Băncile vor fi obligate să notifice imediat BNR și clienții afectați de incidentele IT majore, de la 17 ianuarie 2025 – proiect de lege adoptat de Guvern

Băncile și alte instituții financiare, inclusiv de plată vor fi obligate, începând cu data de 17 ianuarie 2025, să-și informeze, fără întârzieri, clienții ale căror interese financiare sunt afectate de incidente IT majore, inclusiv cu privire la eventuale măsuri de protecție, potrivit unui proiect de lege adoptat miercuri de Guvern. Și Banca Națională a României (BNR) va trebui informată cu privire la orice incident operațional sau de securitate major.

Începând cu data de 17 ianuarie 2025, vor fi aplicate în România noi reglementări pentru consolidarea securității cibernetice a entităților financiare și, implicit, o mai bună protejare a informațiilor clienților de servicii financiare.

Este vorba despre transpunerea în legislația națională a Directivei DORA, printr-un proiect de lege aprobat miercuri de Guvern și care urmează să fie transmis spre dezbatere și aprobare Parlamentului.

• „Potrivit noului Regulament, băncile și alte instituții financiare, inclusiv de plată, trebuie să administreze riscurile informatice și să aibă un plan și o structură clară în acest sens.
• Banca Națională a României va fi informată cu privire la orice incident operațional sau de securitate major.
• De asemenea, potrivit Regulamentului DORA, care se va aplica în mod direct, în cazul în care are loc un incident major legat de TIC care are un impact asupra intereselor financiare ale clienților, entitățile financiare îi informează pe aceștia, fără întârzieri nejustificate, de îndată ce află despre incidentul major. De asemenea, îi informează pe clienții afectați cu privire la eventualele măsuri de protecție”, a anunțat miercuri Guvernul.

Directiva DORA se va aplica începând cu data de 17 ianuarie 2025 împreună cu Regulamentul (UE) 2022/2554 privind rezilienţa operaţională digitală pentru sectorul financiar (Regulamentul DORA), care este de directă aplicare şi nu necesită transpunere în dreptul intern.

Ambele documente europene au scopul să sprijine şi să faciliteze consolidarea securităţii cibernetice în domeniul serviciilor financiare.

Având în vedere că instituțiile de credit, instituțiile de plată, instituțiile emitente de monedă electronică și firmele de investiții depind în mod semnificativ de tehnologiile digitale în desfășurarea activității curente, este necesară administrarea continuă în mod solid și preventiv a riscurilor TIC și dispunerea de politici și planuri de continuitate și de răspuns în cazul unei întreruperi grave a activității.

De asemenea, având în vedere amplificarea interconexiunilor și dependențelor din interiorul sectorului financiar, riscul cibernetic a devenit un risc sistemic. La nivelul Uniunii Europene și la nivel național, în acest moment, cerințele privind gestionarea riscurilor TIC sunt neomogene și incomplete, riscurile TIC fiind abordate în unele cazuri doar în mod implicit ca parte a riscurilor operaționale, iar în alte cazuri nefiind abordate deloc.

Transpunerea în legislația națională a Directivei DORA asigură aplicarea coerentă a noului cadru european privind reziliența operațională digitală.