Una dintre preocupările principale în ceea ce privește conformarea și alinierea cu rigurozitate la cerințele reglementărilor europene și ale standardelor internaționale aplicabile pe linia rezilienței operaționale digitale, o reprezintă încadrarea și forma de organizare a guvernanței în materie de securitate cibernetică a ecosistemului financiar-bancar[1].
Din această perspectivă, prin corelarea cerințelor prevăzute de Regulamentul DORA, cu alte standarde și cadre de referință relevante, în vederea abordării integrate a modului de gestionare a riscurilor și măsurilor de control relevante în cadrul modelului celor trei linii de apărare, precum și a conturării cadrului de cooperare dintre funcțiile cu responsabilități în domeniul securității informației, administrării riscurilor, continuității activității, protecției datelor și protecției infrastructurilor critice, prezentăm următoarele argumente:
1) art.5 alin.(2) din Regulamentul DORA instituie principiul responsabilității supreme a organului de conducere (astfel cum este definit la art.3 pct.30[2]), fără posbilitate de delegare, întrucât ”definește, aprobă, supraveghează și este responsabil pentru implementarea tuturor măsurilor legate de cadrul de gestionare a riscurilor TIC menționat la articolul 6 alineatul (1)”, respectiv ” Entitățile financiare trebuie să dispună de un cadru solid, cuprinzător și bine documentat de gestionare a riscurilor TIC[3], ca parte a sistemului lor general de gestionare a riscurilor, care le permite să abordeze rapid, eficient și cuprinzător riscurile TIC și să asigure un nivel ridicat de reziliență operațională digitală.”, sens în care îndeplinește teza a doua a dispozițiilor art.5 alin.(2)[4];
2) pentru ca entitatea financiară ”să dispună de un cadru intern de guvernanță și control care să asigure o gestionare eficientă și prudentă a riscului TIC”, în accepțiunea tezei primare a art.5 alin.(1) din Regulamentul DORA și ”în conformitate cu articolul 6 alineatul (4)” din același Regulament, trebuie ”să (se) atribuie responsabilitatea gestionării și supravegherii riscului TIC unei funcții de control și să (se) asigure un nivel adecvat de independență a acestei funcții de control pentru a evita conflictele de interese”, prin ”o segregare și o independență adecvate a funcțiilor de gestionare a riscului TIC, a funcțiilor de control și a funcțiilor de audit intern, în conformitate cu modelul celor trei linii de apărare sau cu un model intern de gestionare și control al riscului”, cu unica posibilitate de derogare de la principiul responsabilității supreme a organului de conducere sus-enunțat, în aplicarea art.5 alin.(3), coroborat cu art.5 alin.(2) lit.i) în ceea ce privește stabilirea unui ”rol pentru monitorizarea acordurilor încheiate cu furnizorii terți de servicii TIC privind utilizarea serviciilor TIC”, care ”a implementat, la nivel corporativ, canale de raportare care să permită informarea corespunzătoare” sau ”desemnează un membru al conducerii superioare responsabil de supravegherea expunerii la risc aferente și a documentației relevante”[5]
3) conflictul de interese, în cadrul Regulamentului DORA, este incriminat doar în legătură cu testarea avansată (TLPT), atunci când ”testele sunt efectuate de un tester intern” și numai ”pe parcursul fazelor de proiectare și execuție a testului”, conform art.24 alin.(4)[6], sens în care art.27 alin.(2) lit.b)[7] responsabilizează ”autoritatea competentă relevantă”[8] să se asigure că este respectă această cerință expres statuată.
În rest, regulamentul DORA, doar prin art.28 alin.4, mai incumbă obligația ca ”entitățile financiare” (n.n. – prin factorii decizionali responsabili) ”să identifice și să evalueze conflictele de interese pe care le-ar putea cauza acordul contractual”, înainte de a încheia un acord contractual privind utilizarea serviciilor TIC.
Ca urmare a celor mai sus-prezentate, pentru a putea fi relevate principalele atribuții ale ”funcției de control” și conturat locul acesteia (n.n. – care, în fapt, ar consta în coordonarea și monitorizarea activității de reziliență operațională digitală care să asigure ”gestionarea și supravegherea riscului TIC”, în mod independent, cu evitarea conflictelor de interese și în ”conformitate cu modelul celor trei linii de apărare”), astfel încât să fie atins dezideratul ”organului de conducere în controlul monitorizării gestionării riscurilor TIC” (a se vedea pct.45 din preambulul Regulamentului DORA), în tabelul de mai jos, sunt prelucrate cerințele legale prevăzute în Capitolul II – Managementul riscului TIC din reglementare.
| Nr. crt. | Obiectiv | Articol DORA | Cerințe legale prelucrate | Observații | |
| 1. | Stabilire responsabilități la nivel de conducere | Art.5 – Guvernanță și organizare | Organul de conducere (board / conducere executivă / guvernanță TIC / management) are responsabilitatea finală pentru reziliența operațională digitală, sens în care:
· aprobă și supraveghează strategia de risc TIC; · asigură resurse adecvate pentru securitate și reziliență; · stabilește linii clare de responsabilitate; · promovează o cultură organizațională orientată spre risc TIC; · este instruit periodic în materie de riscuri TIC |
Cerințele sunt fundamentale pentru guvernanța TIC și reflectă responsabilitățile adecvate la nivel de conducere executivă / coordonatoare / concurențială a activității de reziliență operațională digitală | |
| 2. | Creare cadru de management al riscului TIC | Art.6 – Cadrul de gestionare a riscurilor TIC | Implementarea ICT Risk Management Framework include:
· politici și proceduri TIC documentate; · roluri și responsabilități clare; · controale interne; · mecanisme de monitorizare continuă; · procese de audit intern; · aplicarea principiului proporționalității (în funcție de mărime, complexitate, profil de risc) |
Documentare (organizare, evoluție, și monitorizare) privind procesele, politicile și controalele interne necesare pentru gestionarea riscurilor TIC, ca bază pentru aplicarea art.7–16 și ca parte a sistemului general de gestionare a riscurilor
Þ propunere ”guvernanță anticipativă” (a se vedea la final) |
|
| 3. | Cerințe tehnice și operaționale – art.7-12 | ||||
| 3.1. | Asigurare infrastructură TIC sigură | Art.7 – Sisteme, protocoale și instrumente TIC | Instituțiile trebuie să mențină sistemele TIC:
· sigure, robuste, actualizate; · configurate conform bunelor practici; · cu protocoale de securitate adecvate; · cu mecanisme de control al accesului |
Implementare produse și servicii robuste și actualizate | |
| 3.2. | Identificare active și vulnerabilități | Art.8 – Identificare | Instituțiile trebuie să identifice:
· activele TIC critice; · vulnerabilitățile; · dependențele interne și externe; · funcțiile esențiale care trebuie protejate |
Mapare active critice, dependențe și riscuri TIC | |
| 3.3. | Implementare măsuri de protecție | Art.9 – Protecție și prevenire | Cerințe:
· controale preventive (patching, hardening, segmentare); · criptare; · politici de acces; · măsuri anti‑malware; · testare periodică a controalelor |
Aplicare controale preventive, criptare, patching și politici de acces | |
| 3.4. | Monitorizare și detectare incidente | Art.10 – Detectare | Instituțiile trebuie să aibă:
· capacități de monitorizare continuă; · sisteme de detecție a anomaliilor; · alerte timpurii pentru incidente TIC |
Testare / Activare mecanisme de monitorizare continuă și detecție a anomaliilor | |
| 3.5. | Răspunde și recuperează rapid | Art.11 – Răspuns și recuperare | Obligații:
· planuri de răspuns la incidente; · proceduri de continuitate; · timpi de recuperare (RTO/RPO) definiți; · comunicare internă și externă în caz de incident |
Testare/Activare planuri de răspuns, continuitate și recuperare | |
| Art.12 – Politici și proceduri de backup, proceduri și metode de restaurare și recuperare | Instituțiile trebuie să:
· mențină copii de siguranță; · testeze periodic restaurarea; · asigure integritatea și disponibilitatea datelor |
||||
| 4. | Îmbunătățire continuă | Art.13 – Învățare și evoluție | Instituțiile trebuie să:
· analizeze incidentele; · implementeze lecții învățate; · actualizeze controalele; · îmbunătățească continuu reziliența |
Creare/ asigurare ciclu de tip ”îmbunătățire continuă” | |
| 5. | Implementare politici de comunicare | Art.14 – Comunicare | Cerințe:
· canale interne de comunicare pentru incidente; · proceduri de comunicare cu autoritățile; · comunicare externă (clienți, parteneri) în caz de incident major. |
Creare / menținere planuri de comunicare în situații de criză | |
| 6. | Armonizare și standardizare | Art.15 – Armonizarea suplimentară a instrumentelor, metodelor, proceselor și politicilor de gestionare a riscurilor TIC | Aplicare standarde tehnice emise de autoritățile europene pentru utilizarea de instrumente, metode, procese și politici de gestionare a riscurilor TIC, în mod unitar | Utilizare și aplicare standarde EBA/ESMA/EIOPA pentru controale TIC | |
| Art.16 – Cadru simplificat de gestionare a riscurilor TIC | Cadrul simplificat pentru entitățile mici (potrivit principiului proporționalității, prevăzut de art.4) | Cerințe adaptate pentru instituții mici, fără a reduce nivelul minim de securitate | |||
4) cu privire la clauzele stipulate în standardul internațional ISO 27001, acestea oferă un cadru voluntar pentru guvernanța securității informațiilor[9], bazat pe un Sistem de Management al Securității Informației – SMSI și pe ciclul Planifică-Efectuează-Verifică-Acționează – PDCA, ca mecanisme operaționale ce concură la îndeplinirea obligației legale a Regulamentului DORA și implementarea unui cadru riguros de guvernanță și management al riscului TIC (n.n. după cum le-am prezentat și eu în cadrul cursului pe care l-am susținut la 26 mai 2026).
Clauza 5.1 – Conducere și angajament și Clauza 5.3 – Roluri, responsabilități și autorități organizaționale din standardul ISO 27001 impun ”conducerii superioare și managerilor de linie cu roluri relevante în cadrul organizației” să demonstreze (n.n. fără a necesita redactarea vreunui document) că au ”abilități de leadership”, prin implicarea oamenilor în asigurarea unui Sistem de Management al Securității Informației (SMSI), în raport cu sarcinile stabilite acestora prin fișa postului.
Potrivit cerințelor cu caracter general și practicii instituite, SMSI se realiza, aplica și verifica de responsabilul pentru securitatea informației și a sistemelor informatice (CIO – Chief Information Officer) sau managerul de securitate a informației (CISO – Chief Information Security Officer), ale căror atribuții de cele mai multe ori se suprapuneau și, implicit, favorizau conflictul de interese.
De asemenea, standardul ISO 27001 nu prevede explicit ca funcția de risc TIC să fie o funcție independentă; ci doar ca ”rolul” atribuit CIO sau CISO să fie cât mai clar evidențiat în fișa postului.
Complementar, Clauza 5.1 – Leadership și angajament și Clauza 5.3. – Roluri, responsabilități și autorități organizaționale din standardul internațional ISO 22301, subliniază faptul că, în Sistemul de Management al Continuității Afacerii (BCMS), trebuie să fie implicată conducerea, în mod vizibil și activ (n.n. de această dată, prin ”acțiuni înregistrate” ale conducerii superioare) luând deciziile strategice corespunzătoare, alocând resursele și revizuind continuu prioritățile și aprobările de risc – care formează dovezile de audit efective – pentru a se asigura că reziliența este operațională, nu doar documentată. De asemenea, Clauza 9.3 – Sisteme de management al continuității afacerii din același standard ISO 22301 se referă la Analiza efectuată de management pentru a evalua periodic Sistemul de Management al Continuității Afacerii (SMCA) și pentru a se asigura că acesta rămâne adecvat, corespunde scopului pentru care a fost elaborat și este eficient pe termen lung.
5) în ceea ce privește referirile la responsabilitățile organelor de conducere, aplicarea strictă a modelului celor Trei Linii de Apărare, garantând independența funcțiilor de control, precum și cerințele de gestionare a riscurilor TIC, de securitate cibernetică, procedurile de testare, gestionare a continuității activității (business continuity) și protecția datelor din conținutul Directivei privind Cerințele de Capital (CRD) și al pachetului de Ghiduri ale Autorității Bancare Europene (EBA)[10], acestea au stat la baza emiterii Regulamentului DORA, fiind integrate pentru asigurarea unui cadru complet, obligatoriu, armonizat, extins.
Pe de altă parte, astfel cum precizează chiar EBA, pentru evitarea suprapunerilor cu Regulamentul DORA, după apariția acestuia din urmă, a fost restrâns domeniul de aplicare al celor două ghiduri pentru simplificarea cadrului de management al riscurilor TIC și oferirea de claritate juridică pieței. În prezent, ghidurile se află în procedura de reevaluare, potrivit și datelor publicate pe site-ul EBA propriu[11], la 15 iulie 2025, fiind aplicabile doar entităților financiare neacoperite de DORA.
Ca urmare, în vederea susținerii unui cadru coerent de reziliență operațională digitală:
- Regulamentul DORA introduce răspunderea explicită și personală atât la nivelul organelor de conducere, cât și al celorlalte persoane (fizice și juridice, identificate ca ”terțe părți”) angrenate în procesul de reziliență operațională digitală al entității financiare căreia îi este aplicabil
- în egală măsură, îndeplinirea obligațiilor legale incumbă separarea funcțiilor de control de cele de operare pentru a evita influențarea deciziilor și, recurent, conflictul de interese (n.n. pe baza principiului ”chinese wall”)
- circumstanțial reglementărilor nou apărute în perioada post-pandemică cu privire la consolidarea rezilienței la amenințările cibernetice (Directiva NIS2, Regulamentul DORA, Directiva REC) și ulterior prezentării Strategiei UE de securitate cibernetică[12], există și alte acte normative europene[13] care reclamă anticiparea oricăror situații de urgență viitoare, pregătirea pentru acestea și răspunsul la acestea, prin monitorizarea tuturor crizelor viitoare posibile, prin activarea regimurilor de vigilență sau de urgență cu ocazia producerii crizelor și prin coordonarea răspunsurilor la nivelul UE și al statelor membre și, începând cu 29 mai 2026, stabilește o perioadă de 18 luni pentru ca statele membre să pună în aplicare noile norme, în corelare și cu pachetul de măsuri subsecvent adoptat („IMERA omnibus”) care modifică acte legislative existente în domenii legate de piața internă și le actualizează în ceea ce privește situațiile de criză, respectiv:
- Regulamentul (UE) 2024/2748 al Parlamentului European și al Consiliului din 9 octombrie 2024 de modificare a Regulamentelor (UE) nr. 305/2011, (UE) 2016/424, (UE) 2016/425, (UE) 2016/426, (UE) 2023/988 și (UE) 2023/1230 în ceea ce privește procedurile de urgență pentru evaluarea conformității, prezumția de conformitate, adoptarea de specificații comune și supravegherea pieței ca urmare a unei situații de urgență pe piața internă[14];
- Directiva (UE) 2024/2749 a Parlamentului European și a Consiliului din 9 octombrie 2024 de modificare a Directivelor 2000/14/CE, 2006/42/CE, 2010/35/UE, 2014/29/UE, 2014/30/UE, 2014/33/UE, 2014/34/UE, 2014/35/UE, 2014/53/UE și 2014/68/UE în ceea ce privește procedurile de urgență pentru evaluarea conformității, prezumția de conformitate, adoptarea specificațiilor comune și supravegherea pieței ca urmare a unei situații de urgență pe piața internă[15];
- Evaluarea impactului asupra instrumentului de urgență pentru piața unică, SWD/2022/289 final[16]
- CISO trebuie să abordeze problematica multi- și inter-disciplinar – împreună cu ceilalți responsabili desemnați în baza legilor organice sau a reglementărilor interne, și anume responsabilul principal cu riscurile (CRO)[17], ofițerul de legătură pentru securitatea ICN/ICE (OLS)[18], responsabilul cu protecția datelor (DPO)[19] și responsabilul cu securitatea și sănătatea în muncă (SSM/SITU)[20] – pe baza analizei de risc la securitate fizică[21]pentru a implementa măsuri pro-active, să aibă o viziune strategică și integrată a întregului sistem, având sarcina principală de a colabora cu Consiliul de administrație, de a supraveghea conformitatea măsurilor instituite cu reglementările în vigoare, la nivel intern și extern și a gestiona un buget care nu constituie o cheltuială ce poate fi evitată sau redusă, ci reprezintă o INVESTIȚIE VITALĂ pentru stabilitatea și scalabilitatea business-ului, corespunzător managementului integrat al riscurilor cunoscute și prefigurate și ca bază pentru formularea strategiilor, proiectarea proceselor, dezvoltarea capitalului uman specializat și modelarea culturii instituționale pentru a obține valoare publică.
pentru asigurarea unei guvernanțe TIC eficiente, bazată pe modelul celor trei linii de apărare, structura organizatorică ar trebui segregată, astfel:
- Prima Linie (Implementare și operare): structurile organizatorice concurențiale activității de reziliență operațională digitală (care derulează activități digitalizate, în zona de business și, respectiv, asigură infrastructura TIC sigură, prin CTO – Chief Technology Officer[22] și CIO – Chief Information Officer[23]), deținând și gestionând riscurile directe în operațiunile derulate zilnic (echipele business / IT)
- A doua Linie (Coordonare și monitorizare – RMF & Compliance), include:
- funcția de conformitate a securității informaționale (CISO – Chief Information Security Officer) și funcția de management al riscului TIC (CRO – Chief Risk Officer) care trebuie să coordoneze și să monitorizeze prima linie, în mod integrat și independent, având ”canal de raportare” direct către organul de conducere, fără filtre intermediare
- funcția de protecție a infrastructurilor critice (OSL – ofițer de legătură pentru securitate ICN/ICE), în concordanță cu obligațiile legale prevăzute de Directiva CER[24], transpusă în legislația românească prin Legea nr.294/2024 privind rezilienţa entităţilor critice
- funcția de protecție a datelor cu caracter personal (DPO – Data Protection Officer), în aplicarea art.56 din Regulamentul DORA, pe linia guvernanței TIC, securității informațiilor și continuității operaționale
- funcția de responsabil SITU/SSM (SITU/SSM Officer), care este parte a rezilienței organizaționale, gestionează riscuri operaționale non‑TIC, dar care pot afecta TIC și, potrivit ISO 22301, ISO 45001 și ISO 22361, contribuie la continuitatea operațională, susține protecția personalului și a infrastructurii (prin controale la fața locului), respectiv participă la planuri de răspuns la incidente
- A treia Linie (Asigurare – Audit Intern): efectuarea de audituri TIC complet independente și cuprinzătoare.
Pe cale de consecință, linia a doua ar reprezinta ”guvernanța anticipativă”, potrivit prerogativelor și atributelor pe care trebuie să le aibă, acționând pro-activ.
[1] Ruxandra Rîmniceanu, Riscuri la adresa rezilienței operaționale digitale și obiective strategice pe termen scurt (2026-2028) la nivelul ecosistemului financiar-bancar din România, https://opiniibnr.ro/riscuri-la-adresa-rezilientei-operationale-digitale-si-obiective-strategice-pe-termen-scurt-2026-2028-la-nivelul-ecosistemului-financiar-bancar-din-romania/, dec.2025
[2] Art.3 (30) „organ de conducere” înseamnă, astfel cum este definit la:
– articolul 4 alineatul (1) punctul (36) din Directiva 2014/65/UE – adică, ”organul sau organele unei firme de investiții, ale unui operator de piață sau ale unui furnizor de servicii de raportare a datelor, care sunt numite în conformitate cu dreptul intern, abilitate să stabilească strategia, obiectivele și direcția generală a entității, care supervizează și monitorizează procesul decizional și din care fac parte persoane care conduc efectiv activitatea entității”
– articolul 3 alineatul (1) punctul (7) din Directiva 2013/36/UE, adică ”un organ sau organe ale unei instituţii, care sunt numite în conformitate cu dreptul intern, care sunt împuternicite să stabilească strategia, obiectivele și direcţia generală a instituţiei, și care supraveghează și monitorizează procesul decizional de conducere, și include persoane care conduc în mod efectiv activitatea instituţiei”
– articolul 2 alineatul (1) litera (s) din Directiva 2009/65/CE, adică ”organul cu putere finală de decizie într-o societate de administrare, societate de investiţii sau depozitar, care cumulează funcţiile de supraveghere și conducere sau care deţine doar funcţia de conducere, în cazul în care cele două funcţii sunt separate. În cazul în care, în conformitate cu dreptul intern, societatea de administrare, societatea de investiţii sau depo zitarul are mai multe organe cu funcţii specifice, cerinţele prevăzute în prezenta directivă la adresa „organului de conducere” sau a „organului de conducere în cadrul funcţiei sale de suprave ghere” sunt aplicabile, în schimb, sau sunt aplicabile și acelor membri ai altor organe ale societăţii de administrare, societăţii de investiţii sau depozitarului cărora dreptul intern aplicabil le conferă responsabilitatea respectivă”
– articolul 2 alineatul (1) punctul (45) din Regulamentul (UE) nr. 909/2014, adică ”organul (organele) unui CSD, numit(e) în conformitate cu dreptul intern, care este (sunt) abilitat(e) să stabilească strategia, obiectivele și direcţia generală a CSD-ului și care supervizează și monitorizează procesul deci zional al conducerii, si din care fac parte persoane care conduc efectiv activitatea CSD-ului”
– articolul 3 alineatul (1) punctul (20) din Regulamentul (UE) 2016/1011, adică ”organul sau organele unui administrator sau ale altei entități supravegheate, numite în conformitate cu dreptul național, abilitate să stabilească strategia, obiectivele și direcția generală a administratorului sau a altei entități supravegheate, și care supervizează și monitorizează procesul decizional și din care fac parte persoane care conduc efectiv activitatea administratorului sau a altei entități supravegheate”
și în dispoziția relevantă a Regulamentului privind piețele de criptoactive, sau persoanele echivalente care conduc efectiv entitatea sau au funcții cheie în conformitate cu dreptul relevant al Uniunii sau național.
[3] Astfel cum este reglementat prin art.6 alin.(2) și următoarele din Regulamentul DORA
[4] Art.5 alin.(2) – Organul de conducere:
- își asumă responsabilitatea finală pentru gestionarea riscului TIC al entității financiare;
- să implementeze politici care vizează asigurarea menținerii unor standarde înalte de disponibilitate, autenticitate, integritate și confidențialitate a datelor;
- să stabilească roluri și responsabilități clare pentru toate funcțiile legate de TIC și să stabilească mecanisme de guvernanță adecvate pentru a asigura o comunicare, cooperare și coordonare eficiente și prompte între aceste funcții;
- poartă responsabilitatea generală pentru stabilirea și aprobarea strategiei de reziliență operațională digitală, astfel cum se menționează la articolul 6 alineatul (8), inclusiv determinarea nivelului adecvat de toleranță la riscul TIC al entității financiare, astfel cum se menționează la articolul 6 alineatul (8) litera (b);
- aprobă, supraveghează și revizuiește periodic implementarea politicii de continuitate a activității TIC și a planurilor de răspuns și redresare TIC ale entității financiare, menționate, respectiv, la articolul 11 alineatele (1) și (3), care pot fi adoptate ca o politică specifică dedicată, care face parte integrantă din politica generală de continuitate a activității și din planul de răspuns și redresare al entității financiare;
- aprobă și revizuiește periodic planurile de audit intern TIC ale entității financiare, auditurile TIC și modificările semnificative ale acestora;
- aloca și a revizui periodic bugetul adecvat pentru a satisface nevoile de reziliență operațională digitală ale entității financiare în ceea ce privește toate tipurile de resurse, inclusiv programele relevante de conștientizare a securității TIC și instruirea în domeniul rezilienței operaționale digitale menționate la articolul 13 alineatul (6), precum și competențe TIC pentru tot personalul;
- aprobă și revizuiește periodic politica entității financiare privind acordurile privind utilizarea serviciilor TIC furnizate de furnizori terți de servicii TIC;
- a implementat, la nivel corporativ, canale de raportare care să permită informarea corespunzătoare cu privire la următoarele:
- acorduri încheiate cu furnizori terți de servicii TIC privind utilizarea serviciilor TIC
- orice modificări semnificative planificate relevante privind furnizorii terți de servicii TIC
- impactul potențial al unor astfel de modificări asupra funcțiilor critice sau importante care fac obiectul acestor acorduri, inclusiv un rezumat al analizei de risc pentru a evalua impactul acestor modificări și cel puțin incidentele majore legate de TIC și impactul acestora, precum și măsurile de răspuns, recuperare și corective.
[5] Acest rol indică ca persoana desemnată din conducerea executivă a unei organizații, să fie responsabilă direct cu monitorizarea riscurilor (financiare, operaționale sau cibernetice) și a documentației aferente, asigurând conformitatea cu legislația în vigoare, aferentă, conexă și/sau incidentă – primară, secundară, terțiară.
[6] Art.24 alin.(4) – Entitățile financiare, altele decât microîntreprinderile, se asigură că testele sunt efectuate de părți independente, fie interne, fie externe. În cazul în care testele sunt efectuate de un tester intern, entitățile financiare alocă suficiente resurse și se asigură că se evită conflictele de interese pe parcursul fazelor de proiectare și execuție a testului.
[7] Art.27 alin.(2) lit.b) – autoritatea competentă relevantă a verificat dacă entitatea financiară dispune de suficiente resurse dedicate și s-a asigurat că sunt evitate conflictele de interese pe parcursul fazelor de proiectare și executare a testului.
[8] În România, concret, ”Banca Națională a României este desemnată autoritatea publică unică pentru sectorul financiar la nivel național, responsabilă de coordonarea testelor de penetrare bazate pe amenințări (TLPT)”, conform art.5 alin.(2) din Ordonanța de Urgență a Guvernului nr.14/2026
[9] Guvernanța securității informațiilor se concentrează pe protecția informațiilor (confidențialitate, integritate, disponibilitate), fiind componentă a Guvernanței TIC care se concentrează pe gestionarea, controlul și performanța sistemelor și a serviciilor IT
[10] Ghidul EBA privind guvernanța internă (EBA/GL/2021/05): Stabilește responsabilitățile organului de conducere. Consiliul de administrație are responsabilitatea finală pentru strategia și gestionarea riscurilor TIC și de securitate cibernetică.
Ghidul EBA privind gestionarea riscurilor TIC și de securitate (EBA/GL/2019/04): Detaliază cerințele de securitate a informației, procedurile de testare, gestionarea continuității activității (business continuity) și protecția datelor.
[11] https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.eba.europa.eu%2Fsites%2Fdefault%2Ffiles%2F2025-05%2Fff2258d4-cbd8-42cb-b431-370551a3fb72%2FEBA%2520GL%25202025%252002%2520-%2520Guidelines%2520amending%2520Guidelines%2520EBAGL201904%2520on%2520ICT%2520and%2520security%2520risk%2520management.xlsx&wdOrigin=BROWSELINK
[12] https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-strategy
[13] Regulamentul (UE) 2024/2747 al Parlamentului European și al Consiliului din 9 octombrie 2024 de instituire a unui cadru de măsuri privind situațiile de urgență pe piața internă și reziliența pieței interne și de modificare a Regulamentului (CE) nr. 2679/98 al Consiliului (Regulamentul privind situațiile de urgență pe piața internă și reziliența pieței interne), https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=CELEX:32024R2747, accesat la 02.08.2025
[14] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202402748, accesat la 02.08.2025
[15] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202402749, accesat la 02.08.2025
[16] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=SWD%3A2022%3A289%3AFIN, accesat la 02.08.2025
[17] Decizia 2025/369 de extindere a rolului responsabilului principal cu riscurile (CRO), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202500369, accesat la 21.08.2025
[18] În conformitate cu prevederile art.7 alin.(1) lit.i) ale O.U.G. nr.98/2010 privind identificarea, desemnarea şi protecţia infrastructurilor critice, aprobată cu modificări prin Legea nr.18/2011, cu modificările și completările ulterioare, proprietarii/operatorii/administratorii de infrastructuri critice naționale/europene au ca atribuție asigurarea autorizării ofițerilor de legătură pentru securitatea ICN/ICE desemnați pentru fiecare ICN din responsabilitate.
Ofițerii de legătură pentru securitatea ICN/ICE se evaluează la fiecare 2 ani şi se autorizează, conform art.26, alin.(1), în condițiile stabilite prin Decizia prim-ministrului nr.55/2019 privind aprobarea Metodologiei de autorizare a ofițerilor de legătură pentru securitatea infrastructurilor critice naţionale/europene, prin intermediul platformei de e-learning din cadrul sistemului APOLODOR.
[19] Conform art. 10 din Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 se prevede că ”operatorii și persoanele împuternicite de operator desemnează un responsabil cu protectța datelor în situațiile și condițiile prevăzute la art.37-39 din Regulamentul general privind protecția datelor”
[20] Conform art.8 alin.(3) din Legea nr.319/2006 a securității și sănătății în muncă
[21] În conformitate cu Legea nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor si protectia persoanelor, HG nr.1002/2015 privind modificarea si completarea Hotararii Guvernului nr. 301/2012 pentru aprobarea Normelor metodologice de aplicare a Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor si protectia persoanelor și Instrucțiunea MAI nr. 9/2013.
[22] Chief Technology Officer (CTO) conduce ramura departamentului TIC din entitate care se concentrează pe inovație, dezvoltarea produselor și alinierea strategiei tehnice cu obiectivele de business
[23] Chief Information Officer (CIO) conduce ramura departamentului TIC din entitate care se concentrează pe optimizarea proceselor interne, infrastructura IT, fluxurile de lucru și securitatea cibernetică
[24] Directiva (UE) 2022/2557 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind reziliența entităților critice și de abrogare a Directivei 2008/114/CE a Consiliului, https://eur-lex.europa.eu/eli/dir/2022/2557/oj?locale=ro, accesat la
