Acte legislative: a fost publicat Regulamentul nr. 2/2021 pentru modificarea Regulamentului Băncii Naţionale a României nr. 2/2020
Regulament nr. 2 din 21.mai.2021
Monitorul Oficial, Partea I 599 16.iun.2021
Intrare în vigoare la 16.iun.2021
Regulamentul nr. 2/2021 pentru modificarea Regulamentului Băncii Naţionale a României nr. 2/2020 privind măsurile de securitate referitoare la riscurile operaţionale şi de securitate şi cerinţele de raportare aferente serviciilor de plată
Având în vedere:
- prevederile art. 218, 219, 223 şi art. 244 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
- Ghidul EBA/GL/2019/04 privind administrarea riscurilor TIC şi de securitate;
- Ghidul EBA/GL/2018/05 referitor la cerinţele de raportare a datelor privind fraudele din articolul 96 alineatul (6) din Directiva privind serviciile de plată (PSD2),
în temeiul dispoziţiilor art. 243 alin. (1) şi ale art. 244 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, precum şi ale art. 48 din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României,
Banca Naţională a României emite prezentul regulament.
Art. I. - Regulamentul nr. 2/2020 privind măsurile de securitate referitoare la riscurile operaţionale şi de securitate şi cerinţele de raportare aferente serviciilor de plată, publicat în Monitorul Oficial al României, Partea I, nr. 115 din 14 februarie 2020, se modifică după cum urmează:
1. La articolul 2, alineatul (2) se modifică şi va avea următorul cuprins:
"(2) În sensul prezentului regulament, termenii şi expresiile de mai jos au următoarele semnificaţii:
a) active informaţionale - date sau alte informaţii, corporale sau necorporale, care trebuie protejate;
b) activ TIC - un activ de natură software sau hardware care se găseşte în mediul de afaceri, inclusiv sisteme TIC;
c) apărare în adâncime - ansamblu de mai multe tipuri de controale care acoperă acelaşi risc, precum principiul celor patru ochi, autentificarea pe baza a doi factori, segmentarea reţelei şi mecanisme multiple de tip firewall;
d) apetit la risc - nivelul şi tipurile cumulate de risc pe care o instituţie este dispusă să şi le asume în limita capacităţii sale de risc, conform modelului său de afaceri, în vederea realizării obiectivelor sale strategice;
e) autenticitate - proprietatea unei surse de a fi ceea ce se pretinde a fi;
f) conducere superioară:
(i) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de credit şi sucursale ale instituţiilor de credit din state terţe, acest termen are înţelesul prevăzut la art. 3 alin. (1) pct. 3 din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare;
(ii) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de plată, acest termen se referă la persoanele prevăzute la art. 13 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative;
(iii) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii emitente de monedă electronică, acest termen se referă la persoanele prevăzute la art. 10 alin. (2) din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică;
(iv) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. b) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, acest termen se referă la persoanele prevăzute la art. 13 alin. (2) sau art. 98 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, după caz;
(v) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, acest termen are semnificaţia conferită în temeiul legislaţiei naţionale aplicabile referitoare la organele de conducere;
g) continuitate - proprietatea proceselor, sarcinilor şi activelor unei organizaţii, care sunt necesare pentru prestarea serviciilor aferente plăţilor, de a fi pe deplin accesibile şi de a se desfăşura, respectiv de a funcţiona, la niveluri prestabilite acceptabile;
h) disponibilitate - proprietatea serviciilor aferente plăţilor de a fi accesibile şi utilizabile de către utilizatorii serviciilor de plată;
i) «Emiterea unui ordin de plată de către autorul fraudei» - un tip de operaţiune de plată neautorizată şi se referă la situaţia în care un ordin de plată fals este emis de autorul fraudei după ce a obţinut datele sensibile privind plăţile ale plătitorului sau ale beneficiarului plăţii prin mijloace frauduloase;
j) funcţia de audit:
(i) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de credit şi sucursale ale instituţiilor de credit din state terţe, funcţia de audit are înţelesul prevăzut la art. 54-60 din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare;
(ii) în cazul prestatorilor de servicii de plată, alţii decât cei prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, funcţia de audit trebuie să fie independentă de prestatorul de servicii de plată sau independentă în cadrul acestuia şi poate fi o funcţie de audit intern şi/sau extern;
k) incident TIC operaţional sau de securitate - un singur eveniment sau o serie de evenimente corelate neplanificate de prestatorul de servicii de plată, care are/au sau va/vor avea probabil un impact negativ asupra integrităţii, disponibilităţii, confidenţialităţii, autenticităţii şi/sau continuităţii serviciilor aferente plăţilor;
l) integritate - proprietatea de a proteja funcţionarea precisă şi caracterul complet al activelor (inclusiv în ceea ce priveşte datele);
m) manipularea plătitorului - acţiune a unei persoane care are ca scop determinarea plătitorului să emită un ordin de plată sau să dea instrucţiuni prestatorului său de servicii de plată să îl emită, cu bună-credinţă, către un cont de plată despre care crede că aparţine beneficiarului legitim al plăţii;
n) mediu informatic - un subset al infrastructurii IT care este folosit pentru un scop bine determinat - de exemplu, mediu de dezvoltare, mediu de asamblare, mediu de test, mediu de producţie;
o) «Modificarea unui ordin de plată de către autorul fraudei»- un tip de operaţiune neautorizată şi se referă la situaţia în care autorul fraudei interceptează şi modifică un ordin de plată autorizat la un moment dat, în timpul comunicării electronice între dispozitivul plătitorului şi prestatorul de servicii de plată [precum programe malware sau atacuri care le permit atacatorilor să intercepteze comunicarea dintre două gazde care comunică în mod autorizat (atacuri de tip «omul din mijloc»)] sau modifică instrucţiunea de plată în sistemul prestatorului de servicii de plată înainte de compensarea şi decontarea ordinului de plată;
p) operaţiune de plată neautorizată - operaţiune de plată executată fără exprimarea consimţământului plătitorului în conformitate cu prevederile art. 147-149 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, inclusiv ca urmare a pierderii, furtului, deturnării datelor sensibile privind plăţile sau a instrumentului de plată, indiferent dacă a putut fi detectată de către plătitor înaintea efectuării plăţii şi indiferent dacă a fost cauzată de neglijenţa gravă a plătitorului;
q) organ de conducere:
(i) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de credit şi sucursale ale instituţiilor de credit din state terţe, acest termen are înţelesul prevăzut la art. 3 alin. (1) pct. 1 din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare;
(ii) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. a) şi b) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care sunt instituţii de plată, instituţii emitente de monedă electronică sau furnizori specializaţi în servicii de informare cu privire la conturi, acest termen se referă la persoanele prevăzute la lit. f) pct. (ii) - (iv), după caz;
(iii) în cazul prestatorilor de servicii de plată prevăzuţi la art. 223 alin. (1) lit. e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, acest termen are semnificaţia conferită în temeiul legislaţiei naţionale aplicabile referitoare la organele de conducere;
r) principiul «privilegiilor minime» - prevede că personalul care are nevoie de acces la sistemele informatice şi de comunicaţii trebuie să aibă accesul minim necesar pentru a-şi îndeplini funcţia. Acest principiu se aplică atât accesului fizic, cât şi accesului logic la date şi resurse TIC, precum şi sistemelor şi aplicaţiilor care prelucrează date. Abilitatea de a citi, a crea, a actualiza şi a şterge datele constituie controale de acces supuse principiului privilegiilor minime;
s) proiect TIC - orice proiect sau parte a acestuia în care sunt modificate, înlocuite, respinse sau implementate sisteme şi servicii TIC. Proiectele TIC pot face parte din programe de transformare mai ample în sectorul TIC sau în cel de afaceri;
t) risc TIC şi de securitate - se referă la riscurile operaţionale şi de securitate prevăzute la art. 218 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative. Acesta reprezintă înregistrări de pierderi din cauza încălcării confidenţialităţii, pierderii integrităţii sistemelor şi a datelor, caracterului necorespunzător sau indisponibilităţii sistemelor şi datelor sau incapacităţii de a schimba tehnologia informaţiei (TI) într-o perioadă de timp rezonabilă şi la costuri rezonabile, atunci când cerinţele de mediu sau de afaceri se schimbă. Riscul TIC şi de securitate include riscuri de securitate care rezultă fie din procese interne inadecvate sau care nu şi-au îndeplinit funcţia în mod corespunzător, fie din evenimente externe, inclusiv din atacuri cibernetice sau din securitatea fizică inadecvată;
u) serviciu aferent plăţilor - orice activitate din categoria serviciilor de plată prevăzute la art. 7 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi toate sarcinile tehnice de asistenţă necesare pentru prestarea serviciilor de plată;
v) servicii TIC - serviciile furnizate de sisteme TIC unuia sau mai multor utilizatori interni sau externi, precum: serviciile de introducere a datelor, de stocare a datelor, de prelucrare şi de raportare a datelor, însă şi serviciile de monitorizare şi serviciilesuport ale afacerii şi deciziilor;
w) sisteme TIC - tehnologia informaţiei şi comunicaţiilor configurată în cadrul unui mecanism sau al unei reţele de interconectare care susţine operaţiunile unui prestator de servicii de plată;
x) terţ - o organizaţie care a încheiat contracte în vederea desfăşurării unor relaţii comerciale sau a altui tip de raport juridic, pentru a furniza unei entităţi un produs sau un serviciu;
y) TIC - tehnologia informaţiei şi comunicaţiilor;
z) RTO - obiectivul perioadei de recuperare reprezintă intervalul maxim admis în care un sistem sau un serviciu TIC trebuie să fie restabilit după o întrerupere, înainte de a avea un impact negativ asupra proceselor aferente activităţii unei instituţii;
aa) RPO - obiectivul momentului de recuperare reprezintă perioada maximă anterioară momentului în care un serviciu este restaurat după o întrerupere, în care se acceptă pierderea datelor;
bb) exerciţiu de testare a securităţii de tip «red team» - înseamnă un exerciţiu care imită tactica, tehnicile şi procedurile actorilor de ameninţări din viaţa reală percepute ca reprezentând o ameninţare cibernetică autentică, care oferă un test controlat, personalizat, desfăşurat ca o simulare a unei tentative de atac în vederea compromiterii sistemelor critice aferente activităţii unei instituţii, pentru a oferi o evaluare cuprinzătoare a capacităţii securităţii sistemelor TIC şi a instituţiei."
2. Titlul II se modifică şi va avea următorul cuprins:
"TITLUL II Gestionarea riscurilor TIC şi de securitate
CAPITOLUL I Dispoziţii generale
Art. 3. - (1) Prestatorii de servicii de plată trebuie să prevadă într-un document formal măsuri de securitate adecvate pentru gestionarea riscurilor TIC şi de securitate, legate de serviciile de plată pe care le oferă, cu respectarea dispoziţiilor prevăzute în prezentul titlu.
(2) Nivelul de detaliu al descrierii măsurilor de securitate prevăzute la alin. (1) trebuie să fie proporţional cu dimensiunea, organizarea internă a prestatorului de servicii de plată, precum şi cu natura, scopul, extinderea, complexitatea şi gradul de risc asociat serviciilor de plată şi produselor pe care prestatorul de servicii de plată le oferă sau intenţionează să le ofere.
(3) Prestatorii de servicii de plată trebuie să fundamenteze în mod adecvat măsurile de securitate prevăzute la alin. (1) şi să comunice documentaţia de fundamentare Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor, prin intermediul Reţelei de comunicaţii interbancare, anual, până cel târziu la data de 31 martie sau mai des la solicitarea acesteia.
(4) Modificările intervenite cu privire la documentaţia prevăzută la alin. (1) se transmit Băncii Naţionale a României - Direcţia monitorizare a infrastructurilor pieţei financiare şi a plăţilor, în termen de 10 zile de la adoptarea deciziei cu privire la modificări.
(5) Banca Naţională a României (BNR) poate solicita prestatorilor de servicii de plată să pună la dispoziţia acesteia orice alte date şi informaţii pe care le consideră necesare în vederea evaluării adecvării la risc a măsurilor de securitate implementate de către prestatorii de servicii de plată. Prestatorii de servicii de plată au obligaţia de a pune la dispoziţia BNR informaţiile şi documentele solicitate în termen de 10 zile de la primirea solicitării.
(6) Banca Naţională a României poate prelungi, cu maximum 90 de zile, termenul de comunicare a documentaţiei prevăzut la alin. (3), în situaţii fundamentate de către prestatorii de servicii de plată, care necesită alocarea cât mai eficientă a resurselor umane şi materiale existente la nivelul acestora, pentru punerea în aplicare a planurilor lor generale de asigurare a continuităţii activităţii în condiţiile unor stări de urgenţă decretate de către autorităţi, sau alte situaţii speciale.
(7) Prelungirea termenului prevăzut la alin. (6) se poate realiza în situaţia în care documentaţia pusă la dispoziţia BNR, precum şi istoricul acţiunilor întreprinse de prestatorii de servicii de plată probează faţă de BNR că îndeplinesc obligaţia de a deţine, pe bază continuă, măsuri de securitate adecvate pentru gestionarea riscurilor TIC şi de securitate.
(8) Prelungirea termenului prevăzut la alin. (3), conform alin. (6), nu scuteşte prestatorii de servicii de plată de la îndeplinirea obligaţiei de a deţine, pe bază continuă, măsuri de securitate adecvate pentru gestionarea riscului TIC şi de securitate.
CAPITOLUL II Guvernanţa şi strategia
SECŢIUNEA 1 Guvernanţa
Art. 4. - (1) Organul de conducere trebuie să se asigure că prestatorul de servicii de plată dispune de un cadru adecvat de administrare a activităţii sale de prestare de servicii aferente plăţilor şi de un cadru de control intern corespunzător riscurilor sale TIC şi de securitate.
(2) Organul de conducere trebuie să stabilească roluri şi responsabilităţi clare privind funcţiile TIC, administrarea riscurilor de securitate a informaţiilor şi continuitatea activităţii de prestare de servicii aferente plăţilor, inclusiv pentru organul de conducere şi comitetele specializate ale prestatorului de servicii de plată, dacă este cazul.
Art. 5. - (1) Organul de conducere trebuie să se asigure că numărul şi competenţele membrilor personalului prestatorului de servicii de plată sunt corespunzătoare pentru a sprijini permanent nevoile acestuia operaţionale TIC şi proceselor sale de administrare a riscurilor TIC şi de securitate, precum şi pentru a asigura punerea în aplicare a strategiei sale TIC.
(2) Organul de conducere trebuie să se asigure că bugetul alocat este corespunzător pentru a îndeplini strategia TIC a prestatorului de servicii de plată.
Art. 6. - Organul de conducere este pe deplin răspunzător de stabilirea, aprobarea şi supravegherea punerii în aplicare a strategiei TIC a prestatorului de servicii de plată în cadrul strategiei sale generale de afaceri, precum şi de stabilirea unui cadru eficace de administrare a riscurilor TIC şi de securitate.
SECŢIUNEA a 2-a Strategia
Art. 7. - (1) Strategia TIC trebuie aliniată la strategia generală de afaceri a prestatorului de servicii de plată şi trebuie să definească:
a) modul în care trebuie să evolueze TIC a prestatorului de servicii de plată pentru a sprijini şi a participa în mod eficient la strategia sa de afaceri, inclusiv la evoluţia structurii organizatorice, a modificărilor din sistemul TIC şi a dependenţelor-cheie de terţi;
b) strategia planificată şi evoluţia arhitecturii TIC, inclusiv a dependenţelor de terţi;
c) obiective clare de securitate a informaţiilor, punând accent pe sisteme şi servicii TIC, pe personal şi procese.
(2) Prestatorii de servicii de plată trebuie să instituie procese de monitorizare şi măsurare a eficacităţii punerii în aplicare a strategiei lor TIC.
Art. 8. - (1) Prestatorii de servicii de plată trebuie să stabilească seturi de planuri de acţiune care să conţină măsurile ce trebuie luate în vederea atingerii obiectivului strategiei TIC.
(2) Planurile de acţiune menţionate la alin. (1) trebuie să fie:
a) comunicate tuturor membrilor relevanţi ai personalului (inclusiv contractanţilor şi furnizorilor terţi, dacă este cazul şi dacă este relevant);
b) revizuite periodic, pentru a se asigura relevanţa şi adecvarea acestora.
SECŢIUNEA a 3-a Externalizarea unor funcţii operaţionale aferente serviciilor de plată
Art. 9. - (1) În cazul în care au fost externalizate funcţii operaţionale aferente serviciilor de plată şi/sau servicii TIC şi sisteme TIC ale oricărei activităţi de prestare de servicii aferente plăţilor, inclusiv către entităţile din grup, sau atunci când se folosesc furnizori terţi, prestatorii de servicii de plată trebuie să asigure eficacitatea măsurilor de securitate prevăzute în prezentul titlu.
(2) Pentru îndeplinirea obligaţiilor prevăzute la alin. (1) prestatorii de servicii de plată trebuie să se asigure că în contractele şi acordurile privind nivelul de calitate al serviciilor, atât în circumstanţe normale, cât şi în caz de întrerupere a serviciului potrivit art. 511, cu furnizori de servicii de externalizare, entităţi din grup sau furnizori terţi către care au externalizat funcţiile respective sunt incluse următoarele:
a) obiective şi măsuri corespunzătoare şi proporţionale de securitate a informaţiilor, inclusiv cerinţe precum cerinţe minime de securitate cibernetică, specificaţii ale ciclului de viaţă al datelor instituţiilor financiare, orice cerinţe privind criptarea datelor, securitatea reţelei şi procesele de monitorizare a securităţii şi amplasarea centrelor de date;
b) proceduri de gestionare a incidentelor operaţionale şi de securitate, inclusiv escaladarea şi raportarea.
(3) Prestatorii de servicii de plată trebuie să monitorizeze şi să se asigure că furnizorii către care au externalizat funcţii operaţionale îndeplinesc obiectivele de securitate, măsurile de securitate şi obiectivele de performanţă stabilite în acord cu alin. (2).
(4) Prestatorii de servicii de plată rămân pe deplin responsabili pentru evaluarea eficacităţii măsurilor de securitate ale funcţiilor operaţionale externalizate aferente serviciilor de plată şi/sau serviciilor TIC şi sistemelor TIC ale oricărei activităţi de prestare de servicii aferente plăţilor.
CAPITOLUL III Cadrul de gestionare a riscurilor TIC şi de securitate
SECŢIUNEA 1 Organizarea şi obiectivele
Art. 10. - (1) Prestatorii de servicii de plată trebuie să îşi identifice şi să îşi administreze adecvat riscurile TIC şi de securitate.
(2) Funcţia (funcţiile) TIC responsabilă (responsabile) de sistemele TIC, procesele şi operaţiunile de securitate trebuie să dispună de procese şi controale corespunzătoare pentru a se asigura că toate riscurile sunt identificate, analizate, măsurate, monitorizate, administrate, raportate şi menţinute în limitele apetitului la risc al prestatorului de servicii de plată şi că proiectele şi sistemele pe care le livrează şi activităţile pe care le prestează sunt în conformitate cu cerinţele externe şi interne.
Art. 11. - (1) Prestatorii de servicii de plată trebuie să atribuie responsabilitatea administrării şi supravegherii riscurilor TIC şi de securitate unei funcţii de control, prin aplicarea în mod corespunzător a prevederilor secţiunii a 4-a, capitolul I al titlului II din Regulamentul nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare.
(2) Prestatorii de servicii de plată trebuie să asigure independenţa şi obiectivitatea acestei funcţii de control, separând-o în mod corespunzător de procesele operaţiunilor TIC.
(3) Prestatorii de servicii de plată trebuie să se asigure că funcţia de control menţionată la alin. (1):
a) este direct răspunzătoare în faţa organului de conducere şi este responsabilă de monitorizarea şi controlul respectării cadrului de administrare a riscurilor TIC şi de securitate;
b) trebuie să asigure că riscurile TIC şi de securitate sunt identificate, măsurate, evaluate, administrate, monitorizate şi raportate;
c) nu este responsabilă de niciun audit intern.
Art. 12. - Funcţia de audit intern stabilită prin aplicarea în mod corespunzător a prevederilor relevante din cadrul secţiunii a 4-a, capitolul I al titlului II din Regulamentul nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare, trebuie să aibă capacitatea, urmând o abordare bazată pe riscuri, de a revizui independent şi de a oferi asigurări obiective cu privire la conformarea tuturor unităţilor şi activităţilor TIC şi de securitate ale prestatorului de servicii de plată cu politicile şi procedurile acestuia şi cu cerinţele externe.
Art. 13. - (1) Prestatorii de servicii de plată trebuie să stabilească un cadru de gestionare a riscurilor TIC şi de securitate potrivit prevederilor art. 218 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, denumit în continuare cadru de gestionare a riscurilor.
(2) Cadrul de gestionare a riscurilor prevăzut la alin. (1) trebuie integrat în întregime în procesele generale de gestionare a riscurilor ale prestatorilor de servicii de plată şi în concordanţă cu aceste procese.
Art. 14. - Prestatorii de servicii de plată trebuie să definească şi să desemneze rolurile şi responsabilităţile-cheie, precum şi liniile de raportare relevante, necesare pentru punerea în aplicare a măsurilor de securitate şi pentru gestionarea riscurilor TIC şi de securitate.
Art. 15. - (1) Cadrul de gestionare al riscurilor TIC elaborat de către prestatorii de servicii de plată potrivit art. 13 trebuie să includă stabilirea de procese pentru:
a) determinarea apetitului la risc, în cazul riscurilor TIC şi de securitate, în conformitate cu apetitul la risc al prestatorului de servicii de plată;
b) identificarea, măsurarea, monitorizarea şi gestionarea gamei de riscuri TIC şi de securitate, care decurg din activitatea de prestare de servicii aferente plăţilor desfăşurată de prestatorul de servicii de plată şi la care acesta este expus, inclusiv măsurile de asigurare a continuităţii activităţii de prestare de servicii aferente plăţilor prevăzute în cap. VII al prezentului titlu;
c) definirea măsurilor de diminuare a riscurilor TIC şi de securitate, inclusiv a controalelor aferente acestora;
d) monitorizarea eficacităţii măsurilor stabilite potrivit lit. c), precum şi a numărului de incidente TIC operaţionale sau de securitate raportate la nivel intern, inclusiv a celor majore raportate în conformitate cu titlul III, care afectează activităţile legate de TIC, precum şi acţionarea în sensul corectării acestor măsuri, dacă este cazul;
e) raportarea către organul de conducere cu privire la riscurile TIC şi de securitate şi cu privire la controalele aferente acestora;
f) identificarea şi evaluarea posibilităţii de apariţie a riscurilor TIC şi de securitate în urma modificărilor majore ale sistemelor sau serviciilor TIC, ale proceselor sau procedurilor TIC şi/sau după orice incident major operaţional sau de securitate.
(2) Cadrul de gestionare a riscurilor TIC şi de securitate trebuie să fie documentat în mod corespunzător şi îmbunătăţit pe bază continuă cu experienţa dobândită şi documentată pe parcursul punerii în aplicare şi monitorizării acestuia.
(3) Cadrul de administrare a riscurilor TIC şi de securitate trebuie aprobat şi revizuit, cel puţin o dată pe an, de către organul de conducere.
SECŢIUNEA a 2-a Identificarea funcţiilor, a proceselor şi a activelor
Art. 16. - Prestatorii de servicii de plată trebuie să identifice, să stabilească şi să menţină o diagramă funcţională actualizată a funcţiilor activităţii lor de prestare de servicii aferente plăţilor, a rolurilor şi a proceselor-suport, pentru a identifica importanţa fiecăreia dintre ele, interdependenţele acestora, raportat la riscurile TIC şi de securitate.
Art. 17. - Prestatorii de servicii de plată trebuie să identifice, să stabilească şi să menţină o diagramă funcţională actualizată a activelor informaţionale care susţin funcţiile activităţii lor de prestare de servicii aferente plăţilor şi procesele-suport, cum ar fi sistemele TIC cu personalul, contractanţii, terţii şi dependenţele de alte sisteme şi procese interne şi externe, în vederea gestionării, cel puţin, a activelor informaţionale care sprijină procesele şi funcţiile critice ale activităţii lor de prestare a serviciilor aferente plăţilor.
SECŢIUNEA a 3-a Clasificarea şi evaluarea riscurilor
Art. 18. - (1) Prestatorii de servicii de plată trebuie să clasifice funcţiile activităţii lor de prestare de servicii aferente plăţilor, procesele-suport şi activele informaţionale identificate potrivit art. 16 şi 17, în funcţie de nivelul critic al acestora.
(2) Prestatorii de servicii de plată trebuie să realizeze clasificarea potrivit alin. (1) prin definirea nivelului critic cu luarea în considerare, cel puţin, a cerinţelor de confidenţialitate, integritate şi disponibilitate.
(3) Prestatorii de servicii de plată trebuie să atribuie răspunderi şi responsabilităţi clare pentru activele informaţionale.
(4) Prestatorii de servicii de plată trebuie să revizuiască caracterul adecvat al clasificării activelor informaţionale şi al documentaţiei relevante, atunci când efectuează o evaluare a riscurilor.
Art. 19. - (1) Prestatorii de servicii de plată trebuie să efectueze o evaluare a riscurilor TIC şi de securitate prin identificarea acestor riscuri cu impact asupra funcţiilor activităţii lor de prestare de servicii aferente plăţilor, proceselor-suport şi activelor informaţionale, identificate şi clasificate în funcţie de nivelul critic al acestora potrivit art. 18.
(2) Prestatorii de servicii de plată trebuie să efectueze şi să documenteze evaluările riscurilor cel puţin anual.
(3) Evaluarea riscurilor prevăzută la alin. (1) şi (2) trebuie să fie efectuată şi din perspectiva gestionării oricăror modificări majore ale infrastructurii, proceselor sau procedurilor care afectează funcţiile activităţii lor de prestare de servicii aferente plăţilor, procesele-suport sau activele informaţionale.
(4) Prestatorii de servicii de plată trebuie să se asigure că monitorizează permanent ameninţările şi vulnerabilităţile relevante pentru procesele activităţii lor de prestare de servicii aferente plăţilor, funcţiile-suport şi activele informaţionale şi să revizuiască în mod regulat scenariile de risc cu impact asupra lor.
SECŢIUNEA a 4-a Diminuarea riscului
Art. 20. - (1) Pe baza evaluării riscurilor efectuată potrivit art. 19, prestatorii de servicii de plată trebuie să stabilească ce măsuri sunt necesare şi dacă sunt necesare modificări ale proceselor activităţii lor de prestare de servicii aferente plăţilor, ale măsurilor de control, ale sistemelor şi serviciilor TIC existente pentru diminuarea la un nivel acceptabil a riscurilor TIC şi de securitate identificate.
(2) Prestatorii de servicii de plată trebuie să ia în considerare durata necesară pentru punerea în aplicare a modificărilor prevăzute la alin. (1) şi pentru luarea măsurilor provizorii adecvate în vederea diminuării riscurilor TIC şi de securitate, astfel încât acestea să nu depăşească apetitul la riscurile TIC şi de securitate al prestatorului de servicii de plată.
Art. 21. - Prestatorii de servicii de plată trebuie să elaboreze şi să pună în aplicare măsuri pentru diminuarea riscurilor TIC şi de securitate identificate şi pentru a proteja activele informaţionale, în funcţie de clasificarea lor.
SECŢIUNEA a 5-a Raportarea
Art. 22. - (1) Prestatorii de servicii de plată trebuie să raporteze în mod clar şi la timp organului de conducere rezultatele evaluării riscurilor TIC şi de securitate.
(2) Raportarea realizată potrivit alin. (1) nu aduce atingere obligaţiei prestatorilor de servicii de plată de a furniza Băncii Naţionale a României o evaluare actualizată şi detaliată a riscurilor, astfel cum se prevede la art. 218 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
Art. 221. - Prestatorii de servicii de plată vor remite anual, până la data de 31 martie, pentru anul anterior, prin intermediul Reţelei de comunicaţii interbancare, următoarele informaţii:
a) scenariile de test avute în vedere potrivit art. 43 şi rezultatele testărilor prevăzute la art. 46;
b) extrase din rapoartele auditorilor, care să conţină concluziile acestora cu privire la rezilienţa cadrului de administrare a activităţii de prestare de servicii aferente plăţilor, sistemelor şi proceselor aferente riscurilor TIC şi de securitate;
c) modificările semnificative aduse cadrului de administrare a activităţii de prestare de servicii aferente plăţilor, sistemelor şi proceselor aferente riscurilor TIC şi de securitate, inclusiv a locaţiilor sediilor secundare ce asigură continuitatea activităţii de procesare a plăţilor, decontărilor şi a instrumentelor de plată.
SECŢIUNEA a 6-a Auditul
Art. 23. - (1) Prestatorii de servicii de plată trebuie să se asigure că cadrul de administrare a activităţii de prestare de servicii aferente plăţilor, sistemele şi procesele aferente riscurilor TIC şi de securitate sunt auditate periodic de către auditori cu suficiente cunoştinţe, competenţe şi experienţă în riscurile TIC şi de securitate şi în plăţi, pentru a oferi organului de conducere asigurări independente cu privire la eficacitatea acestora.
(2) Prestatorii de servicii de plată trebuie să se asigure că auditarea efectuată potrivit alin. (1) este realizată de auditori independenţi din punct de vedere operaţional de prestatorul de servicii de plată, indiferent dacă îşi desfăşoară activitatea în cadrul sau separat de acesta.
(3) Frecvenţa şi obiectul auditurilor realizate potrivit alin. (1) trebuie să fie proporţionale cu riscurile TIC şi de securitate relevante.
(4) Organul de conducere al unui prestator de servicii de plată trebuie să aprobe planul de audit care stă la baza auditurilor realizate potrivit alin. (1), inclusiv orice audituri TIC şi orice modificări semnificative ale acestuia.
(5) Planul de audit şi execuţia sa, inclusiv frecvenţa auditului, trebuie să reflecte şi să fie proporţionale cu riscurile TIC şi de securitate asociate activităţii de prestare de servicii aferente plăţilor a prestatorului de servicii de plată şi trebuie actualizat cel puţin anual.
Art. 24. - Prestatorii de servicii de plată trebuie să instituie un proces formal de monitorizare la nivel intern care să includă dispoziţii pentru verificarea şi remedierea la timp a constatărilor critice rezultate din auditul TIC.
CAPITOLUL IV Măsurile de securitate preventive
SECŢIUNEA 1 Dispoziţii generale
Art. 25. - Prestatorii de servicii de plată trebuie să elaboreze şi să pună în aplicare măsuri de securitate preventive împotriva riscurilor TIC şi de securitate identificate.
Art. 26. - Prestatorii de servicii de plată trebuie să elaboreze şi să implementeze măsurile de securitate preventive potrivit art. 25, prin utilizarea unei abordări de tipul «apărare în adâncime», instituind controale pe mai multe niveluri, care vizează persoane, procese şi tehnologia, fiecare nivel servind drept mecanism de siguranţă pentru nivelurile anterioare.
SECŢIUNEA a 2-a Politica în domeniul securităţii informaţiilor
Art. 27. - (1) Prestatorii de servicii de plată trebuie să dezvolte şi să documenteze o politică în domeniul securităţii informaţiilor care trebuie să definească principiile generale şi normele de protejare a confidenţialităţii, integrităţii şi disponibilităţii datelor şi informaţiilor prestatorilor de servicii de plată şi ale clienţilor lor.
(2) Politica prevăzută la alin. (1) trebuie să fie inclusă în documentul privind politica de securitate în materia prestării serviciilor de plată, care este adoptat în conformitate cu art. 29 alin. (1) lit. m) din Regulamentul nr. 4/2019 privind instituţiile de plată şi furnizorii specializaţi în servicii de informare cu privire la conturi.
(3) Politica în domeniul securităţii informaţiilor trebuie să fie în concordanţă cu obiectivele de securitate a informaţiilor ale prestatorilor de servicii de plată stabilite potrivit art. 7 alin. (1) lit. c) şi trebuie să se bazeze pe rezultatele relevante ale procesului de evaluare a riscurilor TIC şi de securitate ale activităţii lor de prestare de servicii aferente plăţilor.
(4) Politica în domeniul securităţii informaţiilor realizată potrivit alin. (1) trebuie aprobată de organul de conducere.
(5) Politica în domeniul securităţii informaţiilor trebuie:
a) să conţină o descriere a rolurilor şi responsabilităţilor principale de gestionare a securităţii informaţiilor;
b) să stabilească cerinţele referitoare la securitatea informaţiilor pentru personal şi contractanţi, procese şi tehnologie, inclusiv cu privire la faptul că personalul şi contractanţii de la toate nivelurile trebuie să fie responsabili în asigurarea securităţii informaţiilor prestatorilor de servicii de plată;
c) să asigure confidenţialitatea, integritatea şi disponibilitatea activelor fizice şi logice critice, ale resurselor şi ale datelor sensibile privind plăţile, aferente prestatorilor de servicii de plată, fie că sunt în stare de repaus, în tranzit sau în folosinţă;
d) să fie comunicată tuturor membrilor personalului şi contractanţilor prestatorilor de servicii de plată.
(6) Dacă datele sensibile privind plăţile includ date cu caracter personal, astfel de măsuri trebuie puse în aplicare în conformitate cu prevederile art. 217 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
Art. 28. - (1) Prestatorii de servicii de plată trebuie să instituie şi să pună în aplicare măsuri de securitate pentru diminuarea riscurilor TIC şi de securitate la care sunt expuşi, pe baza politicii în domeniul securităţii informaţiilor.
(2) Măsurile de securitate prevăzute la alin. (1) trebuie să includă:
a) organizarea şi administrarea activităţii;
b) securitatea logică;
c) securitatea fizică;
d) securitatea operaţiunilor TIC;
e) monitorizarea securităţii;
f) revizuirea, evaluarea şi testarea securităţii informaţiilor;
g) formarea profesională şi conştientizarea cu privire la securitatea informaţiilor.
SECŢIUNEA a 3-a Securitatea logică
Art. 29. - (1) Prestatorii de servicii de plată trebuie să definească, să documenteze, să pună în aplicare şi să impună proceduri de control al accesului logic pentru gestionarea identităţii şi a accesului.
(2) Procedurile prevăzute la alin. (1) trebuie să fie monitorizate permanent, să includă controale pentru monitorizarea anomaliilor şi să fie revizuite cel puţin anual.
Art. 30. - (1) Procedurile prevăzute la art. 29 trebuie să pună în aplicare cel puţin următoarele elemente:
a) necesitatea de a cunoaşte, potrivit căreia prestatorii de servicii de plată trebuie să gestioneze drepturile de acces la activele informaţionale şi la sistemele lor suport pe baza principiului «necesităţii de a cunoaşte», inclusiv în ceea ce priveşte accesul de la distanţă;
b) privilegiile minime şi separarea sarcinilor, potrivit cărora prestatorii de servicii de plată trebuie să acorde utilizatorilor drepturile minime de acces strict necesare pentru executarea sarcinilor lor (principiul «privilegiilor minime»), şi anume pentru a proteja împotriva accesului nejustificat al utilizatorilor la un set mare de date sau pentru a împiedica alocarea unor combinaţii de drepturi de acces care pot fi utilizate pentru a eluda controalele (principiul «separării sarcinilor»);
c) cerinţa operaţională legitimă, potrivit căreia prestatorii de servicii de plată trebuie să instituie controale eficiente care să asigure că accesul la sistemele TIC este permis doar persoanelor cu o cerinţă operaţională legitimă;
d) răspunderea utilizatorului: potrivit căreia prestatorii de servicii de plată trebuie să limiteze pe cât posibil utilizarea de conturi de utilizator generice şi partajate şi trebuie să se asigure că utilizatorii pot fi identificaţi pentru acţiunile întreprinse în sistemele TIC;
e) drepturile de acces privilegiat, potrivit cărora prestatorii de servicii de plată trebuie să instituie controale stricte privind accesul privilegiat la sisteme TIC, prin limitarea strictă şi prin supravegherea îndeaproape a conturilor utilizatorilor cu drepturi sporite de acces la sistem, inclusiv a conturilor de administrator;
f) comunicarea în condiţii de siguranţă şi reducerea riscurilor, potrivit cărora prestatorii de servicii de plată trebuie să acorde accesul administrativ de la distanţă la sistemele TIC critice numai pe baza principiului necesităţii de a cunoaşte şi atunci când se utilizează soluţii de autentificare puternice, din categoria celor specificate la lit. j);
g) înregistrarea activităţilor utilizatorilor, potrivit căreia prestatorii de servicii de plată trebuie să se asigure că toate activităţile utilizatorilor cu drepturi sporite de acces la sistem trebuie cel puţin înregistrate şi monitorizate şi că jurnalele de acces sunt securizate pentru a împiedica modificarea sau ştergerea neautorizată a acestora. Prestatorii de servicii de plată trebuie să utilizeze aceste informaţii pentru facilitarea identificării şi investigării activităţilor atipice, detectate în cadrul activităţii de prestare de servicii aferente plăţilor;
h) gestionarea accesului, potrivit căreia prestatorii de servicii de plată trebuie să acorde, să retragă sau să modifice drepturile de acces în conformitate cu termenele prevăzute în cadrul procedurilor interne, fără întârzieri nejustificate, şi cu fluxurile de lucru de aprobare care îl implică pe proprietarul informaţiilor accesate (proprietarul activelor informaţionale). În caz de încetare a contractului de muncă al utilizatorilor, drepturile de acces trebuie retrase cel mai târziu până la încetarea raporturilor de muncă;
i) recertificarea accesului, potrivit căreia drepturile de acces prevăzute la lit. a) trebuie revizuite periodic, însă cel puţin anual pentru a se asigura că utilizatorii nu deţin privilegii excesive şi că drepturile de acces sunt retrase atunci când nu mai sunt necesare;
j) metodele de autentificare, potrivit cărora prestatorii de servicii de plată trebuie să aplice metode de autentificare suficient de solide care să asigure respectarea adecvată şi eficientă a politicilor şi procedurilor de control al accesului. Metodele de autentificare trebuie să fie proporţionale cu nivelul critic al sistemelor TIC, al informaţiilor sau al procesului care sunt accesate. Acestea trebuie să conţină cel puţin parole complexe sau metode de autentificare mai sigure (cum ar fi autentificarea cu doi factori), în funcţie de riscul relevant.
(2) Prestatorii de servicii de plată trebuie să păstreze jurnalele prevăzute la alin. (1) lit. g) pe o perioadă de timp proporţională cu nivelul critic al funcţiilor activităţii lor de prestare de servicii aferente plăţilor, proceselor de asistenţă şi activelor informaţionale, identificate în conformitate cu prevederile secţiunii a 3-a din capitolul III, fără a aduce atingere legislaţiei naţionale aplicabile referitoare la cerinţele de păstrare a datelor.
(3) În înţelesul prezentului articol, termenul utilizator include şi utilizatori tehnici.
Art. 31. - Prestatorii de servicii de plată trebuie să se asigure că autorizarea accesului electronic la date şi sisteme TIC, prin intermediul unor aplicaţii, este limitată la minimul necesar pentru prestarea serviciului de plată relevant.
Art. 32. - (1) Prestatorii de servicii de plată trebuie să se asigure că funcţionarea produselor, a instrumentelor şi a procedurilor referitoare la procesele de control al accesului sunt eficiente din perspectiva protejării respectivelor procese împotriva compromiterii sau eludării acestora.
(2) Obligaţia prestatorilor de servicii de plată prevăzută la alin. (1) include înregistrarea, transmiterea, revocarea şi retragerea produselor, instrumentelor şi procedurilor corespunzătoare.
SECŢIUNEA a 4-a Securitatea fizică
Art. 33. - Prestatorii de servicii de plată trebuie să definească, să documenteze şi să pună în aplicare măsuri de securitate fizică corespunzătoare pentru a-şi proteja sediile, centrele de date şi zonele sensibile, în special a celor destinate pentru gestionarea datelor sensibile privind plăţile ale utilizatorilor de servicii de plată, precum şi a sistemelor TIC utilizate pentru prestarea serviciilor de plată, împotriva accesului neautorizat şi al pericolelor de mediu.
Art. 34. - (1) Accesul fizic la sistemele TIC trebuie să fie permis numai persoanelor care sunt autorizate.
(2) Autorizarea prevăzută la alin. (1) trebuie atribuită în conformitate cu sarcinile şi responsabilităţile personalului, limitată la persoanele care sunt instruite şi monitorizate în mod corespunzător.
(3) Accesul fizic trebuie revizuit periodic pentru a se asigura că drepturile de acces sunt revocate imediat ce nu mai sunt necesare.
Art. 35. - Prestatorii de servicii de plată trebuie să instituie măsuri adecvate de protecţie împotriva pericolelor de mediu, care trebuie să fie proporţionale cu importanţa clădirilor şi nivelul critic al operaţiunilor sau al sistemelor TIC din aceste clădiri, utilizate pentru prestarea serviciilor de plată.
SECŢIUNEA a 5-a Securitatea operaţiunilor TIC
Art. 351. - (1) Prestatorii de servicii de plată trebuie să pună în aplicare proceduri care să împiedice apariţia de probleme de securitate în sistemele şi prestarea serviciilor TIC şi trebuie să minimizeze impactul acestora asupra prestării de servicii TIC.
(2) Procedurile stabilite potrivit alin. (1) trebuie să cuprindă următoarele măsuri:
a) identificarea posibilelor vulnerabilităţi, care trebuie evaluate şi remediate prin asigurarea actualizării programelor software şi firmware, inclusiv a programelor software furnizate de prestatorii de servicii de plată utilizatorilor lor interni şi externi, prin instalarea de patch-uri de securitate critice sau prin punerea în aplicare de controale compensatoare;
b) implementarea de configuraţii securizate de referinţă pentru toate componentele reţelei;
c) implementarea segmentării reţelei, a unor sisteme de prevenire a pierderii datelor şi criptarea traficului din reţea, în conformitate cu clasificarea datelor, respectiv critice sau sensibile privind plăţile;
d) implementarea protecţiei punctelor finale de acces, inclusiv a serverelor, a staţiilor de lucru şi a dispozitivelor mobile;
e) evaluarea dacă punctele finale de acces respectă standardele de securitate definite de prestatorii de servicii de plată, înainte de a li se acorda accesul la reţeaua prestatorului de servicii de plată sau a entităţilor către care au fost externalizate servicii operaţionale;
f) asigurarea existenţei şi funcţionării corespunzătoare a unor mecanisme de verificare a integrităţii programelor şi aplicaţiilor software, a firmware-ului şi a datelor;
g) asigurarea că direcţionarea, colectarea, prelucrarea, stocarea şi/sau arhivarea şi vizualizarea datelor sensibile privind plăţile ale utilizatorului de servicii de plată sunt adecvate, relevante şi limitate la ceea ce este necesar pentru prestarea serviciilor de plată;
h) criptarea datelor în stare de repaus, precum şi a celor transmise prin intermediul unui canal de comunicare se realizează în conformitate cu clasificarea datelor, respectiv critice sau sensibile privind plăţile.
Art. 352. - (1) Prestatorii de servicii de plată trebuie să stabilească pe bază continuă dacă modificările la nivelul mediului operaţional existent influenţează măsurile de securitate existente sau dacă impun adoptarea de măsuri suplimentare pentru diminuarea în mod corespunzător a riscurilor asociate.
(2) Modificările prevăzute la alin. (1) trebuie să facă parte din procesul formal de gestionare a modificărilor al prestatorilor de servicii de plată, proces care trebuie să asigure planificarea, testarea, documentarea, autorizarea şi aplicarea corespunzătoare a modificărilor.
SECŢIUNEA a 6-a Monitorizarea securităţii
SUBSECŢIUNEA 1 Monitorizarea continuă şi detecţia
Art. 36. - (1) Prestatorii de servicii de plată trebuie să instituie şi să pună în aplicare politici şi proceduri pentru monitorizarea continuă a funcţiilor activităţii de prestare de servicii aferente plăţilor, proceselor de asistenţă, precum şi a activelor informaţionale şi TIC, activităţii lor de prestare de servicii aferente plăţilor, pentru a detecta activităţile anormale care pot afecta securitatea informaţiilor prestatorilor de servicii de plată şi pentru a răspunde în mod corespunzător acestor evenimente.
(2) În cadrul monitorizării continue prevăzute la alin. (1), prestatorii de servicii de plată trebuie să implementeze mecanisme corespunzătoare şi eficiente de detectare şi raportare a intruziunilor logice sau fizice, precum şi a încălcărilor confidenţialităţii, integrităţii şi disponibilităţii activelor informaţionale utilizate în prestarea serviciilor de plată.
(3) Prestatorii de servicii de plată trebuie să aloce şi să deţină resurse corespunzătoare pentru îndeplinirea obligaţiilor prevăzute la alin. (1) şi (2).
Art. 37. - Politicile şi procedurile de monitorizare continuă şi detectare prevăzute la art. 36 trebuie să acopere:
a) factorii interni şi externi relevanţi, inclusiv funcţiile administrative privind TIC şi cele ale activităţii lor de prestare de servicii aferente plăţilor;
b) operaţiunile pentru detectarea utilizării abuzive a accesului de către terţi sau de către alte entităţi şi a utilizării abuzive a accesului intern;
c) ameninţările interne şi externe potenţiale.
SUBSECŢIUNEA a 2-a Cadrul ameninţărilor şi cunoaşterea situaţiei
Art. 38. - (1) Prestatorii de servicii de plată trebuie să instituie şi să pună în aplicare procese şi structuri organizatorice, pentru a identifica şi monitoriza constant ameninţările de securitate care ar putea afecta semnificativ capacitatea acestora de a presta servicii de plată.
(2) Prestatorii de servicii de plată trebuie să monitorizeze activ evoluţiile tehnologice, pentru a se asigura că au în vedere riscurile TIC şi de securitate.
(3) Prestatorii de servicii de plată trebuie să pună în aplicare măsuri de detecţie pentru a identifica eventualele scurgeri de informaţii, coduri dăunătoare şi alte ameninţări la adresa securităţii şi vulnerabilităţile cunoscute în mod public ale echipamentelor, aplicaţiilor şi sistemelor TIC şi să verifice existenţa unor noi actualizări de securitate corespunzătoare.
(4) Presatorul de servicii de plată trebuie să utilizeze procesul de monitorizare a securităţii prevăzut la alin. (1) în scopul susţinerii înţelegerii naturii incidentelor operaţionale sau de securitate, al identificării tendinţelor în materie de securitate şi al sprijinirii investigaţiilor organizaţiei.
Art. 39. - (1) Prestatorii de servicii de plată trebuie să analizeze incidentele operaţionale sau de securitate care au fost identificate sau care au avut loc în cadrul şi/sau în afara prestatorului de servicii de plată.
(2) Prestatorii de servicii de plată trebuie să ia în considerare experienţa dobândită ca urmare a analizei realizate potrivit alin. (1) şi să actualizeze în consecinţă măsurile de securitate prevăzute potrivit dispoziţiilor prezentului titlu.
SECŢIUNEA a 7-a Revizuirea, evaluarea şi testarea măsurilor de securitate a informaţiilor
Art. 40. - (1) Prestatorii de servicii de plată trebuie să realizeze o varietate de revizuiri, evaluări şi testări ale securităţii informaţiilor pentru a asigura identificarea eficientă a vulnerabilităţilor din sistemele şi serviciile lor TIC.
(2) În desfăşurarea activităţilor prevăzute la alin. (1) prestatorii de servicii de plată trebuie:
a) să realizeze cel puţin analiza deficienţelor pe baza standardelor de securitate a informaţiilor, revizuiri ale conformităţii, audituri interne şi externe ale sistemelor informatice sau revizuiri ale securităţii fizice;
b) să ţină seama de bunele practici, cum ar fi: revizuiri ale codului-sursă, evaluări ale vulnerabilităţilor, teste de penetrare şi exerciţii de testare a securităţii de tip «red team».
Art. 41. - Prestatorii de servicii de plată trebuie să elaboreze şi să pună în aplicare un cadru de testare al măsurilor de securitate a informaţiilor stabilite de aceştia în aplicarea prezentului titlu, care să valideze robusteţea şi eficienţa măsurilor de securitate a informaţiilor şi să se asigure că acest cadru de testare este adaptat pentru a lua în considerare noile ameninţări şi vulnerabilităţi, identificate prin intermediul procesului de monitorizare a ameninţărilor şi de evaluare a riscurilor TIC şi de securitate.
Art. 42. - (1) Cadrul de testare prevăzut la art. 41 trebuie să asigure că testele:
a) sunt efectuate ca parte a procesului formal de gestionare a modificărilor, care trebuie prevăzut de către prestatorii de servicii de plată, pentru a asigura robusteţea şi eficienţa măsurilor de securitate a informaţiilor;
b) sunt efectuate de verificatori independenţi, care au cunoştinţe, competenţe şi expertize suficiente în testarea măsurilor de securitate a informaţiilor aferente serviciilor de plată şi care nu sunt implicaţi în dezvoltarea măsurilor de securitate a informaţiilor aferente serviciilor de plată sau a sistemelor care urmează să fie testate;
c) includ scanări ale vulnerabilităţilor şi teste de penetrare (inclusiv teste de penetrare bazate pe ameninţări) corespunzătoare nivelului de risc identificat în cadrul sistemelor şi proceselor aferente activităţii de prestare de servicii de plată;
d) cuprind examinarea măsurilor de securitate relevante.
(2) Măsurile de securitate relevante prevăzute la alin. (1) lit. d) se referă la:
a) terminalele de plată şi dispozitivele utilizate pentru prestarea serviciilor de plată;
b) terminalele de plată şi dispozitivele utilizate pentru autentificarea utilizatorului de servicii de plată;
c) dispozitivele, programele şi aplicaţiile software furnizate de prestatorul de servicii de plată utilizatorului de servicii de plată pentru a genera/primi un cod de autentificare.
Art. 43. - Prestatorii de servicii de plată trebuie să se asigure că testele măsurilor de securitate prevăzute la art. 42 includ scenariile atacurilor potenţiale cunoscute şi relevante, pe baza ameninţărilor la adresa securităţii constatate şi a modificărilor efectuate.
Art. 44. - (1) Prestatorii de servicii de plată trebuie să efectueze testele prevăzute la art. 42 pe bază continuă şi în mod repetat, cu privire la măsurile de securitate aferente serviciilor de plată oferite de aceştia.
(2) Prestatorii de servicii de plată trebuie să efectueze, cel puţin anual, testarea sistemelor TIC, care au fost identificate drept critice pentru prestarea serviciilor de plată potrivit art. 18 alin. (1).
(3) Testele realizate potrivit alin. (2) trebuie să facă parte din evaluarea detaliată a riscurilor de securitate asociate serviciilor de plată pe care aceştia le prestează, în conformitate cu art. 218 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative.
(4) Sistemele care nu sunt critice trebuie testate regulat de către prestatorii de servicii de plată printr-o abordare bazată pe riscuri, dar cel puţin la fiecare trei ani.
Art. 45. - Prestatorii de servicii de plată trebuie să se asigure că testele măsurilor de securitate se efectuează în următoarele situaţii:
a) în eventualitatea unor modificări ale infrastructurii, proceselor şi procedurilor;
b) în situaţia în care aceste modificări sunt efectuate ca urmare a unor incidente operaţionale sau de securitate majore;
c) în cazul lansării de aplicaţii critice cu acces la internet, noi sau modificate substanţial.
Art. 46. - Prestatorii de servicii de plată trebuie să monitorizeze şi să evalueze rezultatele testelor de securitate efectuate şi să îşi actualizeze măsurile de securitate în mod corespunzător şi fără întârzieri nejustificate în ceea ce priveşte sistemele TIC critice, identificate conform dispoziţiilor art. 18 alin. (1).
SECŢIUNEA a 8-a Programe de formare şi de cunoaştere în materie de securitate
Art. 47. - (1) Prestatorii de servicii de plată trebuie să stabilească un program de formare profesională care trebuie:
a) să includă programe periodice de conştientizare cu privire la securitate pentru toţi membrii personalului şi contractanţi, pentru a se asigura că aceştia sunt instruiţi pentru a-şi îndeplini sarcinile şi responsabilităţile, în conformitate cu procedurile şi politicile de securitate relevante, în vederea prevenirii şi diminuării factorilor de risc precum eroarea umană, furtul, frauda, utilizarea abuzivă sau pierderea şi pentru a aborda adecvat riscurile TIC şi de securitate asociate securităţii informaţiilor;
b) să asigure instruirea tuturor membrilor personalului şi contractanţilor cel puţin anual şi, dacă este necesar, mai frecvent, la iniţiativa prestatorului de servicii de plată ori la solicitarea Băncii Naţionale a României.
(2) Prestatorii de servicii de plată trebuie să se asigure că toţi membrii personalului, inclusiv persoanele care îndeplinesc rolurile-cheie şi responsabilităţile-cheie asociate acestora, identificate conform dispoziţiilor art. 16, sunt instruiţi anual sau mai frecvent, dacă este necesar, prin programe de formare profesională adecvată cu privire la riscurile TIC şi de securitate, inclusiv cu privire la securitatea informaţiilor.
(3) Tematica programelor prevăzute la alin. (1) trebuie să conţină inclusiv dispoziţii cu privire la modalitatea în care membrii personalului prestatorului de servicii de plată sunt obligaţi să raporteze toate incidentele sau activităţile neobişnuite.
CAPITOLUL V Gestionarea operaţiunilor TIC
SECŢIUNEA 1 Dispoziţii generale
Art. 471. - (1) Prestatorii de servicii de plată trebuie să îşi gestioneze, în ceea ce priveşte prestarea de servicii de plată, operaţiunile TIC pe bază de procese şi proceduri documentate, care să fie incluse în politica de securitate prin aplicarea în mod corespunzător a prevederilor art. 29 alin. (1) lit. m) din Regulamentul nr. 4/2019 privind instituţiile de plată şi furnizorii specializaţi în servicii de informare cu privire la conturi.
(2) Setul de documente prevăzut la alin. (1) trebuie:
a) să fie aprobat de organul de conducere şi să fie pus în aplicare de către prestatorii de servicii de plată în mod corespunzător;
b) să definească modul în care prestatorii de servicii de plată operează, monitorizează şi îşi verifică sistemele şi serviciile TIC, inclusiv documentarea operaţiunilor TIC critice;
c) să permită prestatorilor de servicii de plată să îşi actualizeze inventarul activelor TIC.
Art. 472. - (1) Prestatorii de servicii de plată trebuie să se asigure că performanţa operaţiunilor TIC este în concordanţă cu cerinţele lor de afaceri.
(2) Prestatorii de servicii de plată trebuie să menţină şi să îşi îmbunătăţească, atunci când este posibil, eficienţa operaţiunilor TIC, cel puţin cu privire la necesitatea de a analiza modul în care pot fi minimizate eventualele erori ce decurg din executarea sarcinilor manuale.
Art. 473. - Prestatorii de servicii de plată trebuie să pună în aplicare proceduri privind înregistrarea şi monitorizarea în cazul operaţiunilor TIC critice, pentru a permite detectarea, analiza şi corectarea erorilor.
Art. 474. - (1) Prestatorii de servicii de plată trebuie să menţină un inventar actualizat al activelor, inclusiv al sistemelor TIC, dispozitivelor de reţea şi al bazelor de date.
(2) Inventarul activelor TIC realizat potrivit prevederilor alin. (1) trebuie să conţină configuraţia activelor TIC, legăturile şi interdependenţele dintre diferitele active TIC, pentru a permite un proces adecvat de gestionare a configuraţiilor şi modificărilor.
(3) Inventarul activelor TIC trebuie să fie suficient de detaliat pentru a permite identificarea imediată a unui activ TIC, a amplasamentului acestuia, a nivelului de securitate şi a proprietarului.
(4) Interdependenţele dintre active trebuie documentate, pentru a ajuta prestatorii de servicii de plată să intervină în caz de incidente de securitate sau operaţionale, inclusiv în caz de atacuri cibernetice.
Art. 475. - (1) Prestatorii de servicii de plată trebuie să monitorizeze şi să gestioneze ciclurile de viaţă ale activelor TIC, inclusiv cele dedicate utilizatorilor de servicii de plată, pentru a se asigura că acestea îndeplinesc şi susţin în continuare cerinţele de afaceri şi de administrare a riscurilor TIC şi de securitate.
(2) Prestatorii de servicii de plată trebuie să monitorizeze dacă furnizorii lor interni sau externi şi dezvoltatorii oferă asistenţă pentru activele lor TIC şi dacă sunt instalate toate patch-urile şi actualizările relevante pe bază de procese documentate.
(3) Riscurile care decurg din activele TIC învechite sau pentru care nu se mai oferă suport trebuie evaluate şi diminuate.
Art. 476. - Prestatorii de servicii de plată trebuie să pună în aplicare procese de planificare şi monitorizare a performanţei şi capacităţii, pentru a împiedica, a detecta şi a răspunde prompt problemelor importante legate de performanţa sistemelor TIC şi de deficienţe ale capacităţii TIC.
Art. 477. - (1) Prestatorii de servicii de plată trebuie să definească şi să implementeze proceduri pentru realizarea de copii de rezervă şi de restaurare a datelor şi a sistemelor TIC, pentru a se asigura că acestea pot fi recuperate, conform cerinţelor.
(2) Domeniul de aplicare şi frecvenţa operaţiunilor de realizare a copiilor de rezervă prevăzute la alin. (1) trebuie stabilite în conformitate cu cerinţele de redresare a activităţii de prestare de servicii aferente plăţilor şi cu nivelul critic al datelor şi al sistemelor TIC şi trebuie analizate în funcţie de evaluarea riscurilor.
(3) Testarea procedurilor de realizare a copiilor de rezervă şi de restaurare trebuie efectuată periodic.
(4) Prestatorii de servicii de plată trebuie să asigure că este efectuată stocarea în siguranţă a copiilor de rezervă ale datelor şi ale sistemelor TIC realizate potrivit alin. (1), la o distanţă suficient de mare faţă de amplasamentul principal, pentru a nu fi expuse aceloraşi riscuri.
SECŢIUNEA a 2-a Gestionarea şi raportarea problemelor şi incidentelor TIC operaţionale sau de securitate
Art. 478. - (1) Prestatorii de servicii de plată trebuie să elaboreze şi să pună în aplicare un proces de gestionare a problemelor şi incidentelor, pentru a monitoriza şi înregistra incidentele TIC operaţionale sau de securitate şi pentru a permite prestatorilor de servicii de plată să continue sau să reia rapid procesele şi funcţiile critice activităţii lor de prestare de servicii aferente plăţilor, atunci când se produc întreruperi.
(2) Prestatorii de servicii de plată trebuie să stabilească praguri şi criterii corespunzătoare pentru clasificarea unui eveniment drept incident TIC operaţional sau de securitate, precum şi indicatori de alertă timpurie pentru a permite detectarea anticipată a incidentelor TIC operaţionale sau de securitate.
(3) Criteriile şi pragurile stabilite potrivit alin. (2) nu trebuie să aducă atingere clasificării incidentelor majore, în conformitate cu cerinţele titlului III.
Art. 479. - (1) Prestatorii de servicii de plată trebuie să stabilească proceduri şi procese corespunzătoare şi structuri organizatorice pentru a asigura monitorizarea, gestionarea şi urmărirea în mod integrat şi consecvent a incidentelor TIC operaţionale sau de securitate, în vederea identificării şi eliminării principalelor cauze care au condus la apariţia acestora şi pentru a evita reapariţia unor astfel de incidente, în scopul diminuării impactului evenimentelor defavorabile şi pentru a permite redresarea la timp.
(2) Procesul de gestionare a problemelor şi incidentelor prevăzut la alin. (1) trebuie să stabilească:
a) proceduri de identificare, urmărire, înregistrare, categorisire şi clasificare a incidentelor, potrivit unei reguli de prioritate, în funcţie de nivelul critic al activităţii de prestare de servicii aferente plăţilor;
b) rolurile şi responsabilităţile pentru diferite scenarii de incidente (de exemplu, erori, defecţiuni, atacuri cibernetice);
c) proceduri de gestionare a problemelor pentru a identifica, analiza şi soluţiona principala cauză a unuia sau a mai multor incidente - un prestator de servicii de plată trebuie să analizeze incidentele TIC operaţionale sau de securitate care ar putea afecta prestatorul de servicii de plată, care au fost identificate sau care au avut loc în cadrul şi/sau în afara organizaţiei şi trebuie să ia în considerare lecţiile-cheie învăţate din aceste analize şi să actualizeze în consecinţă măsurile de securitate;
d) planuri eficiente de comunicare internă, inclusiv proceduri de notificare şi escaladare a incidentelor - care să acopere şi reclamaţiile clienţilor legate de securitate, care trebuie să asigure următoarele cerinţe:
(i) incidentele şi plângerile clienţilor legate de securitate cu un posibil impact negativ ridicat asupra sistemelor şi serviciilor TIC se raportează conducerii superioare şi conducerii care coordonează domeniul TIC;
(ii) organul de conducere trebuie informat ad-hoc în caz de incidente semnificative, identificate în baza unor criterii stabilite intern la nivelul prestatorului de servicii de plată, cel puţin cu privire la impactul, măsurile luate şi controalele suplimentare care urmează să fie definite ca urmare a incidentelor;
e) proceduri de intervenţie în caz de incidente, pentru reducerea impactului acestora şi pentru a asigura că serviciul devine, în timp util, operaţional şi sigur;
f) planuri specifice de comunicare externă pentru procese şi funcţii critice asociate activităţii de prestare a serviciilor aferente plăţilor pentru a asigura îndeplinirea următoarelor cerinţe:
(i) asigurarea colaborării cu părţile interesate relevante, pentru a interveni în mod eficient în caz de incidente şi a se redresa în urma acestora;
(ii) furnizarea către părţile externe, inclusiv clienţilor, altor participanţi în piaţă şi Băncii Naţionale a României de informaţii în timp util, în mod corespunzător şi în conformitate cu titlul III.
Art. 4710. - Prestatorii de servicii de plată trebuie să se asigure de faptul că măsurile prevăzute în acord cu art. 479 definesc în mod clar toate responsabilităţile pentru raportarea incidentelor operaţionale sau de securitate majore şi aferente proceselor puse în aplicare pentru îndeplinirea cerinţelor prevăzute de titlul III.
CAPITOLUL VI Gestionarea proiectelor şi modificărilor TIC
SECŢIUNEA 1 Gestionarea proiectelor TIC
Art. 4711. - Prestatorii de servicii de plată trebuie să pună în aplicare un program şi/sau un proces de guvernanţă a proiectelor care să definească rolurile, responsabilităţile şi răspunderile, pentru a susţine în mod eficient punerea în aplicare a strategiei TIC.
Art. 4712. - Prestatorii de servicii de plată trebuie să monitorizeze şi să diminueze în mod corespunzător riscurile ce decurg din portofoliul lor de proiecte TIC (gestionarea programului), ţinând seama şi de riscurile care pot rezulta din interdependenţele dintre diferite proiecte şi din dependenţele mai multor proiecte de aceleaşi resurse şi/sau competenţe.
Art. 4713. - Prestatorii de servicii de plată trebuie să instituie şi să pună în aplicare o politică de gestionare a proiectelor TIC, care să includă cel puţin:
a) obiectivele proiectului;
b) rolurile şi responsabilităţile;
c) evaluarea riscurilor asociate proiectului;
d) planul, calendarul şi etapele proiectului;
e) principalele obiective intermediare;
f) cerinţele de gestionare a modificărilor.
Art. 4714. - Politica de gestionare a proiectelor TIC realizată potrivit art. 4713 trebuie să asigure că cerinţele de securitate a informaţiilor sunt analizate şi aprobate de către o funcţie independentă de funcţia care le-a elaborat.
Art. 4715. - Prestatorii de servicii de plată trebuie să se asigure că toate domeniile afectate de un proiect TIC sunt reprezentate în echipa de proiect şi că echipa de proiect deţine cunoştinţele necesare pentru a asigura implementarea sigură şi cu succes a proiectului.
Art. 4716. - (1) Elaborarea şi evoluţia proiectelor TIC şi riscurile lor asociate trebuie raportate organului de conducere, individual sau agregat, în funcţie de importanţa şi de dimensiunea proiectelor TIC, în mod regulat şi ad-hoc, după caz.
(2) Prestatorii de servicii de plată trebuie să includă riscul asociat proiectului în cadrul lor de administrare a riscurilor.
SECŢIUNEA a 2-a Achiziţia şi dezvoltarea de sisteme TIC
Art. 4717. - (1) Prestatorii de servicii de plată trebuie să elaboreze şi să pună în aplicare un proces care să reglementeze achiziţia, dezvoltarea şi întreţinerea sistemelor TIC.
(2) Procesul prevăzut la alin. (1) trebuie conceput folosind o abordare bazată pe riscuri.
Art. 4718. - Prestatorii de servicii de plată trebuie să se asigure că, înainte de orice achiziţie sau dezvoltare a sistemelor TIC, cerinţele funcţionale şi nefuncţionale, inclusiv cerinţele de securitate a informaţiilor, sunt clar definite şi aprobate de către conducerea relevantă.
Art. 4719. - Prestatorii de servicii de plată trebuie să instituite măsuri pentru diminuarea riscurilor de modificare neintenţionată sau de manipulare intenţionată a sistemelor TIC pe durata dezvoltării şi implementării în mediul de producţie.
Art. 4720. - (1) Prestatorii de servicii de plată trebuie să deţină o metodologie pentru testarea şi aprobarea sistemelor TIC înainte de prima lor utilizare.
(2) Metodologia prevăzută la alin. (1) trebuie să ţină seama de nivelul critic al activelor şi proceselor activităţii de prestare a serviciilor aferente plăţilor.
(3) Testarea prevăzută la alin. (1) trebuie să asigure faptul că noile sisteme TIC funcţionează aşa cum au fost proiectate.
(4) Prestatorii de servicii de plată trebuie să utilizeze medii de testare care să reflecte în mod corespunzător mediul de producţie.
Art. 4721. - Prestatorii de servicii de plată trebuie să testeze sistemele TIC, serviciile TIC şi măsurile de securitate a informaţiilor, pentru a identifica eventualele puncte slabe, încălcări şi incidente TIC operaţionale sau de securitate.
Art. 4722. - (1) Prestatorii de servicii de plată trebuie să implementeze medii TIC separate pentru a asigura separarea adecvată a sarcinilor şi pentru a atenua impactul modificărilor neverificate asupra sistemelor de producţie.
(2) Atunci când realizează separarea mediilor conform alin. (1) prestatorii de servicii de plată trebuie asigure inclusiv separarea mediilor de producţie de alte medii care nu au legătură cu producţia, inclusiv cele de dezvoltare şi testare.
(3) Prestatorii de servicii de plată trebuie să asigure integritatea şi confidenţialitatea datelor de producţie în mediile care nu au legătură cu producţia. Accesul la datele din mediul de producţie este limitat la utilizatorii autorizaţi.
Art. 4723. - (1) Prestatorii de servicii de plată trebuie să pună în aplicare măsuri pentru protejarea integrităţii codurilor-sursă ale sistemelor TIC dezvoltate intern.
(2) Prestatorii de servicii de plată trebuie să documenteze în mod amănunţit dezvoltarea, implementarea, operarea şi/sau configurarea sistemelor TIC, pentru a reduce orice dependenţă inutilă de experţii în domeniu.
(3) Documentaţia prevăzută la alin. (2) aferentă sistemului TIC trebuie să conţină cel puţin documentaţia de utilizare, documentaţia tehnică a sistemului şi procedurile de operare, dacă este cazul, inclusiv când nu sunt procese automate.
Art. 4724. - (1) Procesele de achiziţie şi dezvoltare a sistemelor TIC ale unui prestator de servicii de plată trebuie să se aplice şi sistemelor TIC dezvoltate sau gestionate de către utilizatorii finali ai liniilor de afaceri din afara organizaţiei TIC (de exemplu, în aplicaţiile informatice ale utilizatorilor finali), folosind o abordare bazată pe riscuri.
(2) Prestatorul de servicii de plată trebuie să ţină o evidenţă a aplicaţiilor prevăzute la alin. (1) care sprijină procesele şi funcţiile critice ale activităţii de prestare a serviciilor aferente plăţilor.
SECŢIUNEA a 3-a Gestionarea modificărilor TIC
Art. 48. - (1) Prestatorii de servicii de plată trebuie să instituie şi să pună în aplicare un proces de gestionare a modificărilor TIC pentru a se asigura că toate modificările aduse sistemelor TIC sunt planificate, înregistrate, testate, evaluate, aprobate, implementate şi verificate în mod controlat.
(2) Prestatorii de servicii de plată trebuie să gestioneze modificările prevăzute la alin. (1) care sunt necesare şi trebuie introduse cât mai curând posibil în timpul situaţiilor de urgenţă, urmând proceduri care să asigure o protecţie adecvată.
(3) Prestatorii de servicii de plată trebuie să stabilească dacă modificările la nivelul mediului operaţional existent influenţează măsurile de securitate prevăzute la art. 25 sau dacă impun adoptarea de măsuri suplimentare pentru atenuarea riscurilor implicate.
(4) Modificările prevăzute la alin. (1) trebuie să fie în conformitate cu procesul formal de gestionare a modificărilor pentru prestatorii de servicii de plată.
CAPITOLUL VII Gestionarea continuităţii activităţii de prestare a serviciilor aferente plăţilor
SECŢIUNEA 1 Dispoziţii generale
Art. 49. - Prestatorii de servicii de plată trebuie să instituie un proces solid de gestionare a continuităţii activităţii de prestare a serviciilor aferente plăţilor pentru a-şi maximiza capacitatea de a presta servicii de plată în mod continuu şi pentru a limita pierderile în caz de întrerupere gravă a activităţii de prestare a serviciilor aferente plăţilor, prin aplicarea în mod corespunzător a prevederilor art. 61-64 din Regulamentul nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare.
SECŢIUNEA a 2-a Analiza impactului asupra activităţii de prestare a serviciilor aferente plăţilor
Art. 50. - (1) Prestatorii de servicii de plată trebuie să realizeze o analiză de impact cu privire la expunerea activităţii de prestare a serviciilor aferente plăţilor la întreruperea gravă a acesteia, ca parte a bunei gestionări a continuităţii activităţii de prestare a serviciilor aferente plăţilor.
(2) În cadrul analizei prevăzute la alin. (1) prestatorii de servicii de plată trebuie să evalueze, cantitativ şi calitativ, impactul potenţial al întreruperii grave a activităţii de prestare a serviciilor aferente plăţilor, inclusiv asupra confidenţialităţii, integrităţii şi disponibilităţii, folosind date interne şi/sau externe, inclusiv date de la furnizorii terţi, relevante pentru un proces aferent activităţii de prestare a serviciilor aferente plăţilor, sau date disponibile public care pot fi relevante pentru analiza de impact asupra activităţii de prestare a serviciilor aferente plăţilor şi analize pe bază de scenariu.
(3) Analiza de impact asupra activităţii de prestare a serviciilor aferente plăţilor realizată conform alin. (1) trebuie să ţină seama şi de nivelul critic al funcţiilor activităţii de prestare a serviciilor aferente plăţilor, al proceselor-suport, al terţilor şi al activelor informaţionale identificate şi clasificate, precum şi de interdependenţele acestora, în conformitate cu prevederile art. 16-18.
Art. 501. - Prestatorii de servicii de plată trebuie să se asigure că sistemele şi serviciile lor TIC sunt concepute şi în concordanţă cu analiza lor de impact asupra activităţii de prestare a serviciilor aferente plăţilor, inclusiv din perspectiva redundanţei anumitor componente critice, pentru a preveni întreruperile cauzate de evenimente cu impact asupra componentelor respective.
SECŢIUNEA a 3-a Planificarea continuităţii activităţii de prestare a serviciilor aferente plăţilor pe bază de scenariu
Art. 51. - (1) În baza analizei de impact efectuate potrivit prevederilor art. 50, prestatorii de servicii de plată trebuie să implementeze:
a) planuri de continuitate a activităţii de prestare a serviciilor aferente plăţilor pentru a se asigura că pot răspunde în mod corespunzător la urgenţe şi că pot menţine activităţile lor operaţionale critice;
b) măsuri de atenuare care trebuie adoptate în cazul încetării prestării serviciilor de plată şi în cazul rezilierii contractelor existente, pentru evitarea efectelor negative asupra sistemelor de plăţi şi asupra utilizatorilor de servicii de plată şi pentru a asigura executarea operaţiunilor de plată în aşteptare.
(2) Prestatorii de servicii de plată trebuie să se asigure că planul de continuitate prevăzut la alin. (1) este documentat şi aprobat de organele lor de conducere.
(3) Planurile trebuie să ţină seama în mod special de riscurile care ar putea afecta în mod negativ sistemele şi serviciile TIC.
(4) Prestatorii de servicii de plată trebuie să se asigure că planurile de continuitate a activităţii de prestare a serviciilor aferente plăţilor sprijină obiectivele de a proteja şi, dacă este cazul, de a restabili confidenţialitatea, integritatea şi disponibilitatea funcţiilor activităţii de prestare a serviciilor aferente plăţilor, a proceselor-suport şi a activelor informaţionale.
(5) Prestatorii de servicii de plată trebuie să se coordoneze şi să coopereze cu părţile relevante de la nivel intern şi extern care sunt interesate, după caz, pe parcursul elaborării planurilor de continuitate a activităţii de prestare a serviciilor aferente plăţilor.
Art. 511. - (1) Prestatorii de servicii de plată trebuie să pună în aplicare planuri de asigurare a continuităţii activităţii de prestare a serviciilor aferente plăţilor pentru a se asigura că acestea pot reacţiona în mod corespunzător la eventuale scenarii de intrare în dificultate şi că sunt capabile să îşi redreseze operaţiunile critice ale activităţii lor de prestare a serviciilor aferente plăţilor în urma unor întreruperi, conform obiectivului timp de recuperare (RTO) şi obiectivului punct de recuperare (RPO).
(2) Prestatorii de servicii de plată trebuie să stabilească ordinea de prioritate pentru acţiunile specifice din cadrul planului de continuitate a activităţii de prestare a serviciilor aferente plăţilor, declanşate ca urmare a unei întreruperi grave a activităţii de prestare a serviciilor aferente plăţilor, folosind o abordare bazată pe riscuri, care se poate fundamenta pe evaluările riscurilor efectuate potrivit cap. III al prezentului titlu.
(3) Planurile de asigurare a continuităţii activităţii de prestare a serviciilor aferente plăţilor prevăzute la alin. (1) trebuie să faciliteze cel puţin prelucrarea operaţiunilor critice, în timp ce continuă eforturile de remediere.
Art. 52. - (1) Prestatorii de servicii de plată trebuie să ia în considerare o serie de scenarii diferite în planul lor de asigurare a continuităţii activităţii de prestare a serviciilor aferente plăţilor, inclusiv cele extreme, dar plauzibile, la care ar putea fi expuşi, inclusiv un scenariu de atac cibernetic, şi trebuie să evalueze impactul potenţial al unor astfel de scenarii.
(2) Pe baza scenariilor prevăzute la alin. (1), prestatorii de servicii de plată trebuie să descrie modul în care sunt asigurate continuitatea sistemelor şi serviciilor TIC şi securitatea informaţiilor acestora.
SECŢIUNEA a 4-a Planurile de intervenţie şi de redresare
Art. 53. - (1) În baza analizei de impact asupra activităţii de prestare a serviciilor aferente plăţilor efectuate potrivit prevederilor art. 50 şi a scenariilor plauzibile identificate potrivit prevederilor art. 52, prestatorii de servicii de plată trebuie să elaboreze planuri de intervenţie şi de redresare.
(2) Planurile de intervenţie şi redresare prevăzute la alin. (1) trebuie:
a) să precizeze condiţiile în care poate fi declanşată activarea planurilor şi măsurile care trebuie luate pentru a asigura disponibilitatea, continuitatea şi redresarea cel puţin a sistemelor şi serviciilor TIC critice ale prestatorilor de servicii de plată;
b) să vizeze atingerea obiectivelor de redresare a operaţiunilor prestatorilor de servicii de plată;
c) să ţină seama atât de opţiunile de redresare pe termen scurt, cât şi de cele pe termen lung;
d) să se concentreze pe redresarea operaţiunilor funcţiilor critice aferente activităţii de prestare a serviciilor aferente plăţilor, proceselor-suport, sistemelor şi activelor informaţionale, precum şi ale interdependenţelor dintre acestea pentru a evita efectele negative asupra funcţionării prestatorilor de servicii de plată şi asupra sistemului financiar, inclusiv asupra sistemelor de plată şi asupra utilizatorilor serviciilor de plată, şi pentru a asigura executarea operaţiunilor de plată în aşteptare;
e) să fie documentate şi puse la dispoziţia unităţilor operaţionale şi funcţiilor-suport şi uşor accesibile în caz de urgenţă;
f) să fie actualizate în conformitate cu experienţa dobândită din incidente şi teste, cu noile riscuri şi ameninţări identificate, precum şi cu priorităţile şi obiectivele de redresare modificate;
g) să aibă în vedere şi opţiuni alternative, în cazul în care este posibil ca redresarea să nu fie fezabilă pe termen scurt, din cauza costurilor, riscurilor, logisticii sau a situaţiilor neprevăzute.
(3) În cadrul planurilor de intervenţie şi de redresare, prestatorul de servicii de plată trebuie să aibă în vedere şi punerea în aplicare a măsurilor de asigurare a continuităţii pentru a atenua incapacităţile furnizorilor terţi, măsuri extrem de importante pentru asigurarea continuităţii serviciilor TIC ale prestatorului de servicii de plată în concordanţă cu dispoziţiile Ghidului ABE privind externalizarea EBA/GL/2019/02 referitoare la planurile de continuitate a activităţii.
SECŢIUNEA a 5-a Testarea planurilor
Art. 54. - (1) Prestatorii de servicii de plată trebuie să testeze planurile de asigurare a continuităţii activităţii de prestare a serviciilor aferente plăţilor.
(2) Prestatorii de servicii de plată trebuie să se asigure că planurile de asigurare a continuităţii funcţiilor critice ale activităţii lor de prestare a serviciilor aferente plăţilor, ale proceselorsuport, ale activelor informaţionale şi ale interdependenţelor dintre acestea, inclusiv cele furnizate de terţi, unde este cazul, sunt testate cel puţin anual potrivit art. 56.
Art. 55. - (1) Prestatorii de servicii de plată trebuie să actualizeze planurile de continuitate a activităţii de prestare a serviciilor aferente plăţilor cel puţin anual, pe baza rezultatelor testelor prevăzute la art. 54 alin. (2), a informaţiilor privind ameninţările curente, a schimbului de informaţii şi a experienţei dobândite din evenimentele anterioare.
(2) Orice modificări ale obiectivelor de redresare a activităţii de prestare a serviciilor aferente plăţilor (inclusiv ale RTO şi RPO) şi/sau modificări ale funcţiilor activităţii lor de prestare a serviciilor aferente plăţilor, ale proceselor-suport şi ale activelor informaţionale, dacă este cazul, trebuie să fie luate în considerare, inclusiv ca o bază pentru actualizarea planurilor de asigurare a continuităţii activităţii de prestare a serviciilor aferente plăţilor.
Art. 56. - (1) Testarea planurilor de asigurare a continuităţii activităţii de prestare de servicii aferente plăţilor prevăzută la art. 54 trebuie să demonstreze capacitatea acestora de a susţine viabilitatea activităţii de prestare de servicii aferente plăţilor a prestatorilor de servicii de plată până la restabilirea operaţiunilor lor critice.
(2) Testarea planurilor de asigurare a continuităţii activităţii de prestare de servicii aferente plăţilor prevăzută la alin. (1) trebuie:
a) să includă un set adecvat de scenarii, extreme, dar plauzibile, inclusiv cele avute în vedere la elaborarea planurilor de asigurare a continuităţii activităţii de prestare de servicii aferente plăţilor prevăzute la art. 52, precum şi testarea serviciilor prestate de terţi, unde este cazul;
b) să includă transferarea funcţiilor critice ale activităţii de prestare de servicii aferente plăţilor, ale proceselor-suport şi ale activelor informaţionale în mediul de redresare în caz de dezastru şi demonstrarea faptului că pot fi gestionate astfel o perioadă suficient de reprezentativă şi că funcţionarea normală poate fi restabilită ulterior;
c) să fie concepute pentru a verifica ipotezele pe care se bazează planurile de asigurare a continuităţii activităţii de prestare de servicii aferente plăţilor, inclusiv mecanismele de guvernanţă şi planurile de comunicare în situaţii de criză; şi
d) să includă proceduri pentru verificarea capacităţii personalului şi a contractanţilor, a sistemelor şi serviciilor TIC de a răspunde în mod corespunzător la scenariile prevăzute la art. 52.
Art. 57. - Prestatorii de servicii de plată trebuie să documenteze rezultatele testelor şi să analizeze, abordeze şi să raporteze organului de conducere toate deficienţele identificate în urma testelor.
SECŢIUNEA a 6-a Comunicările în situaţii de criză
Art. 58. - Prestatorii de servicii de plată trebuie să se asigure că atât în cazul unei întreruperi a activităţii lor de prestare de servicii aferente plăţilor sau al unei situaţii de urgenţă, cât şi pe parcursul punerii în aplicare a planurilor de asigurare a continuităţii activităţii de prestare de servicii aferente plăţilor au prevăzut măsuri eficiente de comunicare în situaţii de criză, astfel încât toate părţile interesate interne şi externe relevante, inclusiv furnizori de servicii de externalizare, entităţi din grup sau furnizori terţi, precum şi Banca Naţională a României, sunt informate în timp util şi în mod corespunzător.
CAPITOLUL VIII Gestionarea relaţiei cu utilizatorul serviciilor de plată
Art. 59. - Prestatorii de servicii de plată trebuie să stabilească şi să pună în aplicare procese de creştere a gradului de conştientizare al utilizatorilor de servicii de plată cu privire la riscurile de securitate aferente serviciilor de plată prestate acestora, acordând asistenţă şi îndrumare utilizatorilor de servicii de plată.
Art. 60. - Asistenţa şi îndrumarea acordate utilizatorilor de servicii de plată potrivit art. 59 trebuie să fie actualizate în funcţie de noile ameninţări şi vulnerabilităţi, iar prestatorii de servicii de plată trebuie să informeze utilizatorii de servicii de plată cu privire la aceste modificări.
Art. 61. - În cazul în care funcţionalitatea produsului o permite, prestatorii de servicii de plată trebuie să le permită utilizatorilor de servicii de plată să dezactiveze anumite funcţionalităţi de plată aferente serviciilor de plată furnizate de către prestatorul de servicii de plată către utilizatorul de servicii de plată.
Art. 62. - În cazul în care, în conformitate cu art. 163 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, un prestator de servicii de plată a acceptat limitele de cheltuieli ale plătitorului în ceea ce priveşte operaţiunile de plată efectuate prin intermediul anumitor instrumente de plată, prestatorul de servicii de plată trebuie să ofere plătitorului opţiunea de a ajusta aceste limite până la limita maximă admisă.
Art. 63. - Prestatorii de servicii de plată trebuie să acorde utilizatorilor de servicii de plată opţiunea de a primi alerte referitoare la încercările iniţiate şi/sau eşuate de iniţiere a operaţiunilor de plată, permiţându-le să detecteze utilizarea frauduloasă sau premeditată a conturilor lor de plăţi.
Art. 64. - Prestatorii de servicii de plată trebuie să îşi informeze utilizatorii de servicii de plată despre actualizările procedurilor de securitate care afectează utilizatorii de servicii de plată în ceea ce priveşte prestarea serviciilor de plată.
Art. 65. - (1) Prestatorii de servicii de plată trebuie să acorde asistenţă utilizatorilor de servicii de plată în orice solicitări, cereri de sprijin şi notificări de anomalii sau aspecte referitoare la probleme de securitate legate de serviciile de plată.
(2) Prestatorii de servicii de plată trebuie să informeze utilizatorii de servicii de plată în mod corespunzător cu privire la modalitatea în care se poate obţine asistenţa prevăzută la alin. (1)."
3. Articolul 70 se modifică şi va avea următorul cuprins:
"Art. 70. - Prestatorii de servicii de plată trebuie să efectueze evaluarea menţionată la art. 66-68 pe bază continuă, pe întreaga durată a existenţei incidentului pentru a identifica orice posibilă schimbare a încadrării incidentului, respectiv prin încadrarea incidentului din incident minor în major sau prin încadrarea incidentului din major în minor."
4. La articolul 80, alineatul (1) se modifică şi va avea următorul cuprins:
"Art. 80. - (1) În rapoartele lor iniţiale, prestatorii de servicii de plată trebuie să includă informaţiile prevăzute în formularul «A - Raport iniţial» cuprins în anexa nr. 3, prezentând unele caracteristici de bază ale incidentului şi consecinţele estimate ale acestuia pe baza informaţiilor disponibile imediat după detectarea sau reîncadrarea acestuia potrivit art. 70."
5. La articolul 91, alineatul (3) se modifică şi va avea următorul cuprins:
"(3) În situaţia prevăzută la alin. (1), prestatorii de servicii de plată trebuie să indice reîncadrarea incidentului drept minor, să transmită formularul «C - Raport final» cuprins în anexa nr. 3 şi să explice motivele acestei încadrări."
6. Articolul 103 se modifică şi va avea următorul cuprins:
"Art. 103. - (1) Prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României, prin intermediul Sistemului Informatic de Raportare către Banca Naţională a României (SIRBNR), datele statistice prevăzute la art. 99, potrivit dispoziţiilor cuprinse în cadrul cap. VI din prezentul titlu.
(2) Transmiterea datelor se realizează în format XML, în conformitate cu dispoziţiile art. 101 alin. (2) şi (3) şi cu regulile de sistem stabilite şi puse la dispoziţia entităţilor raportoare - prin intermediul SIRBNR - de Banca Naţională a României."
7. Articolul 105 se modifică şi va avea următorul cuprins:
"Art. 105. - (1) Prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României datele statistice prevăzute la art. 99, prin exprimarea acestora în lei.
(2) Prestatorii de servicii de plată trebuie să raporteze Băncii Naţionale a României datele statistice la nivel agregat, incluzând datele aferente activităţii de prestare de servicii de plată în mod direct în alte state membre şi activităţii desfăşurate prin intermediul agenţilor.
(3) Prestatorii de servicii de plată prevăzuţi la art. 223 alin. (1) lit. c), cu excepţia furnizorilor specializaţi în servicii de informare cu privire la conturi, şi lit. d) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, din alte state membre, care desfăşoară activitate de prestare de servicii de plată pe teritoriul României prin intermediul sucursalelor, raportează Băncii Naţionale a României datele statistice prevăzute la art. 99, aferente activităţii desfăşurate de acestea în România, separat de raportarea datelor efectuată de către prestatorul de servicii de plată în statul membru de origine.
(4) Prestatorii de servicii de plată prevăzuţi la art. 223 alin. (1) lit. c), cu excepţia agenţilor şi a furnizorilor specializaţi în servicii de informare cu privire la conturi, din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care desfăşoară activitate de prestare de servicii de plată pe teritoriul României prin intermediul agenţilor, nu raportează informaţiile şi datele statistice către Banca Naţională a României.
(5) Fără a aduce atingere alin. (1), în cazul operaţiunilor de plată şi al operaţiunilor de plată frauduloase denominate în monedă străină, prestatorii de servicii de plată determină valorile, iniţial, prin aplicarea cursului de schimb pentru moneda respectivă raportat la euro, iar rezultatul în euro este convertit în lei, utilizându-se cursurile de schimb publicate pe website-ul Băncii Centrale Europene. Pentru operaţiunile de plată, inclusiv frauduloase, denominate în alte monede decât cele pentru care sunt disponibile cursuri de schimb pe website-ul Băncii Centrale Europene, prestatorii de servicii de plată trebuie să utilizeze cursul de schimb publicat pe website-ul Băncii Naţionale a României.
(6) Valorile cursurilor de schimb utilizate pentru conversiile prevăzute la alin. (5) sunt cele aplicate acestor operaţiuni sau rata de schimb medie de referinţă a Băncii Centrale Europene sau a Băncii Naţionale a României, după caz, pentru perioada de raportare respectivă."
8. Articolul 106 se abrogă.
9. Articolul 113 se modifică şi va avea următorul cuprins:
"Art. 113. - Prestatorul de servicii de plată care oferă servicii de emitere de carduri de plată utilizatorilor de servicii de plată în calitate de plătitori trebuie să raporteze, în calitate de emitent, toate operaţiunile de plată şi operaţiunile de plată frauduloase în care s-a folosit un card de plată sau un dispozitiv similar, care au fost iniţiate şi executate, în conformitate cu formularul «C - Defalcarea datelor pentru operaţiunile de plată cu cardul care trebuie raportate de prestatorul de servicii emitent» din anexa nr. 5. Datele aferente categoriilor «Tranzacţii iniţiate de comerciant» şi «Altele» se vor raporta pentru operaţiunile de plată iniţiate şi executate ulterior datei de 01.07.2020."
10. Articolul 114 se modifică şi va avea următorul cuprins:
"Art. 114. - Prestatorii de servicii de plată care oferă servicii de acceptare de operaţiuni de plată utilizatorilor de servicii de plată în calitate de beneficiari trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase de tip acceptare de operaţiuni de plată în care s-a folosit un card de plată sau un dispozitiv similar, care au fost iniţiate şi executate, în conformitate cu formularul «D - Defalcarea datelor pentru operaţiunile de plată cu cardul sau un dispozitiv similar care vor fi raportate de către prestatorul de servicii de plată care acceptă la plată aceste operaţiuni de plată (cu o relaţie contractuală cu utilizatorul serviciului de plată)» din anexa nr. 5. Datele aferente indicatorilor «Tranzacţii iniţiate de comerciant» şi «Altele» se vor raporta pentru operaţiunile de plată iniţiate şi executate ulterior datei de 1.07.2020."
11. La articolul 115 alineatul (1), litera d) se modifică şi va avea următorul cuprins:
"d) motivul neaplicării autentificării stricte a clienţilor, prin indicarea derogărilor de la autentificarea strictă a clienţilor, prevăzute la cap. 3 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare, sau una din categoriile «Tranzacţii iniţiate de comerciant» sau «Altele», după caz;"
12. La articolul 115 alineatul (1), litera f) se modifică şi va avea următorul cuprins:
"f) funcţia cardului pentru operaţiunile de plată raportate în conformitate cu secţiunile «C - Defalcarea datelor pentru operaţiunile de plată cu cardul care trebuie raportate de prestatorul de servicii de plată emitent» şi «D - Defalcarea datelor pentru operaţiunile de plată cu cardul sau un dispozitiv similar care vor fi raportate de către prestatorul de servicii de plată care acceptă la plată aceste operaţiuni de plată (cu o relaţie contractuală cu utilizatorul serviciului de plată)» şi".
13. Articolul 117 se modifică şi va avea următorul cuprins:
"Art. 117. - Prestatorii de servicii de plată, care emit instrumente de plată de tipul cardurilor, trebuie să raporteze toate operaţiunile de plată şi operaţiunile de plată frauduloase de tip retragere de numerar efectuate la bancomate (inclusiv prin intermediul aplicaţiilor), la ghişeele bancare şi la comercianţi, utilizând cardurile emise de către aceştia, în conformitate cu formularul «E - Defalcarea datelor pentru retragerile de numerar folosind carduri care vor fi raportate de prestatorul de servicii de plată emitent al cardului» din anexa nr. 5."
14. La articolul 118, alineatul (1) se modifică şi va avea următorul cuprins:
"Art. 118. - (1) Prestatorii de servicii de plată care nu administrează contul de plăţi al utilizatorului de servicii de plată, dar care emit instrumente de plată de tipul cardurilor şi execută operaţiuni de plăţi pe baza acestor carduri trebuie să raporteze datele referitoare la volumul şi valoarea aferente acestor operaţiuni şi ale operaţiunilor de plată frauduloase efectuate cu aceste carduri, potrivit formularului «C - Defalcarea datelor pentru operaţiunile de plată cu cardul care trebuie raportate de prestatorul de servicii de plată emitent» din anexa nr. 5."
15. La articolul 119, alineatul (1) se modifică şi va avea următorul cuprins:
"Art. 119. - (1) Prestatorii de servicii de plată care oferă servicii de plată cu monedă electronică trebuie să raporteze operaţiunile de plată şi operaţiunile de plată frauduloasă cu monedă electronică, astfel cum aceasta este definită la art. 4 alin. (1) lit. f) din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică, în conformitate cu formularul «F - Defalcarea datelor pentru operaţiunile efectuate cu monedă electronică» din anexa nr. 5. Datele aferente categoriilor «Tranzacţii iniţiate de comerciant» şi «Altele» se vor raporta pentru operaţiunile de plată iniţiate şi executate ulterior datei de 1.07.2020."
16. La articolul 119 alineatul (3), litera d) se modifică şi va avea următorul cuprins:
"d) motivul neaplicării autentificării stricte a clienţilor, prin indicarea derogărilor de la autentificarea strictă a clienţilor, prezentate în capitolul III din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European şi a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienţilor şi standardele deschise, comune şi sigure de comunicare sau una din categoriile «Tranzacţii iniţiate de comerciant» sau «Altele», după caz; şi".
17. La anexa nr. 4, punctul 1.6 se modifică şi va avea următorul cuprins:
"1.6. Operaţiunile de plată şi operaţiunile frauduloase de plată în care moneda electronică este transferată de un prestator de servicii de emitere de monedă electronică în contul unui beneficiar al plăţii, inclusiv în cazurile în care prestatorul de servicii de plată al plătitorului este acelaşi cu prestatorul de servicii de plată al beneficiarului, vor fi raportate de prestatorul de servicii de emitere de monedă electronică utilizând formularul «F - Defalcarea datelor pentru operaţiunile efectuate în monedă electronică» din anexa nr. 5 la regulament. În cazurile în care prestatorii de servicii de plată sunt diferiţi, plata va fi raportată numai de prestatorul de servicii de plată al plătitorului, pentru a evita dubla raportare."
18. La anexa nr. 4, punctul 2.5 se modifică şi va avea următorul cuprins:
"2.5 În scopul de a evita raportarea dublă, prestatorul de servicii de plată al plătitorului va transmite datele în calitatea sa de emitent (sau iniţiator). Prin excepţie, datele referitoare la plăţile cu cardul vor fi raportate atât de prestatorul de servicii de plată emitent, cât şi de prestatorul de servicii de plată care acceptă operaţiunea de plată. Cele două perspective trebuie raportate separat, cu defalcări diferite, conform formularelor corespunzătoare prevăzute în anexa nr. 5 la regulament."
19. La anexa nr. 4, punctul 3.1 se modifică şi va avea următorul cuprins:
"3.1. Pentru operaţiunile de plată care nu se bazează pe card şi pentru operaţiunile de plată la distanţă pe bază de card, «operaţiunile de plată naţionale» se referă la operaţiunile de plată iniţiate de un plătitor sau de un/printr-un beneficiar al plăţii, în care prestatorul de servicii de plată al plătitorului/emitent şi prestatorul de servicii de plată al beneficiarului/acceptant se află în România."
20. La anexa nr. 4, punctul 3.2 se modifică şi va avea următorul cuprins:
"3.2. Pentru operaţiunile de plată pe bază de card care nu sunt efectuate la distanţă, «operaţiunile de plată naţionale» se referă la operaţiunile de plată în care prestatorul de servicii de plată emitent, prestatorul de servicii de plată acceptant şi punctul de vânzare sau bancomatul folosit se află în România."
21. La anexa nr. 4, punctul 3.3 se modifică şi va avea următorul cuprins:
"3.3. Pentru sucursalele din România ale prestatorilor de servicii de plată operaţiunile de plată naţionale se referă la operaţiunile de plată în care atât prestatorii de servicii de plată ai plătitorilor, cât şi cei ai beneficiarilor plăţilor se află în România."
22. La anexa nr. 4, punctul 3.4 se modifică şi va avea următorul cuprins:
"3.4. Pentru operaţiunile de plată care nu se bazează pe card şi pentru operaţiunile de plată cu cardul la distanţă, «operaţiunea de plată transfrontalieră în cadrul SEE» se referă la o operaţiune de plată iniţiată de un plătitor sau de un/printr-un beneficiar al plăţii, în care prestatorul de servicii de plată al plătitorului/emitent şi prestatorul de servicii de plată al beneficiarului plăţii/acceptant se află în state membre diferite, dintre care unul este situat în România."
23. La anexa nr. 4, punctul 3.5 se modifică şi va avea următorul cuprins:
"3.5. Pentru operaţiunile de plată pe bază de card care nu sunt efectuate la distanţă, «operaţiunile de plată transfrontaliere în cadrul SEE» se referă la operaţiunile de plată în care:
a) prestatorul de servicii de plată emitent şi prestatorul de servicii de plată acceptant se află în state membre diferite, dintre care unul este situat în România; sau
b) prestatorul de servicii de plată emitent se află într-un alt stat membru decât punctul de vânzare sau bancomatul, dintre care unul este situat în România."
24. La anexa nr. 4, punctul 3.6 se modifică şi va avea următorul cuprins:
"3.6. «Operaţiunile de plată transfrontaliere în afara SEE» se referă la operaţiunile de plată iniţiate de un plătitor sau de un/printr-un beneficiar al plăţii, în care fie prestatorul de servicii de plată al plătitorului, fie cel al beneficiarului plăţii se află într-un stat terţ, iar celălalt se află în România."
25. Anexa nr. 5 se modifică şi va avea cuprinsul din anexa care face parte integrantă din prezentul regulament.
Art. II. - Prezentul regulament se publică în Monitorul Oficial al României, Partea I.
Preşedintele Consiliului de administraţie al Băncii Naţionale a României,
Mugur Constantin Isărescu
Bucureşti, 21 mai 2021.
Nr. 2.
Sursa: BNR.ro