NORMĂ nr. 6 din 23 martie 2015privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile reglementate, autorizate/avizate şi/sau supravegheate de Autoritatea de Supraveghere Financiară
EMITENT
  • AUTORITATEA DE SUPRAVEGHERE FINANCIARĂ
  • Publicat în  MONITORUL OFICIAL nr. 227 din 3 aprilie 2015



    În temeiul prevederilor art. 3 alin. (1) lit. b), art. 5, art. 6 alin. (2) şi ale art. 14 din Ordonanţa de urgenţă a Guvernului nr. 93/2012 privind înfiinţarea, organizarea şi funcţionarea Autorităţii de Supraveghere Financiară, aprobată cu modificări şi completări prin Legea nr. 113/2013, cu modificările şi completările ulterioare, în urma deliberărilor Consiliului Autorităţii de Supraveghere Financiară din cadrul şedinţei din data de 18 martie 2015,Autoritatea de Supraveghere Financiară emite următoarea normă:  +  Capitolul I Dispoziţii generale  +  Articolul 1 (1) Prezenta normă stabileşte cerinţele la nivelul entităţilor autorizate/avizate, reglementate şi/sau supravegheate de către Autoritatea de Supraveghere Financiară, denumită în continuare A.S.F., pentru identificarea, prevenirea şi reducerea impactului potenţial negativ al riscurilor operaţionale generate de utilizarea tehnologiei informaţiei şi comunicaţiilor la nivel de oameni, procese, sisteme şi mediu extern, inclusiv de fapte ce ţin de criminalitatea informatică. (2) Prezenta normă stabileşte activităţi şi operaţiuni pentru evaluarea, supravegherea şi controlul riscurilor operaţionale generate de utilizarea sistemelor informatice şi ale securităţii informatice.  +  Articolul 2Prezenta normă se aplică următoarelor categorii de entităţi autorizate/avizate, reglementate şi/sau supravegheate de A.S.F., denumite în continuare entităţi: a) operatori de piaţă/operatori de sistem; b) societăţi de administrare a investiţiilor (SAI), organisme de plasament colectiv (OPC şi AOPC) care se autoadministrează, după cum urmează:1. societăţi cu active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de peste 250 milioane euro, echivalent lei;2. societăţi cu active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de până la 250 milioane euro, echivalent lei; c) depozitari centrali, case de compensare/contrapărţi centrale; d) intermediari - societăţi de servicii de investiţii financiare (S.S.I.F.) încadrate la art. 6 alin. (1) din Legea nr. 297/2004 privind piaţa de capital, cu modificările şi completările ulterioare, sucursale ale intermediarilor din state nemembre şi instituţii de credit din România autorizate de Banca Naţională a României în conformitate cu legislaţia bancară şi înscrise în Registrul public al A.S.F. în calitate de intermediar, şi anume:1. intermediari care au calitatea de operator independent;2. intermediari care prestează servicii conexe, prevăzute la art. 5 alin. (1^1) lit. a) din Legea nr. 297/2004, cu modificările şi completările ulterioare;3. intermediari care folosesc facilităţi de tranzacţionare prin internet (ADP/AS) - platforme de preluare şi transmitere a ordinelor clienţilor;4. intermediari care au calitatea de market makeri şi/sau furnizori de lichiditate;5. intermediari care tranzacţionează pe cont propriu şi nu se încadrează în categoriile de la pct. 1-4;6. intermediari care nu tranzacţionează pe cont propriu şi nu se încadrează în categoriile de la pct. 1-4; e) traderi; f) Fondul de compensare a investitorilor; g) societăţi de asigurare/reasigurare; h) brokeri de asigurare/reasigurare; i) entităţi care desfăşoară activitatea de depozitare a activelor organismelor de plasament colectiv şi a fondurilor de pensii private; j) societăţi de administrare a fondurilor de pensii private.  +  Articolul 3Termenii şi expresiile utilizate în prezenta normă au înţelesul prevăzut în anexa nr. 1.  +  Articolul 4 (1) Prevederile prezentei norme se aplică de către entităţi în funcţie de categoria de risc stabilită de A.S.F. conform art. 6 alin. (1) şi, respectiv, în funcţie de rezultatul evaluării interne a riscurilor, pe baza celor mai bune practici în domeniu. (2) Categoria de risc corespunzătoare fiecărui tip de entitate este stabilită de către A.S.F. în funcţie de natura, dimensiunea şi complexitatea activităţii acesteia, precum şi de riscurile pe care le poate induce, respectiv de impactul asupra activităţii, în conformitate cu prevederile art. 6 alin. (1). (3) Entităţile vor participa la colectarea, analizarea, monitorizarea şi raportarea evenimentelor de securitate informatică, în cadrul sistemului dezvoltat de A.S.F.  +  Articolul 5 (1) Entităţile evaluează anual şi monitorizează continuu riscurile operaţionale generate de utilizarea sistemelor informatice, prioritizează resursele, implementează măsuri de securitate informatică şi monitorizează eficacitatea acestora prin aplicarea managementului de risc. (2) Modalitatea de implementare a măsurilor de securitate informatică este stabilită de fiecare entitate, în funcţie de profilul de risc, de riscurile identificate, de incidentele apărute, în conformitate cu cerinţele legale aplicabile.  +  Capitolul II Încadrarea entităţilor în categorii de risc  +  Articolul 6 (1) În scopul prezentei norme, entităţile prevăzute la art. 2 se includ în patru categorii de risc: "risc major", "risc important", "risc mediu", "risc scăzut", după cum urmează: a) entităţile prevăzute la art. 2 lit. a) , c) şi lit. d) pct. 1 reprezintă entităţi încadrate în categoria de "risc major"; b) entităţile prevăzute la art. 2. lit. d) pct. 2, 3 şi 4, lit. g) şi i) reprezintă entităţi încadrate în categoria de "risc important"; c) entităţile prevăzute la art. 2 lit. b) pct. 1, lit. d) pct. 5 şi lit. f) reprezintă entităţi încadrate în categoria de "risc mediu"; d) entităţile prevăzute la art. 2 lit. b) pct. 2, lit. d) pct. 6, lit. e) şi h) reprezintă entităţi încadrate în categoria de "risc scăzut". (2) Entitatea care prestează mai multe tipuri de activităţi autorizate de către A.S.F., încadrându-se astfel în mai multe categorii de risc dintre cele menţionate la alin. (1), va respecta obligaţiile instituite pentru fiecare activitate autorizată în parte. (3) Societăţile de administrare a fondurilor de pensii private vor fi încadrate individual în categorii de risc, conform prevederilor art. 44 alin. (4) lit. e) şi ale art. 51 din Norma Consiliului Autorităţii de Supraveghere Financiară nr. 3/2014 privind controlul intern, auditul intern şi administrarea riscurilor în sistemul de pensii private. (4) Încadrarea, respectiv reîncadrarea entităţilor menţionate la art. 2 lit. b) se realizează la începutul fiecărui an, în baza valorii totale a activelor în portofoliu/administrate din ultima zi lucrătoare a anului anterior. (5) Încadrarea, respectiv reîncadrarea entităţilor menţionate la art. 2 lit. d) se realizează la începutul fiecărui an, în baza activităţii autorizate de A.S.F. şi a deţinerii calităţii de market maker/furnizor de lichiditate în ultima zi lucrătoare a anului anterior.  +  Capitolul III Activităţile desfăşurate de entităţi  +  Articolul 7 (1) Entităţile desfăşoară cel puţin activităţile obligatorii corespunzătoare fiecărei categorii de risc prevăzute la art. 6 alin. (1), conform tabelului din anexa nr. 2. (2) În termen 90 de zile de la publicarea prezentei norme în Monitorul Oficial al României, Partea I, A.S.F. va elabora şi publica pe site-ul propriu ghidul de îndrumare care cuprinde detalii şi parametrii referitori la modalitatea de implementare a activităţilor obligatorii menţionate la alin. (1). Acest ghid are un caracter orientativ şi poate fi actualizat de A.S.F. în funcţie de bunele practici în materie.  +  Articolul 8 (1) Raportat la activitatea desfăşurată entităţile se asigură că sistemele informatice utilizate îndeplinesc cel puţin următoarele cerinţe: a) asigură integritatea, confidenţialitatea, autenticitatea, disponibilitatea datelor în concordanţă cu categoria de risc a sistemului informatic definită intern de către entitate, precum şi prelucrarea acestora în conformitate cu reglementările A.S.F., luând în considerare posibilitatea actualizării acestora, în funcţie de modificările intervenite în legislaţia incidentă; b) asigură respectarea conţinutului de informaţii prevăzut în formularele de raportare corespunzătoare entităţilor, aşa cum sunt prevăzute în legislaţia specifică, precum şi alte raportări solicitate prin reglementările A.S.F.; c) asigură reconstituirea rapoartelor şi informaţiilor supuse verificării; d) asigură stocarea şi păstrarea datelor înregistrate şi jurnalizate de către sistemele de tranzacţionare şi back-office pentru o perioadă de timp în conformitate cu legislaţia aplicabilă în vigoare. Sistemul de păstrare a datelor trebuie să asigure posibilitatea ca aceste date să poată fi transmise sau puse la dispoziţia A.S.F. la cerere; e) asigură posibilitatea de restaurare a datelor arhivate pe suport digital extern, precum, dar fără a se limita la, informaţii, date introduse, situaţii financiare sau alte documente; f) asigură elemente de identificare a datelor supuse prelucrării sau verificării. Sistemele informatice asigură identificarea exactă a timpului la care au fost efectuate înregistrările şi identificarea utilizatorilor sistemului la acel moment; g) asigură confidenţialitatea şi protecţia informaţiilor şi a programelor prin parole, coduri de identificare pentru accesul la informaţii, precum şi realizarea de copii de siguranţă pentru programele şi informaţiile deţinute; h) asigură mecanisme de securitate şi control al sistemelor informatice, pentru păstrarea în siguranţă a datelor şi informaţiilor stocate, a fişierelor şi bazelor de date, inclusiv în situaţia unor evenimente de risc. (2) Sistemele informatice care oferă intermediarilor şi clienţilor lor accesul la platforme electronice de tranzacţionare, precum şi cele care evidenţiază operaţiuni de compensare, decontare şi registru pentru instrumente financiare şi operaţiuni cu aceste instrumente, asigură cel puţin, fără a se limita la: a) securitatea şi integritatea datelor procesate prin folosirea unei modalităţi de securizare atât asupra datelor trimise către platformele electronice de tranzacţionare şi către cele de compensare, decontare şi registru, cât şi asupra datelor recepţionate de la aceste sisteme; b) mecanisme care să garanteze nerepudierea datelor transmise şi recepţionate; c) jurnalizarea în timp real a informaţiei despre ordinele transmise spre executare, a stării acestor ordine, respectiv a modificărilor care se aduc acestor ordine în decursul existenţei lor de către clienţii şi intermediarii care utilizează aceste sisteme informatice; d) mecanisme de nerepudiere a integrităţii înregistrării operaţiunilor de sistem informatic.  +  Capitolul IV Auditarea şi testarea sistemului informatic  +  Secţiunea 1 Auditul informatic  +  Articolul 9 (1) Entităţile încadrate la categoria de risc major au obligaţia de a audita extern sistemul informatic utilizat, cu periodicitate anuală. (2) Entităţile încadrate la categoria de risc important au obligaţia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 2 ani. (3) Entităţile încadrate la categoria de risc mediu au obligaţia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 3 ani. (4) Entităţile încadrate la categoria de risc scăzut au obligaţia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 4 ani. (5) A.S.F. este îndreptăţită să instituie în sarcina entităţii obligaţia auditării externe a sistemului informatic pentru activităţile solicitate de către A.S.F. dacă: a) în urma constatărilor rezultă că o entitate nu a desfăşurat toate activităţile minime obligatorii categoriei de risc în care aceasta se încadrează, conform prevederilor art. 7, sau activităţile desfăşurate au un caracter formal; b) A.S.F. apreciază că se impune efectuarea unor investigaţii suplimentare ale sistemelor informatice. (6) Instituirea de către A.S.F. a obligaţiei de auditare a sistemului IT conform alin. (5) este însoţită de termenul până la care entitatea este obligată să transmită la A.S.F. raportul de audit, iar acest termen nu poate să depăşească 90 de zile lucrătoare. (7) Auditul extern se efectuează în baza unui contract încheiat între entitatea care a solicitat auditarea şi unul dintre auditorii IT avizaţi de A.S.F. conform prevederilor art. 10 alin. (2). Entităţile nu pot contracta auditul IT cu acelaşi auditor IT pentru mai mult de 3 auditări obligatorii consecutive dintre cele prevăzute la alin. (1)-(4). (8) Contractul de audit IT prevăzut la alin. (7) cuprinde în mod obligatoriu clauze cu privire la faptul că auditorul IT are obligaţia de a respecta cerinţele necesare efectuării auditului sistemului informatic, în conformitate cu prevederile prezentei norme şi cu bunele practici în domeniu. (9) Contractul menţionat la alin. (7) trebuie să conţină o clauză expresă prin care auditorul se obligă să notifice în cel mai scurt timp posibil şi în scris A.S.F. cu privire la orice fapt sau act în legătură cu sistemul informatic şi de comunicaţii utilizat de entitate şi care: a) este de natură să afecteze continuitatea activităţii entităţii auditate; b) poate conduce la o opinie de audit cu rezerve, la imposibilitatea exprimării unei opinii profesionale sau la o opinie negativă. (10) Contractul prevăzut la alin. (7) trebuie să conţină o clauză expresă prin care, la solicitarea scrisă a A.S.F., auditorul se obligă să prezinte A.S.F.: a) orice raport sau document ce a fost adus la cunoştinţa entităţii auditate; b) o declaraţie care să indice motivele de încetare a contractului de audit, indiferent de natura acestora; c) orice alte informaţii sau documente solicitate în legătură cu activitatea de audit IT la care s-a angajat conform contractului. (11) Respectarea prevederilor alin. (9) şi (10) nu contravine dispoziţiilor Codului privind conduita etică şi profesională în domeniul auditului financiar, nu constituie o încălcare a niciunei restricţii privind divulgarea de informaţii şi nu va atrage niciun fel de răspundere asupra persoanei în cauză. Clauza de confidenţialitate nu este opozabilă A.S.F.  +  Articolul 10 (1) Auditorul IT extern, care intenţionează să presteze servicii pentru entităţile cărora le sunt incidente prevederile prezentei norme, are obligaţia obţinerii avizului A.S.F. (2) În vederea obţinerea avizului A.S.F., auditorul IT extern depune la A.S.F. o cerere împreună cu documentaţia care trebuie să cuprindă următoarele, după caz: a) datele de identificare ale auditorului:(i) numele complet/denumirea şi adresa/sediul (adresa completă - stradă, număr, bloc, scară, etaj, apartament, oraş, judeţ/sector, cod poştal);(ii) datele înregistrării fiscale;(iii) adresa unde îşi desfăşoară activitatea;(iv) telefon/fax, e-mail, adresa paginii de internet;(v) dovada experienţei şi a specializării pe domeniul de audit al sistemelor informatice; b) numele şi prenumele auditorului persoană fizică certificată şi a reprezentantului societăţii, care vor semna raportul de audit, împreună cu următoarele documente:(i) copia actului de identitate a auditorului;(ii) curriculum vitae al auditorului, datat şi semnat, cu prezentarea experienţei profesionale;(iii) copia certificatului de auditor IT, semnată pentru conformitate cu originalul;(iv) certificatul de cazier judiciar şi certificatul de cazier fiscal, în original, aflate în termenul de valabilitate; c) copia contractului/poliţei de asigurare de răspundere civilă profesională a auditorului IT, pentru suma asigurată de minimum 100.000 euro; d) copia documentului de plată a tarifului de înscriere în Registrul public al A.S.F. (3) Avizarea şi înscrierea auditorului IT în Registrul public al A.S.F. sau refuzul avizării, motivat, se realizează în termen de maximum 30 de zile calendaristice de la primirea dosarului complet al solicitantului. Refuzul motivat se transmite auditorului IT. Orice modificare a documentaţiei prevăzute la alin. (2) trebuie transmisă A.S.F. în termen de maximum 30 de zile calendaristice de la data modificării. (4) A.S.F. retrage avizul auditorului IT extern în oricare dintre următoarele cazuri: a) la cerere; b) în cazul lichidării sau la declanşarea insolvenţei; c) în cazul nerespectării, în mod repetat, a prevederilor alin. (3), teza a III-a; d) în cazul nerespectării prevederilor art. 9 alin. (9) şi (10), precum şi în cazul nerespectării obligaţiilor stabilite în sarcina sa de prezenta normă; e) din alte cauze prevăzute de legislaţia în vigoare. (5) Pentru toate situaţiile menţionate la alin (4) lit. c)-e), A.S.F. va transmite auditorului IT extern o notificare prealabilă prin care se aduc la cunoştinţă faptele pentru care se va proceda la retragerea avizului A.S.F. (6) Entităţile adoptă toate măsurile necesare pentru evitarea conflictelor de interese ce pot interveni în desfăşurarea activităţii de audit IT. (7) Activitatea de audit trebuie să fie independentă faţă de activitatea auditată, pentru a nu fi compromisă obiectivitatea activităţii de audit. Auditorii trebuie să fie independenţi şi obiectivi în toate aspectele legate de misiunea de audit. (8) Entităţile, inclusiv cele care efectuează auditul IT cu resurse interne certificate, sunt obligate să furnizeze auditorului informaţii complete, corespunzătoare, relevante şi în timp util, pentru a permite efectuarea în bune condiţii a activităţii de audit IT. (9) La finalizarea auditului IT, auditorii IT au obligaţia de a întocmi un raport de audit care să cuprindă cel puţin următoarele elemente: a) titlul raportului, identificarea şi descrierea entităţii auditate, respectiv beneficiarul raportului; b) destinatarii raportului şi orice restricţii privind conţinutul şi circulaţia raportului; c) domeniul auditat, obiectivele activităţii, perioada auditată; d) natura, cronologia şi gradul de acoperire ale procedurilor de audit efectuate; e) orice calificare de opinie sau limitare a ariei acoperite de audit; f) datele de identificare ale membrilor echipei de audit, care cuprind cel puţin numele şi prenumele, telefon, fax, e-mail şi adresa unde îşi desfăşoară activitatea; g) semnătura coordonatorului certificat al echipei de audit şi semnătura reprezentantului legal al auditorului persoană juridică; h) locul auditării; i) data raportului; j) descrierea ariei auditului, incluzând:(i) descrierea sistemelor auditate;(ii) măsurile organizatorice: politicile aplicabile şi procedurile implementate;(iii) identificarea aplicaţiilor utilizate şi a persoanelor implicate;(iv) componentele sistemelor informatice utilizate;(v) un sumar conţinând analiza riscurilor aferente activităţii, a posibilelor deficienţe ale sistemului informatic auditat şi a măsurilor de reducere a riscurilor asociate, în baza controalelor generale sau specifice implementate conform prezentei norme;(vi) referire cu privire la corectitudinea raportărilor efectuate în conformitate cu art. 14 alin. (4) aferente perioadei dintre două activităţi de auditare IT;(vii) descrierea modului prin care s-a efectuat atacul etic/testul de penetrare, în cazul entităţilor care sunt obligate să efectueze teste de penetrare conform tabelului din anexa nr. 2; k) concluziile detaliate ale echipei de audit privind îndeplinirea cerinţelor prevăzute la art. 5, 8, 11, 12 şi 13, pentru fiecare cerinţă, cu menţiunea: DA/NU, precum şi motivaţia, în cazul nerespectării acesteia; l) afirmaţia de conformitate, reflectată prin "opinia pozitivă" cu privire la conformarea parţială/totală referitoare la obiectivele auditului, indicând punctele care trebuie îmbunătăţite, reflectate prin "opinia cu rezerve/calificată", sau de neîndeplinire a obiectivelor testate/auditate, reflectată prin "opinia negativă"; m) o anexă la raportul de audit IT, însuşită de entitatea auditată prin semnarea acesteia de către un reprezentant legal al entităţii, conţinând:(i) constatările şi concluziile;(ii) neconformităţile, lipsa controalelor sau controale ineficiente;(iii) importanţa neconformităţii sau deficienţei de control;(iv) probabilitatea ca aceste constatări să aibă un impact semnificativ şi riscuri asociate;(v) recomandările pentru acţiuni corective şi răspunsul conducerii entităţii auditate pentru fiecare constatare din raport, inclusiv termenul de aplicare;(vi) rezultatul obţinut la atacul etic/testul de penetrare, în cazul entităţilor care sunt obligate să efectueze teste de penetrare conform tabelului din anexa nr. 2; n) declaraţia pe propria răspundere a auditorului IT cu privire la faptul că auditul a fost efectuat în conformitate cu prezenta normă şi cu standardele de audit în vigoare la momentul realizării auditului, cu menţionarea acestora; o) declaraţia pe propria răspundere a auditorului IT extern cu privire la faptul că acesta nu se află în relaţii cu entitatea auditată sau cu angajaţii entităţii care ar putea să îi afecteze independenţa sau obiectivitatea activităţii de audit.  +  Secţiunea a 2-a Cerinţe referitoare la furnizorii externi şi furnizorii de servicii IT externalizate pentru sistemele informatice importante  +  Articolul 11 (1) Entităţile se asigură că, pentru sistemele informatice importante, furnizorii de servicii IT externalizate, inclusiv prin externalizările în lanţ, cu excepţia furnizorilor de servicii de comunicaţii, a celor de hardware şi de licenţe software, raportat strict pentru activitatea externalizată: a) respectă aceleaşi cerinţe de auditare ca şi cele solicitate entităţii prin prezenta normă; b) prezintă, la solicitarea A.S.F., modalitatea prin care sunt îndeplinite cerinţele adresate entităţii prin prezenta normă; c) permit A.S.F. şi auditorului IT să verifice şi/sau să auditeze sistemele sale informatice conform prezentei norme. (2) Orice externalizare se realizează cu respectarea prevederilor legale aplicabile incidente sectorului de activitate. (3) În situaţiile în care nu există alte prevederi legale aplicabile sectorului respectiv de activitate, pentru externalizarea unor servicii IT şi în toate cazurile în care sunt utilizate serviciile unor furnizori externi, definiţi la pct. 28 din anexa nr. 1, entitatea are obligaţia de a notifica A.S.F., furnizorul extern sau furnizorul de servicii IT externalizate în termen de 10 zile lucrătoare de la momentul încheierii contractului cu acesta, exclusiv pentru sistemele informatice importante. (4) Notificarea prevăzută la alin. (3) trebuie să includă următoarele informaţii şi documente anexate, după caz: a) descrierea serviciilor furnizate/externalizate; b) datele de identificare ale furnizorului:(i) sediul societăţii, respectiv adresa completă - stradă, număr, bloc, scară, etaj, apartament, oraş, judeţ/sector, cod poştal, după caz;(ii) datele înregistrării fiscale;(iii) telefon/fax, e-mail, pagina de internet; c) certificări în funcţie de tipul serviciului sau activităţii desfăşurate:(i) SR ISO/IEC 27001 sau certificări pentru standarde echivalente;(ii) pentru furnizarea şi dezvoltarea de programe informatice software - certificări aferente;(iii) pentru furnizarea de servicii externalizate - certificări aferente;(iv) pentru furnizarea de servicii de găzduire sau externalizare prin intermediul centrelor de date - condiţii tehnice conform TIA-942 nivel 2 sau echivalent;(v) pentru furnizarea de servicii de arhivare electronică prin centre de date - autorizare conform prevederilor legale;(vi) pentru furnizarea de servicii externalizate de tip cloudcomputing public se prezintă certificate specifice activităţilor externalizate. (5) În cazul modificării unor informaţii sau documente, copia sau originalul documentelor modificate se va depune la A.S.F., în termen de maximum 30 de zile calendaristice de la data modificării.  +  Secţiunea a 3-a Cerinţe cu privire la testarea sistemelor/programelor informatice importante  +  Articolul 12 (1) Entităţile au obligaţia de a identifica toate sistemele/programele informatice utilizate şi de a le evidenţia într-un registru care trebuie să cuprindă: a) sistemele/programele informatice importante; b) modificările sistemelor/programelor informatice importante; c) detalii referitoare la modificările majore ale sistemelor/programelor informatice importante. (2) În aplicarea prevederilor alin. (1) lit. c), modificările majore se referă la: a) schimbarea integrală a sistemelor/programelor informatice importante; b) externalizarea unor servicii IT; c) schimbarea proceselor de arhivare electronică, de restaurare sau sincronizare a bazelor de date.  +  Articolul 13 (1) Entităţile au obligaţia să testeze sistemele/programele informatice importante înainte de prima utilizare şi la orice modificare în cadrul ciclului de viaţă al acestora, indiferent dacă sunt realizate cu resurse interne sau de către furnizori externi. (2) Rezultatul testărilor prevăzute la alin. (1) se consemnează într-un raport de testare IT care cuprinde cel puţin următoarele elemente: a) scopul testării; b) perioada testării; c) descrierea programului testat; d) identificarea aplicaţiilor utilizate şi a persoanelor implicate; e) analiza riscurilor implicate de achiziţia sau modificarea programului informatic important, a posibilelor vulnerabilităţi şi a măsurilor de reducere a riscurilor asociate prin controale de sistem sau de program informatic; f) descrierea modului prin care s-au efectuat testele, scenariile de test, eventualele norme sau standarde aplicate şi rezultatul testării; g) concluzia echipei de testare; h) semnătura membrilor echipei de testare. (3) Rapoartele de testare IT se păstrează la entitate, cel puţin până la următoarea auditare IT, şi sunt puse la dispoziţia auditorului IT şi A.S.F. la cerere.  +  Capitolul V Cerinţe de raportare  +  Articolul 14 (1) Entităţile au obligaţia raportării evaluării prevăzute la art. 5 alin. (1) şi a auditării prevăzute la art. 9, astfel: a) rezultatul evaluării interne a riscurilor operaţionale este transmis A.S.F. anual până la 31 martie a anului curent, pentru anul anterior; b) raportul de audit IT este transmis A.S.F. până la 30 iunie a anului curent, pentru perioada supusă auditării, corespunzătoare fiecărei categorii de risc prevăzute la art. 6 alin. (1). (2) Entităţile depun raportul de audit IT împreună cu planul de acţiune din care să rezulte modalitatea de remediere a vulnerabilităţilor identificate pe parcursul derulării activităţii de audit IT, dacă este cazul. (3) Rapoartele privind evaluarea internă a riscurilor operaţionale prevăzute la alin. (1) lit. a) şi rapoartele de audit IT prevăzute la alin. (1) lit. b) se depun la A.S.F. pe suport hârtie sau în format electronic cu semnătură electronică extinsă. (4) Entităţile transmit până la data de 31 martie a anului curent, pentru anul anterior, o raportare electronică anuală cu indicatorii menţionaţi în anexa nr. 3, în măsura în care aceşti indicatori sunt aplicabili şi sunt aferenţi sistemelor informatice importante. (5) Pentru situaţiile în care datele referitoare la anumiţi indicatori nu sunt disponibile în cazul unei anumite entităţi din cauza tipului acesteia, naturii, dimensiunii sau complexităţii activităţilor desfăşurate de aceasta, în celula corespunzătoare din raport se va insera acronimul N/A (neaplicabil).  +  Capitolul VI Contravenţii  +  Articolul 15Nerespectarea prevederilor prezentei norme de către entităţile prevăzute la art. 2 constituie contravenţie conform prevederilor art. 39 alin. (2) lit. a) din Legea nr. 32/2000 privind activitatea de asigurare şi supravegherea asigurărilor, cu modificările şi completările ulterioare, respectiv ale art. 272 alin. (1) lit. a) pct. 6, lit. b) pct. 5, lit. c) pct. 4, lit. d) pct. 4, lit. e) pct. 6, lit. f) pct. 3, lit. h) pct. 8, lit. j) pct. 17 şi lit. k) pct. 3 din Legea nr. 297/2004, cu modificările şi completările ulterioare, în funcţie de tipul entităţii.  +  Capitolul VII Dispoziţii tranzitorii şi finale  +  Articolul 16 (1) Cerinţele prevăzute de prezenta normă sunt puse în aplicare de către entităţi, începând cu data de 1 ianuarie 2016, cu excepţia prevederilor art. 11 referitoare la furnizorii externi şi furnizorii de servicii IT externalizate care se aplică începând cu data de 30 septembrie 2016, iar entităţile vor transmite notificările menţionate la art. 11 alin. (3) până la 31 decembrie 2016. (2) Până la data de 30 iunie 2016, toate entităţile vor transmite A.S.F. rezultatul primei evaluări interne a riscurilor operaţionale prevăzut la art. 14 alin. (1) lit. a), precum şi prima raportare electronică prevăzută la art. 14 alin. (4). (3) Începând cu data de 1 ianuarie 2017, toate entităţile trebuie să efectueze raportările la termenele prevăzute la art. 14. (4) Pentru toate entităţile, prima auditare IT se va realiza cel mai târziu până la data de 31 decembrie 2016.  +  Articolul 17 (1) La data de 1 iulie 2015 se abrogă Instrucţiunea nr. 2/2011 privind auditarea sistemelor informatice utilizate de entităţile autorizate, reglementate şi supravegheate de Comisia Naţională a Valorilor Mobiliare, aprobată prin Ordinul Comisiei Naţionale a Valorilor Mobiliare nr. 10/2011, publicată în Monitorul Oficial al României, Partea I, nr. 118 din 16 februarie 2011, cu modificările ulterioare. (2) La data intrării în vigoare a prezentei norme se abrogă: a) Dispunerea de măsuri a Comisiei Naţionale a Valorilor Mobiliare nr. 19/2010*1); Notă

    ──────────

    *1) Dispunerea de măsuri a Comisiei Naţionale a Valorilor Mobiliare nr. 19/2010 nu a fost publicată în Monitorul Oficial al României, Partea I.

    ──────────
    b) art. 25 din Normele privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfăşurarea activităţii de audit intern la asigurători/reasigurători, aprobate prin Ordinul Comisiei de Supraveghere a Asigurărilor nr. 18/2009, publicat în Monitorul Oficial al României, Partea I, nr. 621 din 16 septembrie 2009, cu modificările şi completările ulterioare; c) orice dispoziţie contrară prevederilor prezentei norme.
     +  Articolul 18Anexele nr. 1-3 fac parte integrantă din prezenta normă.  +  Articolul 19Prezenta normă se publică în Monitorul Oficial al României, Partea I, precum şi în Buletinul A.S.F. şi intră în vigoare la data publicării acesteia.Preşedintele Autorităţii de Supraveghere Financiară,Mişu NegriţoiuBucureşti, 23 martie 2015.Nr. 6.
     +  Anexa 1DEFINIŢII ŞI ABREVIERI1. acord de furnizare a serviciului la parametrii agreaţi (SLA) - un acord între un furnizor de servicii IT şi un client, care descrie unul sau mai multe servicii IT, documentează nivelurile de serviciu ţintă agreate şi specifică obligaţiile furnizorului de servicii IT şi ale clientului;2. activităţi de control informatic - politici, proceduri şi practici aplicate pentru atingerea obiectivelor entităţii şi pentru îndeplinirea strategiilor de eliminare a riscurilor, concepute pentru atingerea fiecărui obiectiv de control pentru eliminarea riscului identificat;3. arhivare electronică - stocarea documentelor în format digital;4. ameninţări - capacităţi, strategii, intenţii sau planuri ce periclitează infrastructurile, materializate prin atitudini, gesturi, acte sau fapte cu impact asupra securităţii activităţii entităţilor şi a integrităţii sectorului în care activează;5. analiză de risc - analiza scenariilor de ameninţări semnificative, pentru a evalua probabilitatea materializării acestora şi impactul potenţial pe care un astfel de eveniment l-ar avea asupra entităţii şi operaţiunilor acesteia;6. angajaţi/persoane-cheie - persoane cu funcţii de conducere/persoane relevante/persoane semnificative care au atribuţii şi răspunderi cu privire la planificarea, conducerea şi controlarea activităţilor entităţii;7. atac etic/test de penetrare - test al sistemelor informatice realizat printr-o simulare a unui atac real asupra reţelelor, sistemelor şi programelor informatice utilizate de entitatea testată sau auditată, după caz;8. audit informatic (audit IT) - activitatea de colectare şi evaluare a unor probe pentru a determina dacă sistemul informatic respectă parametrii de performanţe şi de lucru conform cerinţelor de proiectare, asigură funcţionalităţile necesare cerinţelor de afaceri şi respectarea legislaţiei în domeniu, este securizat, menţine integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale entităţii şi utilizarea eficientă a resurselor informaţionale;9. auditor (auditor IT) - persoana fizică autorizată care deţine certificat de auditor IT sau persoană juridică cu personal certificat, care derulează o activitate de auditare a sistemelor informatice, conform reglementărilor şi bunelor practici în domeniu;10. audit IT cu resurse interne - audit care se realizează de personal certificat în domeniul auditării IT, angajat în cadrul entităţii sau în cadrul unei companii din cadrul aceluiaşi grup financiar, prin aplicarea prevederilor prezentei norme şi a metodologiilor certificate internaţional;11. bază de date - structură de organizare a informaţiei într-unul sau mai multe domenii de aplicare, cu scopul de a o face accesibilă în permanenţă către utilizatori prin ansamblul de programe informatice;12. bune practici - activităţi sau procese certificate care au fost folosite cu succes în mai multe organizaţii şi au căpătat o largă recunoaştere, precum SR ISO/IEC 27002, ISO 20.002, cadrul de lucru şi metodologiile ISACA - COBIT, RiskIT, dar fără a se limita la acestea;13. centru de date - spaţiu securizat, dotat cu tehnică de calcul şi echipamente de comunicaţii prin intermediul cărora se primesc, se stochează şi se transmit date în formă electronică, care se implementează respectând standardele specifice, utilizând conceptul de nivel sau un echivalent al acestuia, precum, dar fără a se limita la, standardele SR EN 50600 (European Standard - Data Centers Facilities and Infrastructures) sau TIA-942 (Telecommunications Industry Association);14. centru de date de nivel 2 - centru de date care îndeplineşte cerinţele TIA-942 tier 2 sau echivalent şi a cărui infrastructură prezintă caracteristicile de disponibilitate de 99,741%, circuit dedicat pentru răcire şi alimentare cu energie electrică, include componente redundante, include podea înălţată, surse neîntreruptibile de putere, generator şi se încadrează într-un număr de maximum 22 de ore de nefuncţionare pe an;15. centrul principal de date - centru de date care asigură serviciile IT şi procesează în mod curent datele, tranzacţiile şi operaţiunile entităţii;16. CERT/Echipă sau centru de răspuns la incidente de urgenţă aferente securităţii informatice - structură organizaţională specializată în vederea colectării, analizării, identificării, prevenirii şi reacţiei la incidente cibernetice cu impact semnificativ;17. ciclu de viaţă - totalitatea stadiilor din viaţa unui serviciu IT, a unui element de configuraţie, a unui incident, a unei probleme sau a unei schimbări, fără a se limita la acestea;18. cloud computing public - infrastructură informatică, cu resurse de calcul configurabile, care permite furnizarea la cerere de servicii IT şi este asigurată prin centre de date publice, altele decât infrastructura informatică proprie entităţii, prin intermediul unui furnizor extern, ca un ansamblu distribuit de servicii de calcul, programe informatice, acces la informaţii şi stocare de date;19. COBIT/Obiective de Control pentru Tehnologia Informaţiilor şi Tehnologii Conexe - furnizează îndrumare şi bună practică pentru managementul controalelor proceselor IT, fiind publicat de către ISACA în colaborare cu IT Governance Institute (ITGI);20. comunicaţii/telecomunicaţii - sisteme de transmisie, precum şi orice alte resurse care permit transportul semnalelor prin fir, radio, fibră optică sau orice alte mijloace electromagnetice, precum şi tehnologiile utilizate în cadrul proceselor de comunicare, care presupun existenţa unui mediu informatic constituit din echipamente hardware, software specializat, precum şi dispozitive electronice de transmisie/recepţie date;21. controale informatice - totalitatea politicilor, procedurilor, practicilor şi a structurilor organizaţionale informatice proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele afacerii vor fi atinse şi evenimentele nedorite vor fi prevenite sau detectate şi corectate;22. date (informatice) - orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic, incluzându-se şi orice program informatic care poate determina realizarea unei funcţii similare de către un sistem informatic;23. disponibilitate - capabilitatea unui serviciu IT sau unui element de configuraţie IT de a efectua funcţiile agreate atunci când este necesar acest lucru;24. dubla validare/validare dublă - validarea unei acţiuni de către doi utilizatori sau existenţa unei validări informatice duble ce implică un program care verifică o anumită acţiune prin metode diferite;25. externalizare servicii IT - utilizarea de către o entitate a unui furnizor extern de servicii IT, în vederea desfăşurării de către acesta, pe bază contractuală şi în mod continuu sau pentru o perioadă, a operaţiunilor aferente suportului tehnic sau al procesării, necesare desfăşurării activităţii efectuate în mod obişnuit de către entitatea în cauză;26. externalizare în lanţ - externalizare în cadrul căreia furnizorul extern subcontractează cu alţi furnizori externi elemente componente ale serviciilor prestate entităţii;27. factori de risc - situaţii, împrejurări, elemente, condiţii sau conjuncturi interne şi externe, uneori dublate şi de acţiune, ce determină ori favorizează materializarea unei ameninţări la adresa infrastructurilor importante, în funcţie de o vulnerabilitate determinată, generând efecte de insecuritate;28. furnizor extern - persoană juridică sau fizică autorizată furnizoare de bunuri (precum hardware, licenţe software, componente etc.) şi soluţii informatice, care deţine expertiză în domenii specializate, cu respectarea cadrului legal aplicabil;29. furnizor de servicii IT externalizate - persoană juridică sau persoană fizică autorizată cu obiect de activitate şi expertiză în domeniul serviciilor informatice, furnizoare de servicii informatice în condiţiile respectării cadrului legal aplicabil şi a autorizării primite;30. hardware - ansamblul elementelor fizice şi tehnice cu ajutorul cărora datele se pot culege, verifica, prelucra, transmite, afişa şi stoca, inclusiv suporturile de memorare a datelor, precum şi echipamentele de calculator auxiliare;31. incident de securitate - eveniment înregistrat şi declarat la nivelul entităţii privind securitatea informaţiei sau a sistemelor informatice cu o probabilitate semnificativă de compromitere a operaţiunilor şi de ameninţare a securităţii IT a cărei consecinţă a determinat sau este de natură să determine compromiterea informaţiilor sau a sistemelor informatice;32. indicatori-cheie de performanţă (KPI) - parametri analitici reprezentativi selectaţi pentru monitorizarea unor activităţi şi procese-cheie pentru entităţi, oferind o privire de ansamblu asupra performanţei;33. indicatori-cheie de risc (KRI) - parametrii care măsoară efectiv riscurile aferente procedurilor şi activităţilor entităţii, furnizând în timp semnalări corespunzătoare ale consecinţelor cu efect negativ, care pot genera potenţiale pierderi directe sau indirecte;34. indisponibilitate (ca durată în timp) - intervalul de timp din cadrul perioadei agreate ca disponibilitate a serviciului, în care un serviciu IT sau o componentă critică/importantă a serviciului nu este disponibilă;35. informaţie - rezultatul prelucrării datelor printr-un sistem informatic care sunt baza pentru asigurarea cunoaşterii prin intermediul unor elemente noi în raport cu cunoştinţele anterioare şi constituie o resursă care trebuie protejată;36. infrastructura informatică - elemente ale bazei tehnico-materiale, pe componente sau ca sistem, care susţin culegerea, stocarea şi managementul datelor, precum şi integrarea, căutarea şi vizualizarea datelor şi alte calcule şi servicii de procesare a informaţiei utilizând tehnologii informatice, deţinute sau contractate extern de către entitate şi necesare bunei funcţionări a acesteia;37. infrastructură esenţială/critică - un sistem informatic sau o componentă a acestuia, care este esenţial pentru menţinerea funcţiilor infrastructurii financiare, a căror perturbare afectează semnificativ buna funcţionare a acesteia, cu un impact semnificativ ca urmare a incapacităţii de a menţine respectivele funcţii;38. infrastructură importantă - sistem informatic propriu sau externalizat, care asigură funcţionarea activităţilor şi serviciilor principale ale entităţii;39. integritate - păstrarea datelor electronice, digitalizate, nealterate pe timpul comunicaţiei dintre corespondenţi sau pe perioada de stocare a datelor;40. internet - reţea internaţională de calculatoare, formată prin interconectarea reţelelor globale (Wide Area Network - WAN) independente (particulare, comerciale, academice sau guvernamentale), destinată facilitării schimbului de date şi informaţii între utilizatori;41. ISACA - Asociaţia de Audit şi Control al Sistemelor Informatice/ Information Systems Audit and Control Association;42. SR ISO/IEC 27001 - standard care stabileşte cerinţele pentru un sistem de management al securităţii informaţiei;43. SR ISO/IEC 27002 - cod de practică internaţională pentru managementul securităţii informaţiei, având specificaţia SR ISO/IEC 27001;44. ISO/IEC 20000 - standard care stabileşte cerinţele pentru un sistem de management al serviciilor IT, bazat pe setul de publicaţii de bune practici al Bibliotecii pentru Infrastructura IT/IT Infrastructure Library - ITIL;45. managementul schimbării - procesul responsabil cu controlul ciclului de viaţă al tuturor schimbărilor pentru a permite implementarea schimbărilor benefice cu minimum de întrerupere a serviciilor IT;46. nerepudiere - atribut care să prevină posibilitatea unei entităţi de a nega o acţiune întreprinsă în context informaţional;47. obiectiv de control (informatic) - scop şi mijloc care se reflectă în punctele de control din care se extrag indicatori-cheie de risc;48. persoane - investitori, brokeri de asigurare, agenţi de asigurare, furnizori externi de servicii, alţi terţi sau colaboratori ai entităţii, angajaţi proprii - pe perioadă nedeterminată, respectiv determinată; participanţi la fondurile de pensii private. Entităţile vor raporta defalcat pe fiecare tip de "persoane" în funcţie de specificul activităţii proprii;49. plan de cooperare în domeniul securităţii reţelelor şi a informaţiei - plan care stabileşte rolurile organizaţionale, obligaţiile şi răspunderile în cadrul cooperării, precum şi procedurile de menţinere sau de restabilire a funcţionării reţelelor şi sistemelor informatice în cazul în care acestea sunt afectate de un risc sau de un incident cibernetic cu impact semnificativ;50. portofolii, tranzacţii şi active - conturile proprii ale investitorilor pe piaţa de capital sau ale clienţilor societăţilor de asigurări; portofolii de investitori, asiguraţi, operaţiuni cu activele investitorilor, activele proprii ale intermediarului şi/sau ale persoanelor relevante;51. program informatic (aplicaţie) - ansamblu de instrucţiuni care poate fi executat de un sistem informatic în vederea obţinerii unui rezultat determinat;52. resurse informaţionale - totalitatea informaţiilor şi a documentelor, conform cerinţelor stabilite de legislaţia în domeniu;53. reţea - ansamblu de echipamente legate între ele prin canale de transmisie, precum, dar fără a se limita la, o reţea de calculatoare;54. risc de securitate - orice circumstanţă sau eveniment care are un efect negativ potenţial asupra securităţii sistemelor informatice;55. risc sistemic - riscul de afectare a unei zone importante a sistemului financiar sau a unei pieţe financiare, cu potenţial de consecinţe negative serioase pentru piaţa internă şi economia reală, instabilitate a sistemului financiar, posibil catastrofică, cauzată sau accentuată de evenimente idiosincratice sau de condiţii ale entităţilor;56. riscuri semnificative - riscuri cu impact însemnat asupra situaţiei financiare, patrimoniale şi/sau reputaţionale a entităţilor;57. raport de audit IT - instrumentul prin care se comunică scopul auditării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, întinderea, procedurile, constatările şi concluziile auditului, precum şi orice rezervă pe care auditorul IT o are asupra sistemului informatic auditat;58. raport de testare IT - instrumentul prin care se comunică scopul testării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, întinderea, procedurile, constatările şi concluziile testării, precum şi orice rezervă pe care echipa de testare o are asupra sistemului informatic testat;59. risc aferent tehnologiei informaţiei (IT) - subcomponentă a riscului operaţional care se referă la riscul actual sau viitor de afectare negativă, pe de o parte, a profiturilor şi capitalului entităţilor sau a investitorilor, participanţilor sau asiguraţilor, pe de altă parte, determinat de inadecvarea strategiei şi politicilor IT, a tehnologiei informaţiei şi a procesării acesteia, din punctul de vedere al capacităţii de gestionare, integritate, controlabilitate şi continuitate, sau de utilizare necorespunzătoare a tehnologiei informaţiei;60. securitate (cibernetică) - capacitatea unei reţele sau a unui sistem informatic, rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive, de a rezista, la un nivel de încredere dat, unei acţiuni accidentale sau răuvoitoare care compromite disponibilitatea, autenticitatea, integritatea sau confidenţialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de reţeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;61. semnătură electronică (digitală) - atribut indispensabil al documentului electronic, obţinut în urma transformării criptografice a acestuia, cu utilizarea cheii private, conform prevederilor Legii nr. 455/2001 privind semnătura electronică, republicată;62. serviciu IT - combinaţie de persoane, procese şi tehnologii furnizate în interiorul entităţii sau de către un furnizor de servicii IT, care se bazează pe folosirea tehnologiei informaţiei şi care asigură suportul tehnic necesar desfăşurării activităţii entităţii şi care ar trebui să fie definită într-un acord al nivelului agreat de serviciu (SLA);63. sistem informatic - ansamblu de elemente intercorelate funcţional în scopul automatizării obţinerii informaţiilor necesare activităţilor operaţionale şi manageriale într-o entitate, prin intermediul serviciilor IT, al echipamentelor hardware şi produselor software, proceduri manuale, baze de date şi modele matematice pentru analiză, planificare, control şi luarea deciziilor, utilizând componente de introducere şi prelucrare date, componente de procesare precum servere, calculatoare, sisteme software de operare de bază, programe informatice, reţele de calculatoare şi telecomunicaţii, componente de stocare şi utilizatori, fără ca enumerarea să fie limitativă;64. sistem informatic/program informatic important (aplicaţii core business) - sistem/program informatic esenţial pentru derularea în bune condiţii a activităţii autorizate/avizate de Autoritatea de Supraveghere Financiară (A.S.F.) şi pentru asigurarea raportărilor către A.S.F. sau folosite în activitatea financiar-contabilă a entităţii;65. software - toată gama de produse program, care cuprinde cel puţin următoarele elemente: sisteme de operare, drivere sau programe informatice;66. soluţie informatică - un produs de tip sistem informatic, o combinaţie de produse sau o combinaţie de produse şi servicii informatice care sunt furnizate de un producător sau furnizor de servicii informatice sau de comunicaţii;67. tehnologia informaţiei (IT) sau tehnologia informaţiei şi a comunicaţiilor - tehnologia necesară pentru prelucrarea (procurarea, procesarea, stocarea, convertirea şi transmiterea) informaţiei, în particular prin folosirea calculatoarelor electronice şi a programelor corespunzătoare;68. TIA-942 - standard ce defineşte infrastructura unui centru de date, în mod special din privinţa sistemului de cablare şi al designului reţelei, dar acoperă şi locaţia, răcirea, alimentarea cu energie electrică şi amenajarea sa, precum şi considerente legate de mediu;69. vulnerabilităţi - stări de fapt, procese şi/sau fenomene care diminuează capacitatea de reacţie a sistemelor informatice la riscurile existente ori potenţiale sau care favorizează apariţia şi dezvoltarea lor, cu consecinţe în planul funcţionalităţii şi utilităţii.  +  Anexa 2Activităţi desfăşurate de către entităţiEntităţile vor desfăşura activităţile precizate în tabelul de mai jos, conform categoriilor de risc corespunzătoare.Activităţi obligatorii ale entităţilor, pe categorii de risc ┌─────┬─────────────────────────────────────┬───────────────────────────────┐ │ │ Activitate │ Categoria de risc a entităţii │ ├─────┼─────────────────────────────────────┼──────┬──────────┬─────┬───────┤ │ │ │Majoră│Importantă│Medie│Scăzută│ ├─────┴─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │A) Evaluare internă a riscului operaţional │ │ │ │ │ │şi registrul riscurilor │ x │ x │ x │ x │ ├───────────────────────────────────────────┴──────┴──────────┴─────┴───────┤ │B) Organizare pe procese │ ├─────┬─────────────────────────────────────┬──────┬──────────┬─────┬───────┤ │ 1│Management disponibilitate │ x │ x │ x │ │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ 2│Management utilizatori │ x │ x │ x │ x │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ 3│Management incidente │ x │ x │ x │ │ ├─────┴─────────────────────────────────────┴──────┴──────────┴─────┴───────┤ │ 4 Management schimbare │ ├─────┬─────────────────────────────────────┬──────┬──────────┬─────┬───────┤ │ a)│Management ciclu viaţă programe │ │ │ │ │ │ │informatice │ x │ x │ x │ x │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ b)│Management versiuni │ x │ x │ x │ x │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ c)│Management testare │ x │ x │ x │ x │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ 5│Management capacitate │ x │ x │ x │ │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ 6│Management configuraţii │ x │ x │ │ │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ 7│Management niveluri servicii (SLA) │ x │ x │ x │ │ ├─────┴─────────────────────────────────────┴──────┴──────────┴─────┴───────┤ │ 8 Management securitate │ ├─────┬─────────────────────────────────────┬──────┬──────────┬─────┬───────┤ │ a)│Cerinţe generale │ x │ x │ x │ x │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ b)│Teste de penetrare │ x │ x │ │ │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ 9│Management continuitate │ x │ x │ x │ │ ├─────┴─────────────────────────────────────┴──────┴──────────┴─────┴───────┤ │C) Puncte de control şi măsură │ ├─────┬─────────────────────────────────────┬──────┬──────────┬─────┬───────┤ │ a)│Controale generale │ x │ x │ x │ │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ b)│Controale program informatic │ x │ x │ │ │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ c)│Controale flux financiar │ x │ x │ x │ x │ ├─────┴─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │D) Implementare indicatori-cheie de │ │ │ │ │ │performanţă (KPI) │ x │ │ │ │ ├───────────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │E) Implementare indicatori-cheie │ │ │ │ │ │de risc (KRI) │ x │ x │ │ │ ├───────────────────────────────────────────┴──────┴──────────┴─────┴───────┤ │F) Managementul securităţii sistemului informatic │ ├─────┬─────────────────────────────────────┬──────┬──────────┬─────┬───────┤ │ a)│Măsuri organizatorice │ x │ x │ │ │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ b)│Proceduri de securitate │ x │ x │ x │ x │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ c)│Evaluare securitate │ x │ │ │ │ ├─────┼─────────────────────────────────────┼──────┼──────────┼─────┼───────┤ │ d)│Plan de cooperare │ x │ x │ x │ x │ └─────┴─────────────────────────────────────┴──────┴──────────┴─────┴───────┘  +  Anexa 3Indicatori de raportare electronică anualăPentru raportarea indicatorilor din tabelul de mai jos, entităţile vor raporta: a) conform prevederilor art. 14 alin. (4) din Norma Autorităţii de Supraveghere Financiară nr. 6/2015 privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile reglementate, autorizate/avizate şi/sau supravegheate de Autoritatea de Supraveghere Financiară; b) 0 "zero" - dacă nu sunt valori ale indicatorului respectiv pentru perioada raportată sau, după caz, la sfârşitul perioadei de raportare; c) valoarea indicatorului - dacă sunt înregistrate valori diferite de zero ale indicatorului respectiv pentru perioada raportată sau, după caz, la sfârşitul perioadei de raportare.Indicatori de raportat: ┌───────────┬───────────────────────────────────────────────────────────────┐ │Obiectiv în│ Indicator │ │perioada de│ │ │raportare │ │ ├───────────┼───────────────────────────────────────────────────────────────┤ │ 1 │ 2 │ ├───────────┴───────────────────────────────────────────────────────────────┤ │Indicatori referitori la accesarea online a serviciilor oferite de entitate│ ├───────────┬───────────────────────────────────────────────────────────────┤ │ │Număr de clienţi (total utilizatori) care accesează serviciile │ │ │online oferite de entitate │ ├───────────┴───────────────────────────────────────────────────────────────┤ │Indicatori referitori la persoanele care pot să efectueze modificări ale │ │sistemelor/programelor informatice importante │ ├───────────┬───────────────────────────────────────────────────────────────┤ │ │Număr de persoane (total utilizatori) care au acces direct la │ │ │bazele de date ale entităţii (referitor la portofolii, │ │ │tranzacţii şi active) cu drepturi de modificare asupra │ │ │acestora, rol de administrator sau privilegii echivalente │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr de persoane (total utilizatori) care au drepturi de │ │ │modificare asupra programelor informatice importante ale │ │ │entităţii (programe informatice interne/externe/online accesate│ │ │via internet) │ ├───────────┴───────────────────────────────────────────────────────────────┤ │Indicatori referitori la principiul dublei validări prin operaţiuni în │ │sistemele informatice importante │ ├───────────┬───────────────────────────────────────────────────────────────┤ │ │Număr de operaţiuni INIŢIATE care presupun dubla validare │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr de operaţiuni CONFIRMATE care presupun dubla validare │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr de operaţiuni ANULATE care presupun dubla validare │ ├───────────┴───────────────────────────────────────────────────────────────┤ │Indicatori referitori la accesul la sistemele informatice importante │ ├───────────┬───────────────────────────────────────────────────────────────┤ │ │Număr de persoane (total utilizatori) care au acces la │ │ │sistemele informatice importante care conţin informaţii │ │ │referitoare la portofolii, tranzacţii şi active │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr administratori de sistem (total utilizatori) care au │ │ │acces la credenţialele conturilor de acces ale clienţilor │ ├───────────┴───────────────────────────────────────────────────────────────┤ │Indicatori referitori la incidente interne de securitate informatică, │ │declarate │ ├───────────┬───────────────────────────────────────────────────────────────┤ │ │Număr total incidente interne de securitate informatică │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr total incidente informatice externe │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr încălcări politică şi proceduri securitate │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr pierderi date generate de acţiuni neaprobate │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr incidente declarate aferente pierderii de date (date │ │ │electronice) │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr de incidente declarate care au dus la distrugere │ │ │accidentală sau intenţionată de documente/ înregistrări/fişiere│ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr de incidente declarate de încălcare gravă a │ │ │regulilor/fraude/înşelătorii │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr incidente declarate de distrugere în centrul de date │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr mediu de zile de la identificarea unui incident de │ │ │securitate până la rezolvarea acestuia │ ├───────────┴───────────────────────────────────────────────────────────────┤ │Niveluri servicii agreate interne şi pentru clienţi │ ├───────────┬───────────────────────────────────────────────────────────────┤ │ │Număr ore de indisponibilitate neprogramată a sistemelor │ │ │informatice importante la care au acces clienţii (precum, dar │ │ │nelimitat la aplicaţii de tranzacţionare online, aplicaţii │ │ │online pentru subscrierea de poliţe de asigurare) │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr de ore de indisponibilitate neprogramată a serviciilor IT│ │ │externalizate care afectează serviciile oferite către clienţii │ │ │entităţilor │ ├───────────┴───────────────────────────────────────────────────────────────┤ │Management schimbări │ ├───────────┬───────────────────────────────────────────────────────────────┤ │ │Numărul programelor informatice importante │ │ ├───────────────────────────────────────────────────────────────┤ │ │Numărul de modificări aduse programelor informatice importante │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr erori în exploatare generate de deficienţe în proiectarea│ │ │sistemelor informatice importante │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr erori în exploatare neidentificate în testarea sistemelor│ │ │informatice importante │ ├───────────┴───────────────────────────────────────────────────────────────┤ │Indicatori managementul continuităţii │ ├───────────┬───────────────────────────────────────────────────────────────┤ │ │Număr de teste efectuate conform planului de continuitate a │ │ │afacerii │ │ ├───────────────────────────────────────────────────────────────┤ │ │Număr de teste efectuate conform planului de recuperare în caz │ │ │de dezastru │ ├───────────┴───────────────────────────────────────────────────────────────┤ │Audituri şi testări │ ├───────────┬───────────────────────────────────────────────────────────────┤ │ │Număr de audituri interne anuale │ └───────────┴───────────────────────────────────────────────────────────────┘------