În temeiul prevederilor art. 2 alin. (1), art. 3 alin. (1) lit. b), art. 5, art. 6 alin. (2) și ale art. 14 din Ordonanța de urgență a Guvernului nr. 93/2012 privind înființarea, organizarea și funcționarea Autorității de Supraveghere Financiară, aprobată cu modificări și completări prin Legea nr. 113/2013, cu modificările și completările ulterioare,<!–>în urma deliberărilor Consiliului Autorității de Supraveghere Financiară din ședința din data de 25.08.2021, –>Autoritatea de Supraveghere Financiară emite prezenta normă. +
Articolul INorma Autorității de Supraveghere Financiară nr. 4/2018 privind gestionarea riscurilor operaționale generate de sistemele informatice utilizate de entitățile autorizate/ avizate/înregistrate, reglementate și/sau supravegheate de către Autoritatea de Supraveghere Financiară, publicată în Monitorul Oficial al României, Partea I, nr. 233 din 16 martie 2018, cu modificările ulterioare, se modifică și se completează după cum urmează: 1.<!–>La articolul 2, după litera k) se introduce o nouă literă, litera l), cu următorul cuprins:l)–>administratorii fondurilor de pensii ocupaționale … … 2.Articolul 11 se modifică și va avea următorul cuprins: +
Articolul 11Încadrarea entităților prevăzute la art. 2 lit. k) și l) se realizează individual în categoriile de risc prevăzute la art. 9, conform prevederilor art. 44 alin. (4) lit. e) și ale art. 51 din Norma Autorității de Supraveghere Financiară nr. 3/2014 privind controlul intern, auditul intern și administrarea riscurilor în sistemul de pensii private, cu modificările și completările ulterioare.<!–> … 3.–>La articolul 15, alineatele (2) și (3) se modifică și vor avea următorul cuprins:(2)<!–>Entitățile au obligația ca, anual, să efectueze o scanare de vulnerabilități prin intermediul căreia trebuie evaluat și modul în care au fost soluționate vulnerabilitățile critice constatate anterior în cadrul scanărilor similare.(3)–>Testele de penetrare regăsite în tabelul din anexa nr. 2 la lit. B) pct. 8 lit. c) au drept obiectiv testarea securității aplicațiilor incluse în scopul auditului IT, testarea securității sistemelor de operare utilizate în cadrul entității și testarea securității infrastructurii rețelei. … 4.<!–>La articolul 15, după alineatul (4) se introduce un nou alineat, alineatul (4^1), cu următorul cuprins:(4^1)–>În executarea obligației prevăzute la alin. (4), entitățile trebuie să se asigure că persoanele care efectuează testarea dețin cel puțin una dintre următoarele certificări: CEH – Certified Ethical Hacker, GPEN – GIAC Certified Penetration Tester, GWAPT – GIAC Web Application, LPT – Licensed Penetration Tester, OPST – OSSTMM Professional Security Tester Accredited Certification, OSCE – Offensive Security Certified Expert, OSCP – Offensive Security Certified Professional, PTC – MILLE2 Certified Penetration Testing Consultant, CPT – Certified Penetration Tester, GIAC – Penetration Tester (GPEN), GIAC – Web Application Penetration Tester (GWAPT), GIAC – Exploit Researcher and Advanced Penetration Tester (GXPN), GIAC – Mobile Device Security Analyst (GMOB), GIAC – Assessing and Auditing Wireless Networks (GAWN), CREST – Certified Simulated Attack Specialist, CSX – Cybersecurity Nexus. … 5.<!–>La articolul 15, după alineatul (5) se introduc două noi alineate, alineatele (6) și (7), cu următorul cuprins:(6)–>Entitățile au obligația să elaboreze și să aplice o metodologie privind procesul de identificare, soluționare și raportare către A.S.F. a incidentelor de securitate cu cel mai mare grad de severitate apărute la nivelul sistemelor informatice importante, în scopul monitorizării și înregistrării acestora.(7)<!–>În metodologia prevăzută la alin. (6) entitățile trebuie să stabilească praguri și criterii corespunzătoare pentru clasificarea unui eveniment drept incident de securitate în diferite grade de severitate și să prevadă un termen maxim de raportare către A.S.F. a incidentelor de securitate cu cel mai mare grad de severitate apărute la nivelul sistemelor informatice importante, termen ce nu poate depăși două zile lucrătoare. … 6.–>La articolul 21, după alineatul (2) se introduce un nou alineat, alineatul (3), cu următorul cuprins:(3)<!–>În cazul entităților nou-înființate, primul audit se efectuează după expirarea perioadei supuse auditului, prevăzută la alin. (1), după cum urmează:a)–>în situația în care entitatea este autorizată/avizată/ înregistrată în primele 6 luni ale anului calendaristic, anul respectiv reprezintă primul an calendaristic al misiunilor de audit IT; … b)<!–>în situația în care entitatea este autorizată/ avizată/înregistrată în ultimele 6 luni ale anului calendaristic, primul an al misiunii de audit IT se calculează începând cu anul calendaristic următor celui în care a fost autorizată/avizată/ înregistrată, iar prima misiune de audit IT va viza și perioada rămasă până la sfârșitul anului calendaristic în care entitatea a fost autorizată/avizată/înregistrată. … … 7.–>Articolul 39 se modifică și va avea următorul cuprins: +
Articolul 39(1)<!–>În vederea înscrierii în lista prevăzută la art. 38, auditorul IT extern depune la A.S.F. cererea prevăzută în anexa nr. 5, însoțită de documentația care trebuie să cuprindă următoarele, după caz:1.–>pentru auditorul IT extern – persoană fizică autorizată care va semna raportul de audit, se depun următoarele documente: a)<!–>actul de identitate al auditorului IT, în copie; … b)–>curriculum vitae în format Europass, datat și semnat, în care se precizează studiile și cursurile de formare relevante, experiența profesională în auditarea IT a sistemelor informatice, natura și durata atribuțiilor îndeplinite; … c)<!–>certificatul CISA emis de ISACA în termenul de valabilitate, în copie, semnată pentru conformitate cu originalul; … d)–>scrisori de recomandare, care să ateste experiența în domeniul de audit IT extern al sistemelor informatice, incluzând datele de contact ale persoanelor care pot oferi referințe; … e)<!–>certificatul de cazier judiciar și certificatul de cazier fiscal în original, în termenul de valabilitate; … f)–>declarație pe propria răspundere sub semnătură olografă, din care să rezulte că nu a fost sancționat de către autoritățile române sau străine din domeniul financiar cu interdicția de a desfășura activități în sistemul financiar-bancar ori cu interdicția temporară de a desfășura astfel de activități în ultimii 10 ani; … g)<!–>contract de asigurare de răspundere civilă profesională, pentru suma asigurată de minimum 100.000 euro, în vigoare, în copie; … h)–>documentul de plată a tarifului de înscriere în lista prevăzută la art. 38, în copie; … … 2.<!–>pentru auditorul IT extern – persoană juridică, se depun următoarele documente: a)–>certificat constatator emis de Oficiul Național al Registrului Comerțului, cu starea la zi a persoanei juridice, în original; … b)<!–>actul de identitate al reprezentantului legal al auditorului IT extern – persoană juridică, în copie; … c)–>decizia/hotărârea organului statutar al societății de numire a coordonatorului societății de audit IT care va semna, în numele și pe seama societății de audit IT, raportul de audit:(i)<!–>auditori IT din cadrul societății (salariați proprii, reprezentant legal sau membrii conducerii societății); … (ii)–>auditor IT persoană fizică cu care societatea a încheiat un contract de prestări servicii pentru a întocmi raportul de audit în numele și pe seama societății; … … d)<!–>contract de prestări servicii încheiat cu persoana menționată la lit. c) pct. (ii) care va semna, în numele și pe seama societății, raportul de audit, în copie; … e)–>documentele prevăzute la pct. 1 lit. a)-f) pentru coordonatorul certificat al societății de audit IT persoană fizică menționat în decizia/hotărârea organului statutar prevăzută la lit. c); … f)<!–>contract de asigurare de răspundere civilă profesională pentru suma asigurată de minimum 100.000 euro, în vigoare, în copie; … g)–>documentul de plată a tarifului de înscriere în lista prevăzută la art. 38, în copie. … … (2)<!–>Documentele care nu sunt emise în limba română se depun în copie, împreună cu traducerea legalizată a acestora.(3)–>Pentru documentele depuse în copie, în vederea asigurării conformității cu originalele, acestea sunt semnate de auditorul IT persoană fizică, respectiv de reprezentantul legal al auditorului IT persoană juridică, după caz. … 8.Articolul 41 se modifică și va avea următorul cuprins: +
Articolul 41(1)<!–>Orice modificare a documentației prevăzute la art. 39 pct. 1 lit. a), c), e), f) și g) și la pct. 2 lit. a)-d) și f) trebuie transmisă A.S.F. în termen de maximum 30 de zile de la data efectuării modificării.(2)–>Prevederile alin. (1) se aplică și coordonatorului certificat al societății de audit IT prevăzut la art. 39 pct. 2 lit. e) pentru documentația prevăzută la art. 39 pct. 1 lit. a), c), e), f) și g). … 9.Articolul 43 se modifică și va avea următorul cuprins: +
Articolul 43(1)<!–>Pentru toate situațiile menționate la art. 42 lit. c) și d), A.S.F. transmite auditorului IT extern o notificare prealabilă prin care i se aduc la cunoștință faptele pentru care A.S.F. va proceda la inițierea demersurilor pentru radierea din Lista auditorilor IT externi. (2)–>În situațiile în care A.S.F. nu poate contacta auditorul IT extern care se află în unul dintre cazurile menționate la art. 42 lit. b) sau acesta nu transmite informațiile solicitate în conformitate cu prevederile art. 41, pentru clarificarea situației se solicită informațiile necesare de la Oficiul Național al Registrului Comerțului. … 10.Articolul 55 se modifică și va avea următorul cuprins: +
Articolul 55Anexele nr. 1-5 fac parte integrantă din prezenta normă.<!–> … 11.–>La anexa nr. 1, punctul 5 se modifică și va avea următorul cuprins:5.<!–>auditor IT extern – persoană care derulează o activitate de auditare a sistemelor informatice, conform reglementărilor și bunelor practici în domeniu precum:(i)–>persoana fizică autorizată care deține certificatul CISA emis de ISACA; … (ii)<!–>persoană juridică cu personal propriu care deține certificatul CISA emis de ISACA sau, după caz, cu contract de prestări servicii încheiat cu o persoană fizică care deține certificatul CISA emis de ISACA, care va semna în numele și pe seama societății raportul de audit în calitate de coordonator; … … … 12.–>La anexa nr. 1, după punctul 9 se introduce un nou punct, punctul 9^1, cu următorul cuprins:9^1.<!–>CISA – auditor certificat de sisteme informatice/Certified Information Systems Auditor; … … 13.–>La anexa nr. 3 punctul I „Raportul de audit IT“, în coloana „Capitol“, literele F și G se modifică și vor avea următorul cuprins:
| „F |
Datele de identificare ale coordonatorului certificat al echipei de audit IT extern persoană juridică/auditorului IT extern persoană fizică autorizată/auditorului IT intern certificat al entității auditate |
| G |
Semnătura coordonatorului certificat al echipei de audit și semnătura reprezentantului legal al auditorului IT extern persoană juridică/Semnătura auditorului IT extern persoană fizică autorizată/Semnătura auditorului IT intern certificat al entității auditate.“ |
<!–> … 14.–>La anexa nr. 3 punctul II „Anexe la raportul de audit IT“, punctul 5 se modifică și va avea cuprinsul prevăzut în anexa nr. 1, care face parte integrantă din prezenta normă. … 15.<!–>La anexa nr. 3 punctul II „Anexe la raportul de audit IT“, punctul 7 se modifică și va avea următorul cuprins:7.–>Declarație pe propria răspundere a reprezentantului legal al entității auditate IT cu resurse interne. Anexa conține informații cu privire la efectuarea auditului IT cu resurse interne certificate care sunt independente față de activitatea auditată și certificatul CISA emis de ISACA în termenul de valabilitate, în copie, semnată pentru conformitate cu originalul. … … 16.<!–>După anexa nr. 4 se introduce o nouă anexă, anexa nr. 5, având cuprinsul prevăzut în anexa nr. 2, care face parte integrantă din prezenta normă. … –> +
Articolul IIAuditul IT în curs de desfășurare la data intrării în vigoare a prezentei norme va continua în conformitate cu reglementările în vigoare la data începerii auditului IT. +
Articolul IIIPrezenta normă se publică în Monitorul Oficial al României, Partea I, și intră în vigoare la data publicării.<!–>
Președintele Autorității de Supraveghere Financiară,–>
Nicu Marcu<!–>București, 25 august 2021.–>Nr. 24. +
Anexa nr. 1<!–>5.–>Concluzii ale echipei de audit privind respectarea cerințelor impuse
| Nr.<!–> |
Articol supus verificării–> |
Conformitate DA/NU/PARȚIAL/NEAPLICABIL<!–> |
Comentarii/Motivații în cazul nerespectării prevederii–> |
| 1.<!–> |
Art. 3 (3)–> |
|
|
| 2.<!–> |
Art. 6 (1)–> |
|
|
| 3.<!–> |
Art. 6 (2)–> |
|
|
| 4.<!–> |
Art. 15 (1)–> |
|
|
| 5.<!–> |
Art. 15 (2)–> |
|
|
| 6.<!–> |
Art. 15 (3)–> |
|
|
| 7.<!–> |
Art. 15 (4)–> |
|
|
| 8.<!–> |
Art. 15 (6)–> |
|
|
| 9.<!–> |
Art. 15 (7)–> |
|
|
| 10.<!–> |
Art. 16 (1) – a)–> |
|
|
| 11.<!–> |
Art. 16 (1) – b)–> |
|
|
| 12.<!–> |
Art. 16 (1) – c)–> |
|
|
| 13.<!–> |
Art. 16 (1) – d)–> |
|
|
| 14.<!–> |
Art. 16 (1) – e)–> |
|
|
| 15.<!–> |
Art. 16 (1) – f)–> |
|
|
| 16.<!–> |
Art. 16 (1) – g)–> |
|
|
| 17.<!–> |
Art. 16 (1) – h)–> |
|
|
| 18.<!–> |
Art. 16 (2)–> |
|
|
| 19.<!–> |
Art. 17 (1)–> |
|
|
| 20.<!–> |
Art. 17 (2)–> |
|
|
| 21.<!–> |
Art. 18 (1) – a)–> |
|
|
| 22.<!–> |
Art. 18 (1) – b)–> |
|
|
| 23.<!–> |
Art. 18 (1) – c)–> |
|
|
| 24.<!–> |
Art. 18 (1) – d)–> |
|
|
| 25.<!–> |
Art. 18 (1) – e)–> |
|
|
| 26.<!–> |
Art. 19 – a)–> |
|
|
| 27.<!–> |
Art. 19 – b)–> |
|
|
| 28.<!–> |
Art. 19 – c)–> |
|
|
| 29.<!–> |
Art. 19 – d)–> |
|
|
| 30.<!–> |
Art. 20 – a)–> |
|
|
| 31.<!–> |
Art. 20 – b)–> |
|
|
| 32.<!–> |
Art. 20 – c)–> |
|
|
| 33.<!–> |
Art. 20 – d)–> |
|
|
| 34.<!–> |
Art. 35 (1) – a)–> |
|
|
| 35.<!–> |
Art. 35 (1) – b)–> |
|
|
| 36.<!–> |
Art. 35 (1) – c)–> |
|
|
| 37.<!–> |
Art. 35 (2)–> |
|
|
| 38.<!–> |
Art. 36 (1)–> |
|
|
| 39.<!–> |
Art. 36 (2) – a)–> |
|
|
| 40.<!–> |
Art. 36 (2) – b)–> |
|
|
| 41.<!–> |
Art. 36 (2) – c)–> |
|
|
| 42.<!–> |
Art. 36 (2) – d)–> |
|
|
| 43.<!–> |
Art. 36 (2) – e)–> |
|
|
| 44.<!–> |
Art. 36 (2) – f)–> |
|
|
| 45.<!–> |
Art. 36 (2) – g)–> |
|
|
| 46.<!–> |
Art. 36 (2) – h)–> |
|
|
| 47.<!–> |
Art. 36 (2) – i)–> |
|
|
| 48.<!–> |
Art. 37–> |
|
|
| 49.<!–> |
Art. 45–> |
|
|
| 50.<!–> |
Art. 46 (1) – a)–> |
|
|
| 51.<!–> |
Art. 46 (1) – b)–> |
|
|
| 52.<!–> |
Art. 46 (1) – c)–> |
|
|
| 53.<!–> |
Art. 46 (1) – d)–> |
|
|
| 54.<!–> |
Art. 46 (2)–> |
|
|
| 55.<!–> |
Art. 47–> |
|
|
| 56.<!–> |
Art. 48 – a)–> |
|
|
| 57.<!–> |
Art. 48 – b)–> |
|
|
| 58.<!–> |
Art. 48 – c)–> |
|
|
… <!–>–> +
Anexa nr. 2<!–>(Anexa nr. 5 la Norma A.S.F. nr. 4/2018)–>
CERERE<!–>
pentru înscrierea în Lista auditorilor IT externi menținută de A.S.F. –><!–>1.–>Denumirea completă/Numele complet: …………………………………….. … 2.<!–>Sediul social: …………………………………………………………………. … 3.–>Adresa unde își desfășoară activitatea: ………………………………….. … 4.<!–>Numărul de telefon: …………………………………………………………. … 5.–>Numărul de fax: ……………………………………………………………… … 6.<!–>Adresa de e-mail: …………………………………………………………… … 7.–>Reprezentantul legal: ……………………………………………………….. … 8.<!–>Adresa paginii de internet: …………………………………………………. … 9.–>Opisul documentelor depuse în anexa la cerere, în conformitate cu art. 39 din Norma Autorității de Supraveghere Financiară nr. 4/2018 privind gestionarea riscurilor operaționale generate de sistemele informatice utilizate de entitățile autorizate/avizate/înregistrate, reglementate și/sau supravegheate de către Autoritatea de Supraveghere Financiară, cu modificările și completările ulterioare. … Subsemnatul^1, …………………………….……, cunoscând dispozițiile art. 326 din Codul penal cu privire la falsul în declarații, declar pe propria răspundere că toate informațiile furnizate sunt corecte, complete și conforme cu realitatea.<!–>Totodată, menționez că sunt de acord cu prelucrarea datelor personale^2 în scopul exercitării atribuțiilor A.S.F. și mă angajez să comunic A.S.F. toate modificările privind informațiile furnizate. –>
| Data <!–>……………….. –> |
Semnătura <!–>…………………… –> |
^1 Se completează numele și prenumele auditorului IT persoană fizică/reprezentantului legal al auditorului IT persoană juridică, astfel cum apare în actul de identitate.<!–>^2 Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.–><!–>–>–-<!–>–>
