Autor: Alexandru Petrescu, președinte ASF
Comitetul European pentru Riscul Sistemic a dezvăluit, în analizele sale legate de riscul cibernetic sistemic, cum conexiunile strânse între entitățile financiare, piețele și infrastructurile acestora, mai ales legăturile dintre sistemele lor de tehnologie informațională și comunicații, reprezintă o vulnerabilitate semnificativă. Această problemă este deosebit de importantă, deoarece incidentele cibernetice locale se pot extinde rapid de la o entitate financiară la sistemul financiar global, subliniind astfel riscurile de contagiune și impactul acestora asupra stabilității financiare.
Gestionarea riscurilor legate de tehnologia informației a fost întotdeauna o prioritate pentru Autoritatea de Supraveghere Financiară (ASF). Din 2015, ASF a adoptat reglementări specifice – începând cu Norma nr. 6/2015, modificată ulterior în Norma nr. 4/2018 – pentru a administra riscurile IT ale entităților reglementate. De asemenea, ASF a implementat și Ghidul EIOPA pentru guvernanța și securitatea IT în cadrul companiilor de asigurări și reasigurări, prin Norma nr. 25/2021. Astfel, entitățile financiare își actualizează și monitorizează constant profilul de risc IT conform legislației existente.
Pentru majoritatea entităților financiare, cerințele impuse de Regulamentul DORA marchează o evoluție față de prevederile sectoriale anterioare. Acest regulament promovează o abordare comună în gestionarea riscurilor IT în sectorul financiar, diminuând discrepanțele dintre reglementările naționale și conferind importanță crescută riscurilor IT în structura de risc a fiecărei entități. DORA accentuează administrarea calitativă a riscurilor operaționale IT, introducând principii și reguli care stimulează conștientizarea și recunoașterea importanței acestor riscuri de către entitățile financiare.
Principiile cheie ale noului cadru de reglementare includ o abordare proporțională și pragmatică din partea ASF, care ține cont de dimensiunea, profilul de risc și complexitatea modelului de afaceri al fiecărei entități financiare, urmărind să sporească reziliența digitală operațională atât individual, cât și la nivelul piețelor reglementate în ansamblu.
ASF urmărește, de asemenea, progresul entităților financiare în implementarea DORA, bazându-se pe planuri detaliate care includ principii și norme pentru gestionarea riscurilor IT, raportarea incidentelor și managementul riscurilor IT generate de terți.
În sprijinul entităților financiare, ASF a organizat sesiuni de lucru și prezentări despre noul cadru legal introdus de DORA, încurajând un dialog deschis pentru îmbunătățirea înțelegerii și conștientizării acestora în rândul entităților.
Astfel, implementarea adecvată a principiilor DORA va asigura o reziliență operațională digitală sporită pe termen mediu și lung, contribuind la creșterea conformității, transparenței și încrederii consumatorilor în piețele financiare non-bancare, stabilind un standard de stabilitate financiară în fața riscurilor digitale și amenințărilor cibernetice.