Codirlaşu (CFA România): O mare parte din reglementările DORA sunt prinse în legislaţia românească

O mare pare din reglementările cu care vine Directiva europeană privind rezilienţa operaţională digitală (DORA) sunt prinse într-un fel sau altul în legislaţia românească, dar va trebui să vedem unde sunt golurile şi cum le acoperim, a afirmat miercuri Adrian Codirlaşu, vicepreşedinte CFA România, într-o conferinţă de specialitate.

„Riscul cibernetic şi riscul aferent furnizorilor terţi sunt riscuri operaţionale. Prin urmare, DORA se referă la o componentă a riscului operaţional. Însă dacă ne uităm, să zicem, la tipurile de evenimente de risc operaţional prevăzute de legislaţie, începând cu Basel II, sunt şapte tipuri de evenimente şi aş spune că DORA se referă la patru dintre ele. Poate chiar la cinci. Practic, la ce ne poate duce neluarea în considerare a acestui risc aferent utilizării de echipamente IT? La fraude ne poate conduce, în cazul în care sistemele nu sunt corect setate şi avem asemenea evenimente şi ne mai poate conduce la întreruperi ale activităţii într-o instituţie financiară. De asemenea, când nu sunt corect implementate sau corect calibrate pentru activitatea pe care o avem, ne poate duce la erori în relaţia cu clienţii şi chiar cu reglementatorii atunci când avem de raportat anumite lucruri făcute de sisteme şi nu reuşim să raportăm. Deci, vedem că merge către o mare parte din riscurile operaţionale. De asemenea, trebuie să ne uităm şi la relaţia cu terţii”, a explicat Adrian Codirlaşu, la conferinţa „DORA – Strategy, Regulation, Resilience” organizată de Oxygen Events şi Model Tree.

El a adăugat că în legislaţia românească pe partea de sistem bancar există regulamentul BNR, care se referă la condiţiile de externalizare semnificativă, unde trebuie expres aprobarea Băncii Naţionale, lucru care este mai strict reglementat decât de Directiva DORA.

Adrian Codirlaşu a afirmat că şi pe partea de piaţă financiară nebancară, România are norme ASF care reglementează riscul cibernetic şi relaţiile cu terţii, însă Directiva DORA vine cu ceva suplimentar.

„Până acum în legislaţia aveam doar partea de externalizări, dar mai putem avea relaţii cu terţii care nu sunt externalizări, sunt de exemplu contracte pe o perioadă limitată. Însă, asemenea relaţii implică instituţia financiară. Dacă se întâmplă o fraudă la furnizorul terţ sau scurgere de informaţii la furnizorii terţi, nouă ne vine ca instituţie financiară amenda de la reglementator. Deci, noi răspundem pentru ceea ce face tereţul. Şi în contextul acesta vine DORA cu nişte cerinţe care trebuie puse pe furnizorii de asemenea servicii pentru a gestiona tocmai riscurile operaţionale aferente sistemelor IT din aceste instituţii terţe”, a explicat Adrian Codirlaşu.

Potrivit acestuia, Directiva vine cu cerinţe privind teste de penetrare a sistemelor, inclusiv pentru companiile terţe, fapt care va creşte costul furnizării de asemenea servicii.

„În concluzie, o mare parte dintre componentele riscului operaţional sunt acoperite de DORA. În legislaţia românească aveam o mare parte dintre ele, deci avem pe ce construi. E adevărat, trebuie să punem într-un anumit framework toate lucrurile acestea, însă nu pornim de la zero. O mare parte din aceste reglementări sunt cumva într-un fel sau altul prinse în legislaţia a românească. Altele erau să zicem implicite, nu prevăzute expres însă va trebui să să existe un proces de a vedea unde sunt gap-urile şi de a le acoperi”, a mai spus Adrian Codirlaşu.

Guvernul a aprobat, în septembrie, un proiect de lege care transpune în legislaţia naţională Directiva DORA, pentru consolidarea securităţii cibernetice a entităţilor financiare şi, implicit, o mai bună protejare a informaţiilor clienţilor de servicii financiare, a declarat atunci purtătorul de cuvânt al Executivului, Mihai Constantin.

„Începând cu 17 ianuarie 2025, anul viitor aşadar, vor fi aplicate în România noi reglementări pentru consolidarea securităţii cibernetice a entităţilor financiare şi, implicit, o mai bună protejare a informaţiilor clienţilor de servicii financiare. Este vorba despre transpunerea în legislaţia naţională a Directivei DORA printr-un proiect de lege aprobat astăzi de către Guvern şi care urmează să fie transmis, tot în procedură de urgenţă, Parlamentului. Directiva DORA se va aplica începând, aşa cum am anunţat, cu 17 ianuarie anul viitor, împreună cu Regulamentul 2554 pe 2022 al Uniunii Europene privind rezilienţa operaţională digitală pentru sectorul financiar, care este de directă aplicare şi nu necesită transpunere în dreptul intern. Ambele aceste documente, regulamentul şi proiectul de lege, au scopul să sprijine şi să faciliteze consolidarea securităţii cibernetice în domeniul serviciilor financiare”, a precizat Mihai Constantin.

Acesta a dat şi exemple de aplicabilitate a reglementărilor europene menţionate.

„De exemplu, Banca Naţională a României va fi informată cu privire la orice incident operaţional sau de securitate major. De asemenea, potrivit regulamentului DORA, care se va aplica în mod direct, se menţionează că în cazul în care are loc un incident major legat de tehnologia informaţiilor, atunci asupra intereselor financiare ale clienţilor, entităţile financiare îi informează pe aceştia, fără întârzieri nejustificate, de îndată ce află despre acest incident major. De asemenea, informează pe clienţii afectaţi cu privire la eventualele măsuri de protecţie luate pentru a preveni aceste atacuri sau pentru a combate un atac deja precizat”, a arătat purtătorul de cuvânt al Guvernului.