Pe scurt
Această normă stabilește cerințe pentru identificarea, prevenirea și reducerea riscurilor operaționale generate de sistemele informatice utilizate de entitățile reglementate de Autoritatea de Supraveghere Financiară (A.S.F.). De asemenea, reglementează activitățile de evaluare, supraveghere și control al acestor riscuri, inclusiv cele legate de criminalitatea informatică.
Ce reglementează
- Cerințele pentru identificarea, prevenirea și reducerea impactului negativ al riscurilor operaționale generate de utilizarea tehnologiei informației și comunicațiilor.
- Activitățile și operațiunile pentru evaluarea, supravegherea și controlul riscurilor operaționale generate de sistemele informatice.
- Gestionarea riscurilor privind securitatea sistemelor informatice importante.
- Încadrarea entităților în categorii de risc (major, important, mediu, scăzut) în funcție de natura, dimensiunea și complexitatea activității.
Cui îi privește
- Operatorilor de piață/operatorilor de sistem, societăților de administrare a investițiilor, depozitarilor centrali, caselor de compensare/contrapărților centrale.
- Intermediarilor, traderilor, Fondului de compensare a investitorilor, Fondului de garantare a asiguraților, Fondului de garantare a drepturilor din sistemul de pensii private, societăților de asigurare și reasigurare, brokerilor de asigurare, Biroului asigurătorilor de autovehicule din România, entităților care desfășoară activitatea de depozitare a activelor organismelor de plasament colectiv și a fondurilor de pensii private, administratorilor fondurilor de pensii private.
Puncte cheie
- Entitățile trebuie să întocmească și să actualizeze permanent un registru cu sistemele informatice importante.
- Entitățile au obligația să evalueze anual și să monitorizeze continuu riscurile operaționale generate de sistemele informatice importante.
- Entitățile trebuie să efectueze anual o scanare de vulnerabilități și teste de penetrare (externe, interne și de inginerie socială).
- Sistemele informatice importante trebuie să asigure integritatea, confidențialitatea, autenticitatea, disponibilitatea datelor și să permită stocarea și păstrarea datelor pentru o perioadă conform legislației.
- Entitățile au obligația să testeze anual planul de răspuns la incidente de securitate informatică.
Explicație AI pe baza textului oficial al legii. Orientativă, nu înlocuiește consilierea juridică.