Autor: Alexandru Petrescu, președinte ASF
Comitetul European pentru Riscul Sistemic a prezentat, în rapoartele sale care abordează riscul cibernetic sistemic, modul în care nivelul ridicat de interconectare dintre entitățile financiare, piețele financiare și infrastructurile piețelor financiare, în special interdependențele dintre sistemele lor TIC, ar putea constitui o vulnerabilitate sistemică. Problematica prezentată este una extrem de relevantă având în vedere că incidentele cibernetice localizate se pot răspândi rapid de la oricare dintre entitățile financiare ale Uniunii Europene la întregul sistem financiar, fapt ce subliniază importanța riscului de contagiune și, implicit, impactul riscurilor TIC la nivelul stabilității sistemului financiar.
Necesitatea gestionării riscurilor TIC nu este o noutate pentru entitățile aflate în sfera de reglementare și supraveghere a Autorității de Supraveghere Financiară (ASF). Încă din anul 2015, ASF a emis legislație secundară (inițial a fost emisă Norma nr. 6/2015, transformată ulterior în Norma nr. 4/2018) în scopul gestionării riscurilor informatice existente la nivelul entităților reglementate și supravegheate de ASF. Mai mult, la nivelul ASF au fost implementate și prevederile Ghidului elaborat de EIOPA cu privire la guvernanța și securitatea sistemelor IT ale societăților de asigurare-reasigurare, prin Norma nr. 25/2021. Astfel, putem spune că entitățile financiare își cunosc, își actualizează și monitorizează propriul profil de risc din perspectiva IT, conform prevederilor legale existente.
Pentru majoritatea entităților financiare, cerințele DORA reprezintă o evoluție a prevederilor legale sectoriale existente.
Prevederile legale cuprinse în Norma nr. 4/2018 reprezintă astfel nivelul de referință de la care entitățile financiare întreprind demersuri pentru conformarea cu cadrul legal instituit de Regulamentul DORA. Activitățile de supraveghere și control pe care ASF le va derula în următoarea perioadă vor avea ca scop confirmarea faptului că entitățile financiare au depus diligențe în sensul conformării cu prevederile DORA și au demarat acțiunile de actualizare și ajustare a politicilor, procedurilor și a cadrului de guvernanță și control intern, în sensul creșterii nivelului de reziliență operațională digitală.
Schimbarea de optică pe care Regulamentul DORA o aduce vizează abordarea comună a acestor riscuri TIC în sectorul financiar, eliminând diferențele dintre reglementările naționale existente și atribuie riscurilor TIC un rol important în matricea fiecărei entități.
Cerințele DORA pun accentul pe abordarea calitativă în administrarea riscurilor operaționale TIC, fiind o reglementare care statuează mai degrabă principii și reguli și care determină astfel conștientizarea din partea entităților financiare a importanței acestor riscuri.
Pilonii noului cadru de reglementare sunt:
- Cadrul de gestionare a riscurilor TIC – bine definit și detaliat la nivel de entitate;
- Managementul incidentelor legate de TIC – creșterea rezilienței și a răspunsurilor în fața incidentelor și a amenințărilor;
- Gestionarea riscurilor TIC generate de terți – cunoașterea și asumarea riscurilor induse;
- Testarea rezilienței operaționale digitale;
- Schimburile de informații.
În exercitarea actului de supraveghere, în scopul aplicării cerințelor DORA, ASF va avea o abordare proporțională și pragmatică a cerințelor și criteriilor prevăzute în cuprinsul Regulamentului. Astfel, în desfășurarea actului de supraveghere, ASF va lua în considerare dimensiunea, profilul de risc și complexitatea modelului de afaceri al fiecărei entități financiare și va urmări creșterea gradului de reziliență digitală operațională la nivelul fiecărei entități, dar și al piețelor supravegheate, în ansamblu.
Totodată, ASF va urmări la nivelul entităților financiare progresele realizate pe baza planurilor detaliate privind implementarea DORA, cu luarea în considerare a principiilor și regulilor referitoare la gestionarea riscurilor TIC, la raportarea incidentelor și la managementul riscurilor TIC provenite de la terțe părți.
În sprijinul entităților financiare, ASF a organizat întâlniri de lucru și prezentări cu privire la noul cadru de reglementare instituit de Regulamentul DORA, în scopul creșterii nivelului de conștientizare și cunoaștere la nivelul entităților. Abordarea ASF în contextul DORA a fost și rămâne una deschisă, Autoritatea încurajând dialogul pe marginea acestui subiect.
Considerăm astfel că implementarea corespunzătoare a principiilor DORA la nivelul fiecărei entități din piață și la nivelul piețelor financiare non-bancare din România, în ansamblu, va conduce la asigurarea unei reziliențe operaționale digitale sporite, prin posibilitatea exercitării eficace a actului de supraveghere. Pe termen mediu, prin creșterea cerințelor de conformitate și transparență, se creează premisele creșterii încrederii consumatorilor în piețele financiare non-bancare și a asigurării stabilității financiare în contextul riscurilor digitale și a amenințărilor cibernetice. Pe termen lung, beneficiile creșterii nivelului de reziliență operațională digitală la nivelul sectorului financiar vor fi considerabil mai importante decât eforturile depuse.