Acest ghid este destinat directorilor de securitate, ofițerilor de conformitate și echipelor ICT din bănci licențiate și instituții de credit care trebuie să implementeze cadrul de management al riscului ICT conform NIS2/Legea 362/2022 și să suprapună obligațiile cu cerințele DORA până în octombrie 2026.
Bănci licențiate, bănci de economii și instituții de credit supuse supravegherii bancarenationale din România, indiferent de mărime, sunt clasificate ca entități esențiale sub NIS2. Obligațiile se aplică tuturor instituțiilor cu autorizație de funcționare emisă de BNR și care desfășoară activități de creditare, depozite sau alte servicii financiare reglementate.
Instituția trebuie să dezvolte și să mențină documentat un cadru cuprinzător de management al riscului ICT care să identifice, să evalueze și să mitige riscurile de securitate cibernetică aferente sistemelor core-banking, platformelor de plăți și infrastructurii IT. Documentația trebuie să includă politici de clasificare a activelor, proceduri de gestionare a vulnerabilităților și planuri de continuitate operațională specifice sistemelor critice. Cadrul trebuie revizuit și actualizat anual, cu teste de penetrare și evaluări de vulnerabilitate la sisteme core-banking și aplicații cu acces la date sensibile.
Fiecare contract cu furnizori ICT (inclusiv platforme fintech, servicii cloud, procesatori de plăți) trebuie să includă clauze exprese privind securitatea cibernetică, auditurile de securitate și dreptul instituției de a efectua evaluări de audit pe cont propriu. Contractele trebuie să prevadă notificarea în timp real a incidentelor de securitate, cerințe de conformitate cu standardele NIST/ISO 27001 și condiții de ieșire în caz de nerespectare a obligațiilor. Instituția trebuie să întocmească registru al furnizorilor critici (Tier 1 și Tier 2) și să efectueze evaluări de datorii anuale.
Incidentele de securitate cibernetică care afectează disponibilitatea, integritatea sau confidențialitatea datelor clienților trebuie raportate într-un termen de maximum 24 ore către DNSC (autoritatea de supraveghere financiară) și către CSIRT-ul național. Instituția trebuie să definească criterii clare de clasificare a incidentelor (major, mediu, minor) și să documenteze fiecare incident cu detalii tehnice, impact asupra clienților și măsuri remediale. Raportul trebuie să includă descrierea activității malware, vectorul de atac, sistemele afectate și pasii de remediere implementați.
Instituția trebuie să efectueze cel puțin două teste de penetrare anuale (o dată intern, o dată extern) pentru toate sistemele critice, inclusiv core-banking, platforme de internet banking și API-uri de plată. Evaluări de vulnerabilitate trebuie efectuate cel puțin trimestrial pentru aplicații și infrastructură, cu prioritate pe sistemele legacy care nu sunt capabile să ruleze scanning modern. Rapoartele de testare trebuie să includă severitate CVSS, remediation timeline și dovezi de remediere pentru vulnerabilități identificate.
Pentru bănci, obligațiile NIS2 sunt absorbite în cadrul DORA (Digital Operational Resilience Act), ceea ce înseamnă că documentația, testarea și raportarea trebuie să se conformeze simultane ambelor framework-uri. Instituția trebuie să mapeze fiecare cerință NIS2 la cerințele DORA echivalente (ex: testare de stres ICT, audit intern de reziliență digitală) și să mențină o matrice de conformitate unificată. Autoritatea de supraveghere (BNR) va verifica conformitatea cu ambele cadre în inspecții on-site.
NIS2 stabilește cerințe minime globale de securitate cibernetică (raportare incidente, gestionare furnizori, testare penetrare), în timp ce DORA impune standarde mai înalte specifice instituțiilor financiare europene, inclusiv testare de stres ICT și audit intern de reziliență digitală. Pentru bănci din România, ambele cadre sunt aplicabile și suprapuse — obligațiile NIS2 sunt 'absorbite' în DORA, ceea ce înseamnă că trebuie să îndeplinesc ambele, cu DORA fiind mai strictă.
Minim: core-banking (front-end și backend), internet banking, aplicații mobile de banking, API-uri de plată, sisteme de autentificare și platforme de management al accesului. Pentru sistemele legacy care nu pot rula scanning automat, trebuie efectuate evaluări manuale de securitate și testare logic-level. Contractele cu furnizorii terți (cloud, payment processors) trebuie să includă testare de penetrare a API-urilor și interfețelor de integrare.
Incidentele majore trebuie raportate în maxim 24 de ore de la detectare la DNSC și CSIRT-ul național. Raportarea tardivă poate rezulta în amenzi de pân la 10% din venituri anuale conform NIS2, plus sancțiuni administrative de BNR conform DORA (pân la 5 milioane EUR sau 2% din venituri anuale). Instituția trebuie să înțeleagă că termenul de 24 ore se calculeaza de la identificarea incidentului ca major, nu de la confirmarea acestuia.