Comunica experienta
MonitorulJuridic.ro
NORMĂ nr. 26 din 17 decembrie 2024 pentru modificarea şi completarea Normei Autorităţii de Supraveghere Financiară nr. 4/2018 privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile autorizate/avizate/înregistrate, reglementate şi/sau supravegheate de către Autoritatea de Supraveghere Financiară
EMITENT: Autoritatea de Supraveghere Financiară PUBLICAT: Monitorul Oficial nr. 25 din 14 ianuarie 2025
În temeiul prevederilor art. 3 alin. (1) lit. b), art. 5, art. 6 alin. (2) şi ale art. 14 din Ordonanţa de urgenţă a Guvernului nr. 93/2012 privind înfiinţarea, organizarea şi funcţionarea Autorităţii de Supraveghere Financiară, aprobată cu modificări şi completări prin Legea nr. 113/2013, cu modificările şi completările ulterioare,
în urma deliberărilor Consiliului Autorităţii de Supraveghere Financiară din cadrul şedinţei din data de 11.12.2024,
Autoritatea de Supraveghere Financiară emite prezenta normă.
ART. I
Norma Autorităţii de Supraveghere Financiară nr. 4/2018 privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile autorizate/avizate/ înregistrate, reglementate şi/sau supravegheate de către Autoritatea de Supraveghere Financiară, publicată în Monitorul Oficial al României, Partea I, nr. 233 din 16 martie 2018, cu modificările şi completările ulterioare, se modifică şi se completează după cum urmează:
1. La articolul 49, partea introductivă se modifică şi va avea următorul cuprins:
"ART. 49
Entităţile, altele decât cele menţionate la art. 54^1, au obligaţia să întocmească în conformitate cu prevederile prezentei norme şi să transmită A.S.F. următoarele rapoarte:"
2. După articolul 54 se introduc trei noi articole, art. 54^1, 54^2 şi 54^3, cu următorul cuprins:
"ART. 54^1
(1) Entităţile prevăzute la art. 2 alin. (1) şi (3) din Regulamentul (UE) 2022/2.554 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011 de la data de 17 ianuarie 2025 au obligaţia să întocmească în conformitate cu prevederile prezentei norme şi să transmită A.S.F. rapoartele de audit IT cu respectarea prevederilor prezentei norme şi a anexei nr. 6.
(2) Entităţile prevăzute la alin. (1) sunt următoarele:
a) operatori de piaţă/administratori ai sistemelor multilaterale de tranzacţionare (SMT)/administratori ai sistemelor organizate de tranzacţionare (SOT);
b) intermediari - societăţi de servicii de investiţii financiare (S.S.I.F.), sucursale ale intermediarilor din state terţe şi instituţii de credit din România autorizate de Banca Naţională a României în conformitate cu legislaţia bancară şi înscrise în Registrul A.S.F. în calitate de intermediar;
c) societăţi de administrare a investiţiilor (S.A.I.), administratori de fonduri de investiţii alternative (A.F.I.A.), respectiv:
1. societăţi care deţin active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de peste 250 milioane euro, echivalent lei;
2. societăţi care deţin active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de până la 250 milioane euro, echivalent lei;
d) depozitari centrali, case de compensare/contrapărţi centrale;
e) societăţi de asigurare şi reasigurare, astfel cum sunt definite la art. 2 alin. (1) lit. n) şi alin. (3) lit. b) din Regulamentul (UE) 2022/2.554;
f) intermediari principali care desfăşoară activitate de distribuţie a produselor de asigurare şi reasigurare, astfel cum sunt definiţi la art. 2 alin. (1) lit. o) şi alin. (3) lit. e) din Regulamentul (UE) 2022/2.554.
ART. 54^2
Entităţile prevăzute la art. 54^1 alin. (2) transmit către A.S.F. următoarele:
a) raportul anual privind evaluarea internă a riscurilor operaţionale efectuată în conformitate cu prevederile art. 6 alin. (1), până la data de 31 martie 2025;
b) raportarea electronică anuală cu indicatorii prevăzuţi în anexa nr. 4, în cazul în care aceşti indicatori sunt aplicabili şi sunt aferenţi sistemelor informatice importante, până la data de 31 martie 2025, pentru anul anterior.
ART. 54^3
Entităţile care intră sub incidenţa Regulamentului (UE) 2022/2.554 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011 de la data de 17 ianuarie 2025 şi care sunt autorizate de către A.S.F. şi ca administratori de fonduri de pensii private vor aplica prevederile Regulamentului (UE) 2022/2.554 şi ale cadrului legal naţional emis în baza acestuia, inclusiv pentru activităţile desfăşurate în cadrul sistemului de pensii private, cu aplicarea prevederilor art. 54^1 şi 54^2."
3. Articolul 55 se modifică şi va avea următorul cuprins:
"ART. 55
Anexele nr. 1-6 fac parte integrantă din prezenta normă."
4. După anexa nr. 5 se introduce o nouă anexă, anexa nr. 6, cu următorul cuprins:
" ANEXA 6
Entităţile prevăzute la art. 54^1 din normă au obligaţia să transmită, după caz, raportul de audit IT, cu respectarea activităţilor prevăzute în anexa nr. 2 aferente categoriei lor de risc, însoţit de copia certificatului de auditor IT semnată pentru conformitate cu originalul valabil la momentul întocmirii raportului de audit IT conform celor prezentate mai jos:
a) ciclul de auditare 1 an (risc major) - operatori de piaţă/administratori ai sistemelor multilaterale de tranzacţionare (SMT)/administratori ai sistemelor organizate de tranzacţionare (SOT); depozitari centrali, case de compensare/contrapărţi centrale; intermediari care au calitatea de operatori independenţi:
- ciclul de auditare IT aferent anului 2024 - societăţile transmit raportul de audit IT până la 30 iunie 2025;
b) ciclul de auditare 2 ani (risc important) - societăţi de asigurare şi reasigurare, astfel cum sunt definite la art. 2 alin. (1) lit. n) şi alin. (3) lit. b) din Regulamentul (UE) 2022/2.554; S.S.I.F. semnificative din punctul de vedere al mărimii, organizării interne şi naturii, extinderii şi complexităţii activităţii, conform reglementărilor specifice, intermediari care folosesc facilităţi de tranzacţionare prin internet (ADP/AS) - platforme de preluare şi transmitere a ordinelor clienţilor, intermediari care au calitatea de market makeri şi/sau furnizori de lichiditate:
(i) ciclul de auditare IT aferent perioadei 2023-2024 - entităţile transmit raportul de audit IT până la 30 iunie 2025 pentru perioada 2023-2024;
(ii) ciclul de auditare IT aferent 2024-2025 - entităţile transmit raportul de audit IT până la 30 septembrie 2025 pentru anul 2024;
c) ciclul de auditare 3 ani (risc mediu) - societăţi de administrare a investiţiilor (S.A.I.), administratori de fonduri de investiţii alternative (A.F.I.A.) care deţin active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de peste 250 milioane euro, echivalent lei; intermediari care prestează servicii conexe de păstrare în siguranţă şi administrare a instrumentelor financiare în contul clienţilor, inclusiv custodia şi servicii în legătură cu aceasta, cum ar fi administrarea fondurilor sau garanţiilor; intermediari care tranzacţionează pe cont propriu şi nu se încadrează în categoriile de la art. 2 lit. d) pct. 1-5 din normă:
(i) ciclul de auditare IT aferent perioadei 2022-2024 - entităţile transmit raportul de audit IT până la 30 iunie 2025 pentru perioada 2022-2024;
(ii) ciclul de auditare IT aferent perioadei 2023-2025 - entităţile transmit raportul de audit IT până la 30 decembrie 2025 pentru perioada 2023-2024;
(iii) ciclul de auditare IT aferent perioadei 2024-2026 - entităţile nu au obligaţia transmiterii în anul 2025 a raportului de audit IT întocmit în baza prevederilor normei;
d) ciclul de auditare 4 ani (risc scăzut) - societăţi de administrare a investiţiilor (S.A.I.), administratori de fonduri de investiţii alternative (A.F.I.A.) care deţin active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de până la 250 milioane euro, echivalent lei, intermediari care nu tranzacţionează pe cont propriu şi nu se încadrează în categoriile de la art. 2 lit. d) pct. 1-5 din normă, precum şi intermediarii principali care desfăşoară activitate de distribuţie a produselor de asigurare şi reasigurare, astfel cum sunt definiţi la art. 2 alin. (1) lit. o) şi alin. (3) lit. e) din Regulamentul (UE) 2022/2.554:
(i) ciclul de auditare IT aferent perioadei 2021-2024 - entităţile transmit raportul de audit IT până la 30 iunie 2025 pentru perioada 2021-2024;
(ii) ciclul de auditare IT aferent perioadei 2022-2025 - entităţile transmit raportul de audit IT până la 30 decembrie 2025 pentru perioada 2022-2024;
(iii) ciclul de auditare IT aferent perioadei 2023-2026 - entităţile nu au obligaţia transmiterii în anul 2025 a raportului de audit IT întocmit în baza prevederilor normei;
(iv) ciclul de auditare IT aferent perioadei 2024-2027 - entităţile nu au obligaţia transmiterii în anul 2025 a raportului de audit IT întocmit în baza prevederilor normei."
ART. II
Prezenta normă se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare la data publicării.
Preşedintele Autorităţii de Supraveghere Financiară,
Alexandru Petrescu
Bucureşti, 17 decembrie 2024.
Nr. 26.
------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
