REGULAMENT nr. 1 din 15 mai 2025privind modificarea unor acte normative emise de Banca Națională a României
Publicat în
MONITORUL OFICIAL nr. 489 din 26 mai 2025
Având în vedere prevederile art. 24, 101, 104, 148 și 149 din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, ale art. 25 și art. 100 alin. (1) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, cu modificările și completările ulterioare, și ale art. 24 din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică, cu modificările ulterioare,în temeiul dispozițiilor art. 25 alin. (2) lit. a) și ale art. 48 din Legea nr. 312/2004 privind Statutul Băncii Naționale a României, ale art. 420 alin. (1) și (3) din Ordonanța de urgență a Guvernului nr. 99/2006, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, ale art. 243 alin. (1) din Legea nr. 209/2019, cu modificările și completările ulterioare, precum și ale art. 116 alin. (1) din Legea nr. 210/2019, cu modificările ulterioare,Banca Națională a României emite prezentul regulament. + Articolul IRegulamentul Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, publicat în Monitorul Oficial al României, Partea I, nr. 841 din 30 decembrie 2013, cu modificările și completările ulterioare, se modifică după cum urmează:– La articolul 149, alineatul (3) se modifică și va avea următorul cuprins:(3) Instituțiile de credit trebuie să instituie politici și planuri adecvate pentru situații neprevăzute și de continuitate a activității, inclusiv politici și planuri de continuitate a activității privind gestionarea riscurilor legate de TIC și planuri de răspuns și de recuperare în domeniul TIC pentru tehnologia pe care acestea o utilizează pentru comunicarea informațiilor. Aceste planuri trebuie să fie elaborate, gestionate și testate în conformitate cu art. 11 din Regulamentul (UE) 2022/2.554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1.011, pentru a le permite instituțiilor de credit să își continue activitatea în caz de întrerupere gravă a acesteia și de a-și limita pierderile în eventualitatea unei astfel de întreruperi. + Articolul IIRegulamentul Băncii Naționale a României nr. 4/2019 privind instituțiile de plată și furnizorii specializați în servicii de informare cu privire la conturi, publicat în Monitorul Oficial al României, Partea I, nr. 1020 din 19 decembrie 2019, cu modificările și completările ulterioare, se modifică după cum urmează:1. Articolul 17 se modifică și va avea următorul cuprins: + Articolul 17(1) Solicitantul trebuie să demonstreze Băncii Naționale a României că dispune de un cadru de organizare și administrare a activității de prestare de servicii de plată riguros conceput și de mecanisme de control intern care să asigure efectuarea de verificări permanente și periodice, inclusiv politici și proceduri administrative, de gestionare a riscurilor, de asigurare a conformității cu cerințele cadrului legal și de reglementare și contabile, precum și de acorduri contractuale încheiate sau în stadiu de proiect, dacă este cazul, pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1.011, care sunt adecvate, cuprinzătoare și adaptate la natura, extinderea și complexitatea serviciilor de plată prestate.(2) Potrivit naturii, extinderii și complexității serviciilor de plată prestate, mecanismele de control intern cuprind, după caz, funcția de administrare a riscurilor, de asigurare a conformității și de audit intern.(3) În cadrul mecanismelor de control intern, solicitantul instituie aranjamente de audit, interne sau externe, independente de activitățile controlate, care să asigure că toate operațiunile aferente activității de prestare de servicii de plată pe care le desfășoară solicitantul, inclusiv cele aferente funcțiilor operaționale externalizate, sunt conforme cu politicile și procedurile interne și cu prevederile Legii nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, cu modificările și completările ulterioare, și ale Regulamentului (UE) 2022/2.554.(4) În cadrul evaluării ducerii la îndeplinire a obligației prevăzute la alin. (1) de către instituțiile de plată care externalizează funcții operaționale potrivit art. 54, 55 și 67 ori desfășoară activitate potrivit art. 65 alin. (2) din Legea nr. 209/2019, cu modificările și completările ulterioare, Banca Națională a României are în vedere cerințele din Ghidul EBA/GL/2019/02 privind externalizarea.2. La articolul 25, alineatul (2) se modifică și va avea următorul cuprins:(2) Măsurile de control de securitate și de diminuare a riscurilor TIC trebuie să asigure un nivel ridicat de reziliență operațională digitală potrivit prevederilor cap. II din Regulamentul (UE) 2022/2.554, în special cu privire la securitatea tehnică și protecția datelor, inclusiv pentru programele informatice și sistemele TIC utilizate de solicitant sau de entitățile către care acesta externalizează total sau parțial funcțiile sale operaționale.3. La articolul 29 alineatul (1), litera h) se modifică și va avea următorul cuprins:h) descrierea cadrului de administrare și a mecanismelor de control intern potrivit art. 34 din prezentul regulament, precum și a acordurilor contractuale, încheiate sau în stadiu de proiect, pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554;4. La articolul 29 alineatul (1), litera i) se modifică și va avea următorul cuprins:i) descrierea procedurilor pentru monitorizarea, soluționarea și urmărirea incidentelor operaționale și de securitate și a plângerilor utilizatorilor serviciilor de plată legate de securitate, potrivit art. 35 din prezentul regulament, incluzând un mecanism de raportare a incidentelor care ține cont de obligațiile de notificare ale instituției de plată prevăzute la cap. III din Regulamentul (UE) 2022/2.554;5. La articolul 29 alineatul (1), litera k) se modifică și va avea următorul cuprins:k) descrierea aranjamentelor de asigurare a continuității activității, care să cuprindă identificarea de către solicitant a operațiunilor critice, o politică și planuri eficiente de continuitate a activității TIC și planuri de răspuns și de recuperare în domeniul TIC și o procedură pentru testarea și revizuirea periodică a caracterului adecvat și a eficacității acestor planuri, potrivit art. 37 din prezentul regulament, cu respectarea prevederilor Regulamentului (UE) 2022/2.554;6. La articolul 35, litera e) se modifică și va avea următorul cuprins:e) procedurile de raportare internă și externă a incidentelor operaționale și de securitate, inclusiv notificarea incidentelor majore potrivit prevederilor cap. III din Regulamentul (UE) 2022/2.554;7. La articolul 38, litera a) se modifică și va avea următorul cuprins:a) evaluarea detaliată a riscurilor TIC și de securitate aferente serviciilor de plată pe care solicitantul intenționează să le presteze, inclusiv riscul de fraudă și descrierea măsurilor de control de securitate și de diminuare a riscurilor identificate pentru protejarea utilizatorilor de servicii de plată, cu respectarea cerințelor art. 25 alin. (2);8. La articolul 38, litera b) se modifică și va avea următorul cuprins:b) descrierea sistemelor TIC, inclusiv: arhitectura de sistem și elementele rețelei, sistemele-suport ale afacerii, precum website-ul, portofelul electronic, motorul de plăți, motorul de gestionare a riscurilor și fraudelor și sistemul de evidență a clienților; sistemul informatic folosit pentru organizarea și administrarea instituției, precum: sistemul de contabilitate, raportări în conformitate cu cadrul legal, gestiunea personalului, gestiunea relației cu clienții, serverul de e-mailuri și de fișiere cu date interne; informații legate de utilizarea curentă a sistemului de către solicitant sau grupul din care face parte sau, după caz, data estimată a implementării;9. La articolul 93 alineatul (1), litera g) se modifică și va avea următorul cuprins:g) descrierea cadrului de administrare și a mecanismelor de control intern cuprinzând informațiile prevăzute la art. 34 din prezentul regulament, în cazul în care solicitantul este persoană juridică, informațiile prevăzute la art. 34 lit. a)-c) și e)-h) din prezentul regulament, în cazul în care solicitantul este persoană fizică, precum și eventualele acorduri contractuale încheiate sau în stadiu de proiect pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554;10. La articolul 93 alineatul (1), litera h) se modifică și va avea următorul cuprins:h) descrierea procedurilor pentru monitorizarea, soluționarea și urmărirea incidentelor operaționale și de securitate și a plângerilor utilizatorilor serviciilor de plată legate de securitate, potrivit art. 35 din prezentul regulament, incluzând un mecanism de raportare a incidentelor care ține cont de obligațiile de notificare ale furnizorului specializat în servicii de informare cu privire la conturi prevăzute la cap. III din Regulamentul (UE) 2022/2/554;11. La articolul 93 alineatul (1), litera j) se modifică și va avea următorul cuprins:j) descrierea aranjamentelor de asigurare a continuității activității, care să cuprindă identificarea de către solicitant a operațiunilor critice, o politică și planuri eficiente de continuitate a activității TIC și planuri de răspuns și de recuperare în domeniul TIC și o procedură pentru testarea și revizuirea periodică a caracterului adecvat și a eficacității acestor planuri, potrivit art. 37 lit. a)-d) din prezentul regulament, cu respectarea prevederilor Regulamentului (UE) 2022/2.554; + Articolul IIIRegulamentul Băncii Naționale a României nr. 5/2019 privind instituțiile emitente de monedă electronică, publicat în Monitorul Oficial al României, Partea I, nr. 1021 din 19 decembrie 2019, cu modificările și completările ulterioare, se modifică după cum urmează:1. La articolul 17, alineatele (1) și (3) se modifică și vor avea următorul cuprins: + Articolul 17(1) Solicitantul trebuie să demonstreze Băncii Naționale a României că dispune de un cadru de organizare și administrare a activității de emitere de monedă electronică și, după caz, de prestare de servicii de plată riguros conceput și de mecanisme de control intern care să asigure efectuarea de verificări permanente și periodice, inclusiv proceduri administrative, de gestionare a riscurilor și contabile, precum și de acorduri contractuale, încheiate sau în stadiu de proiect, pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1.011, care sunt adecvate, cuprinzătoare și adaptate la natura, extinderea și complexitatea activităților cu monedă electronică desfășurate și, după caz, a serviciilor de plată prestate............................................(3) În cadrul mecanismelor de control intern, solicitantul instituie aranjamente de audit, interne sau externe, independente de activitățile controlate, care să asigure că toate operațiunile aferente activității de emitere de monedă electronică și, după caz, de prestare de servicii de plată pe care le desfășoară solicitantul, inclusiv cele aferente funcțiilor operaționale externalizate, sunt conforme cu politicile și procedurile interne și cu prevederile Legii nr. 210/2019 privind activitatea de emitere de monedă electronică, cu modificările ulterioare, ale Legii nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, cu modificările și completările ulterioare, și ale Regulamentului (UE) 2022/2.554.2. La articolul 24, alineatul (2) se modifică și va avea următorul cuprins:(2) Măsurile de control de securitate și de diminuare a riscurilor trebuie să asigure un nivel ridicat de reziliență operațională digitală potrivit prevederilor cap. II din Regulamentul (UE) 2022/2.554, în special cu privire la securitatea tehnică și protecția datelor, inclusiv pentru programele informatice și sistemele TIC utilizate de solicitant sau de entitățile către care acesta externalizează total sau parțial funcțiile sale operaționale.3. La articolul 28 alineatul (1), litera h) se modifică și va avea următorul cuprins:h) descrierea cadrului de administrare și a mecanismelor de control intern, potrivit art. 33 din prezentul regulament, precum și a acordurilor contractuale, încheiate sau în stadiu de proiect, pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554;4. La articolul 28 alineatul (1), litera i) se modifică și va avea următorul cuprins:i) descrierea procedurilor pentru monitorizarea, soluționarea și urmărirea incidentelor operaționale și de securitate și a plângerilor utilizatorilor serviciilor de plată legate de securitate, potrivit art. 34 din prezentul regulament, incluzând un mecanism de raportare a incidentelor care ține cont de obligațiile de notificare ale instituției emitente de monedă electronică, prevăzute la cap. III din Regulamentul (UE) 2022/2.554;5. La articolul 28 alineatul (1), litera k) se modifică și va avea următorul cuprins:k) descrierea aranjamentelor de asigurare a continuității activității, care să cuprindă identificarea de către solicitant a operațiunilor critice, o politică și planuri eficace de continuitate a activității TIC și planuri de răspuns și de recuperare în domeniul TIC și o procedură pentru testarea și revizuirea periodică a caracterului adecvat și a eficacității acestor planuri, potrivit art. 36 din prezentul regulament, cu respectarea prevederilor Regulamentului (UE) 2022/2.554;6. La articolul 34, litera e) se modifică și va avea următorul cuprins: e) procedurile de raportare internă și externă a incidentelor operaționale și de securitate, inclusiv în cazul solicitanților care intenționează să presteze servicii de plată, altele decât cele legate de emiterea de monedă electronică, raportarea incidentelor majore potrivit prevederilor cap. III din Regulamentul (UE) 2022/2.554;7. La articolul 37, litera a) se modifică și va avea următorul cuprins:a) evaluarea detaliată a riscurilor TIC și de securitate aferente serviciilor de plată pe care solicitantul intenționează să le desfășoare/să le presteze, inclusiv riscul de fraudă și descrierea măsurilor de control de securitate și de diminuare a riscurilor identificate pentru protejarea utilizatorilor serviciilor de plată, cu respectarea cerințelor art. 24 alin. (2);8. La articolul 37, litera b) se modifică și va avea următorul cuprins:b) descrierea sistemelor TIC, inclusiv: arhitectura de sistem și elementele rețelei; sistemele-suport ale afacerii, precum website-ul, portofelul electronic, motorul de plăți, motorul de gestionare a riscurilor și fraudelor și sistemul de evidență a clienților; sistemul informatic folosit pentru organizarea și administrarea instituției emitente de monedă electronică, precum: sistemul de contabilitate, raportări în conformitate cu cadrul legal, gestiunea personalului, gestiunea relației cu clienții, serverul de e-mailuri și de fișiere cu date interne; informații legate de utilizarea curentă a sistemului de către solicitant sau grupul din care face parte sau, după caz, data estimată a implementării; + Articolul IVPrezentul regulament se publică în Monitorul Oficial al României, Partea I.Prezentul regulament transpune art. 4 pct. 3 și art. 7 pct. 2 din Directiva (UE) 2022/2.556 a Parlamentului European și a Consiliului din 14 decembrie 2022 de modificare a Directivelor 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2.366 și (UE) 2016/2.341 privind reziliența operațională digitală pentru sectorul financiar, publicată în Jurnalul Oficial al Uniunii Europene, seria L, nr. 333 din 27 decembrie 2022.
Președintele Consiliului de administrație al Băncii Naționale a României,
Mugur Constantin IsărescuBucurești, 15 mai 2025.Nr. 1.-------
| EMITENT |
Având în vedere prevederile art. 24, 101, 104, 148 și 149 din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, ale art. 25 și art. 100 alin. (1) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, cu modificările și completările ulterioare, și ale art. 24 din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică, cu modificările ulterioare,în temeiul dispozițiilor art. 25 alin. (2) lit. a) și ale art. 48 din Legea nr. 312/2004 privind Statutul Băncii Naționale a României, ale art. 420 alin. (1) și (3) din Ordonanța de urgență a Guvernului nr. 99/2006, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, ale art. 243 alin. (1) din Legea nr. 209/2019, cu modificările și completările ulterioare, precum și ale art. 116 alin. (1) din Legea nr. 210/2019, cu modificările ulterioare,Banca Națională a României emite prezentul regulament. + Articolul IRegulamentul Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, publicat în Monitorul Oficial al României, Partea I, nr. 841 din 30 decembrie 2013, cu modificările și completările ulterioare, se modifică după cum urmează:– La articolul 149, alineatul (3) se modifică și va avea următorul cuprins:(3) Instituțiile de credit trebuie să instituie politici și planuri adecvate pentru situații neprevăzute și de continuitate a activității, inclusiv politici și planuri de continuitate a activității privind gestionarea riscurilor legate de TIC și planuri de răspuns și de recuperare în domeniul TIC pentru tehnologia pe care acestea o utilizează pentru comunicarea informațiilor. Aceste planuri trebuie să fie elaborate, gestionate și testate în conformitate cu art. 11 din Regulamentul (UE) 2022/2.554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1.011, pentru a le permite instituțiilor de credit să își continue activitatea în caz de întrerupere gravă a acesteia și de a-și limita pierderile în eventualitatea unei astfel de întreruperi. + Articolul IIRegulamentul Băncii Naționale a României nr. 4/2019 privind instituțiile de plată și furnizorii specializați în servicii de informare cu privire la conturi, publicat în Monitorul Oficial al României, Partea I, nr. 1020 din 19 decembrie 2019, cu modificările și completările ulterioare, se modifică după cum urmează:1. Articolul 17 se modifică și va avea următorul cuprins: + Articolul 17(1) Solicitantul trebuie să demonstreze Băncii Naționale a României că dispune de un cadru de organizare și administrare a activității de prestare de servicii de plată riguros conceput și de mecanisme de control intern care să asigure efectuarea de verificări permanente și periodice, inclusiv politici și proceduri administrative, de gestionare a riscurilor, de asigurare a conformității cu cerințele cadrului legal și de reglementare și contabile, precum și de acorduri contractuale încheiate sau în stadiu de proiect, dacă este cazul, pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1.011, care sunt adecvate, cuprinzătoare și adaptate la natura, extinderea și complexitatea serviciilor de plată prestate.(2) Potrivit naturii, extinderii și complexității serviciilor de plată prestate, mecanismele de control intern cuprind, după caz, funcția de administrare a riscurilor, de asigurare a conformității și de audit intern.(3) În cadrul mecanismelor de control intern, solicitantul instituie aranjamente de audit, interne sau externe, independente de activitățile controlate, care să asigure că toate operațiunile aferente activității de prestare de servicii de plată pe care le desfășoară solicitantul, inclusiv cele aferente funcțiilor operaționale externalizate, sunt conforme cu politicile și procedurile interne și cu prevederile Legii nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, cu modificările și completările ulterioare, și ale Regulamentului (UE) 2022/2.554.(4) În cadrul evaluării ducerii la îndeplinire a obligației prevăzute la alin. (1) de către instituțiile de plată care externalizează funcții operaționale potrivit art. 54, 55 și 67 ori desfășoară activitate potrivit art. 65 alin. (2) din Legea nr. 209/2019, cu modificările și completările ulterioare, Banca Națională a României are în vedere cerințele din Ghidul EBA/GL/2019/02 privind externalizarea.2. La articolul 25, alineatul (2) se modifică și va avea următorul cuprins:(2) Măsurile de control de securitate și de diminuare a riscurilor TIC trebuie să asigure un nivel ridicat de reziliență operațională digitală potrivit prevederilor cap. II din Regulamentul (UE) 2022/2.554, în special cu privire la securitatea tehnică și protecția datelor, inclusiv pentru programele informatice și sistemele TIC utilizate de solicitant sau de entitățile către care acesta externalizează total sau parțial funcțiile sale operaționale.3. La articolul 29 alineatul (1), litera h) se modifică și va avea următorul cuprins:h) descrierea cadrului de administrare și a mecanismelor de control intern potrivit art. 34 din prezentul regulament, precum și a acordurilor contractuale, încheiate sau în stadiu de proiect, pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554;4. La articolul 29 alineatul (1), litera i) se modifică și va avea următorul cuprins:i) descrierea procedurilor pentru monitorizarea, soluționarea și urmărirea incidentelor operaționale și de securitate și a plângerilor utilizatorilor serviciilor de plată legate de securitate, potrivit art. 35 din prezentul regulament, incluzând un mecanism de raportare a incidentelor care ține cont de obligațiile de notificare ale instituției de plată prevăzute la cap. III din Regulamentul (UE) 2022/2.554;5. La articolul 29 alineatul (1), litera k) se modifică și va avea următorul cuprins:k) descrierea aranjamentelor de asigurare a continuității activității, care să cuprindă identificarea de către solicitant a operațiunilor critice, o politică și planuri eficiente de continuitate a activității TIC și planuri de răspuns și de recuperare în domeniul TIC și o procedură pentru testarea și revizuirea periodică a caracterului adecvat și a eficacității acestor planuri, potrivit art. 37 din prezentul regulament, cu respectarea prevederilor Regulamentului (UE) 2022/2.554;6. La articolul 35, litera e) se modifică și va avea următorul cuprins:e) procedurile de raportare internă și externă a incidentelor operaționale și de securitate, inclusiv notificarea incidentelor majore potrivit prevederilor cap. III din Regulamentul (UE) 2022/2.554;7. La articolul 38, litera a) se modifică și va avea următorul cuprins:a) evaluarea detaliată a riscurilor TIC și de securitate aferente serviciilor de plată pe care solicitantul intenționează să le presteze, inclusiv riscul de fraudă și descrierea măsurilor de control de securitate și de diminuare a riscurilor identificate pentru protejarea utilizatorilor de servicii de plată, cu respectarea cerințelor art. 25 alin. (2);8. La articolul 38, litera b) se modifică și va avea următorul cuprins:b) descrierea sistemelor TIC, inclusiv: arhitectura de sistem și elementele rețelei, sistemele-suport ale afacerii, precum website-ul, portofelul electronic, motorul de plăți, motorul de gestionare a riscurilor și fraudelor și sistemul de evidență a clienților; sistemul informatic folosit pentru organizarea și administrarea instituției, precum: sistemul de contabilitate, raportări în conformitate cu cadrul legal, gestiunea personalului, gestiunea relației cu clienții, serverul de e-mailuri și de fișiere cu date interne; informații legate de utilizarea curentă a sistemului de către solicitant sau grupul din care face parte sau, după caz, data estimată a implementării;9. La articolul 93 alineatul (1), litera g) se modifică și va avea următorul cuprins:g) descrierea cadrului de administrare și a mecanismelor de control intern cuprinzând informațiile prevăzute la art. 34 din prezentul regulament, în cazul în care solicitantul este persoană juridică, informațiile prevăzute la art. 34 lit. a)-c) și e)-h) din prezentul regulament, în cazul în care solicitantul este persoană fizică, precum și eventualele acorduri contractuale încheiate sau în stadiu de proiect pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554;10. La articolul 93 alineatul (1), litera h) se modifică și va avea următorul cuprins:h) descrierea procedurilor pentru monitorizarea, soluționarea și urmărirea incidentelor operaționale și de securitate și a plângerilor utilizatorilor serviciilor de plată legate de securitate, potrivit art. 35 din prezentul regulament, incluzând un mecanism de raportare a incidentelor care ține cont de obligațiile de notificare ale furnizorului specializat în servicii de informare cu privire la conturi prevăzute la cap. III din Regulamentul (UE) 2022/2/554;11. La articolul 93 alineatul (1), litera j) se modifică și va avea următorul cuprins:j) descrierea aranjamentelor de asigurare a continuității activității, care să cuprindă identificarea de către solicitant a operațiunilor critice, o politică și planuri eficiente de continuitate a activității TIC și planuri de răspuns și de recuperare în domeniul TIC și o procedură pentru testarea și revizuirea periodică a caracterului adecvat și a eficacității acestor planuri, potrivit art. 37 lit. a)-d) din prezentul regulament, cu respectarea prevederilor Regulamentului (UE) 2022/2.554; + Articolul IIIRegulamentul Băncii Naționale a României nr. 5/2019 privind instituțiile emitente de monedă electronică, publicat în Monitorul Oficial al României, Partea I, nr. 1021 din 19 decembrie 2019, cu modificările și completările ulterioare, se modifică după cum urmează:1. La articolul 17, alineatele (1) și (3) se modifică și vor avea următorul cuprins: + Articolul 17(1) Solicitantul trebuie să demonstreze Băncii Naționale a României că dispune de un cadru de organizare și administrare a activității de emitere de monedă electronică și, după caz, de prestare de servicii de plată riguros conceput și de mecanisme de control intern care să asigure efectuarea de verificări permanente și periodice, inclusiv proceduri administrative, de gestionare a riscurilor și contabile, precum și de acorduri contractuale, încheiate sau în stadiu de proiect, pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1.011, care sunt adecvate, cuprinzătoare și adaptate la natura, extinderea și complexitatea activităților cu monedă electronică desfășurate și, după caz, a serviciilor de plată prestate............................................(3) În cadrul mecanismelor de control intern, solicitantul instituie aranjamente de audit, interne sau externe, independente de activitățile controlate, care să asigure că toate operațiunile aferente activității de emitere de monedă electronică și, după caz, de prestare de servicii de plată pe care le desfășoară solicitantul, inclusiv cele aferente funcțiilor operaționale externalizate, sunt conforme cu politicile și procedurile interne și cu prevederile Legii nr. 210/2019 privind activitatea de emitere de monedă electronică, cu modificările ulterioare, ale Legii nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, cu modificările și completările ulterioare, și ale Regulamentului (UE) 2022/2.554.2. La articolul 24, alineatul (2) se modifică și va avea următorul cuprins:(2) Măsurile de control de securitate și de diminuare a riscurilor trebuie să asigure un nivel ridicat de reziliență operațională digitală potrivit prevederilor cap. II din Regulamentul (UE) 2022/2.554, în special cu privire la securitatea tehnică și protecția datelor, inclusiv pentru programele informatice și sistemele TIC utilizate de solicitant sau de entitățile către care acesta externalizează total sau parțial funcțiile sale operaționale.3. La articolul 28 alineatul (1), litera h) se modifică și va avea următorul cuprins:h) descrierea cadrului de administrare și a mecanismelor de control intern, potrivit art. 33 din prezentul regulament, precum și a acordurilor contractuale, încheiate sau în stadiu de proiect, pentru utilizarea serviciilor TIC, în conformitate cu Regulamentul (UE) 2022/2.554;4. La articolul 28 alineatul (1), litera i) se modifică și va avea următorul cuprins:i) descrierea procedurilor pentru monitorizarea, soluționarea și urmărirea incidentelor operaționale și de securitate și a plângerilor utilizatorilor serviciilor de plată legate de securitate, potrivit art. 34 din prezentul regulament, incluzând un mecanism de raportare a incidentelor care ține cont de obligațiile de notificare ale instituției emitente de monedă electronică, prevăzute la cap. III din Regulamentul (UE) 2022/2.554;5. La articolul 28 alineatul (1), litera k) se modifică și va avea următorul cuprins:k) descrierea aranjamentelor de asigurare a continuității activității, care să cuprindă identificarea de către solicitant a operațiunilor critice, o politică și planuri eficace de continuitate a activității TIC și planuri de răspuns și de recuperare în domeniul TIC și o procedură pentru testarea și revizuirea periodică a caracterului adecvat și a eficacității acestor planuri, potrivit art. 36 din prezentul regulament, cu respectarea prevederilor Regulamentului (UE) 2022/2.554;6. La articolul 34, litera e) se modifică și va avea următorul cuprins: e) procedurile de raportare internă și externă a incidentelor operaționale și de securitate, inclusiv în cazul solicitanților care intenționează să presteze servicii de plată, altele decât cele legate de emiterea de monedă electronică, raportarea incidentelor majore potrivit prevederilor cap. III din Regulamentul (UE) 2022/2.554;7. La articolul 37, litera a) se modifică și va avea următorul cuprins:a) evaluarea detaliată a riscurilor TIC și de securitate aferente serviciilor de plată pe care solicitantul intenționează să le desfășoare/să le presteze, inclusiv riscul de fraudă și descrierea măsurilor de control de securitate și de diminuare a riscurilor identificate pentru protejarea utilizatorilor serviciilor de plată, cu respectarea cerințelor art. 24 alin. (2);8. La articolul 37, litera b) se modifică și va avea următorul cuprins:b) descrierea sistemelor TIC, inclusiv: arhitectura de sistem și elementele rețelei; sistemele-suport ale afacerii, precum website-ul, portofelul electronic, motorul de plăți, motorul de gestionare a riscurilor și fraudelor și sistemul de evidență a clienților; sistemul informatic folosit pentru organizarea și administrarea instituției emitente de monedă electronică, precum: sistemul de contabilitate, raportări în conformitate cu cadrul legal, gestiunea personalului, gestiunea relației cu clienții, serverul de e-mailuri și de fișiere cu date interne; informații legate de utilizarea curentă a sistemului de către solicitant sau grupul din care face parte sau, după caz, data estimată a implementării; + Articolul IVPrezentul regulament se publică în Monitorul Oficial al României, Partea I.Prezentul regulament transpune art. 4 pct. 3 și art. 7 pct. 2 din Directiva (UE) 2022/2.556 a Parlamentului European și a Consiliului din 14 decembrie 2022 de modificare a Directivelor 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2.366 și (UE) 2016/2.341 privind reziliența operațională digitală pentru sectorul financiar, publicată în Jurnalul Oficial al Uniunii Europene, seria L, nr. 333 din 27 decembrie 2022.
Președintele Consiliului de administrație al Băncii Naționale a României,
Mugur Constantin IsărescuBucurești, 15 mai 2025.Nr. 1.-------
Google Chrome
Mozilla Firefox
Internet Explorer
Apple Safari