Comunica experienta
MonitorulJuridic.ro
NORMĂ nr. 14 din 16 mai 2025 pentru modificarea şi completarea Normei Autorităţii de Supraveghere Financiară nr. 4/2018 privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile autorizate/avizate/înregistrate, reglementate şi/sau supravegheate de către Autoritatea de Supraveghere Financiară
EMITENT: Autoritatea de Supraveghere Financiară PUBLICAT: Monitorul Oficial nr. 487 din 26 mai 2025
În temeiul prevederilor art. 3 alin. (1) lit. b), art. 5, art. 6 alin. (2) şi ale art. 14 din Ordonanţa de urgenţă a Guvernului nr. 93/2012 privind înfiinţarea, organizarea şi funcţionarea Autorităţii de Supraveghere Financiară, aprobată cu modificări şi completări prin Legea nr. 113/2013, cu modificările şi completările ulterioare,
în urma deliberărilor Consiliului Autorităţii de Supraveghere Financiară din cadrul şedinţei din data de 14 mai 2025,
Autoritatea de Supraveghere Financiară emite prezenta normă.
ART. I
Norma Autorităţii de Supraveghere Financiară nr. 4/2018 privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile autorizate/avizate/ înregistrate, reglementate şi/sau supravegheate de către Autoritatea de Supraveghere Financiară, publicată în Monitorul Oficial al României, Partea I, nr. 233 din 16 martie 2018, cu modificările şi completările ulterioare, se modifică şi se completează după cum urmează:
1. Preambulul se modifică şi va avea următorul cuprins:
"În temeiul prevederilor art. 3 alin. (1) lit. b), art. 5, art. 6 alin. (2) şi ale art. 14 din Ordonanţa de urgenţă a Guvernului nr. 93/2012 privind înfiinţarea, organizarea şi funcţionarea Autorităţii de Supraveghere Financiară, aprobată cu modificări şi completări prin Legea nr. 113/2013, cu modificările şi completările ulterioare, conform prevederilor Legii nr. 236/2018 privind distribuţia de asigurări, cu modificările şi completările ulterioare, ale Legii nr. 237/2015 privind autorizarea şi supravegherea activităţii de asigurare şi reasigurare, cu modificările şi completările ulterioare, ale Ordonanţei de urgenţă a Guvernului nr. 32/2012 privind organismele de plasament colectiv în valori mobiliare şi societăţile de administrare a investiţiilor, precum şi pentru modificarea şi completarea Legii nr. 297/2004 privind piaţa de capital, aprobată cu modificări şi completări prin Legea nr. 10/2015, cu modificările şi completările ulterioare, ale Legii nr. 74/2015 privind administratorii de fonduri de investiţii alternative, cu modificările şi completările ulterioare, ale Legii nr. 126/2018 privind pieţele de instrumente financiare, cu modificările şi completările ulterioare, ale Legii nr. 411/2004 privind fondurile de pensii administrate privat, republicată, cu modificările şi completările ulterioare, ale Legii nr. 204/2006 privind pensiile facultative, cu modificările şi completările ulterioare, ale Legii nr. 88/2021 privind Fondul de compensare a investitorilor, cu modificările şi completările ulterioare, ale Legii nr. 187/2011 privind înfiinţarea, organizarea şi funcţionarea Fondului de garantare a drepturilor din sistemul de pensii private, cu modificările şi completările ulterioare, ale Legii nr. 213/2015 privind Fondul de garantare a asiguraţilor, cu modificările şi completările ulterioare, şi ale Legii nr. 132/2017 privind asigurarea obligatorie de răspundere civilă auto pentru prejudicii produse terţilor prin accidente de vehicule şi tramvaie, cu modificările şi completările ulterioare,"
2. Articolul 2 se modifică şi va avea următorul cuprins:
"ART. 2
Prezenta normă se aplică următoarelor categorii de entităţi autorizate/avizate/înregistrate, reglementate şi/sau supravegheate de către A.S.F., denumite în continuare entităţi:
a) Fondul de compensare a investitorilor, Fondul de garantare a asiguraţilor şi Fondul de garantare a drepturilor din sistemul de pensii private;
b) societăţi de asigurare şi reasigurare autorizate şi supravegheate conform părţii a II-a din Legea nr. 237/2015 privind autorizarea şi supravegherea activităţii de asigurare şi reasigurare, cu modificările şi completările ulterioare;
c) intermediari principali care desfăşoară activitate de distribuţie a produselor de asigurare şi reasigurare, care sunt microîntreprinderi sau întreprinderi mici sau mijlocii, astfel cum sunt definite la art. 3 pct. 60, 63 şi 64 din Regulamentul (UE) 2022/2.554 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011;
d) Biroul asigurătorilor de autovehicule din România;
e) entităţi care desfăşoară activitatea de depozitare a activelor organismelor de plasament colectiv, astfel cum sunt prevăzute la art. 53 alin. (1) lit. c) din Ordonanţa de urgenţă nr. 32/2012 privind organismele de plasament colectiv în valori mobiliare şi societăţile de administrare a investiţiilor, precum şi pentru modificarea şi completarea Legii nr. 297/2004 privind piaţa de capital, aprobată cu modificări şi completări prin Legea nr. 10/2015, cu modificările şi completările ulterioare, respectiv:
1. entităţi care desfăşoară activitate de depozitare a activelor totale cu o valoare mai mare de 250 milioane euro, echivalent în lei, calculat la cursul de schimb al Băncii Naţionale a României;
2. entităţi care desfăşoară activitate de depozitare a activelor totale cu o valoare mai mică de 250 milioane euro, echivalent în lei, calculat la cursul de schimb al Băncii Naţionale a României;
f) administratori de fonduri de pensii administrate privat;
g) administratori de fonduri de pensii facultative, respectiv:
1. administratori de fonduri de pensii facultative care deţin în administrare active nete ale fondurilor de pensii facultative cu o valoare mai mare de 250 milioane euro, echivalent în lei, calculat la cursul de schimb al Băncii Naţionale a României;
2. administratori de fonduri de pensii facultative care deţin în administrare active nete ale fondurilor de pensii facultative cu o valoare mai mică de 250 milioane euro, echivalent în lei, calculat la cursul de schimb al Băncii Naţionale a României;
h) administratori de fonduri de investiţii alternative, astfel cum sunt menţionaţi la art. 2 alin. (2) lit. a) şi b) din Legea nr. 74/2015 privind administratorii de fonduri de investiţii alternative, cu modificările şi completările ulterioare."
3. După articolul 2 se introduce un nou articol, art. 2^1, cu următorul cuprins:
"ART. 2^1
Entităţile care intră sub incidenţa Regulamentului (UE) 2022/2.554 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011 şi care sunt încadrate şi în categoriile de entităţi prevăzute la art. 2 vor aplica prevederile Regulamentului (UE) 2022/2.554 şi ale cadrului legal naţional emis în baza acestuia, cu aplicarea prevederilor art. 54^1."
4. Articolul 10 se modifică şi va avea următorul cuprins:
"ART. 10
Încadrarea entităţilor prevăzute la art. 2 în categoriile de risc menţionate la art. 9 este următoarea:
a) în categoria de risc major se încadrează entităţile prevăzute la art. 2 lit. d), lit. e) pct. 1, lit. f) şi lit. g) pct. 1;
b) în categoria de risc important se încadrează entităţile prevăzute la art. 2 lit. a), lit. b), lit. e) pct. 2 şi lit. g) pct. 2;
c) în categoria de risc scăzut se încadrează entităţile prevăzute la art. 2 lit. c) şi lit. h)."
5. Articolul 11 se modifică şi va avea următorul cuprins:
"ART. 11
Încadrarea, respectiv reîncadrarea în categoriile de risc menţionate la art. 9 a entităţilor prevăzute la art. 2 lit. g) se realizează în luna ianuarie a fiecărui an calendaristic, în baza valorii totale a activelor nete ale fondurilor de pensii facultative administrate din ultima zi lucrătoare a anului anterior."
6. Articolul 12 se modifică şi va avea următorul cuprins:
"ART. 12
Încadrarea, respectiv reîncadrarea în categoriile de risc menţionate la art. 9 a entităţilor prevăzute la art. 2 lit. e) se realizează în luna ianuarie a fiecărui an calendaristic, în baza valorii activelor totale în depozitare din ultima zi lucrătoare a anului anterior."
7. Articolul 13 se abrogă.
8. La articolul 15, alineatul (4^1) se modifică şi va avea următorul cuprins:
"(4^1) În executarea obligaţiei prevăzute la alin. (4), entităţile trebuie să se asigure că persoanele care efectuează testarea deţin cel puţin una dintre următoarele certificări: CEH - Certified Ethical Hacker, GPEN - GIAC Certified Penetration Tester, GWAPT - GIAC Web Application, LPT - Licensed Penetration Tester, OPST - OSSTMM Professional Security Tester Accredited Certification, OSCE - Offensive Security Certified Expert, OSCP - Offensive Security Certified Professional, PTC - MILLE2 Certified Penetration Testing Consultant, CPT - Certified Penetration Tester, GIAC - Exploit Researcher and Advanced Penetration Tester (GXPN), GIAC - Mobile Device Security Analyst (GMOB), GIAC - Assessing and Auditing Wireless Networks (GAWN), CREST - Certified Simulated Attack Specialist, CSX - Cybersecurity Nexus."
9. Articolul 52 se modifică şi va avea următorul cuprins:
"ART. 52
Nerespectarea prevederilor prezentei norme de către entităţile prevăzute la art. 2 constituie contravenţie şi se sancţionează conform prevederilor Legii nr. 236/2018 privind distribuţia de asigurări, cu modificările şi completările ulterioare, ale Legii nr. 237/2015 privind autorizarea şi supravegherea activităţii de asigurare şi reasigurare, cu modificările şi completările ulterioare, ale Ordonanţei de urgenţă a Guvernului nr. 32/2012 privind organismele de plasament colectiv în valori mobiliare şi societăţile de administrare a investiţiilor, precum şi pentru modificarea şi completarea Legii nr. 297/2004 privind piaţa de capital, aprobată cu modificări şi completări prin Legea nr. 10/2015, cu modificările şi completările ulterioare, ale Legii nr. 74/2015 privind administratorii de fonduri de investiţii alternative, cu modificările şi completările ulterioare, ale Legii nr. 126/2018 privind pieţele de instrumente financiare, cu modificările şi completările ulterioare, ale Legii nr. 411/2004 privind fondurile de pensii administrate privat, republicată, cu modificările şi completările ulterioare, ale Legii nr. 204/2006 privind pensiile facultative, cu modificările şi completările ulterioare, ale Legii nr. 88/2021 privind Fondul de compensare a investitorilor, cu modificările şi completările ulterioare, ale Legii nr. 187/2011 privind înfiinţarea, organizarea şi funcţionarea Fondului de garantare a drepturilor din sistemul de pensii private, cu modificările şi completările ulterioare, ale Legii nr. 213/2015 privind Fondul de garantare a asiguraţilor, cu modificările şi completările ulterioare, şi ale Legii nr. 132/2017 privind asigurarea obligatorie de răspundere civilă auto pentru prejudicii produse terţilor prin accidente de vehicule şi tramvaie, cu modificările şi completările ulterioare."
10. Articolul 54^1 se modifică şi va avea următorul cuprins:
"ART. 54^1
(1) Entităţile prevăzute la art. 2 alin. (1) din Regulamentul (UE) 2022/2.554 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011 au obligaţia să întocmească, în conformitate cu prevederile prezentei norme, şi să transmită A.S.F. rapoartele de audit IT, conform prevederilor anexei nr. 6.
(2) Entităţile prevăzute la alin. (1) sunt următoarele:
a) operatori de piaţă/administratori ai sistemelor multilaterale de tranzacţionare (SMT)/administratori ai sistemelor organizate de tranzacţionare (SOT);
b) intermediari - societăţi de servicii de investiţii financiare (S.S.I.F.), sucursale ale intermediarilor din state terţe şi instituţii de credit din România autorizate de Banca Naţională a României în conformitate cu legislaţia bancară şi înscrise în Registrul A.S.F. în calitate de intermediar;
c) societăţi de administrare a investiţiilor (S.A.I.), administratori de fonduri de investiţii alternative (A.F.I.A.), respectiv:
1. societăţi care deţin active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de peste 250 milioane euro, echivalent în lei;
2. societăţi care deţin active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de până la 250 milioane euro, echivalent în lei;
d) depozitari centrali, case de compensare/contrapărţi centrale;
e) societăţi de asigurare şi reasigurare, astfel cum sunt definite la art. 2 alin. (1) lit. n) din Regulamentul (UE) 2022/2.554;
f) intermediari principali care desfăşoară activitate de distribuţie a produselor de asigurare şi reasigurare, astfel cum sunt definiţi la art. 2 alin. (1) lit. o) din Regulamentul (UE) 2022/2.554;
g) entităţi care desfăşoară activitatea de depozitare a activelor organismelor de plasament colectiv şi ale fondurilor de pensii private, care intră sub incidenţa Regulamentului (UE) 2022/2.554 privind rezilienţa operaţională digitală a sectorului financiar, respectiv:
1. entităţi care desfăşoară activitate de depozitare a activelor totale cu o valoare mai mare de 250 milioane euro, echivalent în lei, calculat la cursul de schimb al Băncii Naţionale a României;
2. entităţi care desfăşoară activitate de depozitare a activelor totale cu o valoare mai mică de 250 milioane euro, echivalent în lei, calculat la cursul de schimb al Băncii Naţionale a României."
11. Articolul 54^2 se abrogă.
12. Articolul 54^3 se abrogă.
13. Anexa nr. 6 se modifică şi va avea următorul cuprins:
" ANEXA 6
Entităţile prevăzute la art. 54^1 din normă au obligaţia să transmită, după caz, raportul de audit IT, cu respectarea activităţilor prevăzute în anexa nr. 2 aferente categoriei lor de risc, însoţit de copia certificatului de auditor IT, semnată pentru conformitate cu originalul valabil la momentul întocmirii raportului de audit IT, conform celor prezentate mai jos:
a) ciclul de auditare 1 an (risc major) - operatori de piaţă/administratori ai sistemelor multilaterale de tranzacţionare (SMT)/administratori ai sistemelor organizate de tranzacţionare (SOT); depozitari centrali, case de compensare/contrapărţi centrale; intermediari care au calitatea de operatori independenţi, entităţi care desfăşoară activitate de depozitare a activelor cu o valoare mai mare de 250 milioane euro, echivalent în lei, calculat la cursul de schimb al Băncii Naţionale a României, care intră sub incidenţa Regulamentului (UE) 2022/2.554 privind rezilienţa operaţională digitală a sectorului financiar:
- ciclul de auditare IT aferent anului 2024 - societăţile transmit raportul de audit IT până la 30 iunie 2025;
b) ciclul de auditare 2 ani (risc important) - societăţi de asigurare şi reasigurare, astfel cum sunt definite la art. 2 alin. (1) lit. n) din Regulamentul (UE) 2022/2.554; S.S.I.F. semnificative din punctul de vedere al mărimii, organizării interne şi naturii, extinderii şi complexităţii activităţii, conform reglementărilor specifice, intermediari care folosesc facilităţi de tranzacţionare prin internet (ADP/AS) - platforme de preluare şi transmitere a ordinelor clienţilor, intermediari care au calitatea de market makeri şi/sau furnizori de lichiditate, entităţi care desfăşoară activitate de depozitare a activelor cu o valoare mai mică de 250 milioane euro, echivalent în lei, calculat la cursul de schimb al Băncii Naţionale a României, care intră sub incidenţa Regulamentului (UE) 2022/2.554 privind rezilienţa operaţională digitală a sectorului financiar:
(i) ciclul de auditare IT aferent perioadei 2023-2024 - entităţile transmit raportul de audit IT până la 30 iunie 2025 pentru perioada 2023-2024;
(ii) ciclul de auditare IT aferent 2024-2025 - entităţile transmit raportul de audit IT până la 30 septembrie 2025 pentru anul 2024;
c) ciclul de auditare 3 ani (risc mediu) - societăţi de administrare a investiţiilor (S.A.I.), administratori de fonduri de investiţii alternative (A.F.I.A.) care deţin active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de peste 250 milioane euro, echivalent în lei; intermediari care prestează servicii conexe de păstrare în siguranţă şi administrare a instrumentelor financiare în contul clienţilor, inclusiv custodia şi servicii în legătură cu aceasta, cum ar fi administrarea fondurilor sau garanţiilor; intermediari care tranzacţionează pe cont propriu şi nu se încadrează în următoarele categorii: intermediari care au calitatea de operatori independenţi, S.S.I.F. semnificative din punctul de vedere al mărimii, organizării interne şi naturii, extinderii şi complexităţii activităţii, conform reglementărilor specifice, intermediari care prestează servicii conexe de păstrare în siguranţă şi administrare a instrumentelor financiare în contul clienţilor, inclusiv custodia şi servicii în legătură cu aceasta, cum ar fi administrarea fondurilor sau garanţiilor, intermediari care folosesc facilităţi de tranzacţionare prin internet (ADP/AS) - platforme de preluare şi transmitere a ordinelor clienţilor, intermediari care au calitatea de market makeri şi/sau furnizori de lichiditate:
(i) ciclul de auditare IT aferent perioadei 2022-2024 - entităţile transmit raportul de audit IT până la 30 iunie 2025 pentru perioada 2022-2024;
(ii) ciclul de auditare IT aferent perioadei 2023-2025 - entităţile transmit raportul de audit IT până la 30 decembrie 2025 pentru perioada 2023-2024;
(iii) ciclul de auditare IT aferent perioadei 2024-2026 - entităţile nu au obligaţia transmiterii în anul 2025 a raportului de audit IT întocmit în baza prevederilor normei;
d) ciclul de auditare 4 ani (risc scăzut) - societăţi de administrare a investiţiilor (S.A.I.), administratori de fonduri de investiţii alternative (A.F.I.A.) care deţin active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de până la 250 milioane euro, echivalent în lei, intermediari care nu tranzacţionează pe cont propriu şi nu se încadrează în următoarele categorii: intermediari care au calitatea de operatori independenţi, S.S.I.F. semnificative din punctul de vedere al mărimii, organizării interne şi naturii, extinderii şi complexităţii activităţii, conform reglementărilor specifice, intermediari care prestează servicii conexe de păstrare în siguranţă şi administrare a instrumentelor financiare în contul clienţilor, inclusiv custodia şi servicii în legătură cu aceasta, cum ar fi administrarea fondurilor sau garanţiilor, intermediari care folosesc facilităţi de tranzacţionare prin internet (ADP/AS) - platforme de preluare şi transmitere a ordinelor clienţilor, intermediari care au calitatea de market makeri şi/sau furnizori de lichiditate, precum şi intermediarii principali care desfăşoară activitate de distribuţie a produselor de asigurare şi reasigurare, astfel cum sunt definiţi la art. 2 alin. (1) lit. o) din Regulamentul (UE) 2022/2.554:
(i) ciclul de auditare IT aferent perioadei 2021-2024 - entităţile transmit raportul de audit IT până la 30 iunie 2025 pentru perioada 2021-2024;
(ii) ciclul de auditare IT aferent perioadei 2022-2025 - entităţile transmit raportul de audit IT până la 30 decembrie 2025 pentru perioada 2022-2024;
(iii) ciclul de auditare IT aferent perioadei 2023-2026 - entităţile nu au obligaţia transmiterii în anul 2025 a raportului de audit IT întocmit în baza prevederilor normei;
(iv) ciclul de auditare IT aferent perioadei 2024-2027 - entităţile nu au obligaţia transmiterii în anul 2025 a raportului de audit IT întocmit în baza prevederilor normei."
ART. II
Prezenta normă se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare la data publicării.
Preşedintele Autorităţii de Supraveghere Financiară,
Alexandru Petrescu
Bucureşti, 16 mai 2025.
Nr. 14.
-----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
