Comunica experienta
MonitorulJuridic.ro
În temeiul prevederilor art. 2 alin. (1), art. 3 alin. (1) lit. b), art. 5, art. 6 alin. (2) şi ale art. 14 din Ordonanţa de urgenţă a Guvernului nr. 93/2012 privind înfiinţarea, organizarea şi funcţionarea Autorităţii de Supraveghere Financiară, aprobată cu modificări şi completări prin Legea nr. 113/2013, cu modificările şi completările ulterioare, în urma deliberărilor Consiliului Autorităţii de Supraveghere Financiară din şedinţa din data de 25.08.2021, Autoritatea de Supraveghere Financiară emite prezenta normă. ART. I Norma Autorităţii de Supraveghere Financiară nr. 4/2018 privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile autorizate/ avizate/înregistrate, reglementate şi/sau supravegheate de către Autoritatea de Supraveghere Financiară, publicată în Monitorul Oficial al României, Partea I, nr. 233 din 16 martie 2018, cu modificările ulterioare, se modifică şi se completează după cum urmează: 1. La articolul 2, după litera k) se introduce o nouă literă, litera l), cu următorul cuprins: "l) administratorii fondurilor de pensii ocupaţionale" 2. Articolul 11 se modifică şi va avea următorul cuprins: "ART. 11 Încadrarea entităţilor prevăzute la art. 2 lit. k) şi l) se realizează individual în categoriile de risc prevăzute la art. 9, conform prevederilor art. 44 alin. (4) lit. e) şi ale art. 51 din Norma Autorităţii de Supraveghere Financiară nr. 3/2014 privind controlul intern, auditul intern şi administrarea riscurilor în sistemul de pensii private, cu modificările şi completările ulterioare." 3. La articolul 15, alineatele (2) şi (3) se modifică şi vor avea următorul cuprins: "(2) Entităţile au obligaţia ca, anual, să efectueze o scanare de vulnerabilităţi prin intermediul căreia trebuie evaluat şi modul în care au fost soluţionate vulnerabilităţile critice constatate anterior în cadrul scanărilor similare.(3) Testele de penetrare regăsite în tabelul din anexa nr. 2 la lit. B) pct. 8 lit. c) au drept obiectiv testarea securităţii aplicaţiilor incluse în scopul auditului IT, testarea securităţii sistemelor de operare utilizate în cadrul entităţii şi testarea securităţii infrastructurii reţelei." 4. La articolul 15, după alineatul (4) se introduce un nou alineat, alineatul (4^1), cu următorul cuprins: "(4^1) În executarea obligaţiei prevăzute la alin. (4), entităţile trebuie să se asigure că persoanele care efectuează testarea deţin cel puţin una dintre următoarele certificări: CEH - Certified Ethical Hacker, GPEN - GIAC Certified Penetration Tester, GWAPT - GIAC Web Application, LPT - Licensed Penetration Tester, OPST - OSSTMM Professional Security Tester Accredited Certification, OSCE - Offensive Security Certified Expert, OSCP - Offensive Security Certified Professional, PTC - MILLE2 Certified Penetration Testing Consultant, CPT - Certified Penetration Tester, GIAC - Penetration Tester (GPEN), GIAC - Web Application Penetration Tester (GWAPT), GIAC - Exploit Researcher and Advanced Penetration Tester (GXPN), GIAC - Mobile Device Security Analyst (GMOB), GIAC - Assessing and Auditing Wireless Networks (GAWN), CREST - Certified Simulated Attack Specialist, CSX - Cybersecurity Nexus." 5. La articolul 15, după alineatul (5) se introduc două noi alineate, alineatele (6) şi (7), cu următorul cuprins: "(6) Entităţile au obligaţia să elaboreze şi să aplice o metodologie privind procesul de identificare, soluţionare şi raportare către A.S.F. a incidentelor de securitate cu cel mai mare grad de severitate apărute la nivelul sistemelor informatice importante, în scopul monitorizării şi înregistrării acestora.(7) În metodologia prevăzută la alin. (6) entităţile trebuie să stabilească praguri şi criterii corespunzătoare pentru clasificarea unui eveniment drept incident de securitate în diferite grade de severitate şi să prevadă un termen maxim de raportare către A.S.F. a incidentelor de securitate cu cel mai mare grad de severitate apărute la nivelul sistemelor informatice importante, termen ce nu poate depăşi două zile lucrătoare." 6. La articolul 21, după alineatul (2) se introduce un nou alineat, alineatul (3), cu următorul cuprins: "(3) În cazul entităţilor nou-înfiinţate, primul audit se efectuează după expirarea perioadei supuse auditului, prevăzută la alin. (1), după cum urmează: a) în situaţia în care entitatea este autorizată/avizată/ înregistrată în primele 6 luni ale anului calendaristic, anul respectiv reprezintă primul an calendaristic al misiunilor de audit IT; b) în situaţia în care entitatea este autorizată/ avizată/înregistrată în ultimele 6 luni ale anului calendaristic, primul an al misiunii de audit IT se calculează începând cu anul calendaristic următor celui în care a fost autorizată/avizată/ înregistrată, iar prima misiune de audit IT va viza şi perioada rămasă până la sfârşitul anului calendaristic în care entitatea a fost autorizată/avizată/înregistrată." 7. Articolul 39 se modifică şi va avea următorul cuprins: "ART. 39 (1) În vederea înscrierii în lista prevăzută la art. 38, auditorul IT extern depune la A.S.F. cererea prevăzută în anexa nr. 5, însoţită de documentaţia care trebuie să cuprindă următoarele, după caz: 1. pentru auditorul IT extern - persoană fizică autorizată care va semna raportul de audit, se depun următoarele documente: a) actul de identitate al auditorului IT, în copie; b) curriculum vitae în format Europass, datat şi semnat, în care se precizează studiile şi cursurile de formare relevante, experienţa profesională în auditarea IT a sistemelor informatice, natura şi durata atribuţiilor îndeplinite; c) certificatul CISA emis de ISACA în termenul de valabilitate, în copie, semnată pentru conformitate cu originalul; d) scrisori de recomandare, care să ateste experienţa în domeniul de audit IT extern al sistemelor informatice, incluzând datele de contact ale persoanelor care pot oferi referinţe; e) certificatul de cazier judiciar şi certificatul de cazier fiscal în original, în termenul de valabilitate; f) declaraţie pe propria răspundere sub semnătură olografă, din care să rezulte că nu a fost sancţionat de către autorităţile române sau străine din domeniul financiar cu interdicţia de a desfăşura activităţi în sistemul financiar-bancar ori cu interdicţia temporară de a desfăşura astfel de activităţi în ultimii 10 ani; g) contract de asigurare de răspundere civilă profesională, pentru suma asigurată de minimum 100.000 euro, în vigoare, în copie; h) documentul de plată a tarifului de înscriere în lista prevăzută la art. 38, în copie; 2. pentru auditorul IT extern - persoană juridică, se depun următoarele documente: a) certificat constatator emis de Oficiul Naţional al Registrului Comerţului, cu starea la zi a persoanei juridice, în original; b) actul de identitate al reprezentantului legal al auditorului IT extern - persoană juridică, în copie; c) decizia/hotărârea organului statutar al societăţii de numire a coordonatorului societăţii de audit IT care va semna, în numele şi pe seama societăţii de audit IT, raportul de audit: (i) auditori IT din cadrul societăţii (salariaţi proprii, reprezentant legal sau membrii conducerii societăţii); (ii) auditor IT persoană fizică cu care societatea a încheiat un contract de prestări servicii pentru a întocmi raportul de audit în numele şi pe seama societăţii; d) contract de prestări servicii încheiat cu persoana menţionată la lit. c) pct. (ii) care va semna, în numele şi pe seama societăţii, raportul de audit, în copie; e) documentele prevăzute la pct. 1 lit. a)-f) pentru coordonatorul certificat al societăţii de audit IT persoană fizică menţionat în decizia/hotărârea organului statutar prevăzută la lit. c); f) contract de asigurare de răspundere civilă profesională pentru suma asigurată de minimum 100.000 euro, în vigoare, în copie; g) documentul de plată a tarifului de înscriere în lista prevăzută la art. 38, în copie. (2) Documentele care nu sunt emise în limba română se depun în copie, împreună cu traducerea legalizată a acestora. (3) Pentru documentele depuse în copie, în vederea asigurării conformităţii cu originalele, acestea sunt semnate de auditorul IT persoană fizică, respectiv de reprezentantul legal al auditorului IT persoană juridică, după caz." 8. Articolul 41 se modifică şi va avea următorul cuprins: "ART. 41 (1) Orice modificare a documentaţiei prevăzute la art. 39 pct. 1 lit. a), c), e), f) şi g) şi la pct. 2 lit. a)-d) şi f) trebuie transmisă A.S.F. în termen de maximum 30 de zile de la data efectuării modificării. (2) Prevederile alin. (1) se aplică şi coordonatorului certificat al societăţii de audit IT prevăzut la art. 39 pct. 2 lit. e) pentru documentaţia prevăzută la art. 39 pct. 1 lit. a), c), e), f) şi g)." 9. Articolul 43 se modifică şi va avea următorul cuprins: "ART. 43 (1) Pentru toate situaţiile menţionate la art. 42 lit. c) şi d), A.S.F. transmite auditorului IT extern o notificare prealabilă prin care i se aduc la cunoştinţă faptele pentru care A.S.F. va proceda la iniţierea demersurilor pentru radierea din Lista auditorilor IT externi. (2) În situaţiile în care A.S.F. nu poate contacta auditorul IT extern care se află în unul dintre cazurile menţionate la art. 42 lit. b) sau acesta nu transmite informaţiile solicitate în conformitate cu prevederile art. 41, pentru clarificarea situaţiei se solicită informaţiile necesare de la Oficiul Naţional al Registrului Comerţului." 10. Articolul 55 se modifică şi va avea următorul cuprins: "ART. 55 Anexele nr. 1-5 fac parte integrantă din prezenta normă." 11. La anexa nr. 1, punctul 5 se modifică şi va avea următorul cuprins: "5. auditor IT extern - persoană care derulează o activitate de auditare a sistemelor informatice, conform reglementărilor şi bunelor practici în domeniu precum: (i) persoana fizică autorizată care deţine certificatul CISA emis de ISACA; (ii) persoană juridică cu personal propriu care deţine certificatul CISA emis de ISACA sau, după caz, cu contract de prestări servicii încheiat cu o persoană fizică care deţine certificatul CISA emis de ISACA, care va semna în numele şi pe seama societăţii raportul de audit în calitate de coordonator;" 12. La anexa nr. 1, după punctul 9 se introduce un nou punct, punctul 9^1, cu următorul cuprins: "9^1. CISA - auditor certificat de sisteme informatice/Certified Information Systems Auditor;" 13. La anexa nr. 3 punctul I „Raportul de audit IT“, în coloana „Capitol“, literele F şi G se modifică şi vor avea următorul cuprins: "
┌──┬───────────────────────────────────┐
│ │Datele de identificare ale │
│ │coordonatorului certificat al │
│ │echipei de audit IT extern persoană│
│„F│juridică/auditorului IT extern │
│ │persoană fizică autorizată/ │
│ │auditorului IT intern certificat al│
│ │entităţii auditate │
├──┼───────────────────────────────────┤
│ │Semnătura coordonatorului │
│ │certificat al echipei de audit şi │
│ │semnătura reprezentantului legal al│
│G │auditorului IT extern persoană │
│ │juridică/Semnătura auditorului IT │
│ │extern persoană fizică autorizată/ │
│ │Semnătura auditorului IT intern │
│ │certificat al entităţii auditate.“ │
└──┴───────────────────────────────────┘
" 14. La anexa nr. 3 punctul II „Anexe la raportul de audit IT“, punctul 5 se modifică şi va avea cuprinsul prevăzut în anexa nr. 1, care face parte integrantă din prezenta normă. 15. La anexa nr. 3 punctul II „Anexe la raportul de audit IT“, punctul 7 se modifică şi va avea următorul cuprins: "7. Declaraţie pe propria răspundere a reprezentantului legal al entităţii auditate IT cu resurse interne. Anexa conţine informaţii cu privire la efectuarea auditului IT cu resurse interne certificate care sunt independente faţă de activitatea auditată şi certificatul CISA emis de ISACA în termenul de valabilitate, în copie, semnată pentru conformitate cu originalul." 16. După anexa nr. 4 se introduce o nouă anexă, anexa nr. 5, având cuprinsul prevăzut în anexa nr. 2, care face parte integrantă din prezenta normă. ART. II Auditul IT în curs de desfăşurare la data intrării în vigoare a prezentei norme va continua în conformitate cu reglementările în vigoare la data începerii auditului IT. ART. III Prezenta normă se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare la data publicării. Preşedintele Autorităţii de Supraveghere Financiară, Nicu Marcu Bucureşti, 25 august 2021. Nr. 24. ANEXA 1 5. Concluzii ale echipei de audit privind respectarea cerinţelor impuse
┌───┬───────────┬────────────┬─────────────┐
│ │ │Conformitate│Comentarii/ │
│ │Articol │DA/NU/ │Motivaţii în │
│Nr.│supus │PARŢIAL/ │cazul │
│ │verificării│NEAPLICABIL │nerespectării│
│ │ │ │prevederii │
├───┼───────────┼────────────┼─────────────┤
│1. │Art. 3 (3) │ │ │
├───┼───────────┼────────────┼─────────────┤
│2. │Art. 6 (1) │ │ │
├───┼───────────┼────────────┼─────────────┤
│3. │Art. 6 (2) │ │ │
├───┼───────────┼────────────┼─────────────┤
│4. │Art. 15 (1)│ │ │
├───┼───────────┼────────────┼─────────────┤
│5. │Art. 15 (2)│ │ │
├───┼───────────┼────────────┼─────────────┤
│6. │Art. 15 (3)│ │ │
├───┼───────────┼────────────┼─────────────┤
│7. │Art. 15 (4)│ │ │
├───┼───────────┼────────────┼─────────────┤
│8. │Art. 15 (6)│ │ │
├───┼───────────┼────────────┼─────────────┤
│9. │Art. 15 (7)│ │ │
├───┼───────────┼────────────┼─────────────┤
│10.│Art. 16 (1)│ │ │
│ │- a) │ │ │
├───┼───────────┼────────────┼─────────────┤
│11.│Art. 16 (1)│ │ │
│ │- b) │ │ │
├───┼───────────┼────────────┼─────────────┤
│12.│Art. 16 (1)│ │ │
│ │- c) │ │ │
├───┼───────────┼────────────┼─────────────┤
│13.│Art. 16 (1)│ │ │
│ │- d) │ │ │
├───┼───────────┼────────────┼─────────────┤
│14.│Art. 16 (1)│ │ │
│ │- e) │ │ │
├───┼───────────┼────────────┼─────────────┤
│15.│Art. 16 (1)│ │ │
│ │- f) │ │ │
├───┼───────────┼────────────┼─────────────┤
│16.│Art. 16 (1)│ │ │
│ │- g) │ │ │
├───┼───────────┼────────────┼─────────────┤
│17.│Art. 16 (1)│ │ │
│ │- h) │ │ │
├───┼───────────┼────────────┼─────────────┤
│18.│Art. 16 (2)│ │ │
├───┼───────────┼────────────┼─────────────┤
│19.│Art. 17 (1)│ │ │
├───┼───────────┼────────────┼─────────────┤
│20.│Art. 17 (2)│ │ │
├───┼───────────┼────────────┼─────────────┤
│21.│Art. 18 (1)│ │ │
│ │- a) │ │ │
├───┼───────────┼────────────┼─────────────┤
│22.│Art. 18 (1)│ │ │
│ │- b) │ │ │
├───┼───────────┼────────────┼─────────────┤
│23.│Art. 18 (1)│ │ │
│ │- c) │ │ │
├───┼───────────┼────────────┼─────────────┤
│24.│Art. 18 (1)│ │ │
│ │- d) │ │ │
├───┼───────────┼────────────┼─────────────┤
│25.│Art. 18 (1)│ │ │
│ │- e) │ │ │
├───┼───────────┼────────────┼─────────────┤
│26.│Art. 19 - │ │ │
│ │a) │ │ │
├───┼───────────┼────────────┼─────────────┤
│27.│Art. 19 - │ │ │
│ │b) │ │ │
├───┼───────────┼────────────┼─────────────┤
│28.│Art. 19 - │ │ │
│ │c) │ │ │
├───┼───────────┼────────────┼─────────────┤
│29.│Art. 19 - │ │ │
│ │d) │ │ │
├───┼───────────┼────────────┼─────────────┤
│30.│Art. 20 - │ │ │
│ │a) │ │ │
├───┼───────────┼────────────┼─────────────┤
│31.│Art. 20 - │ │ │
│ │b) │ │ │
├───┼───────────┼────────────┼─────────────┤
│32.│Art. 20 - │ │ │
│ │c) │ │ │
├───┼───────────┼────────────┼─────────────┤
│33.│Art. 20 - │ │ │
│ │d) │ │ │
├───┼───────────┼────────────┼─────────────┤
│34.│Art. 35 (1)│ │ │
│ │- a) │ │ │
├───┼───────────┼────────────┼─────────────┤
│35.│Art. 35 (1)│ │ │
│ │- b) │ │ │
├───┼───────────┼────────────┼─────────────┤
│36.│Art. 35 (1)│ │ │
│ │- c) │ │ │
├───┼───────────┼────────────┼─────────────┤
│37.│Art. 35 (2)│ │ │
├───┼───────────┼────────────┼─────────────┤
│38.│Art. 36 (1)│ │ │
├───┼───────────┼────────────┼─────────────┤
│39.│Art. 36 (2)│ │ │
│ │- a) │ │ │
├───┼───────────┼────────────┼─────────────┤
│40.│Art. 36 (2)│ │ │
│ │- b) │ │ │
├───┼───────────┼────────────┼─────────────┤
│41.│Art. 36 (2)│ │ │
│ │- c) │ │ │
├───┼───────────┼────────────┼─────────────┤
│42.│Art. 36 (2)│ │ │
│ │- d) │ │ │
├───┼───────────┼────────────┼─────────────┤
│43.│Art. 36 (2)│ │ │
│ │- e) │ │ │
├───┼───────────┼────────────┼─────────────┤
│44.│Art. 36 (2)│ │ │
│ │- f) │ │ │
├───┼───────────┼────────────┼─────────────┤
│45.│Art. 36 (2)│ │ │
│ │- g) │ │ │
├───┼───────────┼────────────┼─────────────┤
│46.│Art. 36 (2)│ │ │
│ │- h) │ │ │
├───┼───────────┼────────────┼─────────────┤
│47.│Art. 36 (2)│ │ │
│ │- i) │ │ │
├───┼───────────┼────────────┼─────────────┤
│48.│Art. 37 │ │ │
├───┼───────────┼────────────┼─────────────┤
│49.│Art. 45 │ │ │
├───┼───────────┼────────────┼─────────────┤
│50.│Art. 46 (1)│ │ │
│ │- a) │ │ │
├───┼───────────┼────────────┼─────────────┤
│51.│Art. 46 (1)│ │ │
│ │- b) │ │ │
├───┼───────────┼────────────┼─────────────┤
│52.│Art. 46 (1)│ │ │
│ │- c) │ │ │
├───┼───────────┼────────────┼─────────────┤
│53.│Art. 46 (1)│ │ │
│ │- d) │ │ │
├───┼───────────┼────────────┼─────────────┤
│54.│Art. 46 (2)│ │ │
├───┼───────────┼────────────┼─────────────┤
│55.│Art. 47 │ │ │
├───┼───────────┼────────────┼─────────────┤
│56.│Art. 48 - │ │ │
│ │a) │ │ │
├───┼───────────┼────────────┼─────────────┤
│57.│Art. 48 - │ │ │
│ │b) │ │ │
├───┼───────────┼────────────┼─────────────┤
│58.│Art. 48 - │ │ │
│ │c) │ │ │
└───┴───────────┴────────────┴─────────────┘
ANEXA 2 (Anexa nr. 5 la Norma A.S.F. nr. 4/2018) CERERE pentru înscrierea în Lista auditorilor IT externi menţinută de A.S.F. 1. Denumirea completă/Numele complet: ............................................ 2. Sediul social: ............................................................................ 3. Adresa unde îşi desfăşoară activitatea: ......................................... 4. Numărul de telefon: ................................................................... 5. Numărul de fax: ........................................................................ 6. Adresa de e-mail: ..................................................................... 7. Reprezentantul legal: ................................................................. 8. Adresa paginii de internet: .......................................................... 9. Opisul documentelor depuse în anexa la cerere, în conformitate cu art. 39 din Norma Autorităţii de Supraveghere Financiară nr. 4/2018 privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile autorizate/avizate/înregistrate, reglementate şi/sau supravegheate de către Autoritatea de Supraveghere Financiară, cu modificările şi completările ulterioare. Subsemnatul^1, …………………………….……, cunoscând dispoziţiile art. 326 din Codul penal cu privire la falsul în declaraţii, declar pe propria răspundere că toate informaţiile furnizate sunt corecte, complete şi conforme cu realitatea. Totodată, menţionez că sunt de acord cu prelucrarea datelor personale^2 în scopul exercitării atribuţiilor A.S.F. şi mă angajez să comunic A.S.F. toate modificările privind informaţiile furnizate.
┌────────────────────┬────────────────────────┐
│Data │Semnătura │
│....................│........................│
└────────────────────┴────────────────────────┘
^1 Se completează numele şi prenumele auditorului IT persoană fizică/reprezentantului legal al auditorului IT persoană juridică, astfel cum apare în actul de identitate. ^2 Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE. ----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.