MONITORUL OFICIAL AL ROMÂNIEI Nr. 227/2015

MONITORUL OFICIAL AL ROMÂNIEI

 

P A R T E A  I

Anul 183 (XXVII) - Nr. 227         LEGI, DECRETE, HOTĂRÂRI ŞI ALTE ACTE         Vineri, 3 aprilie 2015

 

SUMAR

 

LEGI ŞI DECRETE

 

19. - Lege pentru ratificarea Acordului euromediteranean în domeniul aviaţiei între Uniunea Europeană şi statele sale membre, pe de o parte, şi Guvernul Statului Israel, pe de altă parte, semnat la Luxemburg la 10 iunie 2013

 

296. - Decret privind promulgarea Legii pentru ratificarea Acordului euromediteranean în domeniul aviaţiei între Uniunea Europeană şi statele sale membre, pe de o parte, şi Guvernul Statului Israel, pe de altă parte, semnat la Luxemburg la 10 iunie 2013

 

DECIZII ALE CURŢII CONSTITUŢIONALE

 

            Decizia nr. 68 din 26 februarie 2015 referitoare la excepţia de ne constituţionalitate a prevederilor art. 4 teza a două raportate la cele ale art. 1 alin. (3), art. 24 alin. (2)-(4) şi art. 33-35 din Legea nr. 165/2013 privind măsurile pentru finalizarea procesului de restituire, în natură sau prin echivalent, a imobilelor preluate în mod abuziv în perioada regimului comunist în România

 

ACTE ALE AUTORITĂŢII DE SUPRAVEGHERE FINANCIARĂ

 

            6. - Normă privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile reglementate, autorizate/avizate şi/sau supravegheate de Autoritatea de Supraveghere Financiară

 

LEGI SI DECRETE

PARLAMENTUL ROMÂNIEI

CAMERA DEPUTAŢILOR

SENATUL

 

LEGE

pentru ratificarea Acordului euromediteranean în domeniul aviaţiei între Uniunea Europeană şi statele sale membre, pe de o parte, şi Guvernul Statului Israel, pe de altă parte, semnat la Luxemburg la 10 iunie 2013

 

Parlamentul României adoptă prezenta lege.

 

Articol unic. - Se ratifică Acordul euromediteranean în domeniul aviaţiei între Uniunea Europeană şi statele sale membre, pe de o parte, şi Guvernul Statului Israel, pe de altă parte, semnat la Luxemburg la 10 iunie 2013*).

 

Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (2) din Constituţia României, republicată.

 

PREŞEDINTELE CAMEREI DEPUTAŢILOR

VALERIU-ŞTEFAN ZGONEA

p. PREŞEDINTELE SENATULUI,

CRISTIAN-SORIN DUMITRESCU

 

Bucureşti, 3 martie 2015.

Nr. 19.


*) Acordul euromediteranean în domeniul aviaţiei între Uniunea Europeană şi statele sale membre, pe de o parte, şi Guvernul Statului Israel, pe de altă parte, semnat la Luxemburg la 10 iunie 2013, se publică în Monitorul Oficial al României, Partea I, nr. 227 bis, care se poate achiziţiona de la Centrul pentru relaţii cu publicul al Regiei Autonome “Monitorul Oficial”, Bucureşti, şos. Panduri nr. 1.

 

PREŞEDINTELE ROMÂNIEI

DECRET

privind promulgarea Legii pentru ratificarea Acordului euromediteranean în domeniul aviaţiei între Uniunea Europeană şi statele sale membre, pe de o parte, şi Guvernul Statului Israel, pe de altă parte, semnat la Luxemburg la 10 iunie 2013

În temeiul prevederilor art. 77 alin. (1) şi ale art. 100 alin. (1) din Constituţia României, republicată,

 

Preşedintele României decretează:

 

Articol unic. - Se promulgă Legea pentru ratificarea Acordului euromediteranean în domeniul aviaţiei între Uniunea Europeană şi statele sale membre, pe de o parte, şi Guvernul Statului Israel, pe de altă parte, semnat la Luxemburg la 10 iunie 2013, şi se dispune publicarea acestei legi în Monitorul Oficial al României, Partea I.

 

PREŞEDINTELE ROMÂNIEI

KLAUS-WERNER IOHANNIS

 

Bucureşti, 2 martie 2015.

Nr. 296.

 

DECIZII ALE CURŢII CONSTITUŢIONALE

 

CURTEA CONSTITUŢIONALĂ

DECIZIA Nr. 68

din 26 februarie 2015

referitoare la excepţia de neconstituţionalitate a prevederilor art. 4 teza a două raportate la cele ale art. 1 alin. (3), art. 24 alin. (2)-(4) şi art. 33-35 din Legea nr. 165/2013 privind măsurile pentru finalizarea procesului de restituire, în natură sau prin echivalent, a imobilelor preluate în mod abuziv în perioada regimului comunist în România

 

Augustin Zegrean - preşedinte

Valer Dorneanu - judecător

Petre Lăzăroiu - judecător

Mircea Ştefan Minea - judecător

Daniel Marius Morar - judecător

Mona-Maria Pivniceru - judecător

Puskás Valentin Zoltán - judecător

Simona-Maya Teodoroiu - judecător

Tudorel Toader - judecător

Valentina Bărbăţeanu - magistrat-asistent

 

Cu participarea reprezentantului Ministerului Public, procuror Liviu-Daniel Arcer.

1. Pe rol se află soluţionarea excepţiei de neconstituţionalitate a prevederilor art. 1 alin. (3), art. 4, art. 24 şi art. 31-35 din Legea nr. 165/2013 privind măsurile pentru finalizarea procesului de restituire, în natură sau prin echivalent, a imobilelor preluate în mod abuziv în perioada regimului comunist În România, excepţie ridicată de Adriana-Cristina Aronovici şi Societatea Comercială “Real Grup Invest” - S.A. din Bucureşti în Dosarul nr. 8.957/3/2012 al Tribunalului Bucureşti - Secţia a V-a civilă şi care constituie obiectul Dosarului nr. 535D/2014 al Curţii Constituţionale.

2. La apelul nominal se constată lipsa părţilor. Procedura de citare este legal îndeplinită.

3. Cauza fiind în stare de judecată, preşedintele Curţii acordă cuvântul reprezentantului Ministerului Public, care pune concluzii de respingere a excepţiei de neconstituţionalitate a prevederilor art. 4 teza a două raportate la art. 33 din Legea nr. 165/2013, ca devenită inadmisibilă după pronunţarea Deciziei nr. 88 din 27 februarie 2014. În ce priveşte prevederile art. 1 alin. (2) şi art. 24 din Legea nr. 165/2013 apreciază că nu sunt aplicabile în cauza în care a fost ridicată excepţia de neconstituţionalitate, astfel că pune concluzii de respingere, ca inadmisibilă, a acesteia. Referitor la dispoziţiile art. 31-35 din Legea nr. 165/2013 consideră că nu contravin prevederilor constituţionale invocate.

CURTEA,

având în vedere actele şi lucrările dosarului, constată următoarele:

4. Prin Sentinţa civilă din 9 iulie 2013, pronunţată în Dosarul nr. 8.957/3/2012, Tribunalul Bucureşti - Secţia a V-a civilă a sesizat Curtea Constituţională cu excepţia de neconstituţionalitate a prevederilor art. 1 alin. (3), art. 4, art. 24 ŞI art. 31-35 din Legea nr. 165/2013 privind măsurile pentru finalizarea procesului de restituire, în natură sau prin echivalent, a imobilelor preluate în mod abuziv în perioada regimului comunist în România, excepţie ridicată de Adriana-Cristina Aronovici şi Societatea Comercială “Real Grup Invest” - S.A. din Bucureşti -, aceasta din urmă în calitate de cesionar al unui procent din dreptul la măsuri reparatorii în echivalent cuvenit persoanei îndreptăţite Adriana-Cristina Aronovici -, într-o cauză civilă având ca obiect soluţionarea de către instanţă, în conformitate cu Legea nr. 10/2001, a notificării referitoare la restituirea în natură a unui teren şi la acordarea de măsuri reparatorii în echivalent pentru o construcţie, notificare pe care primarul municipiului Bucureşti a refuzat în mod nejustificat să o soluţioneze.

5. În motivarea excepţiei de neconstituţionalitate, autorii acesteia susţin, în esenţă, că, prin raportare la art. 4 din Legea nr. 165/2013, prevederile art. 33 din aceeaşi lege încalcă principiul neretroactivităţii legii în ipoteza în care termenele stabilite prin acestea se aplică şi proceselor aflate în curs de judecată, începute înainte de intrarea în vigoare a Legii nr. 165/2013. Arată, totodată, că prevederile art. 4 şi art. 33-35 din Legea nr. 165/2013 creează inegalităţi între persoanele care au depus cereri, potrivit Legii nr. 10/2001, la entităţile învestite de lege aflate în diverse localităţi din ţară, prin termenele diferite de soluţionare pe care le stabilesc şi, în acelaşi timp, aduc atingere dreptului de acces liber la justiţie, exercitarea acestuia fiind interzisă în perioadele pe care Legea nr. 165/2013 le fixează.

6. În ceea ce priveşte prevederile art. 1 alin. (3) din Legea nr. 165/2013, potrivit cărora în cazul în care titularul a înstrăinat drepturile ce i se cuvin în temeiul legilor de despăgubire singura măsură reparatorie care se acordă este compensarea prin puncte, se susţine că încalcă principiul neretroactivităţii legii, deoarece acestea îşi extind efectul asupra raporturilor juridice particulare încheiate potrivit legii care avea la bază principiul reparării integrale şi cel al restituirii în natură. Se nesocoteşte, astfel, şi principiul egalităţii, tratând în mod diferit titularii drepturilor exercitate în perioada permisă de legile speciale de reparaţie cărora autorităţile nu le-au respectat dreptul de petiţionare, faţă de cei care şi-au înstrăinat dreptul, cu lipsirea acestora de şansa restituirii în natură a imobilului uzurpat şi de beneficiul reparaţiei integrale, existent în momentul formulării cererii. Mai arată că dobânditorii drepturilor, care au avut neşansa de a fi surprinşi de apariţia noii legi, nu mai pot beneficia de aceleaşi măsuri reparatorii bazate pe principiul restituirii în natură de care ar fi trebuit să beneficieze autorii lor în lipsa încheierii actelor de înstrăinare.

7. Autorii excepţiei mai susţin că dreptul de proprietate privată este grav afectat de prevederile art. 24 alin. (2) din Legea nr. 165/2013, care nesocotesc libertatea de a dispune de dreptul de proprietate, limitându-l la 15% din dreptul de proprietate, ceea ce echivalează cu o expropriere lipsită de o cauză de utilitate publică, fără o dreaptă şi prealabilă despăgubire, dar si cu o confiscare a averii dobândită în condiţii de perfectă legalitate.

8. Tribunalul Bucureşti - Secţia a V-a civilă consideră că dispoziţiile art. 4 din Legea nr. 165/2013 sunt neconstituţionale în măsura în care termenele prevăzute la art. 33 din aceeaşi lege se aplică şi cauzelor aflate pe rolul instanţelor la data intrării în vigoare a legii. În ce priveşte celelalte prevederi de lege criticate apreciază că sunt constituţionale.

9. Potrivit prevederilor art. 30 alin. (1) din Legea nr. 47/1992, actul de sesizare a fost comunicat preşedinţilor celor două Camere ale Parlamentului, Guvernului şi Avocatului Poporului, pentru a-şi exprima punctele de vedere asupra excepţiei de neconstituţionalitate.

10. Avocatul Poporului precizează că, urmare a deciziilor Curţii Constituţionale nr. 88 din 27 februarie 2014 şi nr. 269 din 7 mai 2014, excepţia de neconstituţionalitate a prevederilor art. 4 teza a două raportate la art. 33 şi 34 din Legea nr. 165/2013 a devenit inadmisibilă. Referitor la celelalte prevederi de lege criticate apreciază că sunt constituţionale.

11. Preşedinţii celor două Camere ale Parlamentului şi Guvernul nu au comunicat punctele lor de vedere asupra excepţiei de neconstituţionalitate.

CURTEA,

examinând actul de sesizare, punctul de vedere al Avocatului Poporului, raportul întocmit de judecătorul-raportor, concluziile procurorului, dispoziţiile legale criticate, raportate la prevederile Constituţiei, precum şi Legea nr. 47/1992, reţine următoarele:

12. Curtea Constituţională a fost legal sesizată şi este competentă, potrivit dispoziţiilor art. 146 lit. d) din Constituţie, precum şi ale art. 1 alin. (2), ale art. 2, 3. 10 şi 29 din Legea nr. 47/1992, să soluţioneze excepţia de neconstituţionalitate.

13. Obiectul excepţiei de neconstituţionalitate îl constituie, potrivit actului de sesizare, prevederile art. 1 alin. (3), art. 4, art. 24 şi art. 31-35 din Legea nr. 165/2013 privind măsurile pentru finalizarea procesului de restituire, în natură sau prin echivalent, a imobilelor preluate în mod abuziv în perioada regimului comunist în România, publicată în Monitorul Oficial al României, Partea I, nr. 278 din 17 mai 2013. Din motivarea scrisă a excepţiei de neconstituţionalitate, Curtea observă, însă, că autorii acesteia critică doar prevederile art. 4 teza a două raportate la cele ale art. 1 alin. (3), art. 24 alin. (2)-(4) şi art. 33-35 din Legea nr. 165/2013, care au următorul conţinut:

- Art. 1 alin. (3): “În situaţia în care titularul a înstrăinat drepturile care i se cuvin potrivit legilor de restituire a proprietăţii, singura măsură reparatorie care se acordă este compensarea prin puncte potrivit art. 24 alin. (2), (3) şi (4).”;

- Art. 4 teza a doua: “Dispoziţiile prezentei legi se aplică (...) cauzelor în materia restituirii imobilelor preluate abuziv aflate pe rolul instanţelor, (...) la data intrării în vigoare a prezentei legi.”;

- Art. 24 alin. (2)-(4): (2) în dosarele în care se acordă măsuri compensatorii altor persoane decât titularul dreptului de proprietate, fost proprietar sau moştenitorii legali ori testamentari ai acestuia, se acordă un număr de puncte egal cu suma dintre preţul plătit fostului proprietar sau moştenitorilor legali ori testamentari ai acestuia pentru tranzacţionarea dreptului de proprietate şi un procent de 15% din diferenţa până la valoarea imobilului stabilită conform art. 21 alin. (6).

(3) Numărul de puncte acordat în condiţiile alin. (2) nu poate reprezenta o valoare mai mare decât cea stabilită potrivit art. 21 alin. (6) şi (7).

(4) în cazul în care din documentele depuse la dosarul de restituire nu rezultă preţul plătit fostului proprietar sau moştenitorilor legali ori testamentari ai acestuia pentru tranzacţionarea dreptului de proprietate, punctele vor reprezenta echivalentul a 15% din valoarea stabilită conform art. 21 alin, (6).”;

- Art. 33: “(1) Entităţile învestite de lege au obligaţia de a soluţiona cererile formulate potrivit Legii nr. 10/2001, republicată, cu modificările şi completările ulterioare, înregistrate şi nesoluţionate până la data intrării în vigoare a prezentei legi şi de a emite decizie de admitere sau de respingere a acestora, după cum urmează:

a) în termen de 12 luni, entităţile învestite de lege care mai au de soluţionat un număr de până la 2.500 de cereri;

b) în termen de 24 de luni, entităţile învestite de lege care mai au de soluţionat un număr cuprins între 2.500 şi 5.000 de cereri;

c) în termen de 36 de luni, entităţile învestite de lege care mai au de soluţionat un număr de peste 5.000 de cereri.

(2) Termenele prevăzute la alin. (1) curg de la data de 1 ianuarie 2014.

(3) Entităţile învestite de lege au obligaţia de a stabili numărul cererilor înregistrate şi nesoluţionate, de a afişa aceste date la sediul lor şi de a le comunica Autorităţii Naţionale pentru Restituirea Proprietăţilor. Datele transmise de entităţile învestite de lege vor fi centralizate şi publicate pe pagina de internet a Autorităţii Naţionale pentru Restituirea Proprietăţilor.

(4) Cererile se analizează în ordinea înregistrării lor la entităţile prevăzute la alin. (1).”;

- Art. 34: “(1) Dosarele înregistrate la Secretariatul Comisiei Centrale pentru Stabilirea Despăgubirilor vor fi soluţionate în termen de 60 de luni de la data intrării în vigoare a prezentei legi, cu excepţia dosarelor de fond funciar, care vor fi soluţionate în termen de 36 de luni.

(2) Dosarele care vor fi transmise Secretariatului Comisiei Naţionale ulterior datei intrării în vigoare a prezentei legi vor fi soluţionate în termen de 60 de luni de la data înregistrării lor, cu excepţia dosarelor de fond funciar, care vor fi soluţionate în termen de 36 de luni.

(3) Numărul dosarelor prevăzute la alin. (1) şi data înregistrării dosarelor prevăzute la alin. (2) se publică pe pagina de internet a Autorităţii Naţionale pentru Restituirea Proprietăţilor şi se comunică, la cerere, persoanelor îndreptăţite.”;

- Art. 35: “(1) Deciziile emise cu respectarea prevederilor art. 33 şi 34 pot fi atacate de persoana care se consideră îndreptăţită la secţia civilă a tribunalului în a cărui circumscripţie se află sediul entităţii, în termen de 30 de zile de la data comunicării.

(2) în cazul în care entitatea învestită de lege nu emite decizia în termenele prevăzute la art. 33 şi 34, persoana care se consideră îndreptăţită se poate adresa instanţei judecătoreşti prevăzute la alin. (1) în termen de 6 luni de la expirarea termenelor prevăzute de lege pentru soluţionarea cererilor.

(3) în cazurile prevăzute la alin. (1) şi (2), instanţa judecătorească se pronunţă asupra existenţei şi întinderii dreptului de proprietate şi dispune restituirea în natură sau, după caz, acordarea de măsuri reparatorii în condiţiile prezentei legi.

(4) Hotărârile judecătoreşti pronunţate potrivit alin. (3) sunt supuse numai apelului.

(5) Cererile sau acţiunile în justiţie formulate în temeiul alin. (1) şi (2) sunt scutite de taxa judiciară de timbru.”

14. În opinia autorilor excepţiei, textele de lege criticate contravin următoarelor prevederi din Constituţie: art. 1 alin. (5) care impune obligaţia respectării Constituţiei, a supremaţiei sale şi a legilor, art. 15 alin. (2) care instituie principiul neretroactivităţii legii, art. 16 alin. (1) şi (2) care consacră principiul egalităţii în faţa legii şi a autorităţilor publice, art. 21 alin. (1)-(3) referitor la dreptul de acces liber la justiţie şi la un proces echitabil, soluţionat într-un termen rezonabil, art. 44 care garantează dreptul de proprietate privată şi creanţele asupra statului şi care instituie egalitatea în ceea ce priveşte garantarea şi ocrotirea prin lege a acestui drept şi art. 53 care stabileşte condiţiile în care este permisă restrângerea exerciţiului unor drepturi sau al unor libertăţi. Se invocă, de asemenea, art. 6 paragraful 1 care statuează cu privire la dreptul la un proces echitabil şi art. 14 privind interzicerea discriminării din Convenţia pentru apărarea drepturilor omului şi a libertăţi lor fundamentale, precum şi art. 1 - Protecţia proprietăţii din Primul Protocol adiţional la aceeaşi convenţie.

15. Examinând excepţia de neconstituţionalitate, Curtea reţine, în ce priveşte excepţia de neconstituţionalitate a dispoziţiilor art. 4 teza a două raportate la art. 33-35 din Legea nr. 165/2013, că procesul în cadrul căruia a fost ridicată prezenta excepţie de neconstituţionalitate are ca obiect soluţionarea cererii adresate instanţei de o persoană care se consideră îndreptăţită la obţinerea de măsuri reparatorii şi de cesionarul unui procent din dreptul la despăgubiri al acesteia, pentru ca instanţa, în conformitate cu Legea nr. 10/2001 privind regimul juridic al unor imobile preluate în mod abuziv în perioada 6 martie 1945-22 decembrie 1989, să soluţioneze notificarea referitoare la restituirea în natură a unui teren şi la acordarea de măsuri reparatorii în echivalent pentru o construcţie demolată, notificare pe care primarul municipiului Bucureşti nu a soluţionat-o în termenul de 60 de zile prevăzut de art. 25 din Legea nr. 10/2001.

16. Faţă de acest cadru procesual, Curtea constată că dispoziţiile art. 4 teza a două raportate la cele ale art. 34 şi 35 din Legea nr. 165/2013 nu au legătură cu soluţionarea cauzei aflate pe rolul instanţei care a sesizat Curtea Constituţională. Astfel, art. 34 din Legea nr. 165/2013, referitor la soluţionarea dosarelor de către Comisia Centrală pentru Stabilirea Despăgubirilor, vizează o etapă procesuală ulterioară în desfăşurarea demersurilor legale întreprinse în vederea recunoaşterii şi valorificării dreptului la măsuri reparatorii pentru imobilul preluat abuziv în timpul regimului comunist. Tot astfel, art. 35 din Legea nr. 165/2013 are în vedere o cale de atac ce poate fi introdusă împotriva deciziilor emise potrivit art. 33 şi 34 din aceeaşi lege, aşadar un text de lege care, teoretic, va fi aplicabil abia după scurgerea termenelor prevăzute de cele două articole menţionate.

17. Ca atare, cele două texte de lege criticate nu sunt aplicabile în această etapă a procedurii de restituire a imobilelor la care se referă Legea nr. 165/2013, ceea ce determină, în temeiul art. 29 alin. (1) din Legea nr. 47/1992, respingerea, ca inadmisibilă, a excepţiei de neconstituţionalitate privind dispoziţiile art. 4 teza a două raportate la cele ale art. 34 şi 35 din Legea nr. 165/2013.

18. În ceea ce priveşte prevederile art. 4 teza a două raportate la cele ale art. 33 din Legea nr. 165/2013, prin Decizia nr. 88 din 27 februarie 2014, publicată în Monitorul Oficial al României, Partea I, nr. 281 din 16 aprilie 2014, Curtea a constatat că prevederile art. 4 teza a două din Legea nr. 165/2013 sunt constituţionale în măsura în care termenele prevăzute la art. 33 din aceeaşi lege nu se aplică şi cauzelor în materia restituirii imobilelor preluate abuziv, aflate pe rolul instanţelor la data intrării în vigoare a legii.

19. Întrucât autorii excepţiei de faţă critică aceeaşi interpretare care a fost constatată ca neconstituţională prin decizia menţionată şi având în vedere că această decizie a fost pronunţată ulterior sesizării instanţei constituţionale cu soluţionarea prezentei excepţii, rezultă că excepţia de neconstituţionalitate a dispoziţiilor art. 4 teza a două raportate la art. 33 din Legea nr. 165/2013 a devenit inadmisibilă.

20. Curtea reaminteşte, totodată, că, în virtutea prevederilor art. 147 alin. (1) şi (4) din Constituţie, instanţa de judecată şi instituţiile abilitate să aplice legea în cauză vor respecta deciziile Curţii Constituţionale în procesul de aplicare şi interpretare a legislaţiei incidente în speţa dedusă soluţionării, atât sub aspectul dispozitivului, cât şi al considerentelor pe care acesta se sprijină. De aceea, chiar dacă excepţia de neconstituţionalitate a dispoziţiilor art. 4 teza a două raportat la art. 33 din Legea nr. 165/2013 urmează să fie respinsă ca devenită inadmisibilă, în temeiul art. 29 alin. (3) din Legea nr. 47/1992, decizia anterioară de constatare a neconstituţionalităţii acestora reprezintă temei al revizuirii conform art. 322 pct. 10 din Codul de procedură civilă din 1865 sau art. 509 pct. 11 din Codul de procedură civilă, după caz, în cauza în care a fost invocată prezenta excepţie (a se vedea, în acest sens, Decizia nr. 122 din 6 martie 2014, publicată în Monitorul Oficial al României, Partea I, nr. 389 din 27 mai 2014).

21. Cu privire la excepţia de neconstituţionalitate a dispoziţiilor art. 4 teza a două raportate la art. 1 alin. (3) şi art. 24 alin. (2)-(4) din Legea nr. 165/2013, Curtea observă că, prin Decizia nr. 200 din 3 aprilie 2014, publicată în Monitorul Oficial al României, Partea I, nr. 448 din 19 iunie 2014, a examinat textele de lege menţionate din perspectiva unor critici similare celor formulate în prezenta cauză şi a reţinut că acestea sunt în concordanţă cu prevederile constituţionale şi convenţionale invocate şi de autorii excepţiei de faţă.

22. Cu acel prilej, Curtea a observat că prevederile art. 1 alin. (3) din Legea nr. 165/2013 stabilesc că cesionarului i se acordă, ca unică măsură reparatorie, compensarea prin puncte, numărul de puncte de care acesta va putea beneficia fiind, potrivit art. 24 alin. (2) din Legea nr. 165/2013, egal cu suma dintre preţul plătit fostului proprietar sau moştenitorilor legali ori testamentari ai acestuia pentru tranzacţionarea dreptului de proprietate, la care se adaugă şi un procent de 15% din diferenţa până la valoarea imobilului, astfel cum aceasta rezultă din grila notarială valabilă la data intrării în vigoare a legii.

23. Analizând art. 1 alin. (3) şi art. 24 alin. (2)-(4) din Legea nr. 165/2013, Curtea a reţinut că legiuitorul a reglementat în mod diferit modalitatea de despăgubire, în raport cu persoana beneficiarilor măsurilor reparatorii conferite de Legea nr. 165/2013, şi anume titularul dreptului la măsuri reparatorii în temeiul legislaţiei reparatorii anterioare, pe de o parte, şi persoanele către care au fost înstrăinate drepturile cuvenite potrivit legilor de restituire a proprietăţii, pe de altă parte. Curtea a statuat că această opţiune a legiuitorului nu reprezintă o sancţionare a titularilor originari ai acestui drept care au înstrăinat dreptul la obţinerea măsurilor reparatorii, dat fiind faptul că, prin ipoteză, în patrimoniul acestora nu se mai regăseşte acest drept. Ca efect al cesiunii de creanţă specifice, încheiată anterior intrării în vigoare a noii legi reparatorii, dreptul pretins de cedenţi - constând în acordarea măsurilor reparatorii conferite de legislaţia anterioară în domeniul proprietăţilor preluate în mod abuziv - a fost transferat către cesionari.

24. În ceea ce priveşte pretinsa discriminare creată prin textele de lege criticate, Curtea a reţinut că acordarea unor măsuri reparatorii diferite, în funcţie de beneficiarii acestora, echivalează cu instituirea unui tratament juridic diferit, dar care nu constituie, însă, o discriminare, întrucât, în sensul jurisprudenţei Curţii Constituţionale, nu orice diferenţă de tratament semnifică, în mod automat, încălcarea dispoziţiilor art. 16 alin. (1) din Constituţie sau a celor convenţionale referitoare la interzicerea discriminării. Astfel, faţă de obiectul de reglementare al Legii nr. 165/2013, opţiunea legiuitorului de a exclude de la măsura reparatorie a restituirii în natură, precum şi de la cea a compensării integrale prin puncte a persoanelor în patrimoniul cărora a fost transmis, prin intermediul unor contracte cu titlu oneros, dreptul de a obţine măsurile reparatorii apare ca fiind justificată în mod obiectiv şi rezonabil, având în vedere că asupra acestora din urmă nu s-au răsfrânt direct sau indirect măsurile de preluare abuzivă. Aceasta, deoarece legislaţia cu caracter reparator a vizat exclusiv titularul dreptului sau moştenitorii acestuia.

25. Mai mult, întrucât legiuitorul a acordat cesionarilor dreptului la despăgubire un număr de puncte egal cu suma dintre preţul plătit pentru tranzacţionarea dreptului de proprietate şi un procent de 15% din diferenţa până la valoarea imobilului, Curtea a reţinut că măsura legislativă criticată păstrează un raport rezonabil de proporţionalitate între scopul urmărit - despăgubirea integrală doar a titularilor originari ai măsurilor reparatorii sau a moştenitorilor acestora - şi mijloacele folosite, cesionarul urmând a obţine atât preţul plătit fostului proprietar sau moştenitorilor legali ori testamentari ai acestuia, cât şi un procent de 15% din diferenţa până la valoarea imobilului.

26. Cu privire la invocarea încălcării dispoziţiilor art. 15 alin. (2) din Constituţie, Curtea a observat, prin Decizia nr. 328 din 12 iunie 2014, publicată în Monitorul Oficial al României, Partea I, nr. 540 din 21 iulie 2014, că, astfel cum rezultă din dispoziţiile art. 41 alin. (1) din Legea nr. 165/2013, prevederile legale criticate referitoare la plafonarea despăgubirilor acordate cesionarilor nu se aplică celor cărora li s-a stabilit dreptul de proprietate şi li s-a emis titlul de despăgubire anterior intrării în vigoare a Legii nr. 165/2013. Prin urmare, prevederile de lege criticate nu se aplică retroactiv, ci reglementează modul de acţiune în timpul următor intrării în vigoare a legii, adică în domeniul ei propriu de aplicare.

27. Totodată, prin Decizia nr. 321 din 10 iunie 2014, publicată în Monitorul Oficial al României, Partea I, nr. 583 din 8 august 2014, Curtea a remarcat că diferenţa de tratament între cesionarii de drepturi ale căror cereri de chemare în judecată s-au soluţionat anterior intrării în vigoare a Legii nr. 165/2013 faţă de cei care nu au obţinut o atare hotărâre derivă din succesiunea în timp a actelor normative în materie. Din această perspectivă, deosebirea de tratament juridic este întemeiată pe un criteriu obiectiv şi rezonabil. În legătură cu acest aspect, Curtea a mai reţinut că situaţia diferită în care se află cetăţenii în funcţie de reglementarea aplicabilă potrivit principiului tempus regit actum nu poate fi privită ca o încălcare a dispoziţiilor constituţionale care consacră egalitatea în faţa legii şi a autorităţilor publice, fără privilegii şi discriminări. Curtea a constatat că respectarea egalităţii în drepturi presupune luarea în considerare a tratamentului pe care legea îl prevede faţă de cei cărora li se aplică în decursul perioadei în care reglementările sale sunt în vigoare, iar nu în raport cu efectele produse prin reglementările legale anterioare. În consecinţă, reglementările juridice succesive pot prezenta în mod firesc diferenţe determinate de condiţiile obiective în care ele au fost adoptate. Mai mult, Curtea reţine că, în privinţa obiectului de reglementare a legii analizate, intervenţia legiuitorului nu este una aleatorie, ci a fost justificată şi impusă firesc ca urmare a pronunţării Hotărârii-pilot din 12 octombrie 2010, pronunţată de Curtea Europeană a Drepturilor Omului în Cauza Maria Atanasiu şi alţii împotriva României.

28. Pentru considerentele expuse mai sus, în temeiul art. 146 lit. d) şi al ari. 147 alin. (4) din Constituţie, precum şi al art. 1-3, al art. 11 alin. (1) lit. A.d) şi al art. 29 din Legea nr. 47/1992, cu unanimitate de voturi,

CURTEA CONSTITUŢIONALĂ

În numele legii

DECIDE:

I. Respinge, ca inadmisibilă, excepţia de neconstituţionalitate a prevederilor art. 4 teza a două raportate la cele ale art. 34 şi art. 35 din Legea nr. 165/2013 privind măsurile pentru finalizarea procesului de restituire, în natură sau prin echivalent, a imobilelor preluate în mod abuziv în perioada regimului comunist în România, excepţie ridicată de Adriana-Cristina Aronovici şi Societatea Comercială “Real Grup Im/est” - S.A. din Bucureşti în Dosarul nr. 8.957/3/2012 al Tribunalului Bucureşti - Secţia a V-a civilă.

II. Respinge, ca devenită inadmisibilă, excepţia de neconstituţionalitate a prevederilor art. 4 teza a două raportate la cele ale art. 33 din Legea nr. 165/2013, excepţie ridicată de aceiaşi autori în acelaşi dosar al aceleiaşi instanţe.

III. Respinge, ca neîntemeiată, excepţia de neconstituţionalitate ridicată de aceiaşi autori în acelaşi dosar al aceleiaşi instanţe şi constată că dispoziţiile art. 4 teza a două raportate la cele ale art. 1 alin. (3) şi art. 24 alin. (2)-(4) din Legea nr. 165/2013 sunt constituţionale în raport cu criticile formulate.

Definitivă şi general obligatorie.

Decizia se comunică Tribunalului Bucureşti - Secţia a V-a civilă şi se publică în Monitorul Oficial al României, Partea I.

Pronunţată în şedinţa din data de 26 februarie 2015.

 

PREŞEDINTELE CURŢII CONSTITUŢIONALE

AUGUSTIN ZEGREAN

Magistrat-asistent,

Valentina Bărbăţeanu

 

ACTE ALE AUTORITĂŢII DE SUPRAVEGHERE FINANCIARĂ

 

AUTORITATEA DE SUPRAVEGHERE FINANCIARĂ

 

NORMĂ

privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile reglementate, autorizate/avizate şi/sau supravegheate de Autoritatea de Supraveghere Financiară

 

În temeiul prevederilor art. 3 alin. (1) lit. b), art. 5, art. 6 alin. (2) şi ale art. 14 din Ordonanţa de urgenţă a Guvernului nr. 93/2012 privind înfiinţarea, organizarea şi funcţionarea Autorităţii de Supraveghere Financiară, aprobată cu modificări şi completări prin Legea nr. 113/2013, cu modificările şi completările ulterioare,

în urma deliberărilor Consiliului Autorităţii de Supraveghere Financiară din cadrul şedinţei din data de 18 martie 2015,

Autoritatea de Supraveghere Financiară emite următoarea normă:

 

CAPITOLUL I

Dispoziţii generale

 

Art. 1. - (1) Prezenta normă stabileşte cerinţele la nivelul entităţilor autorizate/avizate, reglementate şi/sau supravegheate de către Autoritatea de Supraveghere Financiară, denumită în continuare A.S.F., pentru identificarea, prevenirea şi reducerea impactului potenţial negativ al riscurilor operaţionale generate de utilizarea tehnologiei informaţiei şi comunicaţiilor la nivel de oameni, procese, sisteme şi mediu extern, inclusiv de fapte ce ţin de criminalitatea informatică.

(2) Prezenta normă stabileşte activităţi şi operaţiuni pentru evaluarea, supravegherea şi controlul riscurilor operaţionale generate de utilizarea sistemelor informatice şi ale securităţii informatice.

Art. 2. - Prezenta normă se aplică următoarelor categorii de entităţi autorizate/avizate, reglementate şi/sau supravegheate de A.S.F., denumite în continuare entităţi:

a) operatori de piaţă/operatori de sistem;

b) societăţi de administrare a investiţiilor (SAI), organisme de plasament colectiv (OPC şi AOPC) care se autoadministrează, după cum urmează:

1. societăţi cu active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de peste 250 milioane euro, echivalent lei;

2. societăţi cu active nete în portofoliu/administrate în valoare totală, cumulată pentru toate fondurile administrate, de până la 250 milioane euro, echivalent lei;

c) depozitari centrali, case de compensare/contrapărţi centrale;

d) intermediari - societăţi de servicii de investiţii financiare (S.S.I.F.) încadrate la art. 6 alin. (1) din Legea nr. 297/2004 privind piaţa de capital, cu modificările şi completările ulterioare, sucursale ale intermediarilor din state nemembre şi instituţii de credit din România autorizate de Banca Naţională a României în conformitate cu legislaţia bancară şi înscrise în Registrul public al A.S.F. În calitate de intermediar, şi anume:

1. intermediari care au calitatea de operator independent;

2. intermediari care prestează servicii conexe, prevăzute la art. 5 alin. (11) lit. a) din Legea nr. 297/2004, cu modificările şi completările ulterioare;

3. intermediari care folosesc facilităţi de tranzacţionare prin internet (ADP/AS) - platforme de preluare şi transmitere a ordinelor clienţilor;

4. intermediari care au calitatea de market makeri şi/sau furnizori de lichiditate;

5. intermediari care tranzacţionează pe cont propriu şi nu se încadrează în categoriile de la pct. 1-4;

6. intermediari care nu tranzacţionează pe cont propriu şi nu se încadrează în categoriile de la pct. 1-4;

e) traderi;

f) Fondul de compensare a investitorilor;

g) societăţi de asigurare/reasigurare;

h) brokeri de asigurare/reasigurare;

i) entităţi care desfăşoară activitatea de depozitare a activelor organismelor de plasament colectiv şi a fondurilor de pensii private;

j) societăţi de administrare a fondurilor de pensii private.

Art. 3. - Termenii şi expresiile utilizate în prezenta normă au înţelesul prevăzut în anexa nr. 1.

Aii. 4. - (1) Prevederile prezentei norme se aplică de către entităţi în funcţie de categoria de risc stabilită de A.S.F. conform art. 6 alin. (1) şi, respectiv, în funcţie de rezultatul evaluării interne a riscurilor, pe baza celor mai bune practici în domeniu.

(2) Categoria de risc corespunzătoare fiecărui tip de entitate este stabilită de către A.S.F. În funcţie de natura, dimensiunea şi complexitatea activităţii acesteia, precum şi de riscurile pe care le poate induce, respectiv de impactul asupra activităţii, în conformitate cu prevederile art. 6 alin. (1).

(3) Entităţile vor participa la colectarea, analizarea, monitorizarea şi raportarea evenimentelor de securitate informatică, în cadrul sistemului dezvoltat de A.S.F.

Art. 5. - (1) Entităţile evaluează anual şi monitorizează continuu riscurile operaţionale generate de utilizarea sistemelor informatice, prioritizează resursele, implementează măsuri de securitate informatică şi monitorizează eficacitatea acestora prin aplicarea managementului de risc.

(2) Modalitatea de implementare a măsurilor de securitate informatică este stabilită de fiecare entitate, în funcţie de profilul de risc, de riscurile identificate, de incidentele apărute, în conformitate cu cerinţele legale aplicabile.

 

CAPITOLUL II

Încadrarea entităţilor în categorii de risc

 

Art. 6. - (1) în scopul prezentei norme, entităţile prevăzute la art. 2 se includ în patru categorii de risc: “risc major”, “risc important”, “risc mediu”, “risc scăzut”, după cum urmează:

a) entităţile prevăzute la art. 2 lit. a), c) şi lit. d) pct. 1 reprezintă entităţi încadrate în categoria de “risc major”;

b) entităţile prevăzute la art. 2. lit. d) pct. 2, 3 şi 4, lit. g) şi i) reprezintă entităţi încadrate în categoria de “risc important”;

c) entităţile prevăzute la art. 2 lit. b) pct. 1, lit. d) pct. 5 şi lit. f) reprezintă entităţi încadrate în categoria de “risc mediu”;

d) entităţile prevăzute la art. 2 lit. b) pct. 2, lit. d) pct. 6, lit. e) şi h) reprezintă entităţi încadrate în categoria de “risc scăzut”.

(2) Entitatea care prestează mai multe tipuri de activităţi autorizate de către A.S.F., încadrându-se astfel în mai multe categorii de risc dintre cele menţionate la alin. (1), va respecta obligaţiile instituite pentru fiecare activitate autorizată în parte.

(3) Societăţile de administrare a fondurilor de pensii private vor fi încadrate individual în categorii de risc, conform prevederilor art. 44 alin. (4) lit. e) şi ale art. 51 din Norma Consiliului Autorităţii de Supraveghere Financiară nr. 3/2014 privind controlul intern, auditul intern şi administrarea riscurilor în sistemul de pensii private.

(4) încadrarea, respectiv reîncadrarea entităţilor menţionate la art. 2 lit. b) se realizează la începutul fiecărui an, în baza valorii totale a activelor în portofoliu/administrate din ultima zi lucrătoare a anului anterior.

(5) încadrarea, respectiv reîncadrarea entităţilor menţionate la art. 2 lit. d) se realizează la începutul fiecărui an, în baza activităţii autorizate de A.S.F. şi a deţinerii calităţii de market maker/furnizor de lichiditate în ultima zi lucrătoare a anului anterior.

 

CAPITOLUL III

Activităţile desfăşurate de entităţi

 

Art. 7. - (1) Entităţile desfăşoară cel puţin activităţile obligatorii corespunzătoare fiecărei categorii de risc prevăzute la art. 6 alin. (1), conform tabelului din anexa nr. 2.

(2) în termen 90 de zile de la publicarea prezentei norme în Monitorul Oficial al României, Partea I, A.S.F. va elabora şi publica pe site-ul propriu ghidul de îndrumare care cuprinde detalii şi parametrii referitori la modalitatea de implementare a activităţilor obligatorii menţionate la alin. (1). Acest ghid are un caracter orientativ şi poate fi actualizat de A.S.F. În funcţie de bunele practici în materie.

Art. 8. - (1) Raportat la activitatea desfăşurată entităţile se asigură că sistemele informatice utilizate îndeplinesc cel puţin următoarele cerinţe:

a) asigură integritatea, confidenţialitatea, autenticitatea, disponibilitatea datelor în concordanţă cu categoria de risc a sistemului informatic definită intern de către entitate, precum şi prelucrarea acestora în conformitate cu reglementările A.S.F., luând în considerare posibilitatea actualizării acestora, în funcţie de modificările intervenite în legislaţia incidenţă;

b) asigură respectarea conţinutului de informaţii prevăzut în formularele de raportare corespunzătoare entităţilor, aşa cum sunt prevăzute în legislaţia specifică, precum şi alte raportări solicitate prin reglementările A.S.F;

c) asigură reconstituirea rapoartelor şi informaţiilor supuse verificării;

d) asigură stocarea şi păstrarea datelor înregistrate şi jurnalizate de către sistemele de tranzacţionare şi back-office pentru o perioadă de timp în conformitate cu legislaţia aplicabilă în vigoare. Sistemul de păstrare a datelor trebuie să asigure posibilitatea ca aceste date să poată fi transmise sau puse la dispoziţia A.S.F la cerere;

e) asigură posibilitatea de restaurare a datelor arhivate pe suport digital extern, precum, dar fără a se limita la, informaţii, date introduse, situaţii financiare sau alte documente;

f) asigură elemente de identificare a datelor supuse prelucrării sau verificării. Sistemele informatice asigură identificarea exactă a timpului la care au fost efectuate înregistrările şi identificarea utilizatorilor sistemului la acel moment;

g) asigură confidenţialitatea şi protecţia informaţiilor şi a programelor prin parole, coduri de identificare pentru accesul la informaţii, precum şi realizarea de copii de siguranţă pentru programele şi informaţiile deţinute;

h) asigură mecanisme de securitate şi control al sistemelor informatice, pentru păstrarea în siguranţă a datelor şi informaţiilor stocate, a fişierelor şi bazelor de date, inclusiv în situaţia unor evenimente de risc.

(2) Sistemele informatice care oferă intermediarilor şi clienţilor lor accesul la platforme electronice de tranzacţionare,

precum şi cele care evidenţiază operaţiuni de compensare, decontare şi registru pentru instrumente financiare şi operaţiuni cu aceste instrumente, asigură cel puţin, fără a se limita la:

a) securitatea şi integritatea datelor procesate prin folosirea unei modalităţi de securizare atât asupra datelor trimise către platformele electronice de tranzacţionare şi către cele de compensare, decontare şi registru, cât şi asupra datelor recepţionate de la aceste sisteme;

b) mecanisme care să garanteze nerepudierea datelor transmise şi recepţionate;

c) jurnalizarea în timp real a informaţiei despre ordinele transmise spre executare, a stării acestor ordine, respectiv a modificărilor care se aduc acestor ordine în decursul existenţei lor de către clienţii şi intermediarii care utilizează aceste sisteme informatice;

d) mecanisme de nerepudiere a integrităţii înregistrării operaţiunilor de sistem informatic.

 

CAPITOLUL IV

Auditarea şi testarea sistemului informatic

 

SECŢIUNEA 1

Auditul informatic

 

Art. 9. - (1) Entităţile încadrate la categoria de risc majorau obligaţia de a audita extern sistemul informatic utilizat, cu periodicitate anuală.

(2) Entităţile încadrate la categoria de risc important au obligaţia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 2 ani,

(3) Entităţile încadrate la categoria de risc mediu au obligaţia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 3 ani.

(4) Entităţile încadrate la categoria de risc scăzut au obligaţia de a audita, extern sau cu resurse interne certificate, sistemul informatic utilizat, o dată la 4 ani,

(5) A.S.F. este îndreptăţită să instituie în sarcina entităţii obligaţia auditării externe a sistemului informatic pentru activităţile solicitate de către A.S.F. dacă:

a) în urma constatărilor rezultă că o entitate nu a desfăşurat toate activităţile minime obligatorii categoriei de risc în care aceasta se încadrează, conform prevederilor art. 7, sau activităţile desfăşurate au un caracter formal;

b) A.S.F. apreciază că se impune efectuarea unor investigaţii suplimentare ale sistemelor informatice.

(6) Instituirea de către A.S.F. a obligaţiei de auditare a sistemului IT conform alin. (5) este însoţită de termenul până la care entitatea este obligată să transmită la A.S.F. raportul de audit, iar acest termen nu poate să depăşească 90 de zile lucrătoare.

(7) Auditul extern se efectuează în baza unui contract încheiat între entitatea care a solicitat auditarea şi unul dintre auditorii IT avizaţi de A.S.F. conform prevederilor art. 10 alin. (2). Entităţile nu pot contracta auditul IT cu aceiaşi auditor IT pentru mai mult de 3 auditări obligatorii consecutive dintre cele prevăzute la alin. (1)-(4).

(8) Contractul de audit IT prevăzut la alin. (7) cuprinde în mod obligatoriu clauze cu privire la faptul că auditorul IT are obligaţia de a respecta cerinţele necesare efectuării auditului sistemului informatic, în conformitate cu prevederile prezentei norme şi cu bunele practici în domeniu.

(9) Contractul menţionat la alin. (7) trebuie să conţină o clauză expresă prin care auditorul se obligă să notifice în cel mai scurt timp posibil şi în scris A.S.F. cu privire la orice fapt sau act în legătură cu sistemul informatic şi de comunicaţii utilizat de entitate şi care:

a) este de natură să afecteze continuitatea activităţii entităţii auditate;

b) poate conduce la o opinie de audit cu rezerve, la imposibilitatea exprimării unei opinii profesionale sau la o opinie negativă.

(10) Contractul prevăzut la alin. (7) trebuie să conţină o clauză expresă prin care, la solicitarea scrisă a A.S.F., auditorul se obligă să prezinte A.S.F.:

a) orice raport sau document ce a fost adus la cunoştinţa entităţii auditate;

b) o declaraţie care să indice motivele de încetare a contractului de audit, indiferent de natura acestora;

c) orice alte informaţii sau documente solicitate în legătură cu activitatea de audit IT la care s-a angajat conform contractului.

(11) Respectarea prevederilor alin. (9) şi (10) nu contravine dispoziţiilor Codului privind conduita etică şi profesională în domeniul auditului financiar, nu constituie o încălcare a niciunei restricţii privind divulgarea de informaţii şi nu va atrage niciun fel de răspundere asupra persoanei în cauză. Clauza de confidenţialitate nu este opozabilă A.S.F.

Art. 10. - (1) Auditorul IT extern, care intenţionează să presteze servicii pentru entităţile cărora le sunt incidente prevederile prezentei norme, are obligaţia obţinerii avizului A.S.F.

(2) în vederea obţinerea avizului A.S.F., auditorul IT extern depune la A.S.F. o cerere împreună cu documentaţia care trebuie să cuprindă următoarele, după caz:

a) datele de identificare ale auditorului:

(i) numele complet/denumirea şi adresa/sediul (adresa completă - stradă, număr, bloc, scară, etaj, apartament, oraş, judeţ/sector, cod poştal);

(ii) datele înregistrării fiscale;

(iii) adresa unde îşi desfăşoară activitatea;

(iv) telefon/fax, e-mail, adresa paginii de internet;

(v) dovada experienţei şi a specializării pe domeniul de audit al sistemelor informatice;

b) numele şi prenumele auditorului persoană fizică certificată şi a reprezentantului societăţii, care vor semna raportul de audit, împreună cu următoarele documente:

(i) copia actului de identitate a auditorului;

(ii) curriculum vitae al auditorului, datat şi semnat, cu prezentarea experienţei profesionale;

(iii) copia certificatului de auditor IT, semnată pentru conformitate cu originalul;

(iv) certificatul de cazier judiciar şi certificatul de cazier fiscal, în original, aflate în termenul de valabilitate;

c) copia contractului/poliţei de asigurare de răspundere civilă profesională a auditorului IT, pentru suma asigurată de minimum 100.000 euro;

d) copia documentului de plată a tarifului de înscriere în Registrul public al A.S.F.

(3) Avizarea şi înscrierea auditorului IT în Registrul public al A.S.F. sau refuzul avizării, motivat, se realizează în termen de maximum 30 de zile calendaristice de la primirea dosarului complet al solicitantului. Refuzul motivat se transmite auditorului IT. Orice modificare a documentaţiei prevăzute la alin. (2) trebuie transmisă A.S.F. În termen de maximum 30 de zile calendaristice de la data modificării.

(4) A.S.F. retrage avizul auditorului IT extern în oricare dintre următoarele cazuri:

a) la cerere;

b) în cazul lichidării sau la declanşarea insolvenţei;

c) în cazul nerespectării, în mod repetat, a prevederilor alin. (3), teza a III-a;

d) în cazul nerespectării prevederilor art. 9 alin. (9) şi (10), precum şi în cazul nerespectării obligaţiilor stabilite în sarcina sa de prezenta normă;

e) din alte cauze prevăzute de legislaţia în vigoare.

(5) Pentru toate situaţiile menţionate la alin (4) lit. c)-e), A.S.F. va transmite auditorului IT extern o notificare prealabilă prin care se aduc la cunoştinţă faptele pentru care se va proceda la retragerea avizului A.S.F.

(6) Entităţile adoptă toate măsurile necesare pentru evitarea conflictelor de interese ce pot interveni în desfăşurarea activităţii de audit IT.

(7) Activitatea de audit trebuie să fie independentă faţă de activitatea auditată, pentru a nu fi compromisă obiectivitatea activităţii de audit. Auditorii trebuie să fie independenţi şi obiectivi în toate aspectele legate de misiunea de audit.

(8) Entităţile, inclusiv cele care efectuează auditul IT cu resurse interne certificate, sunt obligate să furnizeze auditorului informaţii complete, corespunzătoare, relevante şi în timp util, pentru a permite efectuarea în bune condiţii a activităţii de audit IT.

(9) La finalizarea auditului IT, auditorii IT au obligaţia de a întocmi un raport de audit care să cuprindă cel puţin următoarele elemente:

a) titlul raportului, identificarea şi descrierea entităţii auditate, respectiv beneficiarul raportului;

b) destinatarii raportului şi orice restricţii privind conţinutul şi circulaţia raportului;

c) domeniul auditat, obiectivele activităţii, perioada auditată;

d) natura, cronologia şi gradul de acoperire ale procedurilor de audit efectuate;

e) orice calificare de opinie sau limitare a ariei acoperite de audit;

f) datele de identificare ale membrilor echipei de audit, care cuprind cel puţin numele şi prenumele, telefon, fax, e-mail şi adresa unde îşi desfăşoară activitatea;

g) semnătura coordonatorului certificat al echipei de audit şi semnătura reprezentantului legal al auditorului persoană juridică;

h) locul auditării; i) data raportului;

j) descrierea ariei auditului, incluzând:

(i) descrierea sistemelor auditate;

(ii) măsurile organizatorice: politicile aplicabile şi procedurile implementate;

(iii) identificarea aplicaţiilor utilizate şi a persoanelor implicate;

(iv) componentele sistemelor informatice utilizate;

(v) un sumar conţinând analiza riscurilor aferente activităţii, a posibilelor deficienţe ale sistemului informatic auditat şi a măsurilor de reducere a riscurilor asociate, în baza controalelor generale sau specifice implementate conform prezentei norme;

(vi) referire cu privire la corectitudinea raportărilor efectuate în conformitate cu art. 14 alin. (4) aferente perioadei dintre două activităţi de auditare IT;

(vii) descrierea modului prin care s-a efectuat atacul etic/testul de penetrare, în cazul entităţilor care sunt obligate să efectueze teste de penetrare conform tabelului din anexa nr. 2; k) concluziile detaliate ale echipei de audit privind îndeplinirea cerinţelor prevăzute la art. 5, 8,11,12 şi 13, pentru fiecare cerinţă, cu menţiunea: DA/NU, precum şi motivaţia, în cazul nerespectării acesteia;

l) afirmaţia de conformitate, reflectată prin “opinia pozitivă” cu privire la conformarea parţială/totală referitoare la obiectivele auditului, indicând punctele care trebuie îmbunătăţite, reflectate

prin “opinia cu rezerve/calificată”, sau de neîndeplinire a obiectivelor testate/auditate, reflectată prin “opinia negativă”;

m) o anexă la raportul de audit IT, însuşită de entitatea auditată prin semnarea acesteia de către un reprezentant legal al entităţii, conţinând:

(i) constatările şi concluziile;

(ii) neconformităţile, lipsa controalelor sau controale ineficiente;

(iii) importanţa neconformităţii sau deficienţei de control;

(iv) probabilitatea ca aceste constatări să aibă un impact semnificativ şi riscuri asociate;

(v) recomandările pentru acţiuni corective şi răspunsul conducerii entităţii auditate pentru fiecare constatare din raport, inclusiv termenul de aplicare;

(vi) rezultatul obţinut la atacul etic/testul de penetrare, în cazul entităţilor care sunt obligate să efectueze teste de penetrare conform tabelului din anexa nr. 2; n) declaraţia pe propria răspundere a auditorului IT cu privire la faptul că auditul a fost efectuat în conformitate cu prezenta normă şi cu standardele de audit în vigoare la momentul realizării auditului, cu menţionarea acestora;

o) declaraţia pe propria răspundere a auditorului IT extern cu privire la faptul că acesta nu se află în relaţii cu entitatea auditată sau cu angajaţii entităţii care ar putea să îi afecteze independenţa sau obiectivitatea activităţii de audit.

 

SECŢIUNEA a 2-a

Cerinţe referitoare la furnizorii externi şi furnizorii de servicii IT externalizate pentru sistemele informatice importante

 

Art. 11. - (1) Entităţile se asigură că, pentru sistemele informatice importante, furnizorii de servicii IT externalizate, inclusiv prin externalizările în lanţ, cu excepţia furnizorilor de servicii de comunicaţii, a celor de hardware şi de licenţe software, raportat strict pentru activitatea externalizată;

a) respectă aceleaşi cerinţe de auditare ca şi cele solicitate entităţii prin prezenta normă;

b) prezintă, la solicitarea A.S.F., modalitatea prin care sunt îndeplinite cerinţele adresate entităţii prin prezenta normă;

c) permit A.S.F, şi auditorului IT să verifice şi/sau să auditeze sistemele sale informatice conform prezentei norme.

(2) Orice externa liza re se realizează cu respectarea prevederilor legale aplicabile incidente sectorului de activitate.

(3) în situaţiile în care nu există alte prevederi legale aplicabile sectorului respectiv de activitate, pentru externalizarea unor servicii IT şi în toate cazurile în care sunt utilizate serviciile unor furnizori externi, definiţi la pct. 28 din anexa nr. 1, entitatea are obligaţia de a notifica A.S.F., furnizorul extern sau furnizorul de servicii IT externalizate în termen de 10 zile lucrătoare de la momentul încheierii contractului cu acesta, exclusiv pentru sistemele informatice importante.

(4) Notificarea prevăzută la alin. (3) trebuie să includă următoarele informaţii şi documente anexate, după caz:

a) descrierea serviciilor furnizate/externalizate;

b) datele de identificare ale furnizorului:

(i) sediul societăţii, respectiv adresa completă - stradă, număr, bloc, scară, etaj, apartament, oraş, judeţ/sector, cod poştal, după caz;

(ii) datele înregistrării fiscale;

(iii) telefon/fax, e-mail, pagina de internet;

c) certificări în funcţie de tipul serviciului sau activităţii desfăşurate:

(i) SR ISO/IEC 27001 sau certificări pentru standarde echivalente;

(ii) pentru furnizarea şi dezvoltarea de programe informatice software - certificări aferente;

(iii) pentru furnizarea de servicii externalizate - certificări aferente;

(iv) pentru furnizarea de servicii de găzduire sau externalizare prin intermediul centrelor de date - condiţii tehnice conform TIA-942 nivel 2 sau echivalent;

(v) pentru furnizarea de servicii de arhivare electronică prin centre de date - autorizare conform prevederilor legale;

(vi) pentru furnizarea de servicii externalizate de tip cloudcomputing public se prezintă certificate specifice activităţilor externalizate.

(5) în cazul modificării unor informaţii sau documente, copia sau originalul documentelor modificate se va depune la A.S.F., în termen de maximum 30 de zile calendaristice de la data modificării.

 

SECŢIUNEA a 3-a

Cerinţe cu privire la testarea sistemelor/programelor Informatice importante

 

Art. 12. - (1) Entităţile au obligaţia de a identifica toate sistemele/programele informatice utilizate şi de a le evidenţia într-un registru care trebuie să cuprindă:

a) sistemele/programele informatice importante;

b) modificările sistemelor/programelor informatice importante;

c) detalii referitoare la modificările majore ale sistemelor/ programelor informatice importante.

(2) în aplicarea prevederilor alin. (1) lit. c), modificările majore se referă la:

a) schimbarea integrală a sistemelor/programelor informatice importante;

b) externalizarea unor servicii IT;

c) schimbarea proceselor de arhivare electronică, de restaurare sau sincronizare a bazelor de date.

Art. 13. - (1) Entităţile au obligaţia să testeze sistemele/programele informatice importante înainte de prima utilizare şi la orice modificare în cadrul ciclului de viaţă al acestora, indiferent dacă sunt realizate cu resurse interne sau de către furnizori externi.

(2) Rezultatul testărilor prevăzute la alin. (1) se consemnează într-un raport de testare ITcare cuprinde cel puţin următoarele elemente:

a) scopul testării;

b) perioada testării;

c) descrierea programului testat;

d) identificarea aplicaţiilor utilizate şi a persoanelor implicate;

e) analiza riscurilor implicate de achiziţia sau modificarea programului informatic important, a posibilelor vulnerabilităţi şi a măsurilor de reducere a riscurilor asociate prin controale de sistem sau de program informatic;

f) descrierea modului prin care s-au efectuat testele, scenariile de test, eventualele norme sau standarde aplicate şi rezultatul testării;

g) concluzia echipei de testare;

h) semnătura membrilor echipei de testare.

(3) Rapoartele de testare IT se păstrează la entitate, cel puţin până la următoarea auditare IT, şi sunt puse (a dispoziţia auditorului IT şi A.S.F. la cerere.

 

CAPITOLUL V

Cerinţe de raportare

 

Art. 14. - (1) Entităţile au obligaţia raportării evaluării prevăzute la art. 5 alin. (1) şi a auditării prevăzute la art. 9, astfel:

a) rezultatul evaluării interne a riscurilor operaţionale este transmis A.S.F. anual până la 31 martie a anului curent, pentru anul anterior;

b) raportul de audit IT este transmis A.S.F. până la 30 iunie a anului curent, pentru perioada supusă auditării, corespunzătoare fiecărei categorii de risc prevăzute la art. 6 alin. (1).

(2) Entităţile depun raportul de audit IT împreună cu planul de acţiune din care să rezulte modalitatea de remediere a vulnerabilităţilor identificate pe parcursul derulării activităţii de audit IT, dacă este cazul.

(3) Rapoartele privind evaluarea internă a riscurilor operaţionale prevăzute la alin. (1) lit. a) şi rapoartele de audit IT prevăzute la alin. (1) lit. b) se depun la A.S.F. pe suport hârtie sau în format electronic cu semnătură electronică extinsă.

(4) Entităţile transmit până la data de 31 martie a anului curent, pentru anul anterior, o raportare electronică anuală cu indicatorii menţionaţi în anexa nr. 3, în măsura în care aceşti indicatori sunt aplicabili şi sunt aferenţi sistemelor informatice importante.

(5) Pentru situaţiile în care datele referitoare la anumiţi indicatori nu sunt disponibile în cazul unei anumite entităţi din cauza tipului acesteia, naturii, dimensiunii sau complexităţii activităţilor desfăşurate de aceasta, în celula corespunzătoare din raport se va insera acronimul N/A (neaplicabil).

 

CAPITOLUL VI

Contravenţii

 

            Art. 15- - Nerespectarea prevederilor prezentei norme de către entităţile prevăzute la art. 2 constituie contravenţie conform prevederilor art. 39 alin. (2) lit. a) din Legea nr. 32/2000 privind activitatea de asigurare şt supravegherea asigurărilor, cu modificările şi completările ulterioare, respectiv ale art. 272 alin. (1) lit. a)pct. 6, lit. b) pct. 5, lit. c) pct. 4, lit. d) pct. 4, lit. e) pct. 6, lit. f) pct. 3, lit. h) pct. 8, lit. j) pct. 17 şi lit. k) pct. 3 din Legea nr. 297/2004, cu modificările şi completările ulterioare, în funcţie de tipul entităţii.

 

CAPITOLUL VII

Dispoziţii tranzitorii şi finale

 

Art. 16. - (1) Cerinţele prevăzute de prezenta normă sunt puse în aplicare de către entităţi, începând cu data de 1 ianuarie 2016, cu excepţia prevederilor art. 11 referitoare la furnizorii externi şi furnizorii de servicii IT externalizate care se aplică începând cu data de 30 septembrie 2016, iar entităţile vor transmite notificările menţionate la art. 11 alin. (3) până la 31 decembrie 2016.

(2) Până la data de 30 iunie 2016, toate entităţile vor transmite A.S.F. rezultatul primei evaluări interne a riscurilor operaţionale prevăzut la art. 14 alin. (1) lit. a), precum şi prima raportare electronică prevăzută la art. 14 alin. (4).

(3) începând cu data de 1 ianuarie 2017, toate entităţile trebuie să efectueze raportările la termenele prevăzute la art. 14.

(4) Pentru toate entităţile, prima auditare IT se va realiza cel mai târziu până la data de 31 decembrie 2016.

Art. 17. - (1) La data de 1 iulie 2015 se abrogă Instrucţiunea nr. 2/2011 privind auditarea sistemelor informatice utilizate de entităţile autorizate, reglementate şi supravegheate de Comisia Naţională a Valorilor Mobiliare, aprobată prin Ordinul Comisiei Naţionale a Valorilor Mobiliare nr. 10/2011, publicată în Monitorul Oficial al României, Partea I, nr. 118 din 16 februarie 2011, cu modificările ulterioare.

(2) La data intrării în vigoare a prezentei norme se abrogă:

a) Dispunerea de măsuri a Comisiei Naţionale a Valorilor Mobiliare nr. 19/20101;

b) art. 25 din Normele privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfăşurarea activităţii de audit intern la asigurători/reasiguratori, aprobate prin Ordinul Comisiei de Supraveghere a Asigurărilor nr. 18/2009, publicat în Monitorul Oficial al României, Partea I, nr. 621 din 16 septembrie 2009, cu modificările şi completările ulterioare;

c) orice dispoziţie contrară prevederilor prezentei norme.

Art. 18. - Anexele nr. 1-3 fac parte integrantă din prezenta normă.

Art. 19. - Prezenta normă se publică în Monitorul Oficial al României, Partea I, precum şi în Buletinul A.S.F. şi intră în vigoare la data publicării acesteia

 

Preşedintele Autorităţii de Supraveghere Financiară,

Mişu Negriţoiu

 

Bucureşti, 23 martie 2015.

Nr. 6.


1 Dispunerea de măsuri a Comisiei Naţionale a Valorilor Mobiliare nr. 19/2010 nu a fost publicată în Monitorul Oficial al României, Partea I.

 

ANEXA Nr. 1

 

DEFINIŢII ŞI ABREVIERI

 

1. acord de furnizare a serviciului la parametrii agreaţi (SLA) - un acord între un furnizor de servicii IT şi un client, care descrie unul sau mai multe servicii IT, documentează nivelurile de serviciu ţintă agreate şi specifică obligaţiile furnizorului de servicii IT şi ale clientului;

2. activităţi de control informatic - politici, proceduri şi practici aplicate pentru atingerea obiectivelor entităţii şi pentru îndeplinirea strategiilor de eliminare a riscurilor, concepute pentru atingerea fiecărui obiectiv de control pentru eliminarea riscului identificat;

3. arhivare electronică - stocarea documentelor în format digital;

4. ameninţaţi - capacităţi, strategii, intenţii sau planuri ce periclitează infrastructurile, materializate prin atitudini, gesturi, acte sau fapte cu impact asupra securităţii activităţii entităţilor şi a integrităţii sectorului în care activează;

5. analiză de risc - analiza scenariilor de ameninţări semnificative, pentru a evalua probabilitatea materializării acestora şi impactul potenţial pe care un astfel de eveniment l-ar avea asupra entităţii şi operaţiunilor acesteia;

6. angajaţi/persoane-cheie - persoane cu funcţii de conducere/persoane relevante/persoane semnificative care au atribuţii şi răspunderi cu privire la planificarea, conducerea şi controlarea activităţilor entităţii;

7. atac etic/test de penetrare - test al sistemelor informatice realizat printr-o simulare a unui atac real asupra reţelelor, sistemelor şi programelor informatice utilizate de entitatea testată sau auditată, după caz;

8. audit informatic (audit IT) - activitatea de colectare şi evaluare a unor probe pentru a determina dacă sistemul informatic respectă parametrii de performanţe şi de lucru conform cerinţelor de proiectare, asigură funcţionalităţile necesare cerinţelor de afaceri şi respectarea legislaţiei în domeniu, este securizat, menţine integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale entităţii şi utilizarea eficientă a resurselor informaţionale;

9. auditor (auditor IT) - persoana fizică autorizată care deţine certificat de auditor IT sau persoană juridică cu personal certificat, care derulează o activitate de auditare a sistemelor informatice, conform reglementărilor şi bunelor practici în domeniu;

10. audit IT cu resurse interne - audit care se realizează de personal certificat în domeniul auditării IT, angajat în cadrul entităţii sau în cadrul unei companii din cadrul aceluiaşi grup financiar, prin aplicarea prevederilor prezentei norme şi a metodologiilor certificate internaţional;

11. bază de date - structură de organizare a informaţiei într-unui sau mai multe domenii de aplicare, cu scopul de a o face accesibilă în permanenţă către utilizatori prin ansamblul de programe informatice;

12. bune practici - activităţi sau procese certificate care au fost folosite cu succes în mai multe organizaţii şi au căpătat o largă recunoaştere, precum SR ISO/IEC 27002. ISO 20.002, cadrul de lucru şi metodologiile ISACA - COBIT, RiskIT, dar fără a se limita la acestea;

13. centru de date - spaţiu securizat, dotat cu tehnică de calcul şi echipamente de comunicaţii prin intermediul cărora se primesc, se stochează şi se transmit date în formă electronică, care se implementează respectând standardele specifice, utilizând conceptul de nivel sau un echivalent al acestuia, precum, dar fără a se limita la, standardele SR EN 50600 (European Standard - Data Centers Facilities and Infrastructures) sau TIA-942 (Telecommunications Industry Association);

14. centru de date de nivel 2 - centru de date care îndeplineşte cerinţele TIA-942 tier 2 sau echivalent şi a cărui infrastructură prezintă caracteristicile de disponibilitate de 99,741%, circuit dedicat pentru răcire şi alimentare cu energie electrică, include componente redundante, include podea înălţată, surse neîntreruptibile de putere, generator şi se încadrează într-un număr de maximum 22 de ore de nefuncţionare pe an;

15. centrul principal de date - centru de date care asigură serviciile IT şi procesează în mod curent datele, tranzacţiile şi operaţiunile entităţii;

16. CERT/Echipă sau centru de răspuns la incidente de urgenţă aferente securităţii informatice - structură organizaţională specializată în vederea colectării, analizării, identificării, prevenirii şi reacţiei la incidente cibernetice cu impact semnificativ;

17. ciclu de viaţă - totalitatea stadiilor din viaţa unui serviciu IT, a unui element de configuraţie, a unui incident, a unei probleme sau a unei schimbări, fără a se limita la acestea;

18. cloud computing public - infrastructură informatică, cu resurse de calcul configurabile, care permite furnizarea la cerere de servicii IT şi este asigurată prin centre de date publice, altele decât infrastructura informatică proprie entităţii, prin intermediul unui furnizor extern, ca un ansamblu distribuit de servicii de calcul, programe informatice, acces la informaţii şi stocare de date;

19. COBIT/Obiective de Control pentru Tehnologia Informaţiilor şi Tehnologii Conexe - furnizează îndrumare şi bună practică pentru managementul controalelor proceselor IT, fiind publicat de către ISACA în colaborare cu IT Governance Institute (ITGI);

20. comunicaţii/telecomunicaţii - sisteme de transmisie, precum şi orice alte resurse care permit transportul semnalelor prin fir, radio, fibră optică sau orice alte mijloace electromagnetice, precum şi tehnologiile utilizate în cadrul proceselor de comunicare, care presupun existenta unui mediu

informatic constituit din echipamente hardware, software specializat, precum şi dispozitive electronice de transmisie/ recepţie date;

21. controale informatice - totalitatea politicilor, procedurilor, practicilor şi a structurilor organizaţionale informatice proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele afacerii vor fi atinse şi evenimentele nedorite vor fi prevenite sau detectate şi corectate;

22. date (informatice) - orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic, incluzându-se şi orice program informatic care poate determina realizarea unei funcţii similare de către un sistem informatic;

23. disponibilitate - capabilitatea unui serviciu IT sau unui element de configuraţie IT de a efectua funcţiile agreate atunci când este necesar acest lucru;

24. dubla validare/validare dublă - validarea unei acţiuni de către doi utilizatori sau existenţa unei validări informatice duble ce implică un program care verifică o anumită acţiune prin metode diferite;

25. externalizare servicii IT- utilizarea de către o entitate a unui furnizor extern de servicii IT, în vederea desfăşurării de către acesta, pe bază contractuală şi în mod continuu sau pentru o perioadă, a operaţiunilor aferente suportului tehnic sau al procesării, necesare desfăşurării activităţii efectuate în mod obişnuit de către entitatea în cauză;

26. externalizare în lanţ - externalizare în cadrul căreia furnizorul extern subcontractează cu alţi furnizori externi elemente componente ale serviciilor prestate entităţii;

27. factori de risc - situaţii, împrejurări, elemente, condiţii sau conjuncturi interne şi externe, uneori dublate şi de acţiune, ce determină ori favorizează materializarea unei ameninţări la adresa infrastructurilor importante, în funcţie de o vulnerabilitate determinată, generând efecte de insecuritate;

28. furnizor extern - persoană juridică sau fizică autorizată furnizoare de bunuri (precum hardware, licenţe software, componente etc.) şi soluţii informatice, care deţine expertiză în domenii specializate, cu respectarea cadrului legal aplicabil;

29. furnizor de servicii IT externalizate - persoană juridică sau persoană fizică autorizată cu obiect de activitate şi expertiză în domeniul serviciilor informatice, furnizoare de servicii informatice în condiţiile respectării cadrului legal aplicabil şi a autorizării primite;

30. hardware - ansamblul elementelor fizice şi tehnice cu ajutorul cărora datele se pot culege, verifica, prelucra, transmite, afişa şi stoca, inclusiv suporturile de memorare a datelor, precum şi echipamentele de calculator auxiliare;

31. incident de securitate - eveniment înregistrat şi declarat la nivelul entităţii privind securitatea informaţiei sau a sistemelor informatice cu o probabilitate semnificativă de compromitere a operaţiunilor şi de ameninţare a securităţii IT a cărei consecinţă a determinat sau este de natură să determine compromiterea informaţiilor sau a sistemelor informatice;

32. indicatorii cheie de performanţă (KPI) - parametri analitici reprezentativi selectaţi pentru monitorizarea unor activităţi şi procese-cheie pentru entităţi, oferind o privire de ansamblu asupra performanţei;

33. indicatori-cheie de risc (KRI) - parametrii care măsoară efectiv riscurile aferente procedurilor şi activităţilor entităţii, furnizând în timp semnalări corespunzătoare ale consecinţelor cu efect negativ, care pot genera potenţiale pierderi directe sau indirecte;

34. indisponibilitate (ca durată în timp) - intervalul de timp din cadrul perioadei agreate ca disponibilitate a serviciului, în care un serviciu IT sau o componentă critică/importantă a serviciului nu este disponibilă;

35. informaţie - rezultatul prelucrării datelor printr-un sistem informatic care sunt baza pentru asigurarea cunoaşterii prin intermediul unor elemente noi în raport cu cunoştinţele anterioare şi constituie o resursă care trebuie protejată;

36. infrastructura informatică - elemente ale bazei tehnico-materiale, pe componente sau ca sistem, care susţin culegerea, stocarea şi managementul datelor, precum şi integrarea, căutarea şi vizualizarea datelor şi alte calcule şi servicii de procesare a informaţiei utilizând tehnologii informatice, deţinute sau contractate extern de către entitate şi necesare bunei funcţionări a acesteia;

37. infrastructură esenţială/critică - un sistem informatic sau o componentă a acestuia, care este esenţial pentru menţinerea funcţiilor infrastructurii financiare, a căror perturbare afectează semnificativ buna funcţionare a acesteia, cu un impact semnificativ ca urmare a incapacităţii de a menţine respectivele funcţii;

38. infrastructură importantă - sistem informatic propriu sau externalizat, care asigură funcţionarea activităţilor şi serviciilor principale ale entităţii;

39. integritate - păstrarea datelor electronice, digitalizate, nealterate pe timpul comunicaţiei dintre corespondenţi sau pe perioada de stocare a datelor;

40. internet - reţea internaţională de calculatoare, formată prin interconectarea reţelelor globale (Wide Area Network - WAN) independente (particulare, comerciale, academice sau guvernamentale), destinată facilitării schimbului de date şi informaţii între utilizatori;

41. ISACA - Asociaţia de Audit şi Control al Sistemelor Informatice/ Information Systems Audit and Control Association;

42. SRISO/IEC 27001 - standard care stabileşte cerinţele pentru un sistem de management al securităţii informaţiei;

43. SR ISO/IEC 27002 - cod de practică internaţională pentru managementul securităţii informaţiei, având specificaţia SR ISO/IEC 27001;

44. ISO/IEC 20000 - standard care stabileşte cerinţele pentru un sistem de management al serviciilor IT, bazat pe setul de publicaţii de bune practici al Bibliotecii pentru Infrastructura IT/IT Infrastructura Library - ITIL;

45. managementul schimbării - procesul responsabil cu controlul ciclului de viaţă al tuturor schimbărilor pentru a permite implementarea schimbărilor benefice cu minimum de întrerupere a serviciilor IT;

46. nerepudiere - atribut care să prevină posibilitatea unei entităţi de a nega o acţiune întreprinsă în context informaţional;

47. obiectiv de control (informatic) - scop şi mijloc care se reflectă în punctele de control din care se extrag indicatori-cheie de risc;

48. persoane - investitori, brokeri de asigurare, agenţi de asigurare, furnizori externi de servicii, alţi terţi sau colaboratori ai entităţii, angajaţi proprii - pe perioadă nedeterminată, respectiv determinată; participanţi la fondurile de pensii private. Entităţile vor raporta defalcat pe fiecare tip de “persoane” în funcţie de specificul activităţii proprii;

49. pian de cooperare în domeniul securităţii reţelelor şi a informaţiei - plan care stabileşte rolurile organizaţionale, obligaţiile şi răspunderile în cadrul cooperării, precum şi procedurile de menţinere sau de restabilire a funcţionării reţelelor şi sistemelor informatice în cazul în care acestea sunt afectate de un risc sau de un incident cibernetic cu impact semnificativ;

50. portofolii, tranzacţii şi active - conturile proprii ale investitorilor pe piaţa de capital sau ale clienţilor societăţilor de asigurări; portofolii de investitori, asiguraţi, operaţiuni cu activele investitorilor, activele proprii ale intermediarului şi/sau ale persoanelor relevante;

51. program informatic (aplicaţie) - ansamblu de instrucţiuni care poate fi executat de un sistem informatic în vederea obţinerii unui rezultat determinat;

52. resurse informaţionale - totalitatea informaţiilor şi a documentelor, conform cerinţelor stabilite de legislaţia în domeniu;

53. reţea - ansamblu de echipamente legate între ele prin canale de transmisie, precum, dar fără a se limita la, o reţea de calculatoare;

54. risc de securitate - orice circumstanţă sau eveniment care are un efect negativ potenţial asupra securităţii sistemelor informatice;

55. risc sistemic - riscul de afectare a unei zone importante a sistemului financiar sau a unei pieţe financiare, cu potenţial de consecinţe negative serioase pentru piaţa internă şi economia reală, instabilitate a sistemului financiar, posibil catastrofică, cauzată sau accentuată de evenimente idiosincratice sau de condiţii ale entităţilor;

56. riscuri semnificative - riscuri cu impact însemnat asupra situaţiei financiare, patrimoniale şi/sau reputaţionale a entităţilor;

57. raport de audit IT- instrumentul prin care se comunică scopul auditării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, întinderea, procedurile, constatările şi concluziile auditului, precum şi orice rezervă pe care auditorul IT o are asupra sistemului informatic auditat;

58. raport de testare IT- instrumentul prin care se comunică scopul testării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, întinderea, procedurile, constatările şi concluziile testării, precum şi orice rezervă pe care echipa de testare o are asupra sistemului informatic testat;

59. risc aferent tehnologiei informaţiei (IT) - subcomponentă a riscului operaţional care se referă la riscul actual sau viitor de afectare negativă, pe de o parte, a profiturilor şi capitalului entităţilor sau a investitorilor, participanţilor sau asiguraţilor, pe de altă parte, determinat de inadecvarea strategiei şi politicilor IT, a tehnologiei informaţiei şi a procesării acesteia, din punctul de vedere al capacităţii de gestionare, integritate, controlabilitate şi continuitate, sau de utilizare necorespunzătoare a tehnologiei informaţiei;

60. securitate (cibernetică) - capacitatea unei reţele sau a unui sistem informatic, rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive, de a rezista, la un nivel de încredere dat, unei acţiuni accidentale sau răuvoitoare care compromite disponibilitatea, autenticitatea, integritatea sau confidenţialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de reţeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;

61. semnătură electronică (digitală) - atribut indispensabil al documentului electronic, obţinut în urma transformării criptografice a acestuia, cu utilizarea cheii private, conform prevederilor Legii nr. 455/2001 privind semnătura electronică, republicată;

62. serviciu IT - combinaţie de persoane, procese şi tehnologii furnizate în interiorul entităţii sau de către un furnizor de servicii IT, care se bazează pe folosirea tehnologiei informaţiei şi care asigură suportul tehnic necesar desfăşurării activităţii entităţii şi care ar trebui să fie definită într-un acord al nivelului agreat de serviciu (SLA);

63. sistem informatic - ansamblu de elemente intercorelate funcţional în scopul automatizării obţinerii informaţiilor necesare activităţilor operaţionale şi manageriale într-o entitate, prin intermediul serviciilor IT, al echipamentelor hardware şi produselor software, proceduri manuale, baze de date şi modele matematice pentru analiză, planificare, control şi luarea deciziilor, utilizând componente de introducere şi prelucrare date, componente de procesare precum servere, calculatoare, sisteme software de operare de bază, programe informatice,

reţele de calculatoare şi telecomunicaţii, componente de stocare şi utilizatori, fără ca enumerarea să fie limitativă;

64. sistem informatic/program informatic important (aplicaţii core business) - sistem/program informatic esenţial pentru derularea în bune condiţii a activităţii autorizate/avizate de Autoritatea de Supraveghere Financiară (A.S.F.) şi pentru asigurarea raportărilor către A.S.F. sau folosite în activitatea financiar-contabilă a entităţii;

65. software - toată gama de produse program, care cuprinde cel puţin următoarele elemente: sisteme de operare, drivere sau programe informatice;

66. soluţie informatică - un produs de tip sistem informatic, o combinaţie de produse sau o combinaţie de produse şi servicii informatice care sunt furnizate de un producător sau furnizor de servicii informatice sau de comunicaţii;

67. tehnologia informaţiei (17) sau tehnologia informaţiei şi a comunicaţiilor - tehnologia necesară pentru prelucrarea (procurarea, procesarea, stocarea, convertirea şi transmiterea) informaţiei, în particular prin folosirea calculatoarelor electronice şi a programelor corespunzătoare;

68. TIA-942 - standard ce defineşte infrastructura unui centru de date, în mod special din privinţa sistemului de cablare şi al designului reţelei, dar acoperă şi locaţia, răcirea, alimentarea cu energie electrică şi amenajarea sa, precum şi considerente legate de mediu;

69. vulnerabilităţi - stări de fapt, procese şi/sau fenomene care diminuează capacitatea de reacţie a sistemelor informatice la riscurile existente ori potenţiale sau care favorizează apariţia şi dezvoltarea lor, cu consecinţe în planul funcţionalităţii şi utilităţii.

 

ANEXA Nr. 2

 

Activităţi desfăşurate de către entităţi

 

Entităţile vor desfăşura activităţile precizate în tabelul de mai jos, conform categoriilor de risc corespunzătoare.

 

Activităţi obligatorii ale entităţilor, pe categorii de risc

 

 

Activitate

Categoria de risc a entităţii

 

 

Majoră

importantă

Medie

Scăzută

A) Evaluare internă a riscului operaţional şi registrul riscurilor

X

X

X

X

B) Organizare pe procese

1

Management disponibilitate

X

X

X

 

2

Management utilizatori

X

X

X

X

3

Management incidente

X

X

X

 

4 Management schimbare

 

 

 

 

a)

Management ciclu viaţă programe informatice

X

X

X

X

b)

Management versiuni

X

X

X

X

c)

Management testare

X

X

X

X

5

Management capacitate

X

X

X

 

6

Management configuraţii

X

X

 

 

7

Management niveluri servicii (SLA)

X

X

X

 

8 Management securitate

 

 

 

 

a)

Cerinţe generale

X

X

X

X

b)

Teste de penetrare

X

X

 

 

9

Management continuitate

X

X

X

 

C) Puncte de control şi măsură

a)

Controale generale

X

X

X

 

b)

Controale program informatic

X

X

 

 

c)

Controale flux financiar

X

X

X

X

D) Implementare indicatori-cheie de performanţă (KPI)

X

 

 

 

E) Implementare indicatori-cheie de risc (KRI)

X

X

 

 

F) Managementul securităţii sistemului informatic

a) Măsuri organizatorice

X

X

 

 

b) Proceduri de securitate

X

X

X

X

c) Evaluare securitate

X

 

 

 

d) Plan de cooperare

X

X

X

X

 

ANEXA Nr. 3

 

Indicatori de raportare electronică anuală

 

Pentru raportarea indicatorilor din tabelul de mai jos, entităţile vor raporta:

a) conform prevederilor art. 14 alin. (4) din Norma Autorităţii de Supraveghere Financiară nr. 6/2015 privind gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile reglementate, autorizate/avizate şi/sau supravegheate de Autoritatea de Supraveghere Financiară;

b) 0 “zero” - dacă nu sunt valori ale indicatorului respectiv pentru perioada raportată sau, după caz, la sfârşitul perioadei de raportare;

c) valoarea indicatorului - dacă sunt înregistrate valori diferite de zero ale indicatorului respectiv pentru perioada raportată sau, după caz, la sfârşitul perioadei de raportare.

 

Indicatori de raportat:

 

Obiectiv în perioada de raportare

Indicator

1

2

Indicatori referitori la accesarea online a serviciilor oferite de entitate

 

Număr de clienţi (total utilizatori) care accesează serviciile online oferite de entitate

Indicatori referitori la persoanele care pot să efectueze modificări ale sistemelor/programelor informatice importante

 

Număr de persoane (total utilizatori) care au acces direct la bazele de date ale entităţii (referitor la portofolii, tranzacţii şi active) cu drepturi de modificare asupra acestora, rol de administrator sau privilegii echivalente

 

Număr de persoane (total utilizatori) care au drepturi de modificare asupra programelor informatice importante ale entităţii (programe informatice interne/externe/online accesate via internet)

Indicatori referitori la principiul dublei validări prin operaţiuni în sistemele informatice importante

 

Număr de operaţiuni INIŢIATE care presupun dubla validare

 

Număr de operaţiuni CONFIRMATE care presupun dubla validare

 

Număr de operaţiuni ANULATE care presupun dubla validare

Indicatori referitori la accesul la sistemele informatice importante

 

Număr de persoane (total utilizatori) care au acces la sistemele informatice importante care conţin informaţii referitoare la portofolii, tranzacţii şi active

 

Număr administratori de sistem (total utilizatori) care au acces la credenţialele conturilor de acces ale clienţilor

Indicatori referitori la incidente interne de securitate informatică, declarate

 

Număr total incidente interne de securitate informatică

 

Număr total incidente informatice externe

 

Număr încălcări politică şi proceduri securitate

 

Număr pierderi date generate de acţiuni neaprobate

 

Număr incidente declarate aferente pierderii de date (date electronice)

 

Număr de incidente declarate care au dus la distrugere accidentală sau intenţionată de documente/ înregistrări/fişiere

 

Număr de incidente declarate de încălcare gravă a regulilor/fraude/înşelătorii

 

Număr incidente declarate de distrugere în centrul de date

 

Număr mediu de zile de la identificarea unui incident de securitate până la rezolvarea acestuia

Niveluri servicii agreate interne şi pentru clienţi

 

Număr ore de indisponibilitate neprogramată a sistemelor informatice importante la care au acces clienţii (precum, dar nelimitat la aplicaţii de tranzacţionare online, aplicaţii online pentru subscrierea de poliţe de asigurare)

 

Număr de ore de indisponibilitate neprogramată a serviciilor IT externalizate care afectează serviciile oferite către clienţii entităţilor

Management schimbări

 

Numărul programelor informatice importante

 

Numărul de modificări aduse programelor informatice importante

 

Număr erori în exploatare generate de deficienţe în proiectarea sistemelor informatice importante

 

Număr erori în exploatare neidentificate în testarea sistemelor informatice importante

Indicatori managementul continuităţii

 

Număr de teste efectuate conform planului de continuitate a afacerii

 

Număr de teste efectuate conform planului de recuperare în caz de dezastru

Audituri şi testări

 

Număr de audituri interne anuale

 

 


Copyright 1998-2024
DSC.NET All rights reserved.