
Codirlaşu (CFA România): O mare parte din reglementările DORA sunt prinse în legislaţia românească
06 Noiembrie 2024
AgerpresAdrian Codirlaşu a afirmat că şi pe partea de piaţă financiară nebancară, România are norme ASF care reglementează riscul cibernetic şi relaţiile cu terţii, însă Directiva DORA vine cu ceva suplimentar.
O mare pare din reglementările cu care vine Directiva europeană privind rezilienţa operaţională digitală (DORA) sunt prinse într-un fel sau altul în legislaţia românească, dar va trebui să vedem unde sunt golurile şi cum le acoperim, a afirmat miercuri Adrian Codirlaşu, vicepreşedinte CFA România, într-o conferinţă de specialitate.
"Riscul cibernetic şi riscul aferent furnizorilor terţi sunt riscuri operaţionale. Prin urmare, DORA se referă la o componentă a riscului operaţional. Însă dacă ne uităm, să zicem, la tipurile de evenimente de risc operaţional prevăzute de legislaţie, începând cu Basel II, sunt şapte tipuri de evenimente şi aş spune că DORA se referă la patru dintre ele. Poate chiar la cinci. Practic, la ce ne poate duce neluarea în considerare a acestui risc aferent utilizării de echipamente IT? La fraude ne poate conduce, în cazul în care sistemele nu sunt corect setate şi avem asemenea evenimente şi ne mai poate conduce la întreruperi ale activităţii într-o instituţie financiară. De asemenea, când nu sunt corect implementate sau corect calibrate pentru activitatea pe care o avem, ne poate duce la erori în relaţia cu clienţii şi chiar cu reglementatorii atunci când avem de raportat anumite lucruri făcute de sisteme şi nu reuşim să raportăm. Deci, vedem că merge către o mare parte din riscurile operaţionale. De asemenea, trebuie să ne uităm şi la relaţia cu terţii", a explicat Adrian Codirlaşu, la conferinţa "DORA - Strategy, Regulation, Resilience" organizată de Oxygen Events şi Model Tree.
"Riscul cibernetic şi riscul aferent furnizorilor terţi sunt riscuri operaţionale. Prin urmare, DORA se referă la o componentă a riscului operaţional. Însă dacă ne uităm, să zicem, la tipurile de evenimente de risc operaţional prevăzute de legislaţie, începând cu Basel II, sunt şapte tipuri de evenimente şi aş spune că DORA se referă la patru dintre ele. Poate chiar la cinci. Practic, la ce ne poate duce neluarea în considerare a acestui risc aferent utilizării de echipamente IT? La fraude ne poate conduce, în cazul în care sistemele nu sunt corect setate şi avem asemenea evenimente şi ne mai poate conduce la întreruperi ale activităţii într-o instituţie financiară. De asemenea, când nu sunt corect implementate sau corect calibrate pentru activitatea pe care o avem, ne poate duce la erori în relaţia cu clienţii şi chiar cu reglementatorii atunci când avem de raportat anumite lucruri făcute de sisteme şi nu reuşim să raportăm. Deci, vedem că merge către o mare parte din riscurile operaţionale. De asemenea, trebuie să ne uităm şi la relaţia cu terţii", a explicat Adrian Codirlaşu, la conferinţa "DORA - Strategy, Regulation, Resilience" organizată de Oxygen Events şi Model Tree.
El a adăugat că în legislaţia românească pe partea de sistem bancar există regulamentul BNR, care se referă la condiţiile de externalizare semnificativă, unde trebuie expres aprobarea Băncii Naţionale, lucru care este mai strict reglementat decât de Directiva DORA.
Adrian Codirlaşu a afirmat că şi pe partea de piaţă financiară nebancară, România are norme ASF care reglementează riscul cibernetic şi relaţiile cu terţii, însă Directiva DORA vine cu ceva suplimentar.
"Până acum în legislaţia aveam doar partea de externalizări, dar mai putem avea relaţii cu terţii care nu sunt externalizări, sunt de exemplu contracte pe o perioadă limitată. Însă, asemenea relaţii implică instituţia financiară. Dacă se întâmplă o fraudă la furnizorul terţ sau scurgere de informaţii la furnizorii terţi, nouă ne vine ca instituţie financiară amenda de la reglementator. Deci, noi răspundem pentru ceea ce face tereţul. Şi în contextul acesta vine DORA cu nişte cerinţe care trebuie puse pe furnizorii de asemenea servicii pentru a gestiona tocmai riscurile operaţionale aferente sistemelor IT din aceste instituţii terţe", a explicat Adrian Codirlaşu.
Potrivit acestuia, Directiva vine cu cerinţe privind teste de penetrare a sistemelor, inclusiv pentru companiile terţe, fapt care va creşte costul furnizării de asemenea servicii.
"În concluzie, o mare parte dintre componentele riscului operaţional sunt acoperite de DORA. În legislaţia românească aveam o mare parte dintre ele, deci avem pe ce construi. E adevărat, trebuie să punem într-un anumit framework toate lucrurile acestea, însă nu pornim de la zero. O mare parte din aceste reglementări sunt cumva într-un fel sau altul prinse în legislaţia a românească. Altele erau să zicem implicite, nu prevăzute expres însă va trebui să să existe un proces de a vedea unde sunt gap-urile şi de a le acoperi", a mai spus Adrian Codirlaşu.
Guvernul a aprobat, în septembrie, un proiect de lege care transpune în legislaţia naţională Directiva DORA, pentru consolidarea securităţii cibernetice a entităţilor financiare şi, implicit, o mai bună protejare a informaţiilor clienţilor de servicii financiare, a declarat atunci purtătorul de cuvânt al Executivului, Mihai Constantin.
"Începând cu 17 ianuarie 2025, anul viitor aşadar, vor fi aplicate în România noi reglementări pentru consolidarea securităţii cibernetice a entităţilor financiare şi, implicit, o mai bună protejare a informaţiilor clienţilor de servicii financiare. Este vorba despre transpunerea în legislaţia naţională a Directivei DORA printr-un proiect de lege aprobat astăzi de către Guvern şi care urmează să fie transmis, tot în procedură de urgenţă, Parlamentului. Directiva DORA se va aplica începând, aşa cum am anunţat, cu 17 ianuarie anul viitor, împreună cu Regulamentul 2554 pe 2022 al Uniunii Europene privind rezilienţa operaţională digitală pentru sectorul financiar, care este de directă aplicare şi nu necesită transpunere în dreptul intern. Ambele aceste documente, regulamentul şi proiectul de lege, au scopul să sprijine şi să faciliteze consolidarea securităţii cibernetice în domeniul serviciilor financiare", a precizat Mihai Constantin.
Acesta a dat şi exemple de aplicabilitate a reglementărilor europene menţionate.
"De exemplu, Banca Naţională a României va fi informată cu privire la orice incident operaţional sau de securitate major. De asemenea, potrivit regulamentului DORA, care se va aplica în mod direct, se menţionează că în cazul în care are loc un incident major legat de tehnologia informaţiilor, atunci asupra intereselor financiare ale clienţilor, entităţile financiare îi informează pe aceştia, fără întârzieri nejustificate, de îndată ce află despre acest incident major. De asemenea, informează pe clienţii afectaţi cu privire la eventualele măsuri de protecţie luate pentru a preveni aceste atacuri sau pentru a combate un atac deja precizat", a arătat purtătorul de cuvânt al Guvernului.
Publicitate pe BizLawyer? |
![]() ![]() |
Articol 319 / 9320 | Următorul articol |
Publicitate pe BizLawyer? |
![]() |

BREAKING NEWS
ESENTIAL
Țuca Zbârcea & Asociații obține o hotărâre de impact major a Curții de Justiție a Uniunii Europene, care înlătură de la aplicare întreaga Ordonanță de Urgență nr. 25 ̸ 2021 privind excluderea de la procedurile de achiziție publică a operatorilor economici din statele terțe față de Uniunea Europeană
Interviurile primăverii | Ioana Gelepu, fondatoarea și coordonatoarea ‘Ioana Gelepu The Office Litigation & Enforcement’: ”Știința de carte, pasiunea și dedicarea sunt unisex”
Lady Lawyer | De vorbă cu Andra Iftemie, Managing Associate - Băncilă, Diaconu și Asociații: ”Toți avocații suntem ‘așezați la aceeași masă’, indiferent de gen sau de aria de practică aleasă, acesta fiind, de altfel, și unul dintre motivele pentru care practic cu drag această profesie. Ceea ce contează cu adevărat sunt competențele și rezultatele obținute”
NNDKP promovează 12 avocați și consultanți în cadrul celei mai recente runde de promovare
RTPR asistă AROBS la achiziția SVT Electronics. Alina Stăvaru (Partner) și Andrei Toșa (Managing Associate), în prim plan
LegiTeam: CMS CAMERON MCKENNA NABARRO OLSWANG LLP SCP is looking for: Associate | Corporate and M&A Practice Group (2-4 years definitive ̸ qualified lawyer)
Soluție de referință a avocaților Țuca Zbârcea & Asociații | Plafonarea prețului energiei electrice și gazelor naturale: Instanța decide că prevederile legale trebuie interpretate în favoarea consumatorilor
Decizie de referință a ICCJ în ceea ce privește revocarea ilegală de către Ministerul Finanțelor Publice a ajutorului de stat acordat unui operator economic | Echipa Mușat & Asociații care a obținut soluția, coordonată de Angela Porumb (Partner)
Lady Lawyer | De vorbă cu Mihaela Ion, Partener PNSA: ”În fiecare moment important al vieții mele profesionale am simțit cum fiecare om din jurul meu a contribuit la pașii ce au urmat. Povestea continuă de aproape 20 de ani alături de echipa PNSA, pe care o simt deja ca parte din familie; spun asta pentru că au fost prezenți în orice etapă a vieții și devenirii mele ca om”
Managing IP EMEA Awards 2025 | Muşat & Asociaţii, Baciu Partners, Milcev Burbea și Răzvan Dincă & Asociaţii, printre firmele aflate pe lista scurtă pentru titlul de “Firma anului în România” în fiecare dintre cele trei domenii analizate. Cum arată clasamentele întocmite de piața locală de ghidul juridic internațional specializat în IP
Cum lucrează avocații firmei Popescu & Asociații în proiectele care vizează accesarea ajutoarelor de stat, ce servicii integrate asigură clienților și care sunt strategiile pentru maximizarea șanselor de succes | Loredana Popescu (Partener): ”Rezultatele noastre includ un număr semnificativ de aplicații acceptate, creșterea rentabilității și succesul pe termen lung al afacerilor clienților”
Bondoc și Asociații SCA obține un nou succes în materia achizițiilor publice ce aduce clarificări importante în domeniu
Citeste pe SeeNews Digital Network
-
BizBanker
-
BizLeader
- in curand...
-
SeeNews
in curand...