Guvernul a aprobat Directiva DORA, care introduce, începând cu 17 ianuarie 2025, noi reglementări menite să consolideze securitatea cibernetică a entităților financiare și să ofere o protecție mai eficientă a informațiilor clienților serviciilor financiare.
Începând cu 17 ianuarie 2025, în România vor intra în vigoare noi reglementări menite să întărească securitatea cibernetică a entităților financiare și să asigure o protecție sporită a informațiilor clienților care utilizează servicii financiare.
Guvernul României a adoptat directiva DORA
Este vorba despre implementarea în legislația națională a Directivei DORA, prin intermediul unui proiect de lege adoptat astăzi de Guvern, care va fi transmis Parlamentului pentru dezbatere și aprobare. Directiva DORA va intra în vigoare la data de 17 ianuarie 2025, împreună cu Regulamentul (UE) 2022/2554 privind reziliența operațională digitală pentru sectorul financiar (Regulamentul DORA), care se aplică direct și nu necesită transpunere în legislația națională. Ambele acte europene urmăresc să sprijine și să faciliteze creșterea securității cibernetice în domeniul serviciilor financiare.
„Având în vedere că instituțiile de credit, instituțiile de plată, instituțiile emitente de monedă electronică și firmele de investiții depind în mod semnificativ de tehnologiile digitale în desfășurarea activității curente, este necesară administrarea continuă în mod solid și preventiv a riscurilor TIC și dispunerea de politici și planuri de continuitate și de răspuns în cazul unei întreruperi grave a activității.
De asemenea, având în vedere amplificarea interconexiunilor și dependențelor din interiorul sectorului financiar, riscul cibernetic a devenit un risc sistemic. La nivelul Uniunii Europene și la nivel național, în acest moment, cerințele privind gestionarea riscurilor TIC sunt neomogene și incomplete, riscurile TIC fiind abordate în unele cazuri doar în mod implicit ca parte a riscurilor operaționale, iar în alte cazuri nefiind abordate deloc”, a transmis Guvernul miercuri, pe 18 septembrie.
Aplicare uniformă a noului cadru european
Implementarea Directivei DORA în legislația națională asigură o aplicare uniformă a noului cadru european pentru reziliența operațională digitală. Conform noilor reglementări, băncile și alte instituții financiare, inclusiv cele de plată, sunt obligate să gestioneze riscurile IT și să dispună de un plan și o structură clar definite pentru acest scop.
Banca Națională a României (BNR) va fi notificată în cazul oricărui incident operațional sau de securitate de importanță majoră.
Totodată, în baza Regulamentului DORA, care se va aplica direct, dacă are loc un incident semnificativ legat de tehnologia informației și comunicațiilor (TIC) ce afectează interesele financiare ale clienților, entitățile financiare sunt obligate să îi informeze pe aceștia fără întârzieri nejustificate, imediat ce incidentul devine cunoscut. Clienții afectați vor fi, de asemenea, notificați cu privire la eventualele măsuri de protecție disponibile.
Așadar, platformele informatice ale băncilor și instituțiilor de credit vor deveni un criteriu esențial în procesul de avizare pentru funcționare, iar Banca Națională a României va avea dreptul de a accesa, la cerere, orice informație referitoare la sistemele IT utilizate de aceste instituții.
De asemenea, băncile vor fi obligate să furnizeze clienților detalii clare despre platformele informatice pe care le utilizează și despre măsurile de securitate implementate pentru protecția datelor.