Banci si asigurari

Bancile si alte institutii financiare trebuie sa informeze clientii incepand din anul 2025 daca are loc un incident major legat de tehnologia informatiei si a comunicatiilor (TIC) care are un impact asupra intereselor financiare ale clientilor, fara intarzieri nejustificate, de indata ce afla despre incidentul major.

De asemenea, entitatile financiare trebuie si sa ii informeze pe clientii afectati cu privire la eventualele masuri de protectie, potrivit regulamentului european DORA (Digital Operational Resilience Act) privind rezilienta operationala digitala. Astfel, incepand cu 17 ianuarie 2025 vor fi aplicate in Romania noi reglementari pentru consolidarea securitatii cibernetice a entitatilor financiare si, implicit, o mai buna protejare a informatiilor clientilor de servicii financiare. Este vorba despre transpunerea in legislatia nationala a Directivei DORA, printr-un proiect de lege aprobat ieri de guvern si care urmeaza sa fie transmis spre dezbatere si aprobare Parlamentului. Potrivit noului Regulament, bancile si alte institutii financiare, inclusiv de plata, trebuie sa administreze riscurile informatice si sa aiba un plan si o structura clara in acest sens. BNR va fi informata cu privire la orice incident operational sau de securitate major, potrivit informatiilor transmise ieri de Guvern.

Directiva DORA se va aplica incepand cu data de 17.01.2025 impreuna cu Regulamentul (UE) 2022/2554 privind rezilienta operationala digitala pentru sectorul financiar (Regulamentul DORA), care este de directa aplicare si nu necesita transpunere in dreptul intern. Ambele documente europene au scopul sa sprijine si sa faciliteze consolidarea securitatii cibernetice in domeniul serviciilor financiare. Avand in vedere ca institutiile de credit, institutiile de plata, institutiile emitente de moneda electronica si firmele de investitii depind in mod semnificativ de tehnologiile digitale in desfasurarea activitatii curente, este necesara administrarea continua in mod solid si preventiv a riscurilor TIC si dispunerea de politici si planuri de continuitate si de raspuns in cazul unei intreruperi grave a activitatii.

De asemenea, avand in vedere amplificarea interconexiunilor si dependentelor din interiorul sectorului financiar, riscul cibernetic a devenit un risc sistemic. Noile reglementari nu privesc doar bancile, ci si companiile de asigurari, firmele de investitii, furnizorii de servicii crypto etc.