţie de │
│ │autoservice şi de │
│ │administrare la cerere;│
├──────────────┼───────────────────────┤
│ │- un terţ care │
│- furnizor de │furnizează servicii │
│servicii cloud│cloud în cadrul unui │
│ │angajament de │
│ │externalizare în cloud;│
├──────────────┼───────────────────────┤
│ │- un angajament sub │
│ │orice formă, inclusiv │
│ │acorduri de delegare, │
│- angajament │între: │
│de │(i) o societate şi un │
│externalizare │FSC, prin care │
│în cloud │respectivul FSC │
│ │îndeplineşte o funcţie │
│ │care altfel ar fi │
│ │asumată de societatea │
│ │însăşi; sau │
├──────────────┼───────────────────────┤
│ │(ii) o societate şi un │
│ │terţ care nu este un │
│ │FSC, dar care se │
│ │bazează în mod │
│ │semnificativ pe un FSC │
│ │pentru a îndeplini o │
│ │funcţie care altfel ar │
│ │fi asumată de │
│ │societatea însăşi. În │
│ │acest caz, o trimitere │
│ │la un „FSC“ în acest │
│ │ghid trebuie │
│ │interpretată ca │
│ │referindu-se la un │
│ │astfel de terţ; │
├──────────────┼───────────────────────┤
│ │- o situaţie în care │
│ │FSC transferă mai │
│- │departe funcţia │
│subcontractare│externalizată (sau o │
│a serviciilor │parte a acestei │
│externalizate │funcţii) către un alt │
│ │furnizor de servicii în│
│ │cadrul unui angajament │
│ │de externalizare; │
├──────────────┼───────────────────────┤
│ │- modul în care cloudul│
│ │poate fi organizat pe │
│ │baza controlului şi │
│ │partajării resurselor │
│- model de │fizice sau virtuale. │
│implementare │Modelele de │
│în cloud │implementare în cloud │
│ │includ cloudul │
│ │comunitar^27, hibrid^ │
│ │28, privat^29 şi public│
│ │^30; │
├──────────────┼───────────────────────┤
│ │a) administratori de │
│ │fonduri de investiţii │
│ │alternative sau „AFIA“,│
│ │astfel cum sunt │
│ │definiţi la art. 4 │
│ │alin. (1) lit. (b) din │
│- societăţi │DAFIA, şi depozitari, │
│ │astfel cum se │
│ │menţionează la art. 21 │
│ │alin. (3) din DAFIA │
│ │(„depozitari de fonduri│
│ │de investiţii │
│ │alternative“); │
├──────────────┼───────────────────────┤
│ │b) societăţi de │
│ │administrare, astfel │
│ │cum sunt definite la │
│ │art. 2 alin. (1) lit. │
│ │(b) din Directiva OPCVM│
│ │(„societăţi de │
│ │administrare OPCVM“) şi│
│ │depozitari, astfel cum │
│ │sunt definiţi la art. 2│
│ │alin. (1) lit. (a) din │
│ │Directiva OPCVM │
│ │(„depozitari ai │
│ │OPCVM“); │
├──────────────┼───────────────────────┤
│ │c) contrapărţi centrale│
│ │(CPC), astfel cum sunt │
│ │definite la art. 2 │
│ │alin. (1) din EMIR, şi │
│ │contrapărţi centrale de│
│ │nivel 2 din ţări terţe,│
│ │în sensul art. 25 alin.│
│ │(2a) din EMIR, care │
│ │respectă cerinţele EMIR│
│ │relevante în │
│ │conformitate cu art. 25│
│ │alin. (2b) lit. (a) din│
│ │EMIR; │
├──────────────┼───────────────────────┤
│ │d) registre centrale de│
│ │tranzacţii, astfel cum │
│ │sunt definite la art. 2│
│ │alin. (2) din EMIR şi │
│ │la art. 3 alin. (1) din│
│ │SFTR; │
├──────────────┼───────────────────────┤
│ │e) firme de investiţii,│
│ │astfel cum sunt │
│ │definite la art. 4 │
│ │alin. (1) pct. 1 din │
│ │MiFID II, şi instituţii│
│ │de credit, astfel cum │
│ │sunt definite la art. 4│
│ │alin. (1) pct. 27 din │
│ │MiFID II, atunci când │
│ │prestează servicii şi │
│ │activităţi de │
│ │investiţii în sensul │
│ │art. 4 alin. (1) pct. 2│
│ │din MiFID II; │
├──────────────┼───────────────────────┤
│ │f) furnizori de │
│ │servicii de raportare a│
│ │datelor, astfel cum │
│ │sunt definiţi la art. 4│
│ │alin. (1) pct. 63 din │
│ │MiFID II^31; │
├──────────────┼───────────────────────┤
│ │g) operatori de piaţă │
│ │ai locurilor de │
│ │tranzacţionare în │
│ │sensul art. 4 alin. (1)│
│ │pct. 24 din MiFID II; │
├──────────────┼───────────────────────┤
│ │h) depozitari centrali │
│ │de titluri de valoare │
│ │(CSD), astfel cum sunt │
│ │definiţi la art. 2 │
│ │alin. (1) pct. 1 din │
│ │CSDR; │
├──────────────┼───────────────────────┤
│ │i) agenţii de rating de│
│ │credit, astfel cum sunt│
│ │definite la art. 3 │
│ │alin. (1) lit. (b) din │
│ │Regulamentul ARC; │
├──────────────┼───────────────────────┤
│ │j) registre centrale de│
│ │securitizări, astfel │
│ │cum sunt definite la │
│ │art. 2 pct. 23 din │
│ │SECR; │
├──────────────┼───────────────────────┤
│ │k) administratori de │
│ │indici de referinţă │
│ │critici, astfel cum │
│ │sunt definiţi la art. 3│
│ │alin. (1) pct. 25 din │
│ │Regulamentul privind │
│ │indicii de referinţă. │
└──────────────┴───────────────────────┘
III. Scop 5. Prezentul ghid este elaborat în temeiul art. 16 alin. (1) din Regulamentul ESMA. Obiectivele prezentului ghid sunt de a stabili practici de supraveghere coerente, eficiente şi eficace în cadrul Sistemului european de supraveghere financiară (SESF) şi de a asigura aplicarea comună, uniformă şi consecventă a cerinţelor menţionate la pct. 3 de la rubrica „Ce se aplică?“ atunci când societăţile externalizează către FSC-uri. În special, ghidul are scopul de a ajuta societăţile şi autorităţile competente să identifice, să abordeze şi să monitorizeze riscurile şi provocările care decurg din angajamentele de externalizare în cloud, de la luarea deciziei de externalizare, selectarea unui furnizor de servicii cloud, monitorizarea activităţilor externalizate până la furnizarea de strategii de ieşire. IV. Conformitate şi obligaţii de raportare Statutul ghidului 6. Conform art. 16 alin. (3) din Regulamentul ESMA, autorităţile competente şi societăţile trebuie să depună toate eforturile necesare pentru a respecta prezentul ghid. 7. Autorităţile competente cărora li se aplică prezentul ghid trebuie să se conformeze prin includerea lui în cadrele lor juridice şi/sau de supraveghere naţionale, după caz, inclusiv în cazul în care ghiduri specifice vizează, în principal, societăţile. În acest caz, autorităţile competente trebuie să asigure, prin activităţi de supraveghere, respectarea ghidului de către societăţi. 8. Prin supravegherea sa continuă directă, ESMA va evalua aplicarea acestui ghid de agenţiile de rating, de registrele centrale de tranzacţii, de registrele centrale de securitizări, de contrapărţile centrale de nivel 2 din ţările terţe şi, de la 1 ianuarie 2022, de furnizorii de servicii de raportare a datelor şi de administratorii de indici UE de referinţă critici. Cerinţe de raportare 9. În termen de două luni de la data publicării prezentului ghid pe site-ul ESMA în toate limbile oficiale ale UE, autorităţile competente cărora li se aplică prezentul ghid trebuie să informeze ESMA: (i) dacă respectă ghidul; (ii) dacă nu respectă, dar intenţionează să respecte ghidul; sau (iii) dacă nu respectă şi nu intenţionează să respecte ghidul. 10. În caz de neconformitate, autorităţile competente trebuie, de asemenea, să informeze ESMA, în termen de două luni de la data publicării prezentului ghid pe site-ul ESMA în toate limbile oficiale ale UE, cu privire la motivele de neconformare cu ghidul. Pe site-ul ESMA este disponibil un model de notificare. Odată ce a fost completat, modelul va fi transmis la ESMA. 11. Societăţile nu sunt obligate să raporteze dacă respectă sau nu prezentul ghid. V. Ghid privind externalizarea către furnizorii de servicii cloud Orientarea 1. Guvernanţă, supraveghere şi documentare 12. O societate trebuie să aibă o strategie de externalizare în cloud definită şi actualizată, care să fie compatibilă cu strategiile relevante şi cu politicile şi procesele interne ale societăţii, inclusiv în ceea ce priveşte tehnologia informaţiei şi comunicaţiilor, securitatea informaţiilor şi gestionarea riscurilor operaţionale. 13. O societate trebuie: a) să atribuie clar responsabilităţile în cadrul organizaţiei pentru documentarea, gestionarea şi controlul angajamentelor de externalizare în cloud; b) să aloce resurse suficiente pentru a asigura respectarea acestui ghid şi a tuturor cerinţelor legale aplicabile angajamentelor sale de externalizare în cloud; c) să instituie o funcţie de supraveghere a externalizării în cloud sau să desemneze membri ai personalului de nivel superior care să se afle în directa subordine a organului de conducere şi să răspundă de gestionarea şi supravegherea riscurilor aranjamentelor de externalizare în cloud. Atunci când respectă acest ghid, societăţile trebuie să ţină seama de natura, amploarea şi complexitatea activităţii lor, inclusiv în ceea ce priveşte riscul pentru sistemul financiar şi riscurile inerente funcţiilor externalizate, şi să se asigure că organul lor de conducere deţine competenţele tehnice relevante pentru a înţelege riscurile pe care le presupun angajamentele de externalizare în cloud^32. Societăţile mici şi mai puţin complexe trebuie să asigure cel puţin o repartizare clară a sarcinilor şi responsabilităţilor pentru gestionarea şi supravegherea angajamentelor de externalizare în cloud. 14. O societate trebuie să monitorizeze performanţa activităţilor, măsurile de securitate şi respectarea de către FSC-urile sale a nivelurilor de servicii convenite. Această monitorizare trebuie să se bazeze pe riscuri, acordând o atenţie deosebită funcţiilor critice sau importante care au fost externalizate. 15. O societate trebuie să reevalueze dacă aranjamentele sale de externalizare în cloud vizează o funcţie critică sau importantă, periodic şi ori de câte ori riscul, natura sau amploarea unei funcţii externalizate s-a modificat substanţial. 16. O societate trebuie să menţină un registru actualizat de informaţii cu privire la toate angajamentele sale de externalizare în cloud, făcând distincţie între externalizarea funcţiilor critice sau importante şi alte angajamente de externalizare. Atunci când face distincţia între externalizarea funcţiilor critice sau importante şi alte angajamente de externalizare, aceasta trebuie să furnizeze un scurt rezumat al motivelor pentru care funcţia externalizată este sau nu este considerată critică sau importantă. Ţinând seama de legislaţia naţională, o societate trebuie să ţină, de asemenea, o evidenţă a angajamentelor de externalizare în cloud reziliate, pentru o perioadă de timp adecvată. 17. În cazul angajamentelor de externalizare în cloud care vizează funcţii critice sau importante, registrul trebuie să conţină cel puţin următoarele informaţii pentru fiecare angajament de externalizare: a) un număr de referinţă; b) data de începere şi, după caz, următoarea dată de reînnoire a contractului, data de încetare şi/sau perioadele de preaviz pentru FSC şi pentru societate; c) o scurtă descriere a funcţiei externalizate, inclusiv datele externalizate şi dacă acestea conţin date cu caracter personal (de exemplu, prin furnizarea unui răspuns de tip „Da“ sau „Nu“ într-un câmp de date separat); d) o categorie atribuită de societate care reflectă natura funcţiei externalizate (de exemplu, funcţia de tehnologia informaţiei, funcţia de control), care trebuie să faciliteze identificarea diferitelor tipuri de angajamente de externalizare în cloud; e) dacă funcţia externalizată sprijină operaţiuni de afaceri care sunt critice din punctul de vedere al timpului; f) numele şi numele de marcă (dacă este cazul) ale FSC, ţara sa de înregistrare, numărul de înregistrare, identificatorul entităţii juridice (dacă este disponibil), adresa sa înregistrată, datele sale de contact relevante, precum şi denumirea societăţii-mamă (dacă este cazul); g) legea de reglementare a angajamentului de externalizare în cloud şi, dacă există, alegerea jurisdicţiei; h) tipul de servicii cloud şi modele de implementare şi natura specifică a datelor care trebuie păstrate şi locaţiile (şi anume, regiunile sau ţările) în care pot fi stocate aceste date; i) data celei mai recente evaluări a caracterului critic sau a importanţei funcţiei externalizate şi data următoarei evaluări planificate; j) data celei mai recente evaluări a riscului/celui mai recent audit al FSC, împreună cu un scurt rezumat al principalelor rezultate, şi data următoarei evaluări planificate/următorului audit planificat; k) persoana fizică sau organul de decizie din cadrul societăţii care a aprobat angajamentul de externalizare în cloud; l) dacă este cazul, numele oricărui subcontractant căruia îi este externalizată în lanţ o funcţie critică sau importantă (sau părţi substanţiale ale acesteia), inclusiv ţările în care sunt înregistraţi subcontractanţii, unde va fi prestat serviciul subcontractat, şi locaţiile (şi anume regiunile sau ţările) în care vor fi stocate datele; m) costul bugetar anual estimat al angajamentului de externalizare în cloud. 18. În cazul angajamentelor de externalizare în cloud referitoare la funcţii necritice sau neimportante, o societate trebuie să definească informaţiile care trebuie incluse în registru pe baza naturii, amplorii şi complexităţii riscurilor inerente funcţiei externalizate. Orientarea 2. Analiza de preexternalizare şi procesul de diligenţă 19. Înainte de a încheia orice angajament de externalizare în cloud, o societate trebuie: a) să evalueze dacă angajamentul de externalizare în cloud priveşte o funcţie critică sau importantă; b) să identifice şi să evalueze toate riscurile relevante ale angajamentului de externalizare în cloud; c) să efectueze procesul de diligenţă corespunzător asupra FSC-ului potenţial; d) să identifice şi să evalueze orice conflict de interese pe care îl poate genera externalizarea. 20. Analiza de preexternalizare şi procesul de diligenţă asupra potenţialului FSC trebuie să fie proporţionale cu natura, amploarea şi complexitatea funcţiei pe care societatea intenţionează să o externalizeze şi cu riscurile inerente acestei funcţii. Aceasta trebuie să conţină cel puţin o evaluare a impactului potenţial al angajamentului de externalizare în cloud asupra riscurilor operaţionale, juridice, de conformitate şi reputaţionale ale societăţii. 21. În cazul în care angajamentul de externalizare în cloud priveşte funcţii critice sau importante, o societate trebuie, de asemenea: a) să evalueze toate riscurile relevante care pot apărea ca urmare a angajamentului de externalizare în cloud, inclusiv riscurile legate de tehnologia informaţiei şi comunicaţiilor, de securitatea informaţiilor, continuitatea activităţii, legalitate şi conformitate, riscurile reputaţionale, riscurile operaţionale şi posibile limitări în materie de supraveghere pentru societate, care rezultă din: (i) serviciul cloud selectat şi modelele de implementare propuse; (ii) migraţia şi/sau procesul de implementare; (iii) sensibilitatea funcţiei şi a datelor conexe care sunt avute în vedere pentru a fi externalizate şi măsurile de securitate care trebuie luate; (iv) interoperabilitatea sistemelor şi aplicaţiilor societăţii şi ale FSC, şi anume capacitatea lor de a face schimb de informaţii şi de a utiliza reciproc informaţiile care au făcut obiectul unui schimb; (v) portabilitatea datelor societăţii, şi anume capacitatea de a transfera cu uşurinţă datele societăţii de la un FSC la altul sau înapoi către societate; (vi) stabilitatea politică, situaţia de securitate şi sistemul juridic (inclusiv dispoziţiile în vigoare în materie de aplicare a legii, dispoziţiile legale privind insolvenţa care s-ar aplica în caz de faliment al FSC, legislaţia în vigoare privind protecţia datelor şi îndeplinirea condiţiilor pentru transferul datelor cu caracter personal într-o ţară terţă conform RGPD) în ţările (din interiorul sau din afara UE) în care ar fi furnizate funcţiile externalizate şi în care ar fi stocate datele externalizate; în cazul subcontractării, riscurile suplimentare care pot apărea dacă subcontractantul se află într-o ţară terţă sau într-o ţară diferită de cea a FSC şi, în cazul unui lanţ de subcontractare, orice risc suplimentar care poate apărea, inclusiv în legătură cu absenţa unui contract direct între societate şi subcontractantul care realizează funcţia externalizată; (vii) concentrarea posibilă în cadrul societăţii (inclusiv, după caz, la nivelul grupului său), cauzată de angajamente multiple de externalizare în cloud cu acelaşi FSC, precum şi concentrarea posibilă în cadrul sectorului financiar al UE, cauzată de situaţia în care mai multe societăţi folosesc acelaşi FSC sau un grup mic de FSC-uri. La evaluarea riscului de concentrare, societatea trebuie să aibă în vedere toate angajamentele sale de externalizare în cloud (şi, dacă este cazul, angajamentele de externalizare în cloud la nivelul grupului său) cu respectivul FSC; b) să ţină seama de beneficiile şi costurile preconizate ale angajamentului de externalizare în cloud, inclusiv cântărirea oricăror riscuri semnificative care pot fi reduse sau mai bine gestionate împotriva oricăror riscuri semnificative care pot apărea ca urmare a angajamentului de externalizare în cloud. 22. În cazul externalizării de funcţii critice sau importante, procesul de diligenţă trebuie să includă o evaluare a adecvării FSC. La evaluarea adecvării FSC, o societate trebuie să se asigure că FSC are o bună reputaţie în afaceri, deţine abilităţile, resursele (de exemplu, resurse umane, informatice şi financiare), structura organizatorică şi, dacă este cazul, autorizaţia (autorizaţiile) sau înregistrarea (înregistrările) relevantă (relevante) necesare pentru a îndeplini în mod fiabil şi profesional funcţia critică sau importantă şi a-şi respecta obligaţiile pe durata angajamentului de externalizare în cloud. Factorii suplimentari care trebuie avuţi în vedere în cadrul procesului de diligenţă cu privire la FSC conţin, dar nu se limitează la: a) gestionarea securităţii informaţiilor şi, în special, protecţia datelor cu caracter personal, confidenţiale sau sensibile în alt mod; b) asistenţa pentru servicii, inclusiv planurile şi contactele de asistenţă şi procesele de gestionare a incidentelor; c) planurile de asigurare a continuităţii activităţii şi planurile de recuperare în caz de dezastru. 23. Acolo unde este cazul şi pentru a sprijini procesul de diligenţă efectuat, o societate poate utiliza, de asemenea, certificări bazate pe standarde internaţionale şi rapoarte de audit externe sau interne. 24. Dacă o societate ia cunoştinţă de deficienţe semnificative şi/sau de modificări semnificative ale serviciilor furnizate sau ale situaţiei FSC, analiza de preexternalizare şi procesul de diligenţă privind FSC trebuie revizuite imediat sau, dacă este necesar, reluate. 25. În cazul în care încheie un nou angajament de externalizare sau reînnoieşte un angajament existent cu un FSC care a fost deja evaluat, societatea trebuie să stabilească, pe baza unei abordări bazate pe riscuri, dacă este necesar un nou proces de diligenţă. Orientarea 3. Elemente contractuale esenţiale 26. Drepturile şi obligaţiile care le revin unei societăţi şi furnizorului de servicii cloud trebuie să fie clar definite printr-un acord scris. 27. Acordul scris trebuie să acorde în mod expres societăţii posibilitatea de a-l rezilia, atunci când este necesar. 28. În cazul externalizării unor funcţii critice sau importante, acordul scris trebuie să conţină cel puţin: a) o descriere clară a funcţiei externalizate; b) data de începere şi data de încetare a acordului, după caz, şi perioadele de preaviz pentru FSC şi pentru societate; c) legea de reglementare a acordului şi, dacă există, alegerea jurisdicţiei; d) obligaţiile financiare ale societăţii şi ale FSC; e) dacă este permisă subcontractarea şi, dacă da, în ce condiţii, având în vedere orientarea 7; f) locaţia (locaţiile) (şi anume regiunile sau ţările) în care va fi asigurată funcţia externalizată şi în care vor fi păstrate şi prelucrate datele, precum şi condiţiile care trebuie îndeplinite, inclusiv cerinţa de a notifica societatea dacă FSC propune schimbarea locaţiei (locaţiilor); g) dispoziţii privind securitatea informaţiilor şi protecţia datelor cu caracter personal, având în vedere orientarea 4; h) dreptul societăţii de a monitoriza în mod regulat performanţa FSC în cadrul angajamentului de externalizare în cloud, având în vedere orientarea 6; i) nivelurile serviciilor convenite, care trebuie să includă obiective de performanţă cantitative şi calitative, pentru a permite o monitorizare în timp util, astfel încât, dacă nu sunt respectate nivelurile serviciilor convenite, să se poată lua măsuri corective adecvate, fără întârzieri nejustificate; j) obligaţiile de raportare ale FSC faţă de societate şi, după caz, obligaţiile de a prezenta rapoarte relevante pentru funcţia de securitate şi funcţiile esenţiale ale societăţii, precum rapoarte întocmite de funcţia de audit intern a FSC; k) dispoziţii privind gestionarea incidentelor de către FSC, inclusiv obligaţia FSC de a raporta societăţii, fără întârzieri nejustificate, incidentele care au afectat funcţionarea serviciului contractat al societăţii; l) dacă FSC trebuie să încheie o asigurare obligatorie împotriva anumitor riscuri şi, dacă este cazul, nivelul asigurării necesare; m) cerinţele pentru ca FSC să implementeze şi să testeze continuitatea activităţii şi planurile de recuperare în caz de dezastru; n) cerinţa ca FSC să acorde societăţii, autorităţilor sale competente şi oricărei alte persoane desemnate de societate sau autorităţile competente dreptul de a accesa („drepturi de acces“) şi de a inspecta („drepturi de audit“) informaţiile, sediile, sistemele şi dispozitivele relevante ale FSC în măsura necesară pentru a monitoriza performanţa FSC în cadrul angajamentului de externalizare în cloud şi conformitatea sa cu cerinţele de reglementare şi contractuale aplicabile, având în vedere orientarea 6; o) dispoziţii prin care să se asigure că datele pe care FSC le prelucrează sau le stochează în numele societăţii pot fi accesate, recuperate şi returnate societăţii, după caz, având în vedere orientarea 5. Orientarea 4. Securitatea informaţiilor 29. O societate trebuie să stabilească cerinţe de securitate a informaţiilor în politicile şi procedurile sale interne şi în cadrul acordului scris de externalizare în cloud şi să monitorizeze în permanenţă respectarea acestor cerinţe, inclusiv pentru a proteja datele confidenţiale, cu caracter personal sau alte date sensibile. Aceste cerinţe trebuie să fie proporţionale cu natura, amploarea şi complexitatea funcţiei pe care societatea o externalizează către FSC şi cu riscurile inerente acestei funcţii. 30. În acest scop, în cazul externalizării unor funcţii critice sau importante şi fără a aduce atingere cerinţelor aplicabile conform RGPD, o societate care aplică o abordare bazată pe riscuri trebuie, cel puţin, în ceea ce priveşte: a) organizarea în domeniul securităţii informaţiilor: să se asigure că există o alocare clară a rolurilor şi responsabilităţilor în materie de securitate a informaţiilor între societate şi FSC, inclusiv în ceea ce priveşte detectarea ameninţărilor, gestionarea incidentelor şi gestionarea patch-urilor, şi să se asigure că FSC este capabil efectiv să îşi îndeplinească rolurile şi responsabilităţile; b) gestionarea identităţii şi accesului: să se asigure că există mecanisme robuste de autentificare (de exemplu, autentificare dublă) şi controale ale accesului, pentru a preveni accesul neautorizat la datele şi la resursele de cloud back-end ale societăţii; c) criptarea şi gestionarea cheilor de securitate: să se asigure că tehnologiile de criptare relevante sunt utilizate, acolo unde este necesar, pentru date în tranzit, date în memorie, date în repaus şi copii de rezervă ale datelor, în combinaţie cu soluţii adecvate de gestionare a cheilor de securitate, pentru a limita riscul accesului neautorizat la cheile de criptare; în special, societatea trebuie să aibă în vedere tehnologia şi procesele de ultimă generaţie atunci când îşi alege soluţia de gestionare a cheilor de securitate; d) securitatea operaţiunilor şi a reţelei: să ia în considerare nivelurile adecvate de disponibilitate a reţelei, segregarea reţelei [de exemplu, izolarea „chiriaşilor“ în mediul partajat al cloudului, separarea operaţională în ceea ce priveşte webul, logica aplicaţiei, sistemul de operare, reţeaua, sistemul de gestionare a bazei de date (DBMS) şi straturile de stocare] şi mediile de procesare (de exemplu, testarea acceptării de către utilizator, dezvoltare, producţie); e) interfeţe de programare a aplicaţiilor (API): să ia în considerare mecanismele de integrare a serviciilor cloud cu sistemele societăţii, pentru a asigura securitatea API-urilor (de exemplu, stabilirea şi menţinerea politicilor şi procedurilor de securitate a informaţiilor pentru API-uri pe mai multe interfeţe de sistem, jurisdicţii şi funcţii comerciale, pentru a preveni divulgarea, modificarea sau distrugerea neautorizată a datelor); f) continuitatea afacerii şi recuperarea în caz de dezastru: să se asigure că există controale efective de continuitate a activităţii şi de recuperare în caz de dezastru (de exemplu, prin stabilirea de cerinţe minime de capacitate, selectarea opţiunilor de găzduire care sunt răspândite geografic, cu capacitatea de a comuta de la una la alta, sau solicitarea şi revizuirea documentaţiei care descrie ruta de transport al datelor societăţii între sistemele FSC, precum şi luarea în considerare a posibilităţii de a reproduce imagini mecanice într-o locaţie de stocare independentă, care să fie suficient de bine izolată de reţea sau deconectată); g) localizarea datelor: să adopte o abordare bazată pe riscuri în ceea ce priveşte locaţia (locaţiile) de stocare şi prelucrare a datelor (şi anume, regiuni sau ţări); h) conformitate şi monitorizare: să verifice dacă FSC respectă standardele de securitate a informaţiilor recunoscute la nivel internaţional şi dacă a implementat controale adecvate de securitate a informaţiilor (de exemplu, obligaţia FSC de a furniza dovezi că efectuează revizuiri relevante ale securităţii informaţiilor şi efectuarea de evaluări şi teste periodice ale mecanismelor FSC de securitate a informaţiilor). Orientarea 5. Strategiile de ieşire 31. În cazul externalizării unor funcţii critice sau importante, o societate trebuie să se asigure că este capabilă să iasă din angajamentul de externalizare în cloud fără întreruperi nejustificate ale activităţilor şi serviciilor sale către clienţii săi, fără a aduce atingere respectării obligaţiilor sale în temeiul dispoziţiilor aplicabile şi fără a afecta confidenţialitatea, integritatea şi disponibilitatea datelor sale. În acest scop, o societate trebuie: a) să elaboreze planuri de ieşire cuprinzătoare, documentate şi suficient de mult testate. Aceste planuri trebuie actualizate după necesităţi, inclusiv în cazul unor modificări aduse funcţiei externalizate; b) să identifice soluţii alternative şi să elaboreze planuri de tranziţie pentru a elimina funcţia şi datele externalizate de la FSC şi, după caz, de la orice subcontractant şi să le transfere către FSC-ul alternativ indicat de societate sau direct înapoi către societate. Aceste soluţii trebuie definite în raport cu provocările care pot apărea din cauza locaţiei datelor, luând măsurile necesare pentru a asigura continuitatea activităţii în faza de tranziţie; c) să se asigure că acordul scris de externalizare în cloud include o obligaţie pentru FSC de a sprijini transferul ordonat al funcţiei externalizate şi prelucrarea conexă a datelor de la FSC şi orice subcontractant către un alt FSC indicat de societate sau direct către societate, în cazul în care societatea activează strategia de ieşire. Obligaţia de a sprijini transferul ordonat al funcţiei externalizate şi tratamentul aferent al datelor trebuie să includă, după caz, ştergerea în siguranţă a datelor din sistemele FSC şi ale oricărui subcontractant. 32. La elaborarea planurilor şi soluţiilor de ieşire menţionate la pct. 31 lit. a) şi b) („strategia de ieşire“), societatea trebuie să aibă în vedere următoarele: a) să definească obiectivele strategiei de ieşire; b) să definească evenimentele declanşatoare care ar putea activa strategia de ieşire. Aceste evenimente trebuie să includă cel puţin încetarea angajamentului de externalizare în cloud la iniţiativa societăţii sau a FSC, precum şi oprirea sau o altă întrerupere gravă a activităţii comerciale a FSC; c) să efectueze o analiză a impactului economic, care să fie proporţională cu funcţia externalizată, pentru a identifica ce resurse umane şi de altă natură ar fi necesare pentru a implementa strategia de ieşire; d) să atribuie roluri şi responsabilităţi pentru gestionarea strategiei de ieşire; e) să testeze caracterul oportun al strategiei de ieşire, folosind o abordare bazată pe riscuri (de exemplu, prin efectuarea unei analize a costurilor potenţiale, a impactului, a resurselor şi a implicaţiilor temporale ale transferului unui serviciu externalizat către un furnizor alternativ); f) să definească criteriile de succes ale tranziţiei. 33. O societate trebuie să includă indicatori ai evenimentelor declanşatoare ale strategiei de ieşire în monitorizarea şi supravegherea sa continuă a serviciilor furnizate de FSC în temeiul angajamentului de externalizare în cloud. Orientarea 6. Drepturi de acces şi de audit 34. O societate trebuie să se asigure că acordul scris de externalizare în cloud nu limitează exercitarea efectivă a drepturilor de acces şi de audit ale societăţii şi ale autorităţii competente şi nici opţiunile de supraveghere asupra FSC. 35. O societate trebuie să se asigure că exercitarea drepturilor de acces şi de audit (de exemplu, frecvenţa auditurilor şi domeniile şi serviciile de auditat) ia în considerare dacă externalizarea este legată de o funcţie critică sau importantă, precum şi natura şi amploarea riscurilor şi impactul care decurge din angajamentul de externalizare în cloud asupra societăţii. 36. În cazul în care exercitarea drepturilor de acces sau de audit sau utilizarea anumitor tehnici de audit creează un risc pentru mediul FSC şi/sau pentru un alt client al FSC (de exemplu, prin impactul asupra nivelurilor serviciilor, confidenţialităţii, integrităţii şi disponibilităţii datelor), FSC trebuie să ofere societăţii o justificare clară a motivului pentru care acest lucru ar crea un risc, iar FSC trebuie să convină cu societatea asupra unor modalităţi alternative de a obţine un rezultat similar [de exemplu, includerea unor mecanisme de control specifice care să fie testate într-un/într-o raport specific/certificare specifică elaborat(ă) de FSC]. 37. Fără a aduce atingere responsabilităţii lor finale cu privire la angajamentele de externalizare în cloud, pentru a utiliza mai eficient resursele de audit şi pentru a reduce povara organizatorică asupra FSC şi clienţilor săi, societăţile pot utiliza: a) certificări de la terţi şi rapoarte de audit intern sau extern efectuate de terţi, puse la dispoziţie de FSC; b) audituri centralizate efectuate împreună cu alţi clienţi ai aceluiaşi FSC sau audituri centralizate efectuate de un terţ auditor desemnat de mai mulţi clienţi ai aceluiaşi FSC. 38. În cazul externalizării unor funcţii critice sau importante, societăţile trebuie să evalueze dacă certificările de la terţi şi rapoartele de audit intern sau extern menţionate la pct. 37 lit. a) sunt adecvate şi suficiente pentru a se conforma obligaţiilor lor în temeiul legislaţiei aplicabile şi, în timp, trebuie să urmărească să nu se bazeze doar pe aceste certificări şi rapoarte. 39. În cazul externalizării unor funcţii critice sau importante, o societate trebuie să utilizeze certificările de la terţi şi rapoartele de audit intern sau extern menţionate la pct. 37 lit. a) numai dacă: a) este mulţumită de faptul că obiectul certificărilor sau al rapoartelor de audit acoperă sistemele-cheie ale FSC (de exemplu, procesele, aplicaţiile, infrastructura, centrele de date etc.), mecanismele de control identificate de societate şi conformitatea cu legislaţia aplicabilă relevantă; b) evaluează temeinic şi periodic conţinutul certificărilor sau rapoartelor de audit şi verifică să nu fie caduce rapoartele sau certificările; c) se asigură că sistemele-cheie şi mecanismele de control importante ale FSC sunt incluse în viitoarele versiuni ale certificărilor sau ale rapoartelor de audit; d) este mulţumită de partea care realizează certificarea sau auditul (de exemplu, cu privire la calificările şi expertiza acesteia, la reefectuarea/verificarea dovezilor din dosarul de audit subiacent, precum şi în ceea ce priveşte rotaţia entităţii de certificare sau de audit); e) este mulţumită că certificările sunt emise şi auditurile sunt efectuate conform unor standarde corespunzătoare şi că includ un test de eficacitate a mecanismelor de control importante implementate; f) are dreptul contractual de a solicita extinderea domeniului de aplicare al certificărilor sau al rapoartelor de audit la alte sisteme şi mecanisme de control relevante ale FSC; numărul şi frecvenţa acestor cereri de modificare a domeniului de aplicare trebuie să fie rezonabile şi legitime din perspectiva administrării riscurilor; g) îşi păstrează dreptul contractual de a efectua audituri individuale la faţa locului, la aprecierea proprie, în ceea ce priveşte funcţia externalizată. 40. O societate trebuie să se asigure că, înainte de o vizită la faţa locului, inclusiv a unui terţ desemnat de societate (de exemplu, un auditor), FSC transmite un preaviz într-un termen rezonabil, cu excepţia cazului în care o notificare prealabilă timpurie nu este posibilă din cauza unei situaţii de urgenţă sau de criză sau din cauză că ar crea o situaţie în care auditul nu ar mai fi eficient. Un astfel de preaviz trebuie să includă locaţia şi scopul vizitei, precum şi personalul care va participa la vizită. 41. Având în vedere că serviciile cloud prezintă un nivel ridicat de complexitate tehnică şi implică anumite provocări de natură jurisdicţională, personalul care efectuează auditul - care poate consta din auditorii săi interni sau din grupul de auditori care acţionează în numele său - trebuie să aibă aptitudinile şi cunoştinţele adecvate pentru a evalua în mod corespunzător serviciile de cloud relevante şi a efectua un audit eficient şi relevant. Acest lucru trebuie să se aplice şi personalului societăţii, care revizuieşte certificările sau rapoartele de audit furnizate de FSC. Orientarea 7. Subcontractarea externalizării 42. Dacă este permisă externalizarea în lanţ a funcţiilor critice sau importante (sau a unor părţi semnificative din acestea), acordul scris de externalizare în cloud dintre societate şi FSC trebuie: a) să precizeze orice parte sau aspect al funcţiei externalizate care este exclus de la potenţiala subcontractare; b) să indice condiţiile care trebuie îndeplinite în cazul subcontractării; c) să precizeze că FSC poartă răspunderea şi obligaţia de a supraveghea serviciile pe care le-a subcontractat, pentru a se asigura că toate obligaţiile contractuale dintre FSC şi societate sunt îndeplinite în permanenţă; d) să includă obligaţia FSC de a notifica societatea cu privire la orice intenţie de subcontractare sau orice modificări semnificative ale acesteia, mai ales atunci când acest lucru ar putea afecta capacitatea FSC de a-şi îndeplini obligaţiile în temeiul angajamentului de externalizare în cloud cu societatea. Perioada de notificare stabilită în acordul scris trebuie să permită societăţii suficient timp, cel puţin pentru a efectua o evaluare a riscului subcontractării propuse sau a modificărilor semnificative ale acesteia şi pentru o contesta sau aproba în mod explicit, după cum se indică la lit. e); e) să se asigure că societatea are dreptul de a contesta subcontractarea planificată sau modificările semnificative aduse acesteia sau că este necesară o aprobare explicită înainte de intrarea în vigoare a subcontractării sau a modificărilor semnificative propuse; f) să se asigure că societatea are dreptul contractual de a rezilia angajamentul de externalizare în cloud cu FSC în cazul în care contestă subcontractarea propusă sau modificări semnificative aduse acesteia şi în cazul unei subcontractări nejustificate (de exemplu, dacă FSC continuă cu subcontractarea fără notificarea societăţii sau încalcă grav condiţiile de subcontractare stipulate în contractul de externalizare). 43. Societatea trebuie să se asigure că FSC supraveghează în mod adecvat subcontractantul. Orientarea 8. Notificarea scrisă adresată autorităţilor competente 44. Societatea trebuie să comunice în scris şi în timp util autorităţii sale competente angajamentul planificat de externalizare în cloud care vizează o funcţie critică sau importantă. De asemenea, societatea trebuie să notifice în timp util şi în scris autoritatea competentă cu privire la angajamentele de externalizare în cloud care privesc o funcţie care anterior a fost clasificată ca fiind necritică sau neimportantă, dar apoi a devenit critică sau importantă. 45. Notificarea scrisă a societăţii trebuie să includă, ţinând cont de principiul proporţionalităţii, cel puţin următoarele informaţii: a) data de începere a acordului de externalizare în cloud şi, după caz, următoarea dată de reînnoire a contractului, data de încetare şi/sau perioadele de preaviz pentru FSC şi pentru societate; b) o descriere succintă a funcţiei externalizate; c) un scurt rezumat al motivelor pentru care funcţia externalizată este considerată critică sau importantă; d) numele şi numele de marcă (dacă este cazul) ale FSC, ţara sa de înregistrare, numărul de înregistrare, identificatorul entităţii juridice (dacă este disponibil), adresa sa înregistrată, datele sale de contact relevante, precum şi denumirea societăţii-mamă (dacă este cazul); e) legea de reglementare a angajamentului de externalizare în cloud şi, dacă există, alegerea jurisdicţiei; f) modele de implementare în cloud şi natura specifică a datelor care trebuie păstrate de FSC şi locaţiile (şi anume, regiunile sau ţările) în care vor fi stocate aceste date; g) data celei mai recente evaluări a caracterului critic sau a importanţei funcţiei externalizate; h) data celei mai recente evaluări a riscului sau a celui mai recent audit al FSC, împreună cu un scurt rezumat al principalelor rezultate, şi data următoarei evaluări planificate sau a următorului audit planificat; i) persoana fizică sau organul de decizie din cadrul societăţii care a aprobat angajamentul de externalizare în cloud; j) după caz, numele tuturor subcontractanţilor cărora le sunt subcontractate părţi semnificative ale unei funcţii critice sau importante, inclusiv ţara sau regiunea în care sunt înregistraţi subcontractanţii, în care va fi furnizat serviciul subcontractat şi în care vor fi stocate datele. Orientarea 9. Supravegherea angajamentelor de externalizare în cloud 46. Autorităţile competente trebuie să evalueze riscurile care decurg din angajamentele de externalizare în cloud ale societăţilor în cadrul procesului lor de supraveghere. În special, această evaluare trebuie să se concentreze asupra angajamentelor legate de externalizarea funcţiilor critice sau importante. 47. Autorităţile competente trebuie să fie convinse că pot asigura o supraveghere eficientă, în special atunci când societăţile externalizează funcţii critice sau importante care sunt efectuate în afara UE. 48. Autorităţile competente trebuie să evalueze, în cadrul unei abordări bazate pe riscuri, dacă societăţile: a) deţin resursele necesare şi au instituit procesele operaţionale şi de guvernanţă relevante pentru a încheia, implementa şi supraveghea în mod adecvat şi eficient angajamente de externalizare în cloud; b) identifică şi gestionează toate riscurile relevante asociate externalizării în cloud. 49. Atunci când sunt identificate riscuri de concentrare, autorităţile competente trebuie să monitorizeze evoluţia acestor riscuri şi să evalueze atât impactul lor potenţial asupra altor societăţi pe care le supraveghează, cât şi stabilitatea pieţei financiare. ^1 Începând cu 1 ianuarie 2022, trimiterea la art. 64 alin. (4), la art. 65 alin. (5) şi la art. 66 alin. (3) din MiFID II trebuie interpretată ca referindu-se la art. 27g alin. (4), la art. 27h alin. (5) şi la art. 27i alin. (3) din MiFIR. ^2 JO L 331, 15.12.2010, p. 84. ^3 JO L 174, 1.7.2011, p. 1. ^4 JO L 83, 22.3.2013, p. 1. ^5 JO L 302, 17.11.2009, p. 32. ^6 JO L 176, 10.7.2010, p. 42. ^7 JO L 78, 24.3.2016, p. 11. ^8 JO L 201, 27.7.2012, p. 1. ^9 JO L 337, 23.12.2015, p. 1. ^10 JO L 52, 23.2.2013, p. 41. ^11 JO L 52, 23.2.2013, p. 25. ^12 JO L 81, 22.3.2019, p. 45. ^13 JO L 173, 12.6.2014, p. 349. ^14 JO L 173, 12.6.2014, p. 84. ^15 JO L 87, 31.3.2017, p. 1. ^16 JO L 87, 31.3.2017, p. 350. ^17 JO L 87, 31.3.2017, p. 126. ^18 JO L 257, 28.8.2014, p. 1. ^19 JO L 65, 10.3.2017, p. 48. ^20 JO L 302, 17.11.2009, p. 1. ^21 JO L 140, 30.5.2012, p. 32. ^22 JO L 347, 28.12.2017, p. 35. ^23 JO L 171, 29.6.2016, p. 1. ^24 JO L 274, 5.11.2018, p. 43. ^25 JO L 119, 4.5.2016, p. 1-88. ^26 Cloud computing este adesea abreviat „cloud“. Termenul „cloud“ este utilizat în restul documentului pentru a facilita lectura. ^27 Un model de implementare în cloud în care serviciile cloud acceptă şi sunt partajate exclusiv printr-un grup specific de clienţi ai serviciilor cloud care au cerinţe comune şi o relaţie de reciprocitate şi unde resursele sunt controlate de cel puţin un membru al acestui grup. ^28 Un model de implementare în cloud care utilizează cel puţin două modele diferite de implementare în cloud. ^29 Un model de implementare în cloud în care serviciile cloud sunt utilizate exclusiv de un singur client de servicii cloud, iar resursele sunt controlate de respectivul client de servicii cloud. ^30 Un model de implementare în cloud în care serviciile cloud sunt potenţial disponibile pentru orice client de servicii cloud, iar resursele sunt controlate de furnizorul de servicii cloud. ^31 Începând cu 1 ianuarie 2022, trimiterea la această dispoziţie trebuie interpretată ca o trimitere la art. 2 alin. (1) pct. 36 lit. (a) din MiFIR. ^32 Pentru firmele de investiţii şi instituţiile de credit, vezi Ghidul comun ESMA şi ABE privind evaluarea adecvării membrilor organului de conducere şi a persoanelor care deţin funcţii cheie în conformitate cu Directiva 2013/36/UE şi Directiva 2014/65/UE (EBA/GL/2017/12). ----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
