Close
Caută
Chiedi RO

Regulamentul DORA: când se aplică, obligații și sancțiuni

Normele UE pentru sectorul financiar, în gestionarea riscurilor cibernetice și creșterea rezilienței operaționale digitale.
Timp de lectură: 5 minute

Cuprins

Ce este Regulamentul european DORA?

Regulamentul DORA (Digital Operational Resilience Act) este un act legislativ al Uniunii Europene care a intrat în vigoare la 16 ianuarie 2023 și produce efecte depline asupra persoanelor vizate începând cu 17 ianuarie 2025. Prin aceasta, UE urmărește armonizarea la nivel european a normelor și procedurilor de gestionare a riscurilor informatice în sectorul financiar și, în consecință, creșterea rezilienței operaționale digitale a entităților care fac parte din acesta.

Regulamentul stabilește un set de cerințe uniforme pentru securitatea sistemelor informatice și de rețea ale entităților financiare:

  • cerințe aplicabile entităților financiare în ceea ce privește gestionarea riscurilor legate de tehnologia informației și comunicațiilor (TIC); raportarea incidentelor majore legate de TIC către autoritățile competente și notificarea, pe bază voluntară, a amenințărilor cibernetice semnificative; raportarea către autoritățile competente de către entitățile financiare esențiale sau importante a incidentelor majore legate de securitatea operațională sau a plăților; testarea rezilienței operaționale digitale; schimbul de date și informații în legătură cu vulnerabilitățile și amenințările cibernetice; măsuri legate de gestionarea adecvată a riscurilor informatice generate de terți;
  • obligațiile legate de acordurile contractuale între entitățile financiare și furnizorii terți de servicii TIC;
  • norme privind un cadru de supraveghere pentru furnizorii terți de servicii TIC critice atunci când aceștia furnizează servicii entităților financiare;
  • norme privind cooperarea între autorități și în materie de supraveghere.
Publicitate

De ce a fost introdus Regulamentul DORA?

Regulamentul DORA decurge din conștientizarea de către legislatorul european a rolului din ce în ce mai important pe care tehnologiile informației și comunicațiilor (TIC) l-au dobândit în furnizarea de servicii financiare, atât de mult încât acestea au acum o importanță crucială în îndeplinirea funcțiilor zilnice ale tuturor entităților financiare. În același timp, însă, gradul crescând de digitalizare a entităților financiare și interconectarea acestora amplifică riscurile informatice la nivel sistemic.

Cu toate acestea, la nivelul Uniunii Europene și al statelor membre, inițiativele politice și legislative anterioare nu au fost suficiente pentru a contracara riscul cibernetic crescând, care continuă să amenințe reziliența operațională, performanța și stabilitatea sistemului financiar al UE.

În așa măsură încât, în 2020, Comitetul european pentru risc sistemic a tras un semnal de alarmă cu privire la vulnerabilitatea întregului sistem financiar european, din cauza gradului ridicat de interconectare între entități, piețe și infrastructuri financiare și, în special, din cauza interdependenței sistemelor TIC respective.

Cine trebuie să respecte Regulamentul DORA

Regulamentul DORA se aplică unui număr de 21 de tipuri de entități financiare și afectează practic toate instituțiile financiare din UE, precum bănci, firme de investiții, companii de asigurări, instituții de pensii, furnizori de servicii de criptomonede și de finanțare participativă.

DORA se aplică și anumitor entități care sunt de obicei excluse din reglementarea financiară, cum ar fi furnizorii terți de servicii TIC, precum serviciile de cloud și centrele de date. Companiile care furnizează servicii critice de informații terțe, cum ar fi agențiile de rating de credit și furnizorii de servicii de raportare a datelor, sunt, de asemenea, afectate de Regulamentul DORA.

Cele 21 de categorii de entități financiare obligate să respecte DORA sunt:

  1. instituții de credit;
  2. instituțiile de plată, inclusiv cele exceptate de Directiva (UE) 2015/2366;
  3. furnizori de servicii de informare privind conturile
  4. instituțiile de monedă electronică, inclusiv cele scutite de Directiva 2009/110/CE;
  5. societăți de investiții;
  6. furnizorii de servicii de cripto-active autorizați de Regulamentul privind piețele de cripto-active și emitenții de tokenuri referențiate la active;
  7. depozitari centrali de valori mobiliare;
  8. contrapărți centrale;
  9. locuri de tranzacționare;
  10. registrele centrale de tranzacții;
  11. administratorii fondurilor de investiții alternative;
  12. societăți de administrare;
  13. furnizori de servicii de comunicații de date;
  14. întreprinderi de asigurare și reasigurare;
  15. intermediari de asigurări, reasigurări și asigurări auxiliare;
  16. instituții pentru furnizarea de pensii ocupaționale;
  17. agenții de rating de credit;
  18. administratorii de repere critice;
  19. furnizori de servicii de crowdfunding;
  20. registrele de securitizare;
  21. Furnizori terți de servicii TIC.
Publicitate

Ce obligații prevede Regulamentul DORA?

Obligațiile prevăzute în Regulamentul DORA acoperă șase domenii:

  • Guvernanță și organizare: fiecare entitate financiară trebuie să dispună de organe și funcții cu sarcina de a defini strategia de gestionare a riscurilor și acțiunile necesare pentru realizarea acesteia.
  • Gestionarea riscurilor cibernetice: Aceasta implică stabilirea unui cadru pentru gestionarea riscurilor cibernetice și a acțiunilor de protejare a sistemelor de afaceri.
  • Gestionarea, clasificarea și raportarea incidentelor cibernetice: măsuri care trebuie luate pentru gestionarea incidentelor cibernetice și raportarea acestora către autoritățile competente.
  • Testarea rezilienței operaționale digitale: pentru a evalua periodic gradul de pregătire pentru gestionarea incidentelor.
  • Gestionarea riscurilor informatice provenite de la terți: aceasta se referă la riscurile care decurg din relațiile cu furnizorii externi de TIC.
  • Mecanisme de schimb de informații: Pentru a spori reziliența la nivelul întregului sistem.

Reglementările DORA și relațiile cu NIS 2

Pentru entitățile financiare identificate ca entități esențiale sau importante în temeiul NIS 2, Regulamentul DORA este considerat un act juridic al UE specific sectorului. Prin urmare, având în vedere că DORA introduce cerințe mai stricte în materie de gestionare a riscurilor TIC și de raportare a incidentelor legate de TIC pentru aceste entități decât NIS 2, entitățile respective nu sunt obligate să aplice măsurile prevăzute în NIS 2, ci li se aplică Regulamentul DORA, care este o lex specialis în raport cu directiva.

În ceea ce privește relațiile dintre diferitele autorități prevăzute de Regulamentul DORA și Directiva NIS 2, principiul este că trebuie să existe un schimb continuu de informații. La articolul 46, Regulamentul DORA enumeră, pentru fiecare entitate financiară, autoritățile competente (AC) care au competența de a aplica regulamentul și de a impune sancțiuni. Aceste autorități și cele trei autorități europene de supraveghere financiară (ESA) – Autoritatea bancară europeană (ABE), Autoritatea europeană pentru asigurări și pensii ocupaționale (AEAPO) și Autoritatea europeană pentru valori mobiliare și piețe (AEVMP) – pot participa la activitățile grupului de cooperare instituit prin Directiva NIS 2, pentru aspecte legate de supravegherea entităților financiare.

Autoritățile de certificare pot consulta și schimba informații cu punctele unice de contact și CSIRT-urile prevăzute în NIS 2; pot solicita consiliere și asistență tehnică din partea autorităților competente instituite prin NIS 2 și pot încheia acorduri de cooperare cu acestea. Astfel de acorduri pot prevedea coordonarea supravegherii și controlului entităților esențiale sau importante în sensul NIS 2, care sunt, de asemenea, furnizori terți de servicii TIC critice în temeiul Regulamentului DORA, inclusiv în ceea ce privește investigațiile, inspecțiile și schimbul de informații. Autoritățile de certificare trebuie să coopereze între ele și cu autoritatea de supraveghere principală, schimbând în timp util informații privind furnizorii terți de servicii TLC critice necesare pentru îndeplinirea sarcinilor lor.

Publicitate

Ce sancțiuni se aplică celor care nu respectă Regulamentul DORA

Regulamentul DORA conferă autorităților competente putere de supraveghere, investigare și sancționare.

Competențele de supraveghere și de investigare includ cel puțin:

  • accesul la orice document sau date considerate relevante și posibilitatea de a obține o copie a acestora;
  • inspecții și investigații la fața locului, inclusiv convocarea reprezentanților entităților financiare și audierea persoanelor fizice sau juridice în scopul obținerii de informații;
  • solicitarea de măsuri corective sau reparatorii.

Sancțiuni administrative

Statele membre trebuie să adopte norme care să prevadă sancțiuni administrative și măsuri corective și să acorde autorităților de certificare competența de a:

  • emite un ordin pentru a pune capăt unei încălcări;
  • să solicite încetarea comportamentului considerat contrar regulamentului;
  • să ia măsuri, inclusiv măsuri financiare, pentru a se asigura că entitățile respectă cerințele legale;
  • să solicite operatorilor de telefonie date privind traficul de date considerate utile pentru anchete;
  • să publice comunicările cu identitatea subiecților și natura încălcării.

Autoritățile de certificare pot impune sancțiuni administrative și măsuri corective în mod direct, în cooperare cu alte autorități, prin delegarea altor autorități sau prin sesizarea autorităților judiciare competente.

Publicitate

Sancțiuni penale

Statele membre pot decide să nu prevadă sancțiuni administrative sau măsuri corective pentru încălcările care, în conformitate cu legislația lor națională, sunt pasibile de sancțiuni penale.

În cazul în care decid să impună sancțiuni penale, acestea trebuie să se asigure că autoritățile de supraveghere dispun de toate competențele necesare pentru a stabili contacte cu autoritățile judiciare, pentru a primi informații specifice privind anchetele sau procedurile penale împotriva entităților financiare și pentru a le transmite altor autorități de supraveghere, precum și ABE, AEVMP sau AEAPO.

Până la 17 ianuarie 2025, statele membre au avut obligația să notifice Comisiei, ESMA, EBA și EIOPA toate actele cu putere de lege și actele administrative adoptate și, ulterior, vor trebui să notifice orice modificări ulterioare.

Citiți mai multe despre cum să respectați Regulamentul DORA

Pentru mai multe informații despre soluțiile digitale care pot fi utile pentru a respecta Regulamentul DORA, vizitați paginile site-ului Namirial dedicate sectorului bancar și financiar sau sectorului asigurărilor. Dacă sunteți integrator de sisteme, vizitați pagina Programul de parteneriat Namirial.

Etichete

Publicitate

Cele mai recente articole

Chiedi RO

Distribuie articolul

CITEȘTE ȘI

Publicitate