Un material realizat de președintele Autorității de Supraveghere Financiară(ASF), Alexandru Petrescu.
Legislația privind reziliența operațională digitală a sectorului financiar urmează să fie aplicată începând cu anul 2025 și va stabili cerințe uniforme privind securitatea rețelelor și a sistemelor informatice care sprijină procesele operaționale ale entităților financiare, acoperind totodată și aspecte precum gestionarea riscurilor legate de tehnologia informației și comunicațiilor (TIC), raportarea incidentelor majore legate de TIC, testarea rezilienței operaționale digitale, schimbul de informații și de date cu privire la amenințările cibernetice, precum și măsuri pentru buna gestionare a riscurilor TIC generate de părți terțe.
Datorită utilizării extensive a sistemelor bazate pe TIC și a gradului ridicat de digitalizare și conectivitate, caracteristici de bază ale proceselor operaționale ale entităților financiare din Uniunea Europeană, s-a identificat necesitatea unei abordări integrate și mai granulate în ceea ce privește reziliența digitală. Totodată, se poate observa cum creșterea gradului de digitalizare și de interconectare amplifică riscurile generate de utilizarea sistemelor informatice, ceea ce face ca societatea în ansamblu (inclusiv piețele financiare) să fie mai expusă la amenințările cibernetice.
Comitetul European pentru Risc Sistemic (ESRB) a reafirmat într-un raport din anul 2020, care abordează riscul cibernetic sistemic, modul în care nivelul ridicat existent de interconectare dintre entitățile financiare, piețele și infrastructurile financiare ar putea constitui o vulnerabilitate sistemică deoarece incidentele cibernetice se pot răspândi rapid de la unele entități financiare la întregul sistem financiar, nefiind limitate la granițele unui stat. În anul 2022 a fost publicat un nou raport, iar una dintre concluziile raportului a fost necesitatea instituirii unui cadru sistemic paneuropean de coordonare a incidentelor cibernetice (EU-SCICF) pentru a atenua riscul unor eșecuri în coordonarea gestionării incidentelor sistemice.
Ca parte a strategiei sale macroprudențiale de a promova reziliența cibernetică la nivelul întregului sistem, ESRB a evidențiat într-un raport publicat în luna februarie a anului 2023, necesitatea de a spori reziliența cibernetică și a încurajat autoritățile din UE să accelereze progresele privind dezvoltarea instrumentelor macroprundențiale pentru reziliența cibernetică. În completarea acestui raport, ESRB a publicat în aprilie 2024 un raport privind instrumentele macroprudențiale avansate pentru reziliența cibernetică în care a prezentat trei grupuri principale de instrumente de politică operațională:
– instrumente pentru colectarea, partajarea și gestionarea informațiilor necesare furnizării de date de înaltă calitate pentru monitorizarea, calibrarea instrumentelor și gestionarea ex post a incidentelor cibernetice sistemice;
– instrumentele de coordonare paneuropene menite să atenueze potențialele efecte negative asupra stabilității financiare prin asigurarea unui răspuns comun eficient pentru toate părțile interesate;
– sisteme de urgență și de rezervă adecvate pentru a ajuta la asigurarea continuității funcțiilor economice critice chiar și în situații de urgență.
Punerea în aplicare a Regulamentului DORA, la nivelul piețelor financiare, va consolida și va actualiza cerințele privind riscurile TIC care, până la apariția acestui regulament au fost abordate separat în diferite acte juridice ale Uniunii. Totodată, este de menționat faptul că prin Regulamentul DORA se stabilesc o serie de cerințe care pot fi considerate mai degrabă calitative în ceea ce privește asigurarea rezilienței la riscurile generate de utilizarea sistemelor informatice, în timp ce abordarea anterioară se baza mai mult pe cerințe de natură cantitativă pentru tratarea riscurilor (de exemplu: stabilirea de cerințe de capital suplimentare pentru riscurile operaționale generate utilizarea de sistemele informatice).
În ceea ce privește aplicarea Regulamentului DORA la nivelul piețelor financiare din România, specialiștii din cadrul ASF au demarat pregătirile pentru trecerea de la cadrul de reglementare național existent la cel instituit de regulamentul european, în prezent lucrând la un proiect de lege cu reprezentanții altor autorități naționale responsabile de aplicarea acestui regulament. De asemenea, pentru a asigura o informare și o înțelegere cât mai bună a prevederilor Regulamentului DORA, autoritatea a organizat în luna mai a anului curent un eveniment la care au participat aprox. 200 de persoane. Prin intermediul acestui eveniment și al întâlnirilor curente cu reprezentanți ai asociaților profesionale, ASF a continuat dialogul pentru clarificarea aspectelor privind modul de aplicare a noilor cerințe aduse de Regulamentul DORA.
În concluzie, Regulamentul DORA va conduce la îmbunătățirea capacității de a preveni, detecta și răspunde incidentelor de securitate cibernetică, precum și la creșterea încrederii participanților la piețele financiare cu privire la calitatea și securitatea serviciilor financiare digitale.
Leave feedback about this