Instituțiile financiare vor avea obligația de a informa imediat BNR și clienții despre incidentele IT majore începând cu 17 ianuarie 2025 - proiect de lege aprobat de Guvern

Începând cu 17 ianuarie 2025, bănci și alte entități financiare, inclusiv cele de plată, vor fi obligate să comunice fără întârziere clienților care le sunt afectate interesele financiare în urma incidentelor IT majore. De asemenea, orice incident operațional sau de securitate major va fi raportat Băncii Naționale a României (BNR), conform unui proiect de lege adoptat recent de Guvern.

Noua legislație, ce va fi implementată în România din 17 ianuarie 2025, vizează întărirea securității cibernetice în sectorul financiar și protejarea informațiilor clienților.

Acest demers reprezintă transpunerea Directivei DORA în legislația națională, printr-un proiect de lege care a fost aprobat recent și care va fi înaintat Parlamentului pentru dezbatere.

• „Conform noului regulament, băncile și alte instituții financiare, inclusiv cele de plată, sunt obligate să gestioneze riscurile informatice și să dezvolte un plan și o structură în acest sens.
• Banca Națională a României va fi notificată despre orice incident operațional sau de securitate major.
• În cadrul Regulamentului DORA, care se va aplica direct, este stipulat că în cazul unui incident major legat de tehnologiile informației și comunicațiilor (TIC) care afectează interesele financiare ale clienților, entitățile financiare au obligația de a informa imediat clienții afectați despre incident și măsurile de protecție disponibile”, a anunțat Guvernul.

Directiva DORA va fi aplicată începând cu 17 ianuarie 2025, împreună cu Regulamentul (UE) 2022/2554 privind reziliența operațională digitală în sectorul financiar, care se aplică direct și nu necesită integrare în legislația națională.

Ambele acte europene urmăresc să sprijine și să faciliteze îmbunătățirea securității cibernetice în servicii financiare.

Deoarece instituțiile de credit, cele de plată, emitenții de monedă electronică și firmele de investiții depind semnificativ de tehnologia digitală în activitatea lor, este esențial să existe o gestionare proactivă și eficientă a riscurilor TIC și politici de continuitate și răspuns la evenimente disruptive.

Pe fondul interconexiunilor și dependențelor crescânde din sectorul financiar, riscurile cibernetice au dobândit un caracter sistemic. La nivelul Uniunii Europene și național, cerințele pentru gestionarea riscurilor TIC sunt neomogene și incomplete, fiind adesea tratate implicit în contextul riscurilor operaționale sau ignorate complet.

Implementarea Directivei DORA în legislația națională va asigura aplicarea unitară a noului cadru european de reziliență operațională digitală.