Băncile comerciale vor fi obligate să-și notifice clienții și BNR cu privire la incidentele informatice majore. Actul normativ a fost adoptat de Guvern și urmează să intre în vigoare din 17 ianuarie 2025.

Instituțiile financiar-bancare vor fi obligate să-și informeze clienții ale căror interese financiare sunt afectate de incidente informatice majore. Notificări similare, cu privire la orice incident operațional sau de securitate major, vor fi transmise și către BNR.

Băncile comerciale obligate să-și anunțe clienții

Proiectul de act normativ adoptat în Guvern introduce o obligație începând cu 17 ianuarie 2025. Băncile vor fi obligat să-și notifice clienții cu privire la incidentele operaționale sau de securitate informatică. Totodată actul normativ le impune să-și anunțe clienții și în legătură cu evenutalele măsuri de protecție adoptate. De asemenea, informații similare trebuie să primească și Banca Națională a României (BNR).

Actul normativ, care intră în vigoare din 17 ianuarie 2025, impune noi reglementări destinate consolidării securității cibernetice a entităților financiare. Astfel, se dorește o mai bună protecție pentru beneficiarii de servicii financiare.

Mai exact Guvernul implementează, în legislația națională, o directivă europeană, Dora, care vizează băncile comerciale. Proiectul aprobat în Guvern urmează să fie transmis spre dezbatere și vot în Parlament.

Precizările Guvernului pe tema actului normativ

Potrivit noului Regulament, băncile și celelalte instituții financiare, inclusiv de plată, trebuie să administreze riscurile informatice, se arată într-un comunicat al guvernului. Aceste instituții trebuie să aibă un plan de acșiune și o structură clară în acest sens. De asemenea, a arătat Guvernul, Banca Națională a României va fi informată cu privire la orice incident operațional sau de securitate major.

„De asemenea, potrivit Regulamentului DORA, care se va aplica în mod direct, în cazul în care are loc un incident major legat de TIC care are un impact asupra intereselor financiare ale clienților, entitățile financiare îi informează pe aceștia, fără întârzieri nejustificate, de îndată ce află despre incidentul major. De asemenea, îi informează pe clienții afectați cu privire la eventualele măsuri de protecție”, a anunțat Guvernul.

Directiva DORA se va aplica începând din 17 ianuarie 2025 împreună cu Regulamentul (UE) 2022/2554 privind rezilienţa operaţională digitală pentru sectorul financiar. Este vorba despre Regulamentul DORA, care este aplicabilă direct, nefiind necesară adoptarea unor reglementări speciale.

Băncile obligate să contracareze amenințările

Actul de reglementare este necesar având în vedere că instituțiile de credit, instituțiile de plată, instituțiile emitente de monedă electronică și firmele de investiții depind de tehnologiile informatice. În acest context, este necesară o activitate de prevenție a riscurilor informatice. De asemenea, băncile trebuie să aibă politici și planuri destinate contracarării unei întreruperi grave a activității.

Riscul cibernetic a devenit un risc sistemic, atât la nivelul Uniunii Europene cât și la nivel național. Or, în ciuda amenințărilor, în acest moment, cerințele privind gestionarea riscurilor informatice sunt incomplete și lipsite de unitate.

Transpunerea în legislația națională a Directivei DORA asigură aplicarea coerentă a noului cadru european privind reziliența operațională digitală.