Comunica experienta
MonitorulJuridic.ro
ORDONANŢĂ DE URGENŢĂ nr. 14 din 5 martie 2026 privind stabilirea unor măsuri de punere în aplicare a Regulamentului (UE) 2022/2.554 al Parlamentului European şi al Consiliului din 14 decembrie 2022 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011
EMITENT: Guvernul PUBLICAT: Monitorul Oficial nr. 188 din 11 martie 2026
Având în vedere că Regulamentul (UE) 2022/2.554 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011, denumit în continuare Regulamentul (UE) 2022/2.554, impune obligaţia statelor membre de a adopta măsuri la nivel naţional în vederea stabilirii sancţiunilor administrative şi a măsurilor de remediere corespunzătoare pentru încălcările regulamentului şi de a asigura punerea lor efectivă în aplicare, precum şi notificarea Comisiei Europene (CE), Autorităţii Europene pentru Valori Mobiliare şi Pieţe (ESMA), Autorităţii Bancare Europene (ABE), Autorităţii Europene de Asigurări şi Pensii Ocupaţionale (EIOPA) până la 17 ianuarie 2025 cu privire la actele normative adoptate în acest sens,
luând în considerare urgenţa adoptării cadrului legal necesar Băncii Naţionale a României şi Autorităţii de Supraveghere Financiară, ca autorităţi competente pentru îndeplinirea atribuţiilor prevăzute de Regulamentul (UE) 2022/2.554, în special în vederea exercitării atribuţiilor de verificare a respectării dispoziţiilor regulamentului, stabilirii sancţiunilor şi a măsurilor de remediere corespunzătoare încălcărilor regulamentului şi punerii efective în aplicare a acestora, precum şi necesitatea desemnării Băncii Naţionale a României ca autoritate publică unică în sectorul financiar la nivel naţional, responsabilă de coordonarea testelor de penetrare bazate pe ameninţări,
ţinând cont de faptul că adoptarea în regim de urgenţă a prezentei ordonanţe de urgenţă este necesară pentru asigurarea respectării obligaţiilor ce revin României în temeiul dreptului Uniunii Europene,
având în vedere că Regulamentul (UE) 2022/2.554 se aplică de la 17 ianuarie 2025, iar actul normativ naţional de punere în aplicare nu a fost adoptat şi notificat Comisiei, ESMA, ABE şi EIOPA, conform prevederilor art. 53 din Regulamentul (UE) 2022/2.554, România se află în situaţia de neîndeplinire a obligaţiilor care îi revin în temeiul dreptului Uniunii Europene.
Întrucât această situaţie contravine principiului enunţat la art. 4 alin. (3) paragraful 3 din Tratatul de funcţionare a Uniunii Europene (TFUE), conform căruia „statele membre adoptă orice măsură generală sau specială pentru asigurarea îndeplinirii obligaţiilor care decurg din tratate sau care rezultă din actele instituţiilor Uniunii“,
luând în considerare că neadoptarea proiectului de act normativ în regim de urgenţă conduce la declanşarea de către Comisia Europeană a procedurii de constatare a neîndeplinirii obligaţiilor, în temeiul art. 258 din TFUE, şi, respectiv, la sesizarea Curţii de Justiţie a UE (CJUE), care poate dispune, în temeiul art. 260 din TFUE, aplicarea unor sancţiuni financiare,
ţinând cont de faptul că adoptarea în regim de urgenţă a proiectului de ordonanţă de urgenţă este necesară pentru respectarea obligaţiilor asumate de România în temeiul tratatelor UE,
având în vedere că aspectele expuse mai sus vizează un interes public a căror reglementare de urgenţă este necesară prin adoptarea de măsuri legislative imediate pe calea ordonanţei de urgenţă,
în temeiul art. 115 alin. (4) din Constituţia României, republicată,
Guvernul României adoptă prezenta ordonanţă de urgenţă.
CAP. I
Dispoziţii generale
ART. 1
Prezenta ordonanţă de urgenţă stabileşte măsurile de punere în aplicare a dispoziţiilor Regulamentului (UE) 2022/2.554 al Parlamentului European şi al Consiliului din 14 decembrie 2022 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011, denumit în continuare Regulamentul (UE) 2022/2.554, în ceea ce priveşte stabilirea autorităţilor competente cu supravegherea gestionării riscurilor legate de tehnologia informaţiei şi a comunicaţiilor (TIC) în sectorul financiar şi a regimului sancţionator aplicabil în cazul încălcării dispoziţiilor Regulamentului (UE) 2022/2.554, precum şi cerinţele aplicabile entităţilor reglementate şi supravegheate de autorităţile competente stabilite în temeiul prezentei ordonanţe de urgenţă, în vederea asigurării rezilienţei operaţionale a acestora.
ART. 2
(1) Următoarele categorii de entităţi intră sub incidenţa prezentei ordonanţe de urgenţă:
a) instituţiile de credit;
b) instituţiile de plată;
c) furnizorii specializaţi în servicii de informare cu privire la conturi;
d) instituţiile emitente de monedă electronică;
e) societăţile de servicii de investiţii financiare;
f) depozitarii centrali de instrumente financiare;
g) contrapărţile centrale;
h) locurile de tranzacţionare;
i) administratorii de fonduri de investiţii alternative, cu excepţia celor prevăzuţi la art. 2 alin. (3) lit. a) din Regulamentul (UE) 2022/2.554;
j) societăţile de administrare a investiţiilor;
k) furnizorii de servicii de raportare a datelor;
l) societăţile de asigurare şi/sau de reasigurare, cu excepţia celor prevăzute la art. 2 alin. (3) lit. b) din Regulamentul (UE) 2022/2.554;
m) intermediarii de asigurări, intermediarii de reasigurări şi intermediarii de asigurări auxiliare, cu excepţia celor prevăzuţi la art. 2 alin. (3) lit. e) din Regulamentul (UE) 2022/2.554;
n) administratorii de fonduri de pensii ocupaţionale;
o) administratorii de indici de referinţă critici;
p) furnizorii de servicii de finanţare participativă;
q) registrele centrale de securitizări;
r) băncile de dezvoltare;
s) prestatorii de servicii de criptoactive şi emitenţii de tokenuri raportate la active;
ş) entităţile de prelucrare a operaţiunilor de plată.
(2) Entităţilor prevăzute la alin. (1) lit. ş) li se aplică exclusiv prevederile art. 4.
(3) Fără a aduce atingere prevederilor alin. (1), prezenta ordonanţă de urgenţă nu se aplică entităţilor prevăzute la art. 2 alin. (3) lit. c) din Regulamentul (UE) 2022/2.554, persoanelor fizice sau juridice exceptate potrivit prevederilor art. 6 şi 7 din Legea nr. 126/2018 privind pieţele de instrumente financiare, cu modificările şi completările ulterioare, şi furnizorilor de servicii poştale giro prevăzuţi la art. 2 lit. c) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, cu modificările şi completările ulterioare.
ART. 3
(1) Termenii şi expresiile utilizaţi/utilizate în prezenta ordonanţă de urgenţă au următoarea semnificaţie:
1. autorităţi europene de supraveghere, denumite în continuare AES - Autoritatea bancară europeană, instituită prin Regulamentul (UE) nr. 1.093/2010 al Parlamentului European şi al Consiliului din 24 noiembrie 2010 de instituire a Autorităţii europene de supraveghere (Autoritatea bancară europeană), de modificare a Deciziei nr. 716/2009/CE şi de abrogare a Deciziei 2009/78/CE a Comisiei, Autoritatea europeană de asigurări şi pensii ocupaţionale, instituită prin Regulamentul (UE) nr. 1.094/2010 al Parlamentului European şi al Consiliului din 24 noiembrie 2010 de instituire a Autorităţii europene de supraveghere (Autoritatea europeană de asigurări şi pensii ocupaţionale), de modificare a Deciziei nr. 716/2009/CE şi de abrogare a Deciziei 2009/78/CE a Comisiei, şi Autoritatea europeană pentru valori mobiliare şi pieţe, instituită prin Regulamentul (UE) nr. 1.095/2010 al Parlamentului European şi al Consiliului din 24 noiembrie 2010 de instituire a Autorităţii europene de supraveghere (Autoritatea europeană pentru valori mobiliare şi pieţe), de modificare a Deciziei nr. 716/2009/CE şi de abrogare a Deciziei 2009/78/CE a Comisiei;
2. bancă de dezvoltare - instituţie de credit reglementată prin Legea nr. 207/2022 pentru reglementarea unor măsuri privind cadrul general aplicabil constituirii şi funcţionării băncilor de dezvoltare din România, cu modificările şi completările ulterioare;
3. depozitar central de instrumente financiare - depozitarul central de titluri de valoare, astfel cum este acesta prevăzut la art. 2 alin. (1) lit. g) din Regulamentul (UE) 2022/2.554;
4. entitate externă de testare - entitatea din afara grupului organizaţiei testate, contractată în scopul desfăşurării unui test de penetrare bazat pe ameninţări, în conformitate cu prevederile Regulamentului (UE) 2022/2.554;
5. entitate de prelucrare - orice persoană fizică sau juridică care furnizează servicii de prelucrare a operaţiunilor de plată;
6. prelucrare - prestarea serviciilor tehnice de prelucrare a operaţiunilor de plată, prin efectuarea acţiunilor tehnice care permit realizarea de plăţi electronice, precum: administrarea bazelor de date în vederea furnizării de servicii de autorizare a tranzacţiilor, procesarea tranzacţiilor, furnizarea de soluţii de securitate pentru prestatorii de servicii de plată;
7. operaţiune de plată - operaţiune în înţelesul prevăzut la art. 5 alin. (1) pct. 36 din Legea nr. 209/2019, cu modificările şi completările ulterioare.
(2) Termenii utilizaţi în cuprinsul prezentei ordonanţe de urgenţă, cu excepţia celor prevăzuţi la alin. (1), au semnificaţia prevăzută la art. 3 din Regulamentul (UE) 2022/2.554.
ART. 4
(1) În scopul asigurării bunei funcţionări a serviciilor şi instrumentelor de plată, entităţile de prelucrare, persoane juridice române sau persoane juridice stabilite în alte state membre ori în state terţe, care prestează servicii de prelucrare pe teritoriul României notifică Băncii Naţionale a României, în termen de 30 de zile de la data începerii activităţii sau la solicitarea acesteia, următoarele:
a) denumirea entităţii de prelucrare şi numărul de înmatriculare al acesteia, precum şi numele/denumirea reprezentantului legal;
b) adresa sediului social, precum şi cea de corespondenţă;
c) denumirea prestatorilor de servicii de plată pentru care entitatea de prelucrare prestează servicii de prelucrare;
d) descrierea serviciilor de prelucrare prestate;
e) prezentarea infrastructurii tehnice care susţine prestarea serviciilor de prelucrare;
f) locaţia sediului principal şi sediului secundar, dacă este cazul, care susţine activitatea de prestare de servicii de prelucrare;
g) un document formal aprobat de organul de conducere în care este cuprinsă o descriere a cadrului de gestionare a riscurilor TIC şi de abordare a rezilienţei operaţionale digitale;
h) un document care detaliază modalitatea prin care se asigură continuitatea activităţii.
(2) Modificările intervenite asupra documentelor şi informaţiilor transmise potrivit prevederilor alin. (1) se notifică Băncii Naţionale a României în termen de 30 de zile de la aprobarea acestora de către organul de conducere al entităţii respective.
(3) În aplicarea prevederilor alin. (1) şi (2), Banca Naţională a României este abilitată să emită recomandări în ceea ce priveşte activitatea entităţilor de prelucrare prevăzute la alin. (1), în vederea asigurării securităţii şi eficienţei operaţionale a acestei activităţi.
ART. 5
(1) În aplicarea prevederilor art. 46 din Regulamentul (UE) 2022/2.554 şi a dispoziţiilor prezentei ordonanţe de urgenţă, Autoritatea de Supraveghere Financiară, denumită în continuare ASF, Banca Naţională a României, denumită în continuare BNR, şi autoritatea/autorităţile desemnată/desemnate în legislaţia naţională pentru punerea în aplicare a prevederilor Regulamentului (UE) 2023/1.114 al Parlamentului European şi al Consiliului din 31 mai 2023 privind pieţele criptoactivelor şi de modificare a Regulamentelor (UE) nr. 1.093/2010 şi (UE) nr. 1.095/2010 şi a Directivelor 2013/36/UE şi (UE) 2019/1.937, denumită/denumite în continuare autoritatea/autorităţile desemnată/desemnate pentru punerea în aplicare a prevederilor Regulamentului (UE) 2023/1.114, exercită atribuţiile şi dispun măsurile necesare în calitate de autoritate competentă responsabilă pentru supravegherea respectării de către entităţile prevăzute la art. 2 alin. (1) a obligaţiilor ce le revin potrivit dispoziţiilor prezentei ordonanţe de urgenţă, Regulamentului (UE) 2022/2.554 şi a standardelor tehnice şi a actelor delegate adoptate în aplicare, după cum urmează:
a) BNR, în ceea ce priveşte entităţile prevăzute la art. 2 alin. (1) lit. a)-d) şi f), numai în ceea ce priveşte depozitarii centrali operaţi de BNR, respectiv cele prevăzute la art. 2 alin. (1) lit. h) şi o), numai cu privire la locurile de tranzacţionare prevăzute la art. 2 alin. (2) lit. b) din Legea nr. 126/2018, cu modificările şi completările ulterioare, respectiv administratorii de indici de referinţă critici referitori la piaţa monetară, la monede, la rate ale dobânzilor sau ale randamentului şi la cursuri/indici publicaţi de BNR şi Banca Centrală Europeană, denumită în continuare BCE, în conformitate cu prevederile art. 234^1 lit. b) din Legea nr. 126/2018 cu modificările şi completările ulterioare, precum şi cele prevăzute la art. 2 alin. (1) lit. r);
b) ASF, în ceea ce priveşte entităţile prevăzute la art. 2 alin. (1) lit. e) şi f) cu privire la depozitarii centrali supravegheaţi de ASF şi, respectiv, cele prevăzute la art. 2 alin. (1) lit. g)-q), cu excepţia entităţilor pentru care BNR este autoritate competentă potrivit lit. a);
c) autoritatea/autorităţile desemnată/desemnate pentru punerea în aplicare a prevederilor Regulamentului (UE) 2023/1.114, în ceea ce priveşte entităţile prevăzute la art. 2 alin. (1) lit. s), cu excepţia instituţiilor de credit, instituţiilor de plată şi a instituţiilor emitente de monedă electronică, pentru care BNR este autoritate competentă potrivit lit. a).
(2) BNR este desemnată autoritatea publică unică pentru sectorul financiar la nivel naţional, responsabilă de coordonarea testelor de penetrare bazate pe ameninţări, denumite în continuare TLPT.
(3) ASF identifică entităţile financiare aflate în aria sa de supraveghere care sunt obligate să efectueze TLPT.
CAP. II
Competenţele ASF şi ale BNR
ART. 6
Autorităţile competente prevăzute la art. 5 iau decizii şi întreprind măsuri pentru a asigura exercitarea corespunzătoare a atribuţiilor ce le revin în temeiul prezentei ordonanţe de urgenţă şi al Regulamentului (UE) 2022/2.554.
ART. 7
(1) ASF şi BNR îşi îndeplinesc atribuţiile conform prevederilor actelor normative din sfera lor de activitate prin exercitarea competenţelor de supraveghere, investigare şi sancţionare, precum şi a competenţelor prevăzute la art. 50 alin. (2) din Regulamentul (UE) 2022/2.554.
(2) În situaţia în care ASF sau BNR consideră necesară efectuarea unor verificări sau investigaţii suplimentare la nivelul sistemelor informatice ale entităţilor prevăzute la art. 5, autoritatea competentă poate să impună unei entităţi aflate în aria sa de competenţă, potrivit dispoziţiilor art. 5, obligaţia de a efectua un audit intern cu privire la cadrul de gestionare a riscurilor TIC sau punctual pentru anumite tematici stabilite de autoritatea competentă, precizând termenul până la care entitatea este obligată să transmită raportul de audit către autoritatea competentă.
ART. 8
(1) În aplicarea prevederilor art. 32 alin. (5) din Regulamentul (UE) 2.022/2554, BNR numeşte reprezentantul la nivel înalt în Forumul de supraveghere, prevăzut la art. 32 alin. (1) din acelaşi regulament.
(2) ASF numeşte reprezentantul suplimentar în calitate de observator în Forumul de supraveghere, în conformitate cu prevederile art. 32 alin. (4) lit. d) din Regulamentul (UE) 2022/2.554.
ART. 9
(1) În exercitarea competenţelor stabilite prin prezenta ordonanţă de urgenţă, ASF şi BNR pot emite reglementări şi instrucţiuni pentru a asigura punerea în aplicare a dispoziţiilor Regulamentului (UE) 2022/2.554, a standardelor tehnice de reglementare sau de aplicare adoptate de Comisia Europeană pe baza competenţelor conferite acesteia şi, după caz, a ghidurilor sau recomandărilor emise de autorităţile europene de supraveghere.
(2) Entităţile prevăzute la art. 5 alin. (1) lit. a) au în vedere respectarea ghidurilor şi recomandărilor emise de autorităţile europene de supraveghere, potrivit reglementărilor şi instrucţiunilor emise de BNR în conformitate cu alin. (1).
(3) În situaţia în care entităţile prevăzute la art. 5 alin. (1) lit. a) nu asigură implementarea corespunzătoare a reglementărilor şi instrucţiunilor emise de BNR potrivit alin. (1), aceasta poate face recomandări entităţilor respective, în vederea adoptării de măsuri de către aceste entităţi pentru implementarea corespunzătoare a instrucţiunilor BNR, şi/sau poate dispune măsurile prevăzute la art. 20.
(4) Reglementările emise potrivit alin. (1) se publică în Monitorul Oficial al României, Partea I.
ART. 10
(1) Pentru aplicarea unui cadru unitar la nivel naţional privind gestionarea riscurilor TIC şi a ameninţărilor cibernetice, precum şi pentru buna funcţionare a pieţelor financiare, ASF poate emite reglementări aplicabile entităţilor aflate în sfera sa de competenţă în scopul asigurării unui nivel ridicat al rezilienţei operaţionale digitale.
(2) Reglementările emise potrivit alin. (1) se publică în Monitorul Oficial al României, Partea I.
CAP. III
Testarea rezilienţei operaţionale digitale prin intermediul TLPT
ART. 11
(1) Entităţile prevăzute la art. 2 alin. (1) lit. a)-q) şi s) sau, după caz, entitatea externă de testare transmit/transmite BNR, la finalul testării, un rezumat al constatărilor relevante, planurile de remediere şi documentaţia care demonstrează că testarea a fost efectuată în conformitate cu cerinţele prevăzute în Regulamentul (UE) 2022/2.554.
(2) În scopul recunoaşterii reciproce între autorităţile competente stabilite în conformitate cu dispoziţiile art. 46 din Regulamentul (UE) 2022/2.554 a TLPT, BNR remite entităţilor prevăzute la art. 2 alin. (1) lit. a)-q) şi s) un act care atestă faptul că testul a fost efectuat în conformitate cu cerinţele prevăzute la art. 26 din Regulamentul (UE) 2022/2.554, precum şi ale regulamentelor delegate.
(3) În termen de 30 de zile de la data remiterii actului prevăzut la alin. (2), entităţile aflate sub supravegherea ASF transmit acesteia actul remis de BNR, rezumatul constatărilor relevante şi planurile de remediere.
CAP. IV
Cooperarea dintre ASF şi BNR, precum şi cu alte structuri şi autorităţi
ART. 12
(1) În exercitarea competenţelor prevăzute în prezenta ordonanţă de urgenţă, ASF şi BNR pot încheia, cu respectarea prevederilor Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), un protocol prin care se stabilesc măsuri de cooperare corespunzătoare în legătură cu entităţile prevăzute la art. 2 alin. (1).
(2) Protocolul prevăzut la alin. (1) cuprinde mecanismul de cooperare între ASF şi BNR cu privire la acordarea de asistenţă reciprocă în efectuarea activităţii de supraveghere.
ART. 13
Pentru ducerea la îndeplinire a atribuţiilor prevăzute la art. 47-54 din Regulamentul (UE) 2022/2.554, ASF şi BNR cooperează şi fac schimb de informaţii, potrivit competenţelor specifice, cu AES, respectiv BCE pentru coordonarea activităţilor de supraveghere în scopul identificării şi remedierii cazurilor de nerespectare a regulamentului şi pentru elaborarea şi promovarea bunelor practici, facilitarea colaborării, stimularea consecvenţei interpretării şi furnizarea de evaluări transfrontaliere în cazul oricăror neînţelegeri apărute în aplicarea prevederilor Regulamentului (UE) 2022/2.554.
CAP. V
Măsuri de remediere şi sancţiuni administrative
SECŢIUNEA 1
Măsuri de remediere şi sancţiuni aplicate de către ASF
ART. 14
(1) ASF poate emite recomandări entităţilor prevăzute la art. 5 alin. (1) lit. b), în vederea adoptării de măsuri corespunzătoare de către acestea pentru îmbunătăţirea cadrului de administrare, a politicilor, procedurilor şi controalelor implementate pentru a atenua şi gestiona cu eficacitate riscurile aferente sistemelor informatice.
(2) Entităţile prevăzute la art. 5 alin. (1) lit. b) au obligaţia de a comunica măsurile întreprinse conform dispoziţiilor alin. (1) sau refuzul documentat de a aplica recomandările emise de către ASF, în termenele stabilite de către respectiva autoritate.
(3) ASF poate impune entităţilor prevăzute la art. 5 alin. (1) lit. b) un plan de măsuri în scopul prevenirii apariţiei/materializării unor riscuri în activitatea desfăşurată de către entităţi, ca urmare a identificării unor vulnerabilităţi sau deficienţe, care nu au natura şi gravitatea unor fapte contravenţionale.
(4) În aplicarea dispoziţiilor art. 50 din Regulamentul (UE) 2022/2.554, ASF are competenţa de a dispune măsurile şi de a aplica sancţiunile prevăzute de prezenta ordonanţă de urgenţă, în cazul încălcării dispoziţiilor respectivului regulament de către entităţile prevăzute la art. 5 alin. (1) lit. b) şi/sau persoanele fizice din organul de conducere al entităţilor, precum şi de către persoanele desemnate să asigure conducerea structurilor care au responsabilităţi în aplicarea politicilor, procedurilor şi strategiilor TIC sau a activităţilor de administrare şi control, prevăzute de Regulamentul (UE) 2022/2.554.
(5) Potrivit prevederilor alin. (4), măsurile de remediere ce pot fi aplicate de către ASF sunt următoarele:
a) emiterea unei atenţionări prin care i se solicită persoanei fizice sau juridice să înceteze comportamentul care încalcă prevederile Regulamentului (UE) 2022/2.554 şi să se abţină de la repetarea comportamentului respectiv;
b) solicitarea încetării temporare sau permanente a oricărei practici sau a oricărui comportament în legătură cu care ASF consideră că contravin dispoziţiilor Regulamentului (UE) 2022/2.554 şi solicitarea prevenirii unei eventuale repetări a practicii sau a comportamentului în cauză;
c) solicitarea ca entitatea să înainteze ASF un set de măsuri în vederea gestionării/remedierii deficienţelor/prevenirii apariţiei riscurilor aferente sistemelor informatice identificate de către ASF;
d) dispunerea unui plan de măsuri în scopul remedierii deficienţelor constatate şi/sau prevenirii apariţiei/materializării unor riscuri în activitatea desfăşurată;
e) emiterea unor anunţuri publice, inclusiv a unor declaraţii publice care indică identitatea persoanei fizice sau juridice şi natura încălcării prevederilor Regulamentului (UE) 2022/2.554.
(6) Constituie contravenţii, în măsura în care nu sunt săvârşite în astfel de condiţii încât să fie considerate, potrivit legii, infracţiuni, următoarele fapte săvârşite de către entităţile prevăzute la art. 5 alin. (1) lit. b) şi/sau de către persoanele fizice din organul de conducere al entităţilor, precum şi de către persoanele desemnate să asigure conducerea structurilor care au responsabilităţi în aplicarea politicilor, procedurilor şi strategiilor TIC sau a activităţilor de administrare şi control, prevăzute de Regulamentul (UE) 2022/2.554:
a) nerespectarea cerinţelor prevăzute la art. 5-14, art. 16 alin. (1) şi (2), art. 17, art. 18 alin. (1) şi (2), art. 19 alin. (1), (3) şi (4), art. 24, 25, art. 26 alin. (1)-(8), art. 27, art. 28 alin. (1)-(8), art. 29, art. 30 alin. (1)-(4) şi art. 45 alin. (3) din Regulamentul (UE) 2022/2.554;
b) nerespectarea termenelor stabilite de către ASF conform alin. (2);
c) nerespectarea măsurilor dispuse de ASF în baza alin. (3) şi (5);
d) nerespectarea termenelor prevăzute la art. 7 alin. (2) şi art. 11 alin. (3);
e) nerespectarea reglementărilor emise de ASF potrivit art. 9 şi 10, nerespectarea actelor delegate ale Comisiei Europene adoptate în temeiul art. 15, art. 18 alin. (3) şi (4), art. 20, art. 26 alin. (11), art. 28 alin. (9) şi (10), art. 30 alin. (5) şi al art. 57 din Regulamentul (UE) 2022/2.554.
(7) Săvârşirea contravenţiilor prevăzute la alin. (6) se sancţionează de ASF, în funcţie de natura şi gravitatea faptei, după cum urmează:
a) avertisment;
b) amendă de la 5.000 lei la 1.000.000 lei, pentru persoanele fizice, prin derogare de la prevederile art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare;
c) amendă de la 10.000 lei la 10.000.000 lei sau 5% din cifra de afaceri anuală totală, conform ultimelor situaţii financiare anuale disponibile aprobate, pentru persoanele juridice, prin derogare de la prevederile art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare.
(8) Pe lângă sancţiunile contravenţionale principale prevăzute la alin. (7), în funcţie de natura şi gravitatea faptei, ASF poate aplica persoanelor fizice şi juridice prevăzute la alin. (6) una sau ambele dintre următoarele sancţiuni contravenţionale complementare:
a) retragerea sau suspendarea autorizării acordate de ASF, pentru o perioadă menţionată în decizia de suspendare emisă, care nu poate depăşi 12 luni;
b) interdicţia temporară, pentru o perioadă cuprinsă între 90 de zile şi 5 ani, de a exercita funcţii de conducere, împotriva oricărei persoane fizice care exercită responsabilităţi de conducere sau împotriva oricărei persoane fizice care este considerată răspunzătoare de o astfel de încălcare.
(9) Măsurile de remediere prevăzute la alin. (5) pot fi aplicate concomitent cu dispunerea sancţiunilor prevăzute la alin. (7) şi (8) sau independent de acestea.
ART. 15
(1) Constatarea contravenţiilor prevăzute la art. 14 alin. (6) se realizează de către persoanele împuternicite în acest sens din cadrul ASF, în condiţiile prevăzute la art. 50 alin. (1) din Regulamentul (UE) 2022/2.554, ori pe baza notificărilor, raportărilor, informaţiilor transmise ASF în exercitarea atribuţiilor sale şi/sau pe baza datelor şi informaţiilor aflate la dispoziţia acesteia în orice alt mod, cu respectarea legislaţiei specifice.
(2) ASF poate solicita, prin intermediul organelor competente, înregistrările schimburilor de date deţinute de un operator de telecomunicaţii, cu autorizarea judiciară corespunzătoare, atunci când există o suspiciune rezonabilă privind o încălcare a Regulamentului (UE) 2022/2.554, a prezentei ordonanţe de urgenţă, a reglementărilor emise în aplicare, în măsura în care aceste înregistrări pot fi relevante pentru o investigaţie.
(3) Actele prin care se dispun măsuri de remediere prevăzute la art. 14 alin. (5) sau sunt aplicate sancţiuni contravenţionale prevăzute la alin. (7) şi (8) ale aceluiaşi articol se emit de către Consiliul ASF.
(4) Actele prevăzute la alin. (3) cuprind cel puţin elementele de identificare a persoanei în culpă, descrierea faptei şi a circumstanţelor acesteia, precum şi temeiul de drept al dispunerii măsurii de remediere sau, după caz, al aplicării sancţiunii contravenţionale, menţiunea că persoanele şi entităţile sancţionate au dreptul de contestare conform art. 17 şi sunt comunicate persoanelor şi entităţilor respective.
ART. 16
(1) Măsurile de remediere şi sancţiunile contravenţionale dispuse potrivit prevederilor prezentei ordonanţe de urgenţă sunt proporţionale cu faptele şi deficienţele constatate, eficace şi de natură a avea un efect de descurajare.
(2) Potrivit prevederilor alin. (1), la stabilirea măsurii de remediere şi sancţiunii contravenţionale, ASF are în vedere circumstanţele relevante şi elementele prevăzute la art. 51 alin. (2) din Regulamentul (UE) 2022/2.554.
(3) Prin derogare de la prevederile art. 10 alin. (2) din Ordonanţa Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, în cazul săvârşirii a două sau mai multe contravenţii se aplică sancţiunea cea mai mare, majorată cu până la 50%, după caz, cu respectarea prevederilor art. 51 din Regulamentul (UE) 2022/2.554.
ART. 17
(1) Prin derogare de la prevederile art. 7 alin. (1) şi art. 11 alin. (1) şi (2) din Legea contenciosului administrativ nr. 554/2004, cu modificările şi completările ulterioare, actele contravenţionale adoptate de ASF conform prevederilor prezentei ordonanţe de urgenţă, motivate în mod corespunzător, pot fi atacate, în termen de 30 de zile de la data comunicării, la Curtea de Apel Bucureşti - Secţia contencios administrativ şi fiscal.
(2) Actul administrativ prin care se constată şi se individualizează obligaţia de plată a persoanelor fizice şi juridice sancţionate constituie titlu de creanţă. La data scadenţei, titlul de creanţă devine titlu executoriu, în baza căruia ASF declanşează procedura de executare silită pentru recuperarea creanţelor sale, potrivit dispoziţiilor Legii nr. 134/2010 privind Codul de procedură civilă, republicată, cu modificările şi completările ulterioare. Amenzile se fac venit conform legislaţiei în vigoare, aplicabilă entităţii supravegheate de către ASF.
(3) Contestaţia adresată conform alin. (1) nu suspendă, pe timpul soluţionării acesteia până la pronunţarea unei hotărâri definitive, măsurile dispuse de ASF.
(4) Aplicarea sancţiunilor nu înlătură răspunderea civilă sau penală, după caz.
(5) Aplicarea măsurilor de remediere şi a sancţiunilor contravenţionale prevăzute la art. 14 alin. (5)-(7) se prescrie în termen de 5 ani de la data săvârşirii faptei.
(6) ASF este singura autoritate în măsură să se pronunţe asupra considerentelor de oportunitate, a evaluărilor şi analizelor calitative care stau la baza emiterii actelor sale, conform prevederilor art. 7 alin. (2) din Ordonanţa de urgenţă a Guvernului nr. 93/2012 privind înfiinţarea, organizarea şi funcţionarea Autorităţii de Supraveghere Financiară, aprobată cu modificări şi completări prin Legea nr. 113/2013, cu modificările şi completările ulterioare.
(7) În cazul contestării în instanţă a actelor administrative emise de către ASF, instanţa judecătorească se pronunţă asupra legalităţii acestora.
(8) În măsura în care prezentul capitol nu dispune altfel, contravenţiilor prevăzute la art. 14 alin. (6) le sunt aplicabile dispoziţiile Ordonanţei Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare.
ART. 18
ASF publică pe site-ul propriu orice decizie prin care se impune o sancţiune sau măsură administrativă potrivit prevederilor prezentei ordonanţe de urgenţă, în conformitate cu prevederile art. 54 din Regulamentul (UE) 2022/2.554.
SECŢIUNEA A 2-A
Măsuri de remediere, sancţiuni administrative şi măsuri sancţionatoare dispuse sau aplicate de către BNR
ART. 19
(1) BNR poate emite recomandări entităţilor prevăzute la art. 5 alin. (1) lit. a), în vederea adoptării de măsuri corespunzătoare de către acestea pentru îmbunătăţirea cadrului de administrare, a politicilor, procedurilor şi controalelor implementate pentru a atenua şi a gestiona cu eficacitate riscurile TIC.
(2) Entităţile prevăzute la art. 5 alin. (1) lit. a) au obligaţia de a comunica măsurile întreprinse pentru respectarea prevederilor alin. (1), în termenele stabilite de BNR.
ART. 20
Pentru faptele prevăzute la art. 21 alin. (1) lit. b)-f) şi alin. (2) lit. b) şi c) sau pentru neimplementarea unei recomandări în scopul reducerii riscurilor sau înlăturării deficienţelor şi a cauzelor acestora, BNR poate dispune, faţă de entităţile prevăzute la art. 5 alin. (1) lit. a), următoarele măsuri de remediere, fără a se limita la acestea:
a) să solicite îmbunătăţirea cadrului de administrare, a strategiilor, politicilor, procedurilor şi controalelor implementate pentru a atenua şi a gestiona cu eficacitate riscurile TIC, cu indicarea aspectelor ce trebuie îmbunătăţite;
b) să restricţioneze sau să limiteze activitatea, operaţiunile sau reţeaua de sucursale, agenţi şi distribuitori, inclusiv prin suspendarea activităţii sau încetarea activităţii unora dintre sucursale până la remedierea deficienţelor;
c) să solicite reducerea riscurilor aferente operaţiunilor, produselor, serviciilor şi sistemelor informatice, cu menţionarea riscurilor ce au fost identificate şi trebuie reduse;
d) să dispună prezentarea unui plan de restabilire a conformităţii cu prevederile Regulamentului (UE) 2022/2.554, ale prezentei ordonanţe de urgenţă şi ale reglementărilor emise în aplicare, în vederea prevenirii apariţiei/materializării riscurilor TIC identificate de către BNR sau a altor riscuri în activitatea desfăşurată, respectiv pentru gestionarea şi/sau remedierea deficienţelor constatate. Planul de restabilire trebuie să detalieze demersurile şi acţiunile ce vor fi întreprinse în acest sens şi să stabilească termenul de implementare a respectivelor demersuri şi acţiuni şi sfera de aplicare a acestora. Planul de restabilire poate să includă, fără a se limita la acestea, oricare dintre măsurile prevăzute la lit. a)-c) sau o combinare a acestor măsuri şi poate fi pus în aplicare dacă BNR îl consideră adecvat pentru atingerea scopului stabilit.
ART. 21
(1) BNR aplică sancţiunile administrative, respectiv măsurile sancţionatoare potrivit prevederilor art. 22, în cazurile în care constată că una dintre entităţile prevăzute la art. 5 alin. (1) lit. a) şi/sau persoanele care fac parte din organul de conducere al acestor entităţi sau sunt desemnate să asigure conducerea structurilor care au responsabilităţi în aplicarea politicilor, procedurilor şi strategiilor TIC sau a activităţilor de administrare şi control, prevăzute de Regulamentul (UE) 2022/2.554, se fac vinovate de următoarele fapte:
a) nerespectarea măsurilor de remediere dispuse de BNR în baza art. 20;
b) nefurnizarea, furnizarea cu întârziere sau furnizarea de date şi informaţii eronate către BNR, în cadrul exercitării atribuţiilor acesteia de supraveghere;
c) nerespectarea prevederilor art. 4-14, art. 17, art. 18 alin. (1) şi (2), art. 19 alin. (1), (3)-(5), art. 23, 24, art. 25 alin. (1) şi (2), art. 26 alin. (1)-(8), art. 27, art. 28 alin. (1)-(8), art. 29, art. 30 alin. (1)-(4), art. 42 alin. (3) şi art. 45 din Regulamentul (UE) 2022/2.554;
d) obstrucţionarea persoanelor împuternicite de conducerea BNR să efectueze acţiuni de supraveghere;
e) nerespectarea reglementărilor emise de BNR potrivit art. 9;
f) nerespectarea actelor delegate ale Comisiei Europene adoptate în temeiul art. 15, art. 18 alin. (3) şi (4), art. 20, art. 26 alin. (11), art. 28 alin. (9) şi (10), art. 30 alin. (5) şi art. 57 din Regulamentul (UE) 2022/2.554.
(2) Prin excepţie de la prevederile alin. (1), BNR aplică sancţiunile administrative, respectiv măsurile sancţionatoare potrivit prevederilor art. 22, în cazurile în care constată că entitatea prevăzută la art. 2 alin. (1) lit. r) şi/sau persoanele care au calitatea de membri ai consiliului de supraveghere şi ai directoratului acesteia, precum şi persoanele desemnate să asigure conducerea structurilor care au responsabilităţi în aplicarea politicilor, procedurilor şi strategiilor TIC, precum şi a activităţilor de administrare şi control, prevăzute de Regulamentul (UE) 2022/2.554, se fac vinovate de:
a) faptele prevăzute la alin. (1) lit. a);
b) faptele prevăzute la alin. (1) lit. b), d) şi e);
c) nerespectarea prevederilor art. 16 alin. (1) şi (2) din Regulamentul (UE) 2022/2.554 sau a actelor delegate adoptate în temeiul prevederilor art. 16 alin. (3) din acelaşi regulament.
ART. 22
(1) Pentru faptele prevăzute la art. 21, BNR aplică una dintre următoarele sancţiuni administrative:
a) avertisment scris;
b) avertisment public, ce va fi publicat pe pagina de internet a BNR, prin care se indică persoana fizică, entitatea responsabilă şi fapta săvârşită;
c) amendă aplicabilă entităţilor responsabile, de până la 10% din cifra de afaceri anuală totală, calculată în baza ultimelor situaţii financiare disponibile, aprobate de organul de conducere, sau până la 23.000.000 lei. În cazul constatării săvârşirii a două sau mai multe fapte sancţionate cu amendă, se aplică sancţiunea cea mai mare, majorată cu până la 50%, după caz;
d) amendă aplicabilă persoanei fizice responsabile, cuprinsă între 10.000 lei şi 23.000.000 lei;
e) retragerea aprobării acordate persoanelor care fac parte din organul de conducere al entităţilor responsabile.
(2) În funcţie de natura şi gravitatea faptei, BNR poate aplica, concomitent sau independent de sancţiunile administrative prevăzute la alin. (1), următoarele măsuri sancţionatoare:
a) emiterea unui ordin de încetare a conduitei ilicite şi de abţinere de la repetarea acesteia;
b) interzicerea temporară a exercitării unor funcţii într-o entitate dintre cele prevăzute la art. 5 alin. (1) lit. a), pentru o perioadă cuprinsă între 90 de zile şi 5 ani, de către persoanele fizice prevăzute la art. 21;
c) retragerea sau suspendarea autorizaţiei acordate entităţii, pentru o perioadă menţionată în decizia de suspendare emisă, care nu poate depăşi 12 luni. În situaţia entităţilor care nu au fost autorizate de BNR, radierea acestora din registrele băncii centrale.
(3) Sancţiunea administrativă prevăzută la alin. (1) lit. d) şi măsurile sancţionatoare prevăzute la alin. (2) lit. b) se aplică, distinct de sancţiunea aplicabilă entităţii, persoanelor cărora le poate fi imputată fapta, întrucât aceasta nu s-ar fi produs dacă persoanele respective ar fi exercitat în mod corespunzător îndatoririle funcţiei lor stabilite pentru îndeplinirea cerinţelor prevăzute de Regulamentul (UE) 2022/2.554, prezenta ordonanţă de urgenţă, reglementările emise în aplicare şi cadrul de reglementare intern al entităţii financiare.
(4) Sancţiunile administrative şi măsurile sancţionatoare prevăzute la alin. (1) şi (2) pot fi aplicate concomitent cu emiterea de recomandări sau dispunerea de măsuri de remediere conform prevederilor art. 19 şi 20 sau independent de acestea.
ART. 23
(1) Sancţiunile administrative şi măsurile aplicate trebuie să fie eficace, proporţionale cu gravitatea faptelor şi deficienţelor constatate şi de natură a avea un efect de descurajare.
(2) Potrivit prevederilor alin. (1), la stabilirea tipului sancţiunii administrative, a măsurii sancţionatoare sau de remediere şi a cuantumului amenzii, BNR are în vedere toate circumstanţele reale şi personale relevante săvârşirii faptei, inclusiv următoarele aspecte, după caz:
a) gravitatea şi durata faptei;
b) gradul de vinovăţie a persoanei fizice sau entităţii responsabile de încălcare;
c) soliditatea financiară a persoanei sau entităţii responsabile de încălcare, prin luarea în considerare a unor factori precum cifra de afaceri totală a entităţii sau venitul anual al persoanei fizice;
d) valoarea profiturilor obţinute sau a pierderilor evitate de către persoana responsabilă, în măsura în care acestea pot fi determinate;
e) pierderile suferite de terţi în urma respectivei încălcări, în măsura în care acestea pot fi determinate;
f) cooperarea persoanei fizice sau entităţii responsabile cu autoritatea competentă;
g) încălcările săvârşite anterior de persoana sau entitatea responsabilă;
h) măsurile luate de către persoana sau entitatea responsabilă pentru a împiedica repetarea faptelor;
i) orice consecinţe potenţial sistemice ale faptei săvârşite.
ART. 24
(1) Constatarea faptelor prevăzute la art. 21 se realizează de către persoanele împuternicite în acest sens din cadrul BNR, în cursul inspecţiilor sau investigaţiilor efectuate în condiţiile prevăzute de Regulamentul (UE) 2022/2.554 ori pe baza notificărilor, raportărilor, informaţiilor transmise BNR în exercitarea atribuţiilor sale şi/sau pe baza datelor şi informaţiilor aflate la dispoziţia acesteia în orice alt mod.
(2) BNR poate solicita, prin intermediul organelor competente, înregistrările schimburilor de date deţinute de un operator de telecomunicaţii, cu autorizarea judiciară corespunzătoare, atunci când există o suspiciune rezonabilă privind o încălcare a Regulamentului (UE) 2022/2.554, a prezentei ordonanţe de urgenţă, a reglementărilor emise în aplicare, în măsura în care aceste înregistrări pot fi relevante pentru o investigaţie.
(3) Actele prin care sunt dispuse măsuri de remediere, sancţiuni administrative şi măsurile sancţionatoare prevăzute la art. 20 şi art. 22 alin. (1) şi (2) se emit de către guvernatorul, prim-viceguvernatorul sau viceguvernatorii BNR, cu excepţia celor prevăzute la art. 22 alin. (1) lit. e) şi alin. (2) lit. c), a căror aplicare este de competenţa Consiliului de administraţie al BNR.
(4) Actele prevăzute la alin. (3) trebuie să cuprindă cel puţin elementele de identificare a persoanei vinovate, descrierea faptei şi a circumstanţelor acesteia, temeiul de drept al dispunerii măsurii de remediere sau, după caz, al aplicării sancţiunii administrative şi/sau măsurii sancţionatoare, precum şi măsura de remediere dispusă, respectiv sancţiunea administrativă şi/sau măsura sancţionatoare aplicată.
(5) Actele prevăzute la alin. (3), adoptate de BNR conform dispoziţiilor prezentei ordonanţe de urgenţă, pot fi contestate, în termen de 15 zile de la data comunicării, la Consiliul de administraţie al BNR, care se pronunţă prin hotărâre motivată în termen de 30 de zile de la data sesizării.
(6) Hotărârea Consiliului de administraţie al BNR poate fi atacată la Secţia de contencios administrativ şi fiscal a Înaltei Curţi de Casaţie şi Justiţie, în termen de 15 zile de la data comunicării.
(7) BNR este singura autoritate în măsură să se pronunţe asupra considerentelor de oportunitate, a evaluărilor şi analizelor calitative care stau la baza emiterii actelor sale.
(8) În cazul contestării în instanţă a actelor BNR, instanţa judecătorească se pronunţă asupra legalităţii acestor acte.
(9) Până la adoptarea unei hotărâri de către Consiliul de administraţie al BNR, potrivit alin. (5), sau până la pronunţarea unei hotărâri definitive de către instanţa judecătorească, potrivit alin. (6), executarea actelor emise de BNR nu se suspendă.
ART. 25
(1) Actele de aplicare a sancţiunii amenzii prevăzute la art. 22 alin. (1) constituie titluri executorii. Amenzile încasate se fac venit la bugetul de stat.
(2) Aplicarea sancţiunilor administrative prevăzute la art. 22 nu înlătură răspunderea civilă sau penală, după caz.
(3) Aplicarea sancţiunilor administrative şi măsurilor sancţionatoare prevăzute la art. 22 se prescrie în termen de 5 ani de la data săvârşirii faptei.
CAP. VI
Dispoziţii tranzitorii şi finale
ART. 26
Entităţile de prelucrare prevăzute la art. 4 persoane juridice române sau persoane juridice stabilite în alte state membre ori în state terţe care prestează servicii de prelucrare pe teritoriul României transmit prima notificare în termen de 3 luni de la data intrării în vigoare a prezentei ordonanţe de urgenţă.
ART. 27
Prin derogare de la prevederile art. XXII alin. (1) din Legea nr. 141/2025 privind unele măsuri fiscal-bugetare, cu modificările şi completările ulterioare, în vederea asigurării implementării Regulamentului (UE) 2022/2.554 şi a standardelor tehnice de reglementare sau de aplicare adoptate de Comisia Europeană pe baza competenţelor conferite acesteia, la nivelul autorităţilor competente prevăzute la art. 5 alin. (1) se pot ocupa prin concurs posturile prevăzute la art. X din Ordonanţa de urgenţă a Guvernului nr. 132/2024 pentru modificarea şi completarea Legii nr. 227/2015 privind Codul fiscal şi pentru completarea Legii nr. 207/2015 privind Codul de procedură fiscală, precum şi pentru modificarea şi completarea unor acte normative, cu completările ulterioare.
PRIM-MINISTRU
ILIE-GAVRIL BOLOJAN
Contrasemnează:
Ministrul finanţelor,
Alexandru Nazare
p. Ministrul afacerilor externe,
Luca-Alexandru Niculescu,
secretar de stat
Bucureşti, 5 martie 2026.
Nr. 14.
-----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
