Digitalizarea sectorului serviciilor financiare atrage după sine creșterea riscurilor de tehnologia informațiilor și comunicațiilor (TIC) pentru entitățile financiare; creșterea atacurilor cibernetice asupra entităților financiare și a incidentelor de securitate cibernetică la acestea sunt de asemenea elemente importante de risc operațional pentru entitățile financiare și autoritățile lor de supraveghere.
Uniunea Europeană a adoptat, în ultimii ani, mai multe acte normative privind aspecte de securitate cibernetică în sectorul serviciilor financiare (precum Directiva NIS 1, care stabilește obligații în materie de securitate cibernetică pentru instituții de credit și operatori de infrastructură de piață financiară, urmată de Directiva NIS 2, aflată în curs de transpunere în România). O parte importantă din acest cadru de reglementare în materie de securitate cibernetică este Regulamentul UE nr. 2022/2554 privind reziliența operațională digitală a sectorului financiar (în continuare, Regulamentul DORA), care aduce prevederi importante în legătură cu gestionarea securității cibernetice a entităților din sectorul serviciilor financiare, într-un cadru care depășește cu mult reglementarea din legislația NIS. Regulamentul DORA armonizează, de fapt, prevederile existente în legătură cu gestionarea riscurilor TIC de către entitățile financiare într-o reglementare robustă, de aplicabilitate uniformă în Uniunea Europeană.
Ne propunem să prezentăm în acest seminar cerințele de securitate cibernetică aplicabile entităților financiare potrivit Regulamentului DORA, în principal, precum și potrivit legislației NIS (în special, Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, care implementează Directiva NIS 1, și Directiva NIS 2, respectiv nr. 2022/2555 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, aflată în curs de transpunere în România). Vom analiza și prezenta cerințele din actele normative și aspecte practice legate de aplicarea acestora, precum ar fi cele legate de aplicarea acestor cerințe împreună cu reglementări precum cele privind externalizarea aplicabilă entităților financiare.
Vom identifica ce tipuri de entități financiare fac obiectul reglementării analizate și ce obligații le sunt aplicabile potrivit reglementărilor aplicabile. Vom analiza, de asemenea, ce implicații au aceste reglementări pentru membrii conducerii entităților financiare. Vom analiza chestiuni practice legate de cerințele din reglementare și de punerea în practică a acestora, precum și aspectele instituționale relevante pentru entitățile financiare. Vom discuta rolul autorităților naționale și, în general, cadrul instituțional relevant în materie de securitate cibernetică pentru entitățile financiare. Vom dezbate impactul reglementărilor europene asupra entităților financiare și în special asupra departamentelor juridic, IT și de securitate.
Tematica:
- Aspecte generale de reglementare de securitate cibernetică pentru entitățile din sectorul serviciilor financiare;
- Identificarea categoriilor de entități financiare cărora li se aplică cerințele de securitate cibernetică din legislația europeană;
- Cum se completează reglementările de securitate cibernetică în aplicarea lor; se mai aplică legislația NIS entităților financiare?
- Care sunt direcțiile de reglementare din Regulamentul DORA pentru entitățile financiare;
- Ce au de făcut entitățile financiare pentru a respecta cerințele privind gestionarea riscurilor TIC din Regulamentul DORA;
- Gestionarea incidentelor de securitate potrivit Regulamentului DORA;
- Care sunt regulile privind testarea sistemelor TIC ale entităților financiare și aspecte practice legate de testarea sistemelor TIC;
- Gestionarea relațiilor entităților financiare cu furnizorii de servicii, partenerii de afaceri și terții, în general, potrivit Regulamentului DORA;
- Aplicarea cerințelor de securitate cibernetică împreună cu alte tipuri de cerințe aplicabile entităților financiare (de ex., cele privind externalizarea).
Este avocat înregistrat în Baroul București, cu o experiență de peste 19 ani acumulată în mari case de avocatură din România. Costin este specializat în dreptul tehnologiilor, protecția datelor și securitatea informației și are funcția de Counsel în cadrul Stratulat Albulescu SPARL. El are experiență și în tranzacții de finanțări bancare și de piață de capital, instrumente financiare derivate, consultanță privind aspecte de reglementare și de conformitate, în special în sectorul financiar, sau tranzacții M&A.
Costin furnizează asistență juridică clienților săi în proiecte cu componentă de tehnologie, acoperind aspecte precum identificarea cadrului de reglementare aplicabil activității și conformarea cu acesta, redactarea și negocierea de contracte, identificarea și gestionarea aspectelor de protecția datelor și securitate a informației relevante pentru companii, structurarea și protejarea drepturilor de proprietate intelectuală, gestionarea crizelor și incidentelor, precum și aspecte juridice asociate cu activități din industria IT&C.
