Comunica experienta
MonitorulJuridic.ro
────────── Conţinut prin NORMA nr. 26 din 18 decembrie 2025, publicată în Monitorul Oficial al României, Partea I, nr. 11 din 12 ianuarie 2026.────────── 1. Domeniul de aplicare Cui i se adresează? 1. Prezentul ghid se aplică autorităţilor competente şi (i) depozitarilor fondurilor de investiţii alternative (FIA) menţionaţi la art. 21 alin. (3) lit. (c) şi la art. 21 alin. (3) al treilea paragraf din Directiva AFIA, în cazul în care aceştia nu sunt entităţi financiare cărora li se aplică DORA, şi (ii) depozitarilor organismelor de plasament colectiv în valori mobiliare (OPCVM) menţionaţi la art. 23 alin. (2) lit. (c) din Directiva OPCVM, în cazul în care aceştia nu sunt entităţi financiare cărora li se aplică DORA.*1) *1) În ceea ce priveşte acordurile de externalizare în cloud, entităţile financiare definite la art. 2 alin. (1) şi (2) din Regulamentul (UE) 2022/2.554 al Parlamentului European şi al Consiliului privind rezilienţa operaţională digitală pentru sectorul financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011 (Regulamentul DORA) sunt supuse normelor specifice prevăzute în Regulamentul DORA şi în regulamentele delegate şi de punere în aplicare ale Comisiei. Ce se aplică? 2. Prezentele orientări se aplică în legătură cu următoarele dispoziţii: a) în ceea ce priveşte depozitarii FIA: art. 21 din Directiva AFIA; art. 98 din Regulamentul delegat (UE) 2013/231 al Comisiei; b) în ceea ce priveşte depozitarii OPCVM-urilor: art. 22, 22a şi 23 alin. (2) din Directiva OPCVM; art. 32 din Directiva 2010/43/UE a Comisiei; art. 2 alin. (2) lit. (j), art. 3 alin. (1), art. 13 alin. (2), art. 15, 16 şi 22 din Regulamentul delegat (UE) 2016/438 al Comisiei. Când se aplică? 3. Prezentul ghid se aplică de la data publicării sale pe site-ul ESMA în toate limbile oficiale ale UE şi tuturor acordurilor de externalizare în cloud încheiate, reînnoite sau modificate la sau după această dată. 4. Având în vedere aplicarea DORA, Orientările anterioare ale ESMA privind externalizarea către furnizorii de servicii de cloud încetează să se aplice entităţilor financiare care fac obiectul DORA menţionate la art. 2 din acelaşi regulament. Pentru depozitarii FIA şi pentru depozitarii OPCVM-urilor menţionaţi la pct. 1.1, Ghidul ESMA anterior privind externalizarea către furnizorii de servicii de cloud va continua să se aplice până la data publicării prezentului ghid pe site-ul ESMA în toate limbile oficiale ale UE. 2. Referinţe legislative, abrevieri şi definiţii 2.1. Referinţe legislative
┌────────────┬─────────────────────────┐
│ │- Regulamentul (UE) nr. │
│ │1.095/2010 al │
│ │Parlamentului European şi│
│ │al Consiliului din 24 │
│ │noiembrie 2010 de │
│ │instituire a Autorităţii │
│Regulamentul│europene de supraveghere │
│ESMA │(Autoritatea europeană │
│ │pentru valori mobiliare │
│ │şi pieţe), de modificare │
│ │a Deciziei nr. 716/2009/ │
│ │CE şi de abrogare a │
│ │Deciziei 2009/77/CE a │
│ │Comisiei*2); │
├────────────┼─────────────────────────┤
│ │- Directiva 2011/61/UE a │
│ │Parlamentului European şi│
│ │a Consiliului din 8 iunie│
│ │2011 privind │
│ │administratorii │
│DAFIA │fondurilor de investiţii │
│ │alternative şi de │
│ │modificare a Directivelor│
│ │2003/41/CE şi 2009/65/CE │
│ │şi a Regulamentelor (CE) │
│ │nr. 1.060/2009 şi (UE) │
│ │nr. 1.095/2010*3); │
├────────────┼─────────────────────────┤
│ │- Regulamentul delegat │
│ │(UE) nr. 231/2013 al │
│ │Comisiei din 19 decembrie│
│ │2012 de completare a │
│Regulamentul│Directivei 2011/61/UE a │
│delegat (UE)│Parlamentului European şi│
│nr. 231/2013│a Consiliului în ceea ce │
│al Comisiei │priveşte derogările, │
│ │condiţiile generale de │
│ │operare, depozitarii, │
│ │efectul de levier, │
│ │transparenţa şi │
│ │supravegherea*4); │
├────────────┼─────────────────────────┤
│ │- Directiva 2009/65/CE a │
│ │Parlamentului European şi│
│ │a Consiliului din 13 │
│ │iulie 2009 de coordonare │
│Directiva │a actelor cu putere de │
│OPCVM │lege şi a actelor │
│ │administrative privind │
│ │organismele de plasament │
│ │colectiv în valori │
│ │mobiliare (OPCVM)*5); │
├────────────┼─────────────────────────┤
│ │- Directiva 2010/43/UE a │
│ │Comisiei din 1 iulie 2010│
│ │de punere în aplicare a │
│ │Directivei 2009/65/CE a │
│ │Parlamentului European şi│
│ │a Consiliului în ceea ce │
│Directiva │priveşte cerinţele │
│2010/43/UE a│organizatorice, │
│Comisiei │conflictele de interese, │
│ │regulile de conduită, │
│ │administrarea riscului şi│
│ │conţinutul acordului │
│ │dintre depozitar şi │
│ │societatea de │
│ │administrare*6); │
├────────────┼─────────────────────────┤
│ │- Regulamentul (UE) 2022/│
│ │2.554 al Parlamentului │
│ │European şi al │
│ │Consiliului din 14 │
│ │decembrie 2022 privind │
│ │rezilienţa operaţională │
│DORA │digitală a sectorului │
│ │financiar şi de │
│ │modificare a │
│ │Regulamentelor (CE) nr. │
│ │1.060/2009, (UE) nr. 648/│
│ │2012, (UE) nr. 600/2014, │
│ │(UE) nr. 909/2014 şi (UE)│
│ │2016/1.011*7); │
├────────────┼─────────────────────────┤
│ │- Regulamentul (UE) 2016/│
│ │679 al Parlamentului │
│ │European şi al │
│ │Consiliului din 27 │
│ │aprilie 2016 privind │
│ │protecţia persoanelor │
│RGPD │fizice în ceea ce │
│ │priveşte prelucrarea │
│ │datelor cu caracter │
│ │personal şi privind │
│ │libera circulaţie a │
│ │acestor date şi de │
│ │abrogare a Directivei 95/│
│ │46/CE*8). │
└────────────┴─────────────────────────┘
*2) JO L 331, 15.12.2010, p. 84. *3) JO L 174, 1.07.2011, p. 1. *4) JO L 83, 22.03.2013, p. 1. *5) JO L 302, 17.11.2009, p. 32. *6) JO L 176, 10.07.2010, p. 42. *7) JO L 333, 27.12.2022, p. 1-79. *8) JO L 119, 4.05.2016, p. 1-88. 2.2. Abrevieri
┌────┬─────────────────────────────────┐
│FSC │- furnizor de servicii cloud │
├────┼─────────────────────────────────┤
│ESMA│- Autoritatea Europeană pentru │
│ │Valori Mobiliare şi Pieţe │
├────┼─────────────────────────────────┤
│UE │- Uniunea Europeană │
└────┴─────────────────────────────────┘
2.3. Definiţii
┌──────────────┬───────────────────────┐
│ │- orice procese, │
│funcţie │servicii sau │
│ │activităţi; │
├──────────────┼───────────────────────┤
│ │- orice funcţie a cărei│
│ │anomalie sau deficienţă│
│ │în îndeplinirea sa ar │
│ │compromite │
│ │considerabil: │
│ │a) respectarea de către│
│ │societate a │
│funcţie │obligaţiilor sale în │
│critică sau │temeiul legislaţiei │
│importantă │aplicabile; │
│ │b) performanţa │
│ │financiară a unei │
│ │societăţi; sau │
│ │c) viabilitatea sau │
│ │continuitatea │
│ │principalelor servicii │
│ │şi activităţi ale unei │
│ │societăţi; │
├──────────────┼───────────────────────┤
│ │- servicii furnizate │
│servicii cloud│utilizând cloud │
│ │computing; │
├──────────────┼───────────────────────┤
│ │- o paradigmă care │
│ │permite accesul în │
│ │reţea la un bazin │
│ │scalabil şi elastic de │
│ │resurse fizice sau │
│cloud │virtuale care pot fi │
│computing sau │partajate (de exemplu, │
│cloud*9) │servere, sisteme de │
│ │operare, reţele, │
│ │software, aplicaţii şi │
│ │echipamente de stocare)│
│ │cu funcţie de │
│ │autoservice şi de │
│ │administrare la cerere;│
├──────────────┼───────────────────────┤
│ │- un terţ care │
│furnizor de │furnizează servicii │
│servicii cloud│cloud în cadrul unui │
│ │angajament de │
│ │externalizare în cloud;│
├──────────────┼───────────────────────┤
│ │- un angajament sub │
│ │orice formă, inclusiv │
│ │acorduri de delegare, │
│ │între: │
│ │(i) o societate şi un │
│ │FSC prin care │
│ │respectivul FSC │
│ │îndeplineşte o funcţie │
│ │care altfel ar fi │
│ │asumată de societatea │
│ │înseşi; sau │
│angajament de │(ii) o societate şi un │
│externalizare │terţ care nu este un │
│în cloud │FSC, dar care se │
│ │bazează în mod │
│ │semnificativ pe un FSC │
│ │pentru a îndeplini o │
│ │funcţie care altfel ar │
│ │fi asumată de │
│ │societatea înseşi. În │
│ │acest caz, o trimitere │
│ │la un „FSC“ în acest │
│ │ghid trebuie │
│ │interpretată ca │
│ │referindu-se la un │
│ │astfel de terţ; │
├──────────────┼───────────────────────┤
│ │- o situaţie în care │
│ │FSC transferă mai │
│ │departe funcţia │
│subcontractare│externalizată (sau o │
│a serviciilor │parte a acestei │
│externalizate │funcţii) către un alt │
│ │furnizor de servicii în│
│ │cadrul unui angajament │
│ │de externalizare; │
├──────────────┼───────────────────────┤
│ │- modul în care cloudul│
│ │poate fi organizat pe │
│ │baza controlului şi │
│ │partajării resurselor │
│model de │fizice sau virtuale. │
│implementare │Modelele de │
│în cloud │implementare în cloud │
│ │includ cloudul │
│ │comunitar*10), │
│ │hibrid*11), privat*12) │
│ │şi public*13); │
├──────────────┼───────────────────────┤
│ │- a) depozitarii │
│ │menţionaţi la art. 21 │
│ │alin. (3) lit. (c) şi │
│ │la art. 21 alin. (3) al│
│ │treilea paragraf din │
│ │Directiva AFIA │
│ │[„depozitari de fonduri│
│societăţi │de investiţii │
│ │alternative (FIA)“]; │
│ │b) depozitarii │
│ │menţionaţi la art. 23 │
│ │alin. (2) lit. (c) din │
│ │Directiva OPCVM │
│ │(„depozitarii │
│ │OPCVM-urilor“). │
└──────────────┴───────────────────────┘
*9) Cloud computing este adesea abreviat în „cloud“. Termenul „cloud“ este utilizat în restul documentului pentru a facilita lectura. *10) Un model de implementare în cloud în care serviciile cloud acceptă şi sunt partajate exclusiv printr-un grup specific de clienţi ai serviciilor cloud care au cerinţe comune şi o relaţie de reciprocitate şi unde resursele sunt controlate de cel puţin un membru al acestui grup. *11) Un model de implementare în cloud care utilizează cel puţin două modele diferite de implementare în cloud. *12) Un model de implementare în cloud în care serviciile cloud sunt utilizate exclusiv de un singur client de servicii cloud, iar resursele sunt controlate de respectivul client de servicii cloud. *13) Un model de implementare în cloud în care serviciile cloud sunt potenţial disponibile pentru orice client de servicii cloud, iar resursele sunt controlate de furnizorul de servicii cloud. 3. Scop 5. Ghidul este elaborat în temeiul art. 16 alin. (1) din Regulamentul ESMA. Obiectivele prezentului ghid sunt de a stabili practici de supraveghere coerente, eficiente şi eficace în cadrul Sistemului european de supraveghere financiară (SESF) şi de a asigura aplicarea comună, uniformă şi consecventă a cerinţelor menţionate în secţiunea 1.1. de la rubrica „Ce se aplică?“ atunci când societăţile externalizează către FSC-uri. În special, aceste ghiduri au scopul de a ajuta societăţile şi autorităţile competente să identifice, să abordeze şi să monitorizeze riscurile şi provocările care decurg din angajamentele de externalizare în cloud, de la luarea deciziei de externalizare, selectarea unui furnizor de servicii cloud, monitorizarea activităţilor externalizate până la furnizarea de strategii de ieşire. 4. Conformitate şi obligaţii de raportare 4.1. Statutul orientărilor 6. Conform art. 16 alin. (3) din Regulamentul ESMA, autorităţile competente şi societăţile trebuie să depună toate eforturile necesare pentru a respecta ghidul. 7. Autorităţile competente cărora li se aplică prezentul ghid trebuie să se conformeze prin includerea lui în cadrele lor juridice şi/sau de supraveghere naţionale, după caz, inclusiv în cazul în care ghiduri specifice vizează, în principal, societăţile. În acest caz, autorităţile competente trebuie să asigure, prin activităţi de supraveghere, respectarea ghidului de către societăţi. 4.2. Cerinţe de raportare 8. În termen de două luni de la data publicării ghidului pe siteul ESMA în toate limbile oficiale ale UE, autorităţile competente cărora li se aplică prezentul ghid trebuie să informeze ESMA (i) dacă respectă ghidul, (ii) dacă nu respectă, dar intenţionează să respecte ghidul sau (iii) dacă nu respectă şi nu intenţionează să respecte ghidul. 9. În caz de neconformitate, autorităţile competente trebuie, de asemenea, să informeze ESMA în termen de două luni de la data publicării ghidului pe site-ul ESMA în toate limbile oficiale ale UE cu privire la motivele de neconformare cu ghidul. Pe site-ul ESMA este disponibil un model de notificare. Odată ce a fost completat, modelul va fi transmis la ESMA. 10. Societăţile nu sunt obligate să raporteze dacă respectă sau nu prezentul ghid. 5. Ghid privind externalizarea către furnizorii de servicii cloud Orientarea 1. Guvernanţă, supraveghere şi documentare 11. O societate trebuie să aibă o strategie de externalizare în cloud definită şi actualizată, care să fie compatibilă cu strategiile relevante şi cu politicile şi procesele interne ale societăţii, inclusiv în ceea ce priveşte tehnologia informaţiei şi comunicaţiilor, securitatea informaţiilor şi gestionarea riscurilor operaţionale. 12. O societate trebuie: a) să atribuie clar responsabilităţile în cadrul organizaţiei pentru documentarea, gestionarea şi controlul angajamentelor de externalizare în cloud; b) să aloce resurse suficiente pentru a asigura respectarea acestui ghid şi a tuturor cerinţelor legale aplicabile angajamentelor sale de externalizare în cloud; c) să instituie o funcţie de supraveghere a externalizării în cloud sau să desemneze membri ai personalului de nivel superior care să se afle în directa subordine a organului de conducere şi să răspundă de gestionarea şi supravegherea riscurilor aranjamentelor de externalizare în cloud. Atunci când respectă acest ghid, societăţile trebuie să ţină seama de natura, amploarea şi complexitatea activităţii lor, inclusiv în ceea ce priveşte riscul pentru sistemul financiar şi riscurile inerente funcţiilor externalizate, şi să se asigure că organul lor de conducere deţine competenţele tehnice relevante pentru a înţelege riscurile pe care le presupun angajamentele de externalizare în cloud. Societăţile mici şi mai puţin complexe trebuie să asigure cel puţin o repartizare clară a sarcinilor şi responsabilităţilor pentru gestionarea şi supravegherea angajamentelor de externalizare în cloud. 13. O societate trebuie să monitorizeze performanţa activităţilor, măsurile de securitate şi respectarea de către FSCurile sale a nivelurilor de servicii convenite. Această monitorizare trebuie să se bazeze pe riscuri, acordând o atenţie deosebită funcţiilor critice sau importante care au fost externalizate. 14. O societate trebuie să reevalueze dacă aranjamentele sale de externalizare în cloud vizează o funcţie critică sau importantă, periodic şi ori de câte ori riscul, natura sau amploarea unei funcţii externalizate s-a modificat substanţial. 15. O societate trebuie să menţină un registru actualizat de informaţii cu privire la toate angajamentele sale de externalizare în cloud, făcând distincţie între externalizarea funcţiilor critice sau importante şi alte angajamente de externalizare. Atunci când face distincţia între externalizarea funcţiilor critice sau importante şi alte angajamente de externalizare, aceasta trebuie să furnizeze un scurt rezumat al motivelor pentru care funcţia externalizată este sau nu este considerată critică sau importantă. Ţinând seama de legislaţia naţională, o societate trebuie să ţină, de asemenea, o evidenţă a angajamentelor de externalizare în cloud reziliate, pentru o perioadă de timp adecvată. 16. În cazul angajamentelor de externalizare în cloud care vizează funcţii critice sau importante, registrul trebuie să conţină cel puţin următoarele informaţii pentru fiecare angajament de externalizare: a) un număr de referinţă; b) data de începere şi, după caz, următoarea dată de reînnoire a contractului, data de încetare şi/sau perioadele de preaviz pentru FSC şi pentru societate; c) o scurtă descriere a funcţiei externalizate, inclusiv datele externalizate şi dacă aceste date conţin date cu caracter personal (de exemplu, prin furnizarea unui răspuns de tip „Da“ sau „Nu“ într-un câmp de date separat); d) o categorie atribuită de societate care reflectă natura funcţiei externalizate (de exemplu, funcţia de tehnologia informaţiei, funcţia de control), care trebuie să faciliteze identificarea diferitelor tipuri de angajamente de externalizare în cloud; e) dacă funcţia externalizată sprijină operaţiuni de afaceri care sunt critice din punctul de vedere al timpului; f) numele şi numele de marcă (dacă este cazul) ale FSC, ţara sa de înregistrare, numărul de înregistrare, identificatorul entităţii juridice (dacă este disponibil), adresa sa înregistrată, datele sale de contact relevante, precum şi denumirea societăţii-mamă (dacă este cazul); g) legea de reglementare a angajamentului de externalizare în cloud şi, dacă există, alegerea jurisdicţiei; h) tipul de servicii cloud şi modele de implementare şi natura specifică a datelor care trebuie păstrate şi locaţiile (şi anume regiunile sau ţările) în care pot fi stocate aceste date; i) data celei mai recente evaluări a caracterului critic sau a importanţei funcţiei externalizate şi data următoarei evaluări planificate; j) data celei mai recente evaluări a riscului/celui mai recent audit al FSC, împreună cu un scurt rezumat al principalelor rezultate, şi data următoarei evaluări planificate/următorului audit planificat; k) persoana fizică sau organul de decizie din cadrul societăţii care a aprobat angajamentul de externalizare în cloud; l) dacă este cazul, numele oricărui subcontractant căruia îi este externalizată în lanţ o funcţie critică sau importantă (sau părţi substanţiale ale acesteia), inclusiv ţările în care sunt înregistraţi subcontractanţii, unde va fi prestat serviciul subcontractat, şi locaţiile (şi anume regiunile sau ţările) în care vor fi stocate datele; m) costul bugetar anual estimat al angajamentului de externalizare în cloud. 17. În cazul angajamentelor de externalizare în cloud referitoare la funcţii necritice sau neimportante, o societate trebuie să definească informaţiile care trebuie incluse în registru pe baza naturii, amplorii şi complexităţii riscurilor inerente funcţiei externalizate. Orientarea 2. Analiza de preexternalizare şi procesul de diligenţă 18. Înainte de a încheia orice angajament de externalizare în cloud, o societate trebuie: a) să evalueze dacă angajamentul de externalizare în cloud priveşte o funcţie critică sau importantă; b) să identifice şi să evalueze toate riscurile relevante ale angajamentului de externalizare în cloud; c) să efectueze procesul de diligenţă corespunzător asupra FSC-ului potenţial; d) să identifice şi să evalueze orice conflict de interese pe care îl poate genera externalizarea. 19. Analiza de preexternalizare şi procesul de diligenţă asupra potenţialului FSC trebuie să fie proporţionale cu natura, amploarea şi complexitatea funcţiei pe care societatea intenţionează să o externalizeze şi cu riscurile inerente acestei funcţii. Aceasta trebuie să conţină cel puţin o evaluare a impactului potenţial al angajamentului de externalizare în cloud asupra riscurilor operaţionale, juridice, de conformitate şi reputaţionale ale societăţii. 20. În cazul în care angajamentul de externalizare în cloud priveşte funcţii critice sau importante, o societate trebuie, de asemenea: a) să evalueze toate riscurile relevante care pot apărea ca urmare a angajamentului de externalizare în cloud, inclusiv riscurile legate de tehnologia informaţiei şi comunicaţiilor, de securitatea informaţiilor, continuitatea activităţii, legalitate şi conformitate, riscurile reputaţionale, riscurile operaţionale şi posibile limitări în materie de supraveghere pentru societate, care rezultă din: (i) serviciul cloud selectat şi modelele de implementare propuse; (ii) migraţia şi/sau procesul de implementare; (iii) sensibilitatea funcţiei şi a datelor conexe care sunt avute în vedere pentru a fi externalizate şi măsurile de securitate care trebuie luate; (iv) interoperabilitatea sistemelor şi aplicaţiilor societăţii şi ale FSC, şi anume capacitatea lor de a face schimb de informaţii şi de a utiliza reciproc informaţiile care au făcut obiectul unui schimb; (v) portabilitatea datelor societăţii, şi anume capacitatea de a transfera cu uşurinţă datele societăţii de la un FSC la altul sau înapoi către societate; (vi) stabilitatea politică, situaţia de securitate şi sistemul juridic (inclusiv dispoziţiile în vigoare în materie de aplicare a legii, dispoziţiile legale privind insolvenţa care s-ar aplica în caz de faliment al FSC, legislaţia în vigoare privind protecţia datelor şi îndeplinirea condiţiilor pentru transferul datelor cu caracter personal într-o ţară terţă conform RGPD) în ţările (din interiorul sau din afara UE) în care ar fi furnizate funcţiile externalizate şi în care ar fi stocate datele externalizate; în cazul subcontractării, riscurile suplimentare care pot apărea dacă subcontractantul se află într-o ţară terţă sau într-o ţară diferită de cea a FSC şi, în cazul unui lanţ de subcontractare, orice risc suplimentar care poate apărea, inclusiv în legătură cu absenţa unui contract direct între societate şi subcontractantul care realizează funcţia externalizată; (vii) concentrarea posibilă în cadrul societăţii (inclusiv, după caz, la nivelul grupului său), cauzată de angajamente multiple de externalizare în cloud cu acelaşi FSC, precum şi concentrarea posibilă în cadrul sectorului financiar al UE, cauzată de situaţia în care mai multe societăţi folosesc acelaşi FSC sau un grup mic de FSC-uri. La evaluarea riscului de concentrare, societatea trebuie să aibă în vedere toate angajamentele sale de externalizare în cloud (şi, dacă este cazul, angajamentele de externalizare în cloud la nivelul grupului său) cu respectivul FSC; b) să ţină seama de beneficiile şi costurile preconizate ale angajamentului de externalizare în cloud, inclusiv cântărirea oricăror riscuri semnificative care pot fi reduse sau mai bine gestionate împotriva oricăror riscuri semnificative care pot apărea ca urmare a angajamentului de externalizare în cloud. 21. În cazul externalizării de funcţii critice sau importante, procesul de diligenţă trebuie să includă o evaluare a adecvării FSC. La evaluarea adecvării FSC, o societate trebuie să se asigure că FSC are o bună reputaţie în afaceri, deţine abilităţile, resursele (de exemplu, resurse umane, informatice şi financiare), structura organizatorică şi, dacă este cazul, autorizaţia (autorizaţiile) sau înregistrarea (înregistrările) relevantă (relevante) necesare pentru a îndeplini în mod fiabil şi profesional funcţia critică sau importantă şi a-şi respecta obligaţiile pe durata angajamentului de externalizare în cloud. Factorii suplimentari care trebuie avuţi în vedere în cadrul procesului de diligenţă cu privire la FSC conţin, dar nu se limitează la: a) gestionarea securităţii informaţiilor şi, în special, protecţia datelor cu caracter personal, confidenţiale sau sensibile în alt mod; b) asistenţa pentru servicii, inclusiv planurile şi contactele de asistenţă şi procesele de gestionare a incidentelor; c) planurile de asigurare a continuităţii activităţii şi planurile de recuperare în caz de dezastru. 22. Acolo unde este cazul şi pentru a sprijini procesul de diligenţă efectuat, o societate poate utiliza, de asemenea, certificări bazate pe standarde internaţionale şi rapoarte de audit externe sau interne. 23. Dacă o societate ia cunoştinţă de deficienţe semnificative şi/sau de modificări semnificative ale serviciilor furnizate sau ale situaţiei FSC, analiza de preexternalizare şi procesul de diligenţă privind FSC trebuie revizuite imediat sau, dacă este necesar, reluate. 24. În cazul în care încheie un nou angajament de externalizare sau reînnoieşte un angajament existent cu un FSC care a fost deja evaluat, societatea trebuie să stabilească, pe baza unei abordări bazate pe riscuri, dacă este necesar un nou proces de diligenţă. Orientarea 3. Elemente contractuale esenţiale 25. Drepturile şi obligaţiile care le revin unei societăţi şi furnizorului de servicii cloud trebuie să fie clar definite printr-un acord scris. 26. Acordul scris trebuie să acorde în mod expres societăţii posibilitatea de a-l rezilia, atunci când este necesar. 27. În cazul externalizării unor funcţii critice sau importante, acordul scris trebuie să conţină cel puţin: a) o descriere clară a funcţiei externalizate; b) data de începere şi data de încetare a acordului, după caz, şi perioadele de preaviz pentru FSC şi pentru întreprindere; c) legea de reglementare a acordului şi, dacă există, alegerea jurisdicţiei; d) obligaţiile financiare ale societăţii şi ale FSC; e) dacă este permisă subcontractarea şi, dacă da, în ce condiţii, având în vedere Orientarea 7; f) locaţia (locaţiile) (şi anume regiunile sau ţările) în care va fi asigurată funcţia externalizată şi în care vor fi păstrate şi prelucrate datele, precum şi condiţiile care trebuie îndeplinite, inclusiv cerinţa de a notifica societatea dacă FSC propune schimbarea locaţiei (locaţiilor); g) dispoziţii privind securitatea informaţiilor şi protecţia datelor cu caracter personal, având în vedere Orientarea 4; h) dreptul societăţii de a monitoriza în mod regulat performanţa FSC în cadrul angajamentului de externalizare în cloud, având în vedere Orientarea 6; i) nivelurile serviciilor convenite, care trebuie să includă obiective de performanţă cantitative şi calitative, pentru a permite o monitorizare în timp util, astfel încât, dacă nu sunt respectate nivelurile serviciilor convenite, să se poată lua măsuri corective adecvate, fără întârzieri nejustificate; j) obligaţiile de raportare ale FSC faţă de societate şi, după caz, obligaţiile de a prezenta rapoarte relevante pentru funcţia de securitate şi funcţiile esenţiale ale societăţii, precum rapoarte întocmite de funcţia de audit intern a FSC; k) dispoziţii privind gestionarea incidentelor de către FSC, inclusiv obligaţia FSC de a raporta societăţii, fără întârzieri nejustificate, incidentele care au afectat funcţionarea serviciului contractat al societăţii; l) dacă FSC trebuie să încheie o asigurare obligatorie împotriva anumitor riscuri şi, dacă este cazul, nivelul asigurării necesare; m) cerinţele pentru ca FSC să implementeze şi să testeze continuitatea activităţii şi planurile de recuperare în caz de dezastru; n) cerinţa ca FSC să acorde societăţii, autorităţilor sale competente şi oricărei alte persoane desemnate de societate sau autorităţilor competente dreptul de a accesa („drepturi de acces“) şi de a inspecta („drepturi de audit“) informaţiile, sediile, sistemele şi dispozitivele relevante ale FSC în măsura necesară pentru a monitoriza performanţa FSC în cadrul angajamentului de externalizare în cloud şi conformitatea sa cu cerinţele de reglementare şi contractuale aplicabile, având în vedere Orientarea 6; o) dispoziţii prin care să se asigure că datele pe care FSC le prelucrează sau le stochează în numele societăţii pot fi accesate, recuperate şi returnate societăţii, după caz, având în vedere Orientarea 5. Orientarea 4. Securitatea informaţiilor 28. O societate trebuie să stabilească cerinţe de securitate a informaţiilor în politicile şi procedurile sale interne şi în cadrul acordului scris de externalizare în cloud şi să monitorizeze în permanenţă respectarea acestor cerinţe, inclusiv pentru a proteja datele confidenţiale, cu caracter personal sau alte date sensibile. Aceste cerinţe trebuie să fie proporţionale cu natura, amploarea şi complexitatea funcţiei pe care societatea o externalizează către FSC şi cu riscurile inerente acestei funcţii. 29. În acest scop, în cazul externalizării unor funcţii critice sau importante şi fără a aduce atingere cerinţelor aplicabile conform RGPD, o societate care aplică o abordare bazată pe riscuri trebuie, cel puţin: a) organizarea în domeniul securităţii informaţiilor: să se asigure că există o alocare clară a rolurilor şi responsabilităţilor în materie de securitate a informaţiilor între societate şi FSC, inclusiv în ceea ce priveşte detectarea ameninţărilor, gestionarea incidentelor şi gestionarea patch-urilor, şi să se asigure că FSC este capabil efectiv să îşi îndeplinească rolurile şi responsabilităţile; b) gestionarea identităţii şi accesului: să se asigure că există mecanisme robuste de autentificare (de exemplu, autentificare dublă) şi controale ale accesului, pentru a preveni accesul neautorizat la datele şi la resursele de cloud back-end ale societăţii; c) criptarea şi gestionarea cheilor de securitate: să se asigure că tehnologiile de criptare relevante sunt utilizate, acolo unde este necesar, pentru date în tranzit, date în memorie, date în repaus şi copii de rezervă ale datelor, în combinaţie cu soluţii adecvate de gestionare a cheilor de securitate pentru a limita riscul accesului neautorizat la cheile de criptare; în special, societatea trebuie să aibă în vedere tehnologia şi procesele de ultimă generaţie atunci când îşi alege soluţia de gestionare a cheilor de securitate; d) securitatea operaţiunilor şi a reţelei: să ia în considerare nivelurile adecvate de disponibilitate a reţelei, segregarea reţelei [de exemplu, izolarea „chiriaşilor“ în mediul partajat al cloudului, separarea operaţională în ceea ce priveşte webul, logica aplicaţiei, sistemul de operare, reţeaua, sistemul de gestionare a bazei de date (DBMS) şi straturile de stocare] şi mediile de procesare (de exemplu, testarea acceptării de către utilizator, dezvoltare, producţie); e) interfeţe de programare a aplicaţiilor (API): să ia în considerare mecanismele de integrare a serviciilor cloud cu sistemele societăţii, pentru a asigura securitatea API-urilor (de exemplu, stabilirea şi menţinerea politicilor şi procedurilor de securitate a informaţiilor pentru API-uri pe mai multe interfeţe de sistem, jurisdicţii şi funcţii comerciale pentru a preveni divulgarea, modificarea sau distrugerea neautorizată a datelor); f) continuitatea afacerii şi recuperarea în caz de dezastru: să se asigure că există controale efective de continuitate a activităţii şi de recuperare în caz de dezastru (de exemplu, prin stabilirea de cerinţe minime de capacitate, selectarea opţiunilor de găzduire care sunt răspândite geografic, cu capacitatea de a comuta de la una la alta, sau solicitarea şi revizuirea documentaţiei care descrie ruta de transport al datelor societăţii între sistemele FSC, precum şi luarea în considerare a posibilităţii de a reproduce imagini mecanice într-o locaţie de stocare independentă, care să fie suficient de bine izolată de reţea sau deconectată); g) localizarea datelor: să adopte o abordare bazată pe riscuri în ceea ce priveşte locaţia (locaţiile) de stocare şi prelucrare a datelor (şi anume regiuni sau ţări); h) conformitate şi monitorizare: să verifice dacă FSC respectă standardele de securitate a informaţiilor recunoscute la nivel internaţional şi dacă a implementat controale adecvate de securitate a informaţiilor (de exemplu, obligaţia FSC de a furniza dovezi că efectuează revizuiri relevante ale securităţii informaţiilor şi efectuarea de evaluări şi teste periodice ale mecanismelor FSC de securitate a informaţiilor). Orientarea 5. Strategiile de ieşire 30. În cazul externalizării unor funcţii critice sau importante, o societate trebuie să se asigure că este capabilă să iasă din angajamentul de externalizare în cloud fără întreruperi nejustificate ale activităţilor şi serviciilor sale către clienţii săi şi fără a aduce atingere respectării obligaţiilor sale în temeiul dispoziţiilor aplicabile şi fără a afecta confidenţialitatea, integritatea şi disponibilitatea datelor sale. În acest scop, o societate trebuie: a) să elaboreze planuri de ieşire cuprinzătoare, documentate şi suficient de mult testate. Aceste planuri trebuie actualizate după necesităţi, inclusiv în cazul unor modificări aduse funcţiei externalizate; b) să identifice soluţii alternative şi să elaboreze planuri de tranziţie pentru a elimina funcţia şi datele externalizate de la FSC şi, după caz, de la orice subcontractant şi să le transfere către FSC-ul alternativ indicat de societate sau direct înapoi către societate. Aceste soluţii trebuie definite în raport cu provocările care pot apărea din cauza locaţiei datelor, luând măsurile necesare pentru a asigura continuitatea activităţii în faza de tranziţie; c) să se asigure că acordul scris de externalizare în cloud include o obligaţie pentru FSC de a sprijini transferul ordonat al funcţiei externalizate şi prelucrarea conexă a datelor, de la FSC şi orice subcontractant către un alt FSC, indicat de societate sau direct către societate, în cazul în care societatea activează strategia de ieşire. Obligaţia de a sprijini transferul ordonat al funcţiei externalizate şi tratamentul aferent al datelor trebuie să includă, după caz, ştergerea în siguranţă a datelor din sistemele FSC şi ale oricărui subcontractant. 31. La elaborarea planurilor şi soluţiilor de ieşire menţionate la literele (a) şi (b) („strategia de ieşire“), societatea trebuie să aibă în vedere următoarele: a) să definească obiectivele strategiei de ieşire; b) să definească evenimentele declanşatoare care ar putea activa strategia de ieşire. Aceste evenimente trebuie să includă cel puţin încetarea angajamentului de externalizare în cloud la iniţiativa societăţii sau a FSC, precum şi oprirea sau o altă întrerupere gravă a activităţii comerciale a FSC; c) să efectueze o analiză a impactului economic, care să fie proporţională cu funcţia externalizată, pentru a identifica ce resurse umane şi de altă natură ar fi necesare pentru a implementa strategia de ieşire; d) să atribuie roluri şi responsabilităţi pentru gestionarea strategiei de ieşire; e) să testeze caracterul oportun al strategiei de ieşire, folosind o abordare bazată pe riscuri (de exemplu, prin efectuarea unei analize a costurilor potenţiale, a impactului, a resurselor şi a implicaţiilor temporale ale transferului unui serviciu externalizat către un furnizor alternativ); f) să definească criteriile de succes ale tranziţiei. 32. O societate trebuie să includă indicatori ai evenimentelor declanşatoare ale strategiei de ieşire în monitorizarea şi supravegherea sa continuă a serviciilor furnizate de FSC în temeiul angajamentului de externalizare în cloud. Orientarea 6. Drepturi de acces şi de audit 33. O societate trebuie să se asigure că acordul scris de externalizare în cloud nu limitează exercitarea efectivă a drepturilor de acces şi de audit ale societăţii şi ale autorităţii competente şi nici opţiunile de supraveghere asupra FSC. 34. O societate trebuie să se asigure că exercitarea drepturilor de acces şi de audit (de exemplu, frecvenţa auditurilor şi domeniile şi serviciile de auditat) ia în considerare dacă externalizarea este legată de o funcţie critică sau importantă, precum şi natura şi amploarea riscurilor şi impactul care decurge din angajamentul de externalizare în cloud asupra societăţii. 35. În cazul în care exercitarea drepturilor de acces sau de audit sau utilizarea anumitor tehnici de audit creează un risc pentru mediul FSC şi/sau pentru un alt client al FSC (de exemplu, prin impactul asupra nivelurilor serviciilor, confidenţialităţii, integrităţii şi disponibilităţii datelor), FSC trebuie să ofere societăţii o justificare clară a motivului pentru care acest lucru ar crea un risc, iar FSC trebuie să convină cu societatea asupra unor modalităţi alternative de a obţine un rezultat similar [de exemplu, includerea unor mecanisme de control specifice care să fie testate într-un raport specific/certificare specifică elaborat(ă) de FSC]. 36. Fără a aduce atingere responsabilităţii lor finale cu privire la angajamentele de externalizare în cloud, pentru a utiliza mai eficient resursele de audit şi pentru a reduce povara organizatorică asupra FSC şi clienţilor săi, societăţile pot utiliza: a) certificări de la terţi şi rapoarte de audit intern sau extern efectuate de terţi, puse la dispoziţie de FSC; b) audituri centralizate efectuate împreună cu alţi clienţi ai aceluiaşi FSC sau audituri centralizate efectuate de un terţ auditor desemnat de mai mulţi clienţi ai aceluiaşi FSC. 37. În cazul externalizării unor funcţii critice sau importante, societăţile trebuie să evalueze dacă certificările de la terţi şi rapoartele de audit intern sau extern menţionate la pct. 37 lit. a) sunt adecvate şi suficiente pentru a se conforma obligaţiilor sale în temeiul legislaţiei aplicabile şi, în timp, trebuie să urmărească să nu se bazeze doar pe aceste certificări şi rapoarte. 38. În cazul externalizării unor funcţii critice sau importante, o societate trebuie să utilizeze certificările de la terţi şi rapoartele de audit intern sau extern menţionate la pct. 37 lit. a) numai dacă: a) este mulţumită de faptul că obiectul certificărilor sau al rapoartelor de audit acoperă sistemele-cheie ale FSC (de exemplu, procesele, aplicaţiile, infrastructura, centrele de date etc.), mecanismele de control identificate de societate şi conformitatea cu legislaţia aplicabilă relevantă; b) evaluează temeinic şi periodic conţinutul certificărilor sau rapoartelor de audit şi verifică să nu fie caduce rapoartele sau certificările; c) se asigură că sistemele-cheie şi mecanismele de control importante ale FSC sunt incluse în viitoarele versiuni ale certificărilor sau ale rapoartelor de audit; d) este mulţumită de partea care realizează certificarea sau auditul (de exemplu, cu privire la calificările şi expertiza acesteia, la reefectuarea/verificarea dovezilor din dosarul de audit subiacent, precum şi în ceea ce priveşte rotaţia entităţii de certificare sau de audit); e) este mulţumită că certificările sunt emise şi auditurile sunt efectuate conform unor standarde corespunzătoare şi că includ un test de eficacitate a mecanismelor de control importante implementate; f) are dreptul contractual de a solicita extinderea domeniului de aplicare al certificărilor sau al rapoartelor de audit la alte sisteme şi mecanisme de control relevante ale FSC; numărul şi frecvenţa acestor cereri de modificare a domeniului de aplicare trebuie să fie rezonabile şi legitime din perspectiva administrării riscurilor; g) îşi păstrează dreptul contractual de a efectua audituri individuale la faţa locului, la aprecierea proprie, în ceea ce priveşte funcţia externalizată. 39. O societate trebuie să se asigure că, înainte de o vizită la faţa locului, inclusiv a unui terţ desemnat de societate (de exemplu, un auditor), FSC transmite un preaviz într-un termen rezonabil, cu excepţia cazului în care o notificare prealabilă timpurie nu este posibilă din cauza unei situaţii de urgenţă sau de criză sau din cauză că ar crea o situaţie în care auditul nu ar mai fi eficient. Un astfel de preaviz trebuie să includă locaţia şi scopul vizitei, precum şi personalul care va participa la vizită. 40. Având în vedere că serviciile cloud prezintă un nivel ridicat de complexitate tehnică şi implică anumite provocări de natură jurisdicţională, personalul care efectuează auditul - care poate consta din auditorii săi interni sau din grupul de auditori care acţionează în numele său - trebuie să aibă aptitudinile şi cunoştinţele adecvate pentru a evalua în mod corespunzător serviciile de cloud relevante şi a efectua un audit eficient şi relevant. Acest lucru trebuie să se aplice şi personalului societăţii, care revizuieşte certificările sau rapoartele de audit furnizate de FSC. Orientarea 7. Subcontractarea externalizării 41. Dacă este permisă externalizarea în lanţ a funcţiilor critice sau importante (sau a unor părţi semnificative din acestea), acordul scris de externalizare în cloud dintre societate şi FSC trebuie: a) să precizeze orice parte sau aspect al funcţiei externalizate care sunt excluse de la potenţiala subcontractare; b) să indice condiţiile care trebuie îndeplinite în cazul subcontractării; c) să precizeze că FSC poartă răspunderea şi obligaţia de a supraveghea serviciile pe care le-a subcontractat, pentru a se asigura că toate obligaţiile contractuale dintre FSC şi societate sunt îndeplinite în permanenţă; d) să includă obligaţia FSC de a notifica societatea cu privire la orice intenţie de subcontractare sau orice modificări semnificative la aceasta, mai ales atunci când acest lucru ar putea afecta capacitatea FSC de a-şi îndeplini obligaţiile în temeiul angajamentului de externalizare în cloud cu societatea. Perioada de notificare stabilită în acordul scris trebuie să permită societăţii suficient timp, cel puţin pentru a efectua o evaluare a riscului subcontractării propuse sau a modificărilor semnificative ale acesteia şi pentru a o contesta sau aproba în mod explicit, după cum se indică la lit. e); e) să se asigure că societatea are dreptul de a contesta subcontractarea planificată sau modificările semnificative aduse acesteia sau că este necesară o aprobare explicită înainte de intrarea în vigoare a subcontractării sau a modificărilor semnificative propuse; f) să se asigure că societatea are dreptul contractual de a rezilia angajamentul de externalizare în cloud cu FSC în cazul în care contestă subcontractarea propusă sau modificări semnificative aduse acesteia şi în cazul unei subcontractări nejustificate (de exemplu, dacă FSC continuă cu subcontractarea fără notificarea societăţii sau încalcă grav condiţiile de subcontractare stipulate în contractul de externalizare). 42. Societatea trebuie să se asigure că FSC supraveghează în mod adecvat subcontractantul. Orientarea 8. Notificarea scrisă adresată autorităţilor competente 43. Societatea trebuie să comunice în scris şi în timp util autorităţii sale competente angajamentul planificat de externalizare în cloud care vizează o funcţie critică sau importantă. De asemenea, societatea trebuie să notifice în timp util şi în scris autoritatea competentă cu privire la angajamentele de externalizare în cloud care privesc o funcţie care anterior a fost clasificată ca fiind necritică sau neimportantă, dar apoi a devenit critică sau importantă. 44. Notificarea scrisă a societăţii trebuie să includă, ţinând cont de principiul proporţionalităţii, cel puţin următoarele informaţii: a) data de începere a acordului de externalizare în cloud şi, după caz, următoarea dată de reînnoire a contractului, data de încetare şi/sau perioadele de preaviz pentru FSC şi pentru societate; b) o descriere succintă a funcţiei externalizate; c) un scurt rezumat al motivelor pentru care funcţia externalizată este considerată critică sau importantă; d) numele şi numele de marcă (dacă este cazul) ale FSC, ţara sa de înregistrare, numărul de înregistrare, identificatorul entităţii juridice (dacă este disponibil), adresa sa înregistrată, datele sale de contact relevante, precum şi denumirea societăţii-mamă (dacă este cazul); e) legea de reglementare a angajamentului de externalizare în cloud şi, dacă există, alegerea jurisdicţiei; f) modele de implementare în cloud şi natura specifică a datelor care trebuie păstrate de FSC şi locaţiile (şi anume regiunile sau ţările) în care vor fi stocate aceste date; g) data celei mai recente evaluări a caracterului critic sau a importanţei funcţiei externalizate; h) data celei mai recente evaluări a riscului sau a celui mai recent audit al FSC, împreună cu un scurt rezumat al principalelor rezultate, şi data următoarei evaluări planificate sau a următorului audit planificat; i) persoana fizică sau organul de decizie din cadrul societăţii care a aprobat angajamentul de externalizare în cloud; j) după caz, numele tuturor subcontractanţilor cărora le sunt subcontractate părţi semnificative ale unei funcţii critice sau importante, inclusiv ţara sau regiunea în care sunt înregistraţi subcontractanţii, în care va fi furnizat serviciul subcontractat şi în care vor fi stocate datele. Orientarea 9. Supravegherea angajamentelor de externalizare în cloud 45. Autorităţile competente trebuie să evalueze riscurile care decurg din angajamentele de externalizare în cloud ale societăţilor în cadrul procesului lor de supraveghere. În special, această evaluare trebuie să se concentreze asupra angajamentelor legate de externalizarea funcţiilor critice sau importante. 46. Autorităţile competente trebuie să fie convinse că pot asigura o supraveghere eficientă, în special atunci când societăţile externalizează funcţii critice sau importante care sunt efectuate în afara UE. 47. Autorităţile competente trebuie să evalueze, în cadrul unei abordări bazate pe riscuri, dacă societăţile: a) deţin resursele necesare şi au instituit procesele operaţionale şi de guvernanţă relevante pentru a încheia, implementa şi supraveghea în mod adecvat şi eficient angajamente de externalizare în cloud; b) identifică şi gestionează toate riscurile relevante asociate externalizării în cloud. 48. Atunci când sunt identificate riscuri de concentrare, autorităţile competente trebuie să monitorizeze evoluţia acestor riscuri şi să evalueze atât impactul lor potenţial asupra altor societăţi pe care le supraveghează, cât şi stabilitatea pieţei financiare. -----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
