Comunica experienta
MonitorulJuridic.ro
Având în vedere prevederile art. 24, 101, 104, 148 şi 149 din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, ale art. 25 şi art. 100 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, cu modificările şi completările ulterioare, şi ale art. 24 din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică, cu modificările ulterioare,
în temeiul dispoziţiilor art. 25 alin. (2) lit. a) şi ale art. 48 din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României, ale art. 420 alin. (1) şi (3) din Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, ale art. 243 alin. (1) din Legea nr. 209/2019, cu modificările şi completările ulterioare, precum şi ale art. 116 alin. (1) din Legea nr. 210/2019, cu modificările ulterioare,
Banca Naţională a României emite prezentul regulament.
ART. I
Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, publicat în Monitorul Oficial al României, Partea I, nr. 841 din 30 decembrie 2013, cu modificările şi completările ulterioare, se modifică după cum urmează:
- La articolul 149, alineatul (3) se modifică şi va avea următorul cuprins:
"(3) Instituţiile de credit trebuie să instituie politici şi planuri adecvate pentru situaţii neprevăzute şi de continuitate a activităţii, inclusiv politici şi planuri de continuitate a activităţii privind gestionarea riscurilor legate de TIC şi planuri de răspuns şi de recuperare în domeniul TIC pentru tehnologia pe care acestea o utilizează pentru comunicarea informaţiilor. Aceste planuri trebuie să fie elaborate, gestionate şi testate în conformitate cu art. 11 din Regulamentul (UE) 2022/2.554 al Parlamentului European şi al Consiliului din 14 decembrie 2022 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011, pentru a le permite instituţiilor de credit să îşi continue activitatea în caz de întrerupere gravă a acesteia şi de a-şi limita pierderile în eventualitatea unei astfel de întreruperi."
ART. II
Regulamentul Băncii Naţionale a României nr. 4/2019 privind instituţiile de plată şi furnizorii specializaţi în servicii de informare cu privire la conturi, publicat în Monitorul Oficial al României, Partea I, nr. 1020 din 19 decembrie 2019, cu modificările şi completările ulterioare, se modifică după cum urmează:
1. Articolul 17 se modifică şi va avea următorul cuprins:
"ART. 17
(1) Solicitantul trebuie să demonstreze Băncii Naţionale a României că dispune de un cadru de organizare şi administrare a activităţii de prestare de servicii de plată riguros conceput şi de mecanisme de control intern care să asigure efectuarea de verificări permanente şi periodice, inclusiv politici şi proceduri administrative, de gestionare a riscurilor, de asigurare a conformităţii cu cerinţele cadrului legal şi de reglementare şi contabile, precum şi de acorduri contractuale încheiate sau în stadiu de proiect, dacă este cazul, pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554 al Parlamentului European şi al Consiliului din 14 decembrie 2022 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011, care sunt adecvate, cuprinzătoare şi adaptate la natura, extinderea şi complexitatea serviciilor de plată prestate.
(2) Potrivit naturii, extinderii şi complexităţii serviciilor de plată prestate, mecanismele de control intern cuprind, după caz, funcţia de administrare a riscurilor, de asigurare a conformităţii şi de audit intern.
(3) În cadrul mecanismelor de control intern, solicitantul instituie aranjamente de audit, interne sau externe, independente de activităţile controlate, care să asigure că toate operaţiunile aferente activităţii de prestare de servicii de plată pe care le desfăşoară solicitantul, inclusiv cele aferente funcţiilor operaţionale externalizate, sunt conforme cu politicile şi procedurile interne şi cu prevederile Legii nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, cu modificările şi completările ulterioare, şi ale Regulamentului (UE) 2022/2.554.
(4) În cadrul evaluării ducerii la îndeplinire a obligaţiei prevăzute la alin. (1) de către instituţiile de plată care externalizează funcţii operaţionale potrivit art. 54, 55 şi 67 ori desfăşoară activitate potrivit art. 65 alin. (2) din Legea nr. 209/2019, cu modificările şi completările ulterioare, Banca Naţională a României are în vedere cerinţele din Ghidul EBA/GL/2019/02 privind externalizarea."
2. La articolul 25, alineatul (2) se modifică şi va avea următorul cuprins:
"(2) Măsurile de control de securitate şi de diminuare a riscurilor TIC trebuie să asigure un nivel ridicat de rezilienţă operaţională digitală potrivit prevederilor cap. II din Regulamentul (UE) 2022/2.554, în special cu privire la securitatea tehnică şi protecţia datelor, inclusiv pentru programele informatice şi sistemele TIC utilizate de solicitant sau de entităţile către care acesta externalizează total sau parţial funcţiile sale operaţionale."
3. La articolul 29 alineatul (1), litera h) se modifică şi va avea următorul cuprins:
"h) descrierea cadrului de administrare şi a mecanismelor de control intern potrivit art. 34 din prezentul regulament, precum şi a acordurilor contractuale, încheiate sau în stadiu de proiect, pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554;"
4. La articolul 29 alineatul (1), litera i) se modifică şi va avea următorul cuprins:
"i) descrierea procedurilor pentru monitorizarea, soluţionarea şi urmărirea incidentelor operaţionale şi de securitate şi a plângerilor utilizatorilor serviciilor de plată legate de securitate, potrivit art. 35 din prezentul regulament, incluzând un mecanism de raportare a incidentelor care ţine cont de obligaţiile de notificare ale instituţiei de plată prevăzute la cap. III din Regulamentul (UE) 2022/2.554;"
5. La articolul 29 alineatul (1), litera k) se modifică şi va avea următorul cuprins:
"k) descrierea aranjamentelor de asigurare a continuităţii activităţii, care să cuprindă identificarea de către solicitant a operaţiunilor critice, o politică şi planuri eficiente de continuitate a activităţii TIC şi planuri de răspuns şi de recuperare în domeniul TIC şi o procedură pentru testarea şi revizuirea periodică a caracterului adecvat şi a eficacităţii acestor planuri, potrivit art. 37 din prezentul regulament, cu respectarea prevederilor Regulamentului (UE) 2022/2.554;"
6. La articolul 35, litera e) se modifică şi va avea următorul cuprins:
"e) procedurile de raportare internă şi externă a incidentelor operaţionale şi de securitate, inclusiv notificarea incidentelor majore potrivit prevederilor cap. III din Regulamentul (UE) 2022/2.554;"
7. La articolul 38, litera a) se modifică şi va avea următorul cuprins:
"a) evaluarea detaliată a riscurilor TIC şi de securitate aferente serviciilor de plată pe care solicitantul intenţionează să le presteze, inclusiv riscul de fraudă şi descrierea măsurilor de control de securitate şi de diminuare a riscurilor identificate pentru protejarea utilizatorilor de servicii de plată, cu respectarea cerinţelor art. 25 alin. (2);"
8. La articolul 38, litera b) se modifică şi va avea următorul cuprins:
"b) descrierea sistemelor TIC, inclusiv: arhitectura de sistem şi elementele reţelei, sistemele-suport ale afacerii, precum website-ul, portofelul electronic, motorul de plăţi, motorul de gestionare a riscurilor şi fraudelor şi sistemul de evidenţă a clienţilor; sistemul informatic folosit pentru organizarea şi administrarea instituţiei, precum: sistemul de contabilitate, raportări în conformitate cu cadrul legal, gestiunea personalului, gestiunea relaţiei cu clienţii, serverul de e-mailuri şi de fişiere cu date interne; informaţii legate de utilizarea curentă a sistemului de către solicitant sau grupul din care face parte sau, după caz, data estimată a implementării;"
9. La articolul 93 alineatul (1), litera g) se modifică şi va avea următorul cuprins:
"g) descrierea cadrului de administrare şi a mecanismelor de control intern cuprinzând informaţiile prevăzute la art. 34 din prezentul regulament, în cazul în care solicitantul este persoană juridică, informaţiile prevăzute la art. 34 lit. a)-c) şi e)-h) din prezentul regulament, în cazul în care solicitantul este persoană fizică, precum şi eventualele acorduri contractuale încheiate sau în stadiu de proiect pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554;"
10. La articolul 93 alineatul (1), litera h) se modifică şi va avea următorul cuprins:
"h) descrierea procedurilor pentru monitorizarea, soluţionarea şi urmărirea incidentelor operaţionale şi de securitate şi a plângerilor utilizatorilor serviciilor de plată legate de securitate, potrivit art. 35 din prezentul regulament, incluzând un mecanism de raportare a incidentelor care ţine cont de obligaţiile de notificare ale furnizorului specializat în servicii de informare cu privire la conturi prevăzute la cap. III din Regulamentul (UE) 2022/2/554;"
11. La articolul 93 alineatul (1), litera j) se modifică şi va avea următorul cuprins:
"j) descrierea aranjamentelor de asigurare a continuităţii activităţii, care să cuprindă identificarea de către solicitant a operaţiunilor critice, o politică şi planuri eficiente de continuitate a activităţii TIC şi planuri de răspuns şi de recuperare în domeniul TIC şi o procedură pentru testarea şi revizuirea periodică a caracterului adecvat şi a eficacităţii acestor planuri, potrivit art. 37 lit. a)-d) din prezentul regulament, cu respectarea prevederilor Regulamentului (UE) 2022/2.554;"
ART. III
Regulamentul Băncii Naţionale a României nr. 5/2019 privind instituţiile emitente de monedă electronică, publicat în Monitorul Oficial al României, Partea I, nr. 1021 din 19 decembrie 2019, cu modificările şi completările ulterioare, se modifică după cum urmează:
1. La articolul 17, alineatele (1) şi (3) se modifică şi vor avea următorul cuprins:
"ART. 17
(1) Solicitantul trebuie să demonstreze Băncii Naţionale a României că dispune de un cadru de organizare şi administrare a activităţii de emitere de monedă electronică şi, după caz, de prestare de servicii de plată riguros conceput şi de mecanisme de control intern care să asigure efectuarea de verificări permanente şi periodice, inclusiv proceduri administrative, de gestionare a riscurilor şi contabile, precum şi de acorduri contractuale, încheiate sau în stadiu de proiect, pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554 al Parlamentului European şi al Consiliului din 14 decembrie 2022 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011, care sunt adecvate, cuprinzătoare şi adaptate la natura, extinderea şi complexitatea activităţilor cu monedă electronică desfăşurate şi, după caz, a serviciilor de plată prestate.
...........................................
(3) În cadrul mecanismelor de control intern, solicitantul instituie aranjamente de audit, interne sau externe, independente de activităţile controlate, care să asigure că toate operaţiunile aferente activităţii de emitere de monedă electronică şi, după caz, de prestare de servicii de plată pe care le desfăşoară solicitantul, inclusiv cele aferente funcţiilor operaţionale externalizate, sunt conforme cu politicile şi procedurile interne şi cu prevederile Legii nr. 210/2019 privind activitatea de emitere de monedă electronică, cu modificările ulterioare, ale Legii nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, cu modificările şi completările ulterioare, şi ale Regulamentului (UE) 2022/2.554."
2. La articolul 24, alineatul (2) se modifică şi va avea următorul cuprins:
"(2) Măsurile de control de securitate şi de diminuare a riscurilor trebuie să asigure un nivel ridicat de rezilienţă operaţională digitală potrivit prevederilor cap. II din Regulamentul (UE) 2022/2.554, în special cu privire la securitatea tehnică şi protecţia datelor, inclusiv pentru programele informatice şi sistemele TIC utilizate de solicitant sau de entităţile către care acesta externalizează total sau parţial funcţiile sale operaţionale."
3. La articolul 28 alineatul (1), litera h) se modifică şi va avea următorul cuprins:
"h) descrierea cadrului de administrare şi a mecanismelor de control intern, potrivit art. 33 din prezentul regulament, precum şi a acordurilor contractuale, încheiate sau în stadiu de proiect, pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554;"
4. La articolul 28 alineatul (1), litera i) se modifică şi va avea următorul cuprins:
"i) descrierea procedurilor pentru monitorizarea, soluţionarea şi urmărirea incidentelor operaţionale şi de securitate şi a plângerilor utilizatorilor serviciilor de plată legate de securitate, potrivit art. 34 din prezentul regulament, incluzând un mecanism de raportare a incidentelor care ţine cont de obligaţiile de notificare ale instituţiei emitente de monedă electronică, prevăzute la cap. III din Regulamentul (UE) 2022/2.554;"
5. La articolul 28 alineatul (1), litera k) se modifică şi va avea următorul cuprins:
"k) descrierea aranjamentelor de asigurare a continuităţii activităţii, care să cuprindă identificarea de către solicitant a operaţiunilor critice, o politică şi planuri eficace de continuitate a activităţii TIC şi planuri de răspuns şi de recuperare în domeniul TIC şi o procedură pentru testarea şi revizuirea periodică a caracterului adecvat şi a eficacităţii acestor planuri, potrivit art. 36 din prezentul regulament, cu respectarea prevederilor Regulamentului (UE) 2022/2.554;"
6. La articolul 34, litera e) se modifică şi va avea următorul cuprins:
"e) procedurile de raportare internă şi externă a incidentelor operaţionale şi de securitate, inclusiv în cazul solicitanţilor care intenţionează să presteze servicii de plată, altele decât cele legate de emiterea de monedă electronică, raportarea incidentelor majore potrivit prevederilor cap. III din Regulamentul (UE) 2022/2.554;"
7. La articolul 37, litera a) se modifică şi va avea următorul cuprins:
"a) evaluarea detaliată a riscurilor TIC şi de securitate aferente serviciilor de plată pe care solicitantul intenţionează să le desfăşoare/să le presteze, inclusiv riscul de fraudă şi descrierea măsurilor de control de securitate şi de diminuare a riscurilor identificate pentru protejarea utilizatorilor serviciilor de plată, cu respectarea cerinţelor art. 24 alin. (2);"
8. La articolul 37, litera b) se modifică şi va avea următorul cuprins:
"b) descrierea sistemelor TIC, inclusiv: arhitectura de sistem şi elementele reţelei; sistemele-suport ale afacerii, precum website-ul, portofelul electronic, motorul de plăţi, motorul de gestionare a riscurilor şi fraudelor şi sistemul de evidenţă a clienţilor; sistemul informatic folosit pentru organizarea şi administrarea instituţiei emitente de monedă electronică, precum: sistemul de contabilitate, raportări în conformitate cu cadrul legal, gestiunea personalului, gestiunea relaţiei cu clienţii, serverul de e-mailuri şi de fişiere cu date interne; informaţii legate de utilizarea curentă a sistemului de către solicitant sau grupul din care face parte sau, după caz, data estimată a implementării;"
ART. IV
Prezentul regulament se publică în Monitorul Oficial al României, Partea I.
Prezentul regulament transpune art. 4 pct. 3 şi art. 7 pct. 2 din Directiva (UE) 2022/2.556 a Parlamentului European şi a Consiliului din 14 decembrie 2022 de modificare a Directivelor 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2.366 şi (UE) 2016/2.341 privind rezilienţa operaţională digitală pentru sectorul financiar, publicată în Jurnalul Oficial al Uniunii Europene, seria L, nr. 333 din 27 decembrie 2022.
Preşedintele Consiliului de administraţie al Băncii Naţionale a României,
Mugur Constantin Isărescu
Bucureşti, 15 mai 2025.
Nr. 1.
-------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
