NORMĂ nr. 6/2015 - gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile reglementate, autorizate/avizate şi/sau supravegheate de Autoritatea de Supraveghere Financiară
| Comentarii |
|
AUTORITATEA DE SUPRAVEGHERE FINANCIARĂ
NORMĂNr. 6/2015
privind gestionarea riscurilor operaționale generate de sistemele informatice utilizate de entitățile reglementate, autorizate/avizate și/sau supravegheate de Autoritatea de Supraveghere Financiară
Monitorul Oficial nr. 227 din 03.04.2015
În temeiul prevederilor art. 3 alin. (1) lit. b), art. 5,art. 6 alin. (2) și ale art. 14 din Ordonanța de urgență a Guvernului nr. 93/2012 privind înființarea, organizarea și funcționarea Autorității de Supraveghere Financiară, aprobată cu modificări și completări prin Legea nr. 113/2013, cu modificările și completările ulterioare,
în urma deliberărilor Consiliului Autorității de Supraveghere Financiară din cadrul ședinței din data de 18 martie 2015,
Autoritatea de Supraveghere Financiară emite următoarea normă:
CAPITOLUL I
Dispoziții generale
Art. 1.
(1) Prezenta normă stabilește cerințele la nivelul entităților autorizate/avizate, reglementate și/sau supravegheate de către Autoritatea de Supraveghere Financiară, denumită în continuare A.S.F., pentru identificarea, prevenirea și reducerea impactului potențial negativ al riscurilor operaționale generate de utilizarea tehnologiei informației și comunicațiilor la nivel de oameni, procese, sisteme și mediu extern, inclusiv de fapte ce țin de criminalitatea informatică.
(2) Prezenta normă stabilește activități și operațiuni pentru evaluarea, supravegherea și controlul riscurilor operaționale generate de utilizarea sistemelor informatice și ale securității informatice.
Art. 2.
Prezenta normă se aplică următoarelor categorii de entități autorizate/avizate, reglementate și/sau supravegheate de A.S.F., denumite în continuare entități:
a) operatori de piață/operatori de sistem;
b) societăți de administrare a investițiilor (SAI), organisme de plasament colectiv (OPC și AOPC) care se autoadministrează, după cum urmează:
1. societăți cu active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de peste 250 milioane euro, echivalent lei;
2. societăți cu active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de până la 250 milioane euro, echivalent lei;
c) depozitari centrali, case de compensare/contrapărți centrale;
d) intermediari - societăți de servicii de investiții financiare (S.S.I.F.) încadrate la art. 6 alin. (1) din Legea nr. 297/2004 privind piața de capital, cu modificările și completările ulterioare, sucursale ale intermediarilor din state nemembre și instituții de credit din România autorizate de Banca Națională a României în conformitate cu legislația bancară și înscrise în Registrul public al A.S.F. în calitate de intermediar, și anume:
1. intermediari care au calitatea de operator independent;
2. intermediari care prestează servicii conexe, prevăzute la art. 5 alin. (11) lit. a) din Legea nr. 297/2004, cu modificările și completările ulterioare;
3. intermediari care folosesc facilități de tranzacționare prin internet (ADP/AS) - platforme de preluare și transmitere a ordinelor clienților;
4. intermediari care au calitatea de market makeri și/sau furnizori de lichiditate;
5. intermediari care tranzacționează pe cont propriu și nu se încadrează în categoriile de la pct. 1-4;
6. intermediari care nu tranzacționează pe cont propriu și nu se încadrează în categoriile de la pct. 1-4;
e) traderi;
f) Fondul de compensare a investitorilor;
g) societăți de asigurare/reasigurare;
h) brokeri de asigurare/reasigurare;
i) entități care desfășoară activitatea de depozitare a activelor organismelor de plasament colectiv și a fondurilor de pensii private;
j) societăți de administrare a fondurilor de pensii private.
Art. 3.
Termenii și expresiile utilizate în prezenta normă au înțelesul prevăzut în anexa nr. 1.
Art. 4.
(1) Prevederile prezentei norme se aplică de către entități în funcție de categoria de risc stabilită de A.S.F. conform art. 6 alin. (1) și, respectiv, în funcție de rezultatul evaluării interne a riscurilor, pe baza celor mai bune practici în domeniu.
(2) Categoria de risc corespunzătoare fiecărui tip de entitate este stabilită de către A.S.F. în funcție de natura, dimensiunea și complexitatea activității acesteia, precum și de riscurile pe care le poate induce, respectiv de impactul asupra activității, în conformitate cu prevederile art. 6 alin. (1).
(3) Entitățile vor participa la colectarea, analizarea, monitorizarea și raportarea evenimentelor de securitate informatică, în cadrul sistemului dezvoltat de A.S.F.
Art. 5.
(1) Entitățile evaluează anual și monitorizează continuu riscurile operaționale generate de utilizarea sistemelor informatice, prioritizează resursele, implementează măsuri de securitate informatică și monitorizează eficacitatea acestora prin aplicarea managementului de risc.
(2) Modalitatea de implementare a măsurilor de securitate informatică este stabilită de fiecare entitate, în funcție de profilul de risc, de riscurile identificate, de incidentele apărute, în conformitate cu cerințele legale aplicabile.
CAPITOLUL II
Încadrarea entităților în categorii de risc
Art. 6.
(1) În scopul prezentei norme, entitățile prevăzute la art. 2 se includ în patru categorii de risc: "risc major", "risc important", "risc mediu", "risc scăzut", după cum urmează:
a) entitățile prevăzute la art. 2 lit. a), c) și lit. d) pct. 1 reprezintă entități încadrate în categoria de "risc major";
b) entitățile prevăzute la art. 2. lit. d) pct. 2, 3 și 4, lit. g) și i) reprezintă entități încadrate în categoria de "risc important";
c) entitățile prevăzute la art. 2 lit. b) pct. 1, lit. d) pct. 5 și lit. f) reprezintă entități încadrate în categoria de "risc mediu";
d) entitățile prevăzute la art. 2 lit. b) pct. 2, lit. d) pct. 6, lit. e) și h) reprezintă entități încadrate în categoria de "risc scăzut".
(2) Entitatea care prestează mai multe tipuri de activități autorizate de către A.S.F., încadrându-se astfel în mai multe categorii de risc dintre cele menționate la alin. (1), va respecta obligațiile instituite pentru fiecare activitate autorizată în parte.
(3) Societățile de administrare a fondurilor de pensii private vor fi încadrate individual în categorii de risc, conform prevederilor art. 44 alin. (4) lit. e) și ale art. 51 din Norma Consiliului Autorității de Supraveghere Financiară nr. 3/2014 privind controlul intern, auditul intern și administrarea riscurilor în sistemul de pensii private.
(4) Încadrarea, respectiv reîncadrarea entităților menționate la art. 2 lit. b) se realizează la începutul fiecărui an, în baza valorii totale a activelor în portofoliu/administrate din ultima zi lucrătoare a anului anterior.
(5) Încadrarea, respectiv reîncadrarea entităților menționate la art. 2 lit. d) se realizează la începutul fiecărui an, în baza activității autorizate de A.S.F. și a deținerii calității de market maker/furnizor de lichiditate în ultima zi lucrătoare a anului anterior.
CAPITOLUL III
Activitățile desfășurate de entități
Art. 7.
(1) Entitățile desfășoară cel puțin activitățile obligatorii corespunzătoare fiecărei categorii de risc prevăzute la art. 6 alin. (1), conform tabelului din anexa nr. 2.
(2) În termen 90 de zile de la publicarea prezentei norme în Monitorul Oficial al României, Partea I, A.S.F. va elabora și publica pe site-ul propriu ghidul de îndrumare care cuprinde detalii și parametrii referitori la modalitatea de implementare a activităților obligatorii menționate la alin. (1). Acest ghid are un caracter orientativ și poate fi actualizat de A.S.F. în funcție de bunele practici în materie.
Art. 8.
(1) Raportat la activitatea desfășurată entitățile se asigură că sistemele informatice utilizate îndeplinesc cel puțin următoarele cerințe:
a) asigură integritatea, confidențialitatea, autenticitatea, disponibilitatea datelor în concordanță cu categoria de risc a sistemului informatic definită intern de către entitate, precum și prelucrarea acestora în conformitate cu reglementările A.S.F., luând în considerare posibilitatea actualizării acestora, în funcție de modificările intervenite în legislația incidentă;
b) asigură respectarea conținutului de informații prevăzut în formularele de raportare corespunzătoare entităților, așa cum sunt prevăzute în legislația specifică, precum și alte raportări solicitate prin reglementările A.S.F.;
c) asigură reconstituirea rapoartelor și informațiilor supuse verificării;
d) asigură stocarea și păstrarea datelor înregistrate și jurnalizate de către sistemele de tranzacționare și back-office pentru o perioadă de timp în conformitate cu legislația aplicabilă în vigoare. Sistemul de păstrare a datelor trebuie să asigure posibilitatea ca aceste date să poată fi transmise sau puse la dispoziția A.S.F. la cerere;
e) asigură posibilitatea de restaurare a datelor arhivate pe suport digital extern, precum, dar fără a se limita la, informații, date introduse, situații financiare sau alte documente;
f) asigură elemente de identificare a datelor supuse prelucrării sau verificării. Sistemele informatice asigură identificarea exactă a timpului la care au fost efectuate înregistrările și identificarea utilizatorilor sistemului la acel moment;
g) asigură confidențialitatea și protecția informațiilor și a programelor prin parole, coduri de identificare pentru accesul la informații, precum și realizarea de copii de siguranță pentru programele și informațiile deținute;
h) asigură mecanisme de securitate și control al sistemelor informatice, pentru păstrarea în siguranță a datelor și informațiilor stocate, a fișierelor și bazelor de date, inclusiv în situația unor evenimente de risc.
(2) Sistemele informatice care oferă intermediarilor și clienților lor accesul la platforme electronice de tranzacționare, precum și cele care evidențiază operațiuni de compensare, decontare și registru pentru instrumente financiare și operațiuni cu aceste instrumente, asigură cel puțin, fără a se limita la:
a) securitatea și integritatea datelor procesate prin folosirea unei modalități de securizare atât asupra datelor trimise către platformele electronice de tranzacționare și către cele de compensare, decontare și registru, cât și asupra datelor recepționate de la aceste sisteme;
b) mecanisme care să garanteze nerepudierea datelor transmise și recepționate;
c) jurnalizarea în timp real a informației despre ordinele transmise spre executare, a stării acestor ordine, respectiv a modificărilor care se aduc acestor ordine în decursul existenței lor de către clienții și intermediarii care utilizează aceste sisteme informatice;
d) mecanisme de nerepudiere a integrității înregistrării operațiunilor de sistem informatic.
CAPITOLUL IV
Auditarea și testarea sistemului informatic
SECȚIUNEA 1
Auditul informatic
Art. 9.
(1) Entitățile încadrate la categoria de risc major au obligația de a audita extern sistemul informatic utilizat, cu periodicitate anuală.
(2) Entitățile încadrate la categoria de risc important au obligația de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 2 ani.
(3) Entitățile încadrate la categoria de risc mediu au obligația de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 3 ani.
(4) Entitățile încadrate la categoria de risc scăzut au obligația de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 4 ani.
(5) A.S.F. este îndreptățită să instituie în sarcina entității obligația auditării externe a sistemului informatic pentru activitățile solicitate de către A.S.F. dacă:
a) în urma constatărilor rezultă că o entitate nu a desfășurat toate activitățile minime obligatorii categoriei de risc în care aceasta se încadrează, conform prevederilor art. 7, sau activitățile desfășurate au un caracter formal;
b) A.S.F. apreciază că se impune efectuarea unor investigații suplimentare ale sistemelor informatice.
(6) Instituirea de către A.S.F. a obligației de auditare a sistemului IT conform alin. (5) este însoțită de termenul până la care entitatea este obligată să transmită la A.S.F. raportul de audit, iar acest termen nu poate să depășească 90 de zile lucrătoare.
(7) Auditul extern se efectuează în baza unui contract încheiat între entitatea care a solicitat auditarea și unul dintre auditorii IT avizați de A.S.F. conform prevederilor art. 10 alin. (2). Entitățile nu pot contracta auditul IT cu același auditor IT pentru mai mult de 3 auditări obligatorii consecutive dintre cele prevăzute la alin. (1)-(4).
(8) Contractul de audit IT prevăzut la alin. (7) cuprinde în mod obligatoriu clauze cu privire la faptul că auditorul IT are obligația de a respecta cerințele necesare efectuării auditului sistemului informatic, în conformitate cu prevederile prezentei norme și cu bunele practici în domeniu.
(9) Contractul menționat la alin. (7) trebuie să conțină o clauză expresă prin care auditorul se obligă să notifice în cel mai scurt timp posibil și în scris A.S.F. cu privire la orice fapt sau act în legătură cu sistemul informatic și de comunicații utilizat de entitate și care:
a) este de natură să afecteze continuitatea activității entității auditate;
b) poate conduce la o opinie de audit cu rezerve, la imposibilitatea exprimării unei opinii profesionale sau la o opinie negativă.
(10) Contractul prevăzut la alin. (7) trebuie să conțină o clauză expresă prin care, la solicitarea scrisă a A.S.F., auditorul se obligă să prezinte A.S.F.:
a) orice raport sau document ce a fost adus la cunoștința entității auditate;
b) o declarație care să indice motivele de încetare a contractului de audit, indiferent de natura acestora;
c) orice alte informații sau documente solicitate în legătură cu activitatea de audit IT la care s-a angajat conform contractului.
(11) Respectarea prevederilor alin. (9) și (10) nu contravine dispozițiilor Codului privind conduita etică și profesională în domeniul auditului financiar, nu constituie o încălcare a niciunei restricții privind divulgarea de informații și nu va atrage niciun fel de răspundere asupra persoanei în cauză. Clauza de confidențialitate nu este opozabilă A.S.F.
Art. 10.
(1) Auditorul IT extern, care intenționează să presteze servicii pentru entitățile cărora le sunt incidente prevederile prezentei norme, are obligația obținerii avizului A.S.F.
(2) În vederea obținerea avizului A.S.F., auditorul IT extern depune la A.S.F. o cerere împreună cu documentația care trebuie să cuprindă următoarele, după caz:
a) datele de identificare ale auditorului:
(i) numele complet/denumirea și adresa/sediul (adresa completă - stradă, număr, bloc, scară, etaj, apartament, oraș, județ/sector, cod poștal);
(ii) datele înregistrării fiscale;
(iii) adresa unde își desfășoară activitatea;
(iv) telefon/fax, e-mail, adresa paginii de internet;
(v) dovada experienței și a specializării pe domeniul de audit al sistemelor informatice;
b) numele și prenumele auditorului persoană fizică certificată și a reprezentantului societății, care vor semna raportul de audit, împreună cu următoarele documente:
(i) copia actului de identitate a auditorului;
(ii) curriculum vitae al auditorului, datat și semnat, cu prezentarea experienței profesionale;
(iii) copia certificatului de auditor IT, semnată pentru conformitate cu originalul;
(iv) certificatul de cazier judiciar și certificatul de cazier fiscal, în original, aflate în termenul de valabilitate;
c) copia contractului/poliței de asigurare de răspundere civilă profesională a auditorului IT, pentru suma asigurată de minimum 100.000 euro;
d) copia documentului de plată a tarifului de înscriere în Registrul public al A.S.F.
(3) Avizarea și înscrierea auditorului IT în Registrul public al A.S.F. sau refuzul avizării, motivat, se realizează în termen de maximum 30 de zile calendaristice de la primirea dosarului complet al solicitantului. Refuzul motivat se transmite auditorului IT. Orice modificare a documentației prevăzute la alin. (2) trebuie transmisă A.S.F. în termen de maximum 30 de zile calendaristice de la data modificării.
(4) A.S.F. retrage avizul auditorului IT extern în oricare dintre următoarele cazuri:
a) la cerere;
b) în cazul lichidării sau la declanșarea insolvenței;
c) în cazul nerespectării, în mod repetat, a prevederilor alin. (3), teza a III-a;
d) în cazul nerespectării prevederilor art. 9 alin. (9) și (10), precum și în cazul nerespectării obligațiilor stabilite în sarcina sa de prezenta normă;
e) din alte cauze prevăzute de legislația în vigoare.
(5) Pentru toate situațiile menționate la alin (4) lit. c)-e), A.S.F. va transmite auditorului IT extern o notificare prealabilă prin care se aduc la cunoștință faptele pentru care se va proceda la retragerea avizului A.S.F.
(6) Entitățile adoptă toate măsurile necesare pentru evitarea conflictelor de interese ce pot interveni în desfășurarea activității de audit IT.
(7) Activitatea de audit trebuie să fie independentă față de activitatea auditată, pentru a nu fi compromisă obiectivitatea activității de audit. Auditorii trebuie să fie independenți și obiectivi în toate aspectele legate de misiunea de audit.
(8) Entitățile, inclusiv cele care efectuează auditul IT cu resurse interne certificate, sunt obligate să furnizeze auditorului informații complete, corespunzătoare, relevante și în timp util, pentru a permite efectuarea în bune condiții a activității de audit IT.
(9) La finalizarea auditului IT, auditorii IT au obligația de a întocmi un raport de audit care să cuprindă cel puțin următoarele elemente:
a) titlul raportului, identificarea și descrierea entității auditate, respectiv beneficiarul raportului;
b) destinatarii raportului și orice restricții privind conținutul și circulația raportului;
c) domeniul auditat, obiectivele activității, perioada auditată;
d) natura, cronologia și gradul de acoperire ale procedurilor de audit efectuate;
e) orice calificare de opinie sau limitare a ariei acoperite de audit;
f) datele de identificare ale membrilor echipei de audit, care cuprind cel puțin numele și prenumele, telefon, fax, e-mail și adresa unde își desfășoară activitatea;
g) semnătura coordonatorului certificat al echipei de audit și semnătura reprezentantului legal al auditorului persoană juridică;
h) locul auditării;
i) data raportului;
j) descrierea ariei auditului, incluzând:
(i) descrierea sistemelor auditate;
(ii) măsurile organizatorice: politicile aplicabile și procedurile implementate;
(iii) identificarea aplicațiilor utilizate și a persoanelor implicate;
(iv) componentele sistemelor informatice utilizate;
(v) un sumar conținând analiza riscurilor aferente activității, a posibilelor deficiențe ale sistemului informatic auditat și a măsurilor de reducere a riscurilor asociate, în baza controalelor generale sau specifice implementate conform prezentei norme;
(vi) referire cu privire la corectitudinea raportărilor efectuate în conformitate cu art. 14 alin. (4) aferente perioadei dintre două activități de auditare IT;
(vii) descrierea modului prin care s-a efectuat atacul etic/testul de penetrare, în cazul entităților care sunt obligate să efectueze teste de penetrare conform tabelului din anexa nr. 2;
k) concluziile detaliate ale echipei de audit privind îndeplinirea cerințelor prevăzute la art. 5, 8, 11, 12 și 13, pentru fiecare cerință, cu mențiunea: DA/NU, precum și motivația, în cazul nerespectării acesteia;
l) afirmația de conformitate, reflectată prin "opinia pozitivă" cu privire la conformarea parțială/totală referitoare la obiectivele auditului, indicând punctele care trebuie îmbunătățite, reflectate prin "opinia cu rezerve/calificată", sau de neîndeplinire a obiectivelor testate/auditate, reflectată prin "opinia negativă";
m) o anexă la raportul de audit IT, însușită de entitatea auditată prin semnarea acesteia de către un reprezentant legal al entității, conținând:
(i) constatările și concluziile;
(ii) neconformitățile, lipsa controalelor sau controale ineficiente;
(iii) importanța neconformității sau deficienței de control;
(iv) probabilitatea ca aceste constatări să aibă un impact semnificativ și riscuri asociate;
(v) recomandările pentru acțiuni corective și răspunsul conducerii entității auditate pentru fiecare constatare din raport, inclusiv termenul de aplicare;
(vi) rezultatul obținut la atacul etic/testul de penetrare, în cazul entităților care sunt obligate să efectueze teste de penetrare conform tabelului din anexa nr. 2;
n) declarația pe propria răspundere a auditorului IT cu privire la faptul că auditul a fost efectuat în conformitate cu prezenta normă și cu standardele de audit în vigoare la momentul realizării auditului, cu menționarea acestora;
o) declarația pe propria răspundere a auditorului IT extern cu privire la faptul că acesta nu se află în relații cu entitatea auditată sau cu angajații entității care ar putea să îi afecteze independența sau obiectivitatea activității de audit.
SECȚIUNEA a 2-a
Cerințe referitoare la furnizorii externi și furnizorii de servicii IT externalizate pentru sistemele informatice importante
Art. 11.
(1) Entitățile se asigură că, pentru sistemele informatice importante, furnizorii de servicii IT externalizate, inclusiv prin externalizările în lanț, cu excepția furnizorilor de servicii de comunicații, a celor de hardware și de licențe software, raportat strict pentru activitatea externalizată:
a) respectă aceleași cerințe de auditare ca și cele solicitate entității prin prezenta normă;
b) prezintă, la solicitarea A.S.F., modalitatea prin care sunt îndeplinite cerințele adresate entității prin prezenta normă;
c) permit A.S.F. și auditorului IT să verifice și/sau să auditeze sistemele sale informatice conform prezentei norme.
(2) Orice externalizare se realizează cu respectarea prevederilor legale aplicabile incidente sectorului de activitate.
(3) În situațiile în care nu există alte prevederi legale aplicabile sectorului respectiv de activitate, pentru externalizarea unor servicii IT și în toate cazurile în care sunt utilizate serviciile unor furnizori externi, definiți la pct. 28 din anexa nr. 1, entitatea are obligația de a notifica A.S.F., furnizorul extern sau furnizorul de servicii IT externalizate în termen de 10 zile lucrătoare de la momentul încheierii contractului cu acesta, exclusiv pentru sistemele informatice importante.
(4) Notificarea prevăzută la alin. (3) trebuie să includă următoarele informații și documente anexate, după caz:
a) descrierea serviciilor furnizate/externalizate;
b) datele de identificare ale furnizorului:
(i) sediul societății, respectiv adresa completă - stradă, număr, bloc, scară, etaj, apartament, oraș, județ/sector, cod poștal, după caz;
(ii) datele înregistrării fiscale;
(iii) telefon/fax, e-mail, pagina de internet;
c) certificări în funcție de tipul serviciului sau activității desfășurate:
(i) SR ISO/IEC 27001 sau certificări pentru standarde echivalente;
(ii) pentru furnizarea și dezvoltarea de programe informatice software - certificări aferente;
(iii) pentru furnizarea de servicii externalizate - certificări aferente;
(iv) pentru furnizarea de servicii de găzduire sau externalizare prin intermediul centrelor de date - condiții tehnice conform TIA-942 nivel 2 sau echivalent;
(v) pentru furnizarea de servicii de arhivare electronică prin centre de date - autorizare conform prevederilor legale;
(vi) pentru furnizarea de servicii externalizate de tip cloudcomputing public se prezintă certificate specifice activităților externalizate.
(5) În cazul modificării unor informații sau documente, copia sau originalul documentelor modificate se va depune la A.S.F., în termen de maximum 30 de zile calendaristice de la data modificării.
SECȚIUNEA a 3-a
Cerințe cu privire la testarea sistemelor/programelor informatice importante
Art. 12.
(1) Entitățile au obligația de a identifica toate sistemele/programele informatice utilizate și de a le evidenția într-un registru care trebuie să cuprindă:
a) sistemele/programele informatice importante;
b) modificările sistemelor/programelor informatice importante;
c) detalii referitoare la modificările majore ale sistemelor/ programelor informatice importante.
(2) În aplicarea prevederilor alin. (1) lit. c), modificările majore se referă la:
a) schimbarea integrală a sistemelor/programelor informatice importante;
b) externalizarea unor servicii IT;
c) schimbarea proceselor de arhivare electronică, de restaurare sau sincronizare a bazelor de date.
Art. 13.
(1) Entitățile au obligația să testeze sistemele/programele informatice importante înainte de prima utilizare și la orice modificare în cadrul ciclului de viață al acestora, indiferent dacă sunt realizate cu resurse interne sau de către furnizori externi.
(2) Rezultatul testărilor prevăzute la alin. (1) se consemnează într-un raport de testare IT care cuprinde cel puțin următoarele elemente:
a) scopul testării;
b) perioada testării;
c) descrierea programului testat;
d) identificarea aplicațiilor utilizate și a persoanelor implicate;
e) analiza riscurilor implicate de achiziția sau modificarea programului informatic important, a posibilelor vulnerabilități și a măsurilor de reducere a riscurilor asociate prin controale de sistem sau de program informatic;
f) descrierea modului prin care s-au efectuat testele, scenariile de test, eventualele norme sau standarde aplicate și rezultatul testării;
g) concluzia echipei de testare;
h) semnătura membrilor echipei de testare.
(3) Rapoartele de testare IT se păstrează la entitate, cel puțin până la următoarea auditare IT, și sunt puse la dispoziția auditorului IT și A.S.F. la cerere.
CAPITOLUL V
Cerințe de raportare
Art. 14.
(1) Entitățile au obligația raportării evaluării prevăzute la art. 5 alin. (1) și a auditării prevăzute la art. 9, astfel:
a) rezultatul evaluării interne a riscurilor operaționale este transmis A.S.F. anual până la 31 martie a anului curent, pentru anul anterior;
b) raportul de audit IT este transmis A.S.F. până la 30 iunie a anului curent, pentru perioada supusă auditării, corespunzătoare fiecărei categorii de risc prevăzute la art. 6 alin. (1).
(2) Entitățile depun raportul de audit IT împreună cu planul de acțiune din care să rezulte modalitatea de remediere a vulnerabilităților identificate pe parcursul derulării activității de audit IT, dacă este cazul.
(3) Rapoartele privind evaluarea internă a riscurilor operaționale prevăzute la alin. (1) lit. a) și rapoartele de audit IT prevăzute la alin. (1) lit. b) se depun la A.S.F. pe suport hârtie sau în format electronic cu semnătură electronică extinsă.
(4) Entitățile transmit până la data de 31 martie a anului curent, pentru anul anterior, o raportare electronică anuală cu indicatorii menționați în anexa nr. 3, în măsura în care acești indicatori sunt aplicabili și sunt aferenți sistemelor informatice importante.
(5) Pentru situațiile în care datele referitoare la anumiți indicatori nu sunt disponibile în cazul unei anumite entități din cauza tipului acesteia, naturii, dimensiunii sau complexității activităților desfășurate de aceasta, în celula corespunzătoare din raport se va insera acronimul N/A (neaplicabil).
CAPITOLUL VI
Contravenții
Art. 15.
Nerespectarea prevederilor prezentei norme de către entitățile prevăzute la art. 2 constituie contravenție conform prevederilor art. 39 alin. (2) lit. a) din Legea nr. 32/2000 privind activitatea de asigurare și supravegherea asigurărilor, cu modificările și completările ulterioare, respectiv ale art. 272 alin. (1) lit. a) pct. 6, lit. b) pct. 5, lit. c) pct. 4, lit. d) pct. 4, lit. e) pct. 6, lit. f) pct. 3, lit. h) pct. 8, lit. j) pct. 17 și lit. k) pct. 3 din Legea nr. 297/2004, cu modificările și completările ulterioare, în funcție de tipul entității.
CAPITOLUL VII
Dispoziții tranzitorii și finale
Art. 16.
(1) Cerințele prevăzute de prezenta normă sunt puse în aplicare de către entități, începând cu data de 1 ianuarie
2016, cu excepția prevederilor art. 11 referitoare la furnizorii externi și furnizorii de servicii IT externalizate care se aplică începând cu data de 30 septembrie 2016, iar entitățile vor transmite notificările menționate la art. 11 alin. (3) până la 31 decembrie 2016.
(2) Până la data de 30 iunie 2016, toate entitățile vor transmite A.S.F. rezultatul primei evaluări interne a riscurilor operaționale prevăzut la art. 14 alin. (1) lit. a), precum și prima raportare electronică prevăzută la art. 14 alin. (4).
(3) Începând cu data de 1 ianuarie 2017, toate entitățile trebuie să efectueze raportările la termenele prevăzute la art. 14.
(4) Pentru toate entitățile, prima auditare IT se va realiza cel mai târziu până la data de 31 decembrie 2016.
Art. 17.
(1) La data de 1 iulie 2015 se abrogă Instrucțiunea nr. 2/2011 privind auditarea sistemelor informatice utilizate de entitățile autorizate, reglementate și supravegheate de Comisia Națională a Valorilor Mobiliare, aprobată prin Ordinul Comisiei Naționale a Valorilor Mobiliare nr. 10/2011, publicată în Monitorul Oficial al României, Partea I, nr. 118 din 16 februarie 2011, cu modificările ulterioare.
(2) La data intrării în vigoare a prezentei norme se abrogă:
a) Dispunerea de măsuri a Comisiei Naționale a Valorilor Mobiliare nr. 19/20101;
b) art. 25 din Normele privind principiile de organizare a unui sistem de control intern și management al riscurilor, precum și organizarea și desfășurarea activității de audit intern la asigurători/reasigurători, aprobate prin Ordinul Comisiei de Supraveghere a Asigurărilor nr. 18/2009, publicat în Monitorul Oficial al României, Partea I, nr. 621 din 16 septembrie 2009, cu modificările și completările ulterioare;
c) orice dispoziție contrară prevederilor prezentei norme.
Art. 18.
Anexele nr. 1-3 fac parte integrantă din prezenta normă.
Art. 19.
Prezenta normă se publică în Monitorul Oficial al României, Partea I, precum și în Buletinul A.S.F. și intră în vigoare la data publicării acesteia.
Președintele Autorității de Supraveghere Financiară,
Mișu Negrițoiu
