Acest ghid detaliază obligațiile specifice NIS2 pentru companiile fintech, procesatorii de plăți și platformele de creditare digitală din România clasificate ca entități importante. Veți afla care sunt cerințele concrete de management al riscurilor ICT, testarea securității API și raportarea incidentelor conform DNSC.
Companiile fintech, procesatorii de plăți, neobancile și platformele de creditare digitală din România cu activități critice în prelucrarea plăților, gestionarea fondurilor sau acordarea de credite sunt clasificate ca entități importante sub NIS2. Prag de clasificare include companiile care oferă servicii de plată sau de creditare și procesează date sensibile ale clienților pe o scară semnificativă.
Trebuie să implementați un sistem de management al riscurilor ICT adaptat mărimii companiei și criticității serviciilor de plată oferite. Pentru fintech și procesatori de plăți, aceasta include identificarea vulnerabilităților în API-urile de plată, aplicațiile mobile și sistemele backend care procesează tranzacții. Documentația riscurilor trebuie să fie revizuită anual și să includă scenarii de întrerupere a serviciilor de plată.
Toți procesatorii de plăți și platformele fintech trebuie să efectueze teste de penetrare și evaluări de vulnerabilități pe API-urile de plată și aplicațiile mobile cel puțin o dată pe an, și după fiecare modificare majoră a codului. Rezultatele testelor trebuie documentate și remedierea vulnerabilităților critice trebuie să se finalizeze în termen de 30 de zile de la identificare.
Securitatea datelor clienților trebuie să satisfacă atât cerințele NIS2 cât și GDPR/PSD2. Aceasta include criptarea end-to-end pentru datele în tranzit, autentificarea multifactor pentru accesul administratorilor la sisteme, și audite regulate de conformitate. Platformele de creditare digitală trebuie să proteejeze datele de credit și informațiile financiare ale solicitanților cu standarde de securitate industriale.
Incidentele de securitate ICT care afectează serviciile de plată sau procesarea datelor clienților trebuie raportate DNSC în maxim 24 de ore de la detectare dacă provoacă întreruperea serviciului sau expunerea masivă de date. Raportul trebuie să includă natura incidentului, sisteme afectate, volumul de tranzacții întrerupte și măsuri de remediere inițiate. Neraportarea incidentelor critice atrage amenzi de până la 10 milioane euro.
Trebuie să stabiliți contracte formale cu furnizorii cloud și partenerii de servicii care să include clauze de securitate ICT, audit rights și notificări obligatorii în caz de incident. Furnizori de cloud care procesează date de plată trebuie să fie certificați conform ISO 27001 și să accepte audituri de conformitate anuale efectuate de dumneavoastră sau de audit extern.
Fintech-urile și procesatorii de plăți din România sunt clasificati ca entități importante dacă procesează plăți cu valoare cumulată semnificativă (în general peste 5 milioane EUR anual în volumul tranzacțiilor) sau dacă sunt furnizori critici de servicii pentru sistemul de plăți național. Clasificarea finală o face DNSC pe baza unei evaluări a criticității serviciilor.
Planul trebuie să cuprindă: (1) inventarul de active ICT critice (baze de date de creditare, API-uri, sisteme de autentificare); (2) amenințări specifice (atacuri de injecție SQL pe API, fraud tranzacțional, phishing administratorilor); (3) măsuri de control implementate cu dată de implementare; (4) teste de penetrare anuale documentate; (5) plan de continuitate a serviciului cu RTO maxim 4 ore pentru platforme de creditare active.
Neraportarea unui incident critice de securitate ICT (care afectează disponibilitatea serviciilor de plată sau expune date de clienți) în 24 de ore atrage amenzi administrativ-penale de până la 10 milioane euro sau 2% din veniturile globale anuale, cichichea cea mai mare valoare. Raportarea tardivă (după 24 de ore dar înainte de 72 de ore) poate rezulta în amenzi mai mici, dar DNSC evaluează intent și circumstanțe specifice.