ORDIN nr. 5 din 5 noiembrie 2021

Având în vedere prevederile art. 22 din Legea nr. 312/2004 privind Statutul Băncii Naționale a României și ale art. 404 și 405 din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare,în temeiul dispozițiilor art. 48 din Legea nr. 312/2004 privind Statutul Băncii Naționale a României,Banca Națională a României emite următorul ordin: + 
Articolul IAnexa II la Ordinul Băncii Naționale a României nr. 4/2015 privind funcționarea sistemului de plăți TARGET2 – România, publicat în Monitorul Oficial al României, Partea I, nr. 436 și 436 bis din 18 iunie 2015, cu modificările și completările ulterioare, se modifică și se completează după cum urmează:1.La articolul 1 punctul (24) definiția „grup“ (group), litera (a) se modifică și va avea următorul cuprins:(a)un ansamblu de instituții de credit incluse în declarațiile financiare consolidate ale societății-mamă în cazul în care societatea-mamă este obligată să prezinte declarații financiare consolidate conform Standardului internațional de contabilitate nr. 27 (IAS 27), adoptat în conformitate cu Regulamentul (CE) nr. 1.126/2008 al Comisiei (*) și alcătuit din: (i) o societate-mamă și una sau mai multe filiale; sau (ii) două sau mai multe filiale ale unei societăți-mamă; sau(*) Regulamentul (CE) nr. 1.126/2008 al Comisiei din 3 noiembrie 2008 de adoptare a anumitor standarde internaționale de contabilitate în conformitate cu Regulamentul (CE) nr. 1.606/2002 al Parlamentului European și al Consiliului (JO L 320, 29.11.2008, p. 1). …  … 2.La articolul 1 punctul (71) definiția „furnizor de servicii de rețea TIPS“ se abrogă. … 3.La articolul 1 punctul (75), definiția „ordin de plată instant“ (instant payment order) se modifică și va avea următorul cuprins:(75)«ordin de plată instant» (instant payment order) înseamnă, în conformitate cu schema de transfer credit instant SEPA (schema SCT Inst) a Consiliului European al Plăților, o instrucțiune de plată care poate fi executată 24 de ore pe zi, în orice zi calendaristică a anului, cu procesare imediată sau aproape imediată și cu notificarea plătitorului și care include (i) ordine de plată instant din TIPS DCA în TIPS DCA, (ii) ordine de plată instant din TIPS DCA într-un cont tehnic TIPS AS, (iii) ordine de plată instant dintr-un cont tehnic TIPS AS în TIPS DCA și (iv) ordine de plată instant dintr-un cont tehnic TIPS AS într-un cont tehnic TIPS AS; … 4.La articolul 1, după punctul (80) se introduc cinci noi puncte, punctele (81)-(85), cu următorul cuprins:(81)«schema de transfer credit instant SEPA (SCT Inst) a Consiliului European al Plăților» sau «schema SCT Inst» [European Payments Council’s SEPA Instant Credit Transfer (SCT Inst) scheme] înseamnă o schemă de standarde deschise, automatizată, care prevede un set de reguli interbancare pe care trebuie să le respecte participanții la SCT Inst și care permite prestatorilor de servicii de plată din SEPA să ofere un produs automatizat de transfer credit instant în euro la nivelul SEPA;(82)«cont tehnic al sistemului auxiliar în TIPS (cont tehnic TIPS AS)» (TIPS ancillary system technical account – TIPS AS technical account) înseamnă un cont deținut de un sistem auxiliar sau de o bancă centrală în numele unui sistem auxiliar în sistemul component al TARGET2 al băncii centrale pentru a fi utilizat de sistemul auxiliar în scopul decontării plăților instant în propriile sale registre;(83)«ordin de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS» (TIPS DCA to TIPS AS technical account liquidity transfer order) înseamnă instrucțiunea de a transfera un volum specificat de fonduri dintr-un TIPS DCA într-un cont tehnic TIPS AS pentru a finanța poziția titularului de TIPS DCA (sau poziția unui alt participant la sistemul auxiliar) în registrele sistemului auxiliar;(84)«ordin de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA» (TIPS AS technical account to TIPS DCA liquidity transfer order) înseamnă instrucțiunea de a transfera un volum specificat de fonduri dintr-un cont tehnic TIPS AS către un TIPS DCA pentru a reduce poziția titularului de TIPS DCA (sau poziția unui alt participant la sistemul auxiliar) în registrele sistemului auxiliar;(85)«entitate adresabilă» (reachable party) înseamnă o entitate care: (a) are atribuit un BIC; (b) este desemnată ca entitate adresabilă de un titular de TIPS DCA sau de un sistem auxiliar; (c) este un corespondent, un client sau o sucursală a unui titular de TIPS DCA sau un participant la un sistem auxiliar, un corespondent, un client sau o sucursală a unui participant la un sistem auxiliar; și (d) este adresabilă prin intermediul Platformei TIPS și poate iniția și primi ordine de plată instant fie prin intermediul titularului de TIPS DCA sau al sistemului auxiliar, fie direct, dacă este autorizată în acest sens de titularul de TIPS DCA sau de sistemul auxiliar; … 5.La articolul 3 alineatul (2), litera (f^3) se modifică și va avea următorul cuprins:(f^3)ordine de transfer de lichiditate din TIPS DCA în PM și ordine de transfer de lichiditate din PM în TIPS DCA; …  … 6.La articolul 3 alineatul (2), după litera (f^3) se introduce o nouă literă, litera (f^4), cu următorul cuprins:(f^4)ordine de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS și ordine de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA; și …  … 7.La articolul 3, alineatul (3) se modifică și va avea următorul cuprins:(3)TARGET2 asigură decontarea pe bază brută în timp real a plăților în euro, cu decontare în banii băncii centrale în conturile PM, T2S DCA și TIPS DCA. TARGET2 este organizat și funcționează pe baza SSP, prin intermediul căreia sunt inițiate și procesate ordinele de plată și prin care, în final, sunt primite plăți prin aceleași metode tehnice. În ceea ce privește funcționarea tehnică a T2S DCA, TARGET2 este organizat din punct de vedere tehnic și funcționează pe Platforma T2S. În ceea ce privește funcționarea tehnică a TIPS DCA și a conturilor tehnice TIPS AS, TARGET2 este organizat din punct de vedere tehnic și funcționează pe Platforma TIPS. … 8.Articolul 5 se modifică și va avea următorul cuprins: + 
Articolul 5Participanți direcți(1)Titularii de cont PM în TARGET2 – România sunt participanți direcți și îndeplinesc condițiile stabilite în art. 8 alin. (1) și (2). Aceștia trebuie să aibă deschis cel puțin un cont PM la BNR. Titularii de cont PM care au aderat la schema SCT Inst prin semnarea Acordului de aderare la schema de transfer credit instant SEPA sunt și rămân adresabili pe Platforma TIPS în orice moment, fie ca titulari de TIPS DCA, fie ca entități adresabile prin intermediul unui titular de TIPS DCA.(2)Titularii de cont PM pot desemna titulari de BIC adresabili, indiferent de locul de stabilire al acestora. Titularii de cont PM pot desemna titulari de BIC adresabili care au aderat la schema SCT Inst prin semnarea Acordului de aderare la schema de transfer credit instant SEPA numai dacă astfel de entități sunt adresabile pe Platforma TIPS, fie ca titulari de TIPS DCA, fie ca entități adresabile prin intermediul unui titular de TIPS DCA.(3)Titularii de cont PM pot desemna entități ca participanți indirecți în PM numai dacă sunt îndeplinite condițiile prevăzute în art. 6. Titularii de cont PM pot desemna ca participanți indirecți entități care au aderat la schema SCT Inst prin semnarea Acordului de aderare la schema de transfer credit instant SEPA, numai dacă astfel de entități sunt adresabile pe Platforma TIPS, fie ca titulari de TIPS DCA la BNR, fie ca entități adresabile prin intermediul unui titular de TIPS DCA.(4)Accesul multiadresant prin intermediul sucursalelor poate fi furnizat după cum urmează:(a)o instituție de credit în sensul art. 4 alin. (1) lit. (a) sau (b) din prezenta anexă, care a fost admisă ca titular de cont PM, poate acorda acces la contul său PM uneia sau mai multor sucursale ale sale stabilite în Uniune sau în SEE pentru a iniția ordine de plată și/sau a primi plăți în mod direct, cu condiția ca BNR să fi fost informată în mod corespunzător; … (b)când o sucursală a unei instituții de credit a fost admisă ca titular de cont PM, celelalte sucursale ale aceleiași persoane juridice și/sau sediul său principal, în ambele cazuri cu condiția ca acestea să fie stabilite în Uniune sau în SEE, pot accesa contul PM al sucursalei, cu condiția să fi informat BNR. …  … 9.Articolul 28 se modifică și va avea următorul cuprins: + 
Articolul 28Cerințe privind securitatea și proceduri de control(1)Participanții implementează măsuri adecvate de securitate pentru a-și proteja sistemele împotriva accesului și utilizării neautorizate. Participanții sunt singurii responsabili pentru protecția adecvată a confidențialității, integrității și disponibilității sistemelor proprii.(2)Participanții aduc la cunoștința BNR orice incidente de securitate produse la nivelul infrastructurii tehnice proprii și, atunci când este cazul, orice incidente de securitate care se produc la nivelul infrastructurii tehnice a terților furnizori. BNR poate solicita informații suplimentare despre incident și, dacă este necesar, poate solicita participantului să ia măsurile adecvate pentru a preveni repetarea unui asemenea eveniment.(3)BNR poate impune cerințe suplimentare privind securitatea, în special în ceea ce privește securitatea cibernetică sau prevenirea fraudei, tuturor participanților și/sau participanților considerați critici de către BNR.(4)Participanții furnizează BNR: (i)acces permanent la dovada aderării lor la cerințele de securitate de punct final ale furnizorului de servicii de rețea ales; și … (ii)pe bază anuală, declarația TARGET2 privind autocertificarea, astfel cum este publicată pe website-ul BNR și pe website-ul BCE în limba engleză. … (5)BNR evaluează declarația (declarațiile) de autocertificare a(le) participantului cu privire la nivelul de conformitate al acestuia cu fiecare dintre cerințele TARGET2 privind autocertificarea. Aceste cerințe sunt enumerate în apendicele VIII, care în plus față de celelalte apendice enumerate în art. 2 alin. (1) fac parte integrantă din prezentele reguli.(6)Nivelul de conformitate al participantului cu cerințele TARGET2 privind autocertificarea se clasifică după cum urmează, în ordine crescătoare în funcție de gravitate: «conformitate deplină»; «neconformitate minoră» sau «neconformitate majoră». Se aplică următoarele criterii: conformitatea deplină este atinsă în cazul în care participanții îndeplinesc 100% din cerințe; neconformitatea minoră apare atunci când un participant îndeplinește mai puțin de 100%, dar cel puțin 66% din cerințe, în timp ce o neconformitate majoră apare atunci când un participant îndeplinește mai puțin de 66% din cerințe. În cazul în care un participant demonstrează că o anumită cerință nu i se aplică, se consideră că respectă cerința respectivă în scopul clasificării. Un participant care nu reușește să atingă nivelul de «conformitate deplină» trebuie să prezinte un plan de acțiune prin care demonstrează modul în care intenționează să atingă acest nivel. BNR informează autoritățile de supraveghere relevante cu privire la nivelul de conformitate al participantului respectiv.(7)În cazul în care participantul refuză să acorde acces permanent la dovada aderării sale la cerințele de securitate de punct final ale furnizorilor săi de servicii de rețea aleși sau nu furnizează autocertificarea TARGET2, nivelul de conformitate al participantului este clasificat drept «neconformitate majoră».(8)BNR reevaluează pe bază anuală conformitatea participanților.(9)BNR poate impune următoarele măsuri reparatorii participanților al căror nivel de conformitate a fost evaluat ca neconformitate minoră sau majoră, în ordine crescătoare în funcție de severitate:(i)monitorizare extinsă: participantul trebuie să furnizeze BNR un raport lunar, semnat de un membru al conducerii superioare, cu privire la progresele înregistrate în soluționarea neconformității. Participantul suportă, de asemenea, o penalitate lunară pentru fiecare cont afectat egală cu comisionul său lunar, astfel cum se prevede la pct. 1 din apendicele VI, din care sunt excluse comisioanele pentru tranzacții. Această măsură reparatorie poate fi impusă în cazul în care participantul primește o a doua evaluare consecutivă prin care se constată existența unei neconformități minore sau o evaluare prin care se constată existența unei neconformități majore; … (ii)suspendare: participarea la TARGET2 – România poate fi suspendată în împrejurările descrise la art. 34 alin. (2) lit. (b) și (c) din prezenta anexă. Prin derogare de la art. 34 din prezenta anexă, participantului i se transmite un preaviz de trei luni cu privire la o astfel de suspendare. Participantul suportă o penalitate lunară pentru fiecare cont suspendat reprezentând dublul comisionului său lunar, astfel cum se prevede la pct. 1 din apendicele VI, din care se exclud comisioanele pentru tranzacții. Această măsură reparatorie poate fi impusă în cazul în care participantul primește o a doua evaluare consecutivă prin care se constată existența unei neconformități majore; … (iii)încetare: participarea la TARGET2 – România încetează în împrejurările descrise la art. 34 alin. (2) lit. (b) și (c) din prezenta anexă. Prin derogare de la art. 34 din prezenta anexă, participantului i se transmite un preaviz de trei luni cu privire la o astfel de încetare. Participantul suportă o penalitate suplimentară de 1.000 EUR pentru fiecare cont pentru care s-a dispus încetarea. Această măsură reparatorie poate fi impusă în cazul în care participantul nu a abordat neconformitatea majoră într-un mod acceptabil pentru BNR în termen de trei luni de la suspendare. … (10)Participanții care permit accesul terților la contul lor PM astfel cum este prevăzut la art. 5 alin. (2)-(4) abordează riscul pe care îl prezintă acordarea acestui acces în conformitate cu cerințele de securitate prevăzute la alin. (1)-(9) ale acestui articol. Autocertificarea prevăzută la alin. (4) precizează faptul că participantul impune cerințele de securitate de punct final ale furnizorului de servicii de rețea TARGET2 asupra terților care au acces la contul PM al respectivului participant. … 10.La articolul 39, alineatul (1) se modifică și va avea următorul cuprins:(1)Se prezumă că participanții au cunoștință, respectă și pot demonstra autorităților competente relevante conformitatea lor cu toate obligațiile care le revin în legătură cu legislația privind protecția datelor. Se prezumă că aceștia cunosc și respectă toate obligațiile care le revin în legătură cu legislația privind prevenirea spălării banilor, finanțarea terorismului, activitățile nucleare cu risc de proliferare și dezvoltarea unor sisteme de transport al armelor nucleare, în special în ceea ce privește punerea în aplicare a măsurilor adecvate cu privire la orice plăți debitate sau creditate în conturile PM ale acestora. Participanții se asigură că sunt informați cu privire la politica furnizorului de servicii de rețea TARGET2 privind extragerea datelor înainte de a intra în raporturi contractuale cu furnizorul de servicii de rețea TARGET2. … 11.După articolul 45 se introduce un nou articol, articolul 45^1, cu următorul cuprins: + 
Articolul 45^1Dispoziții tranzitorii(1)Odată ce sistemul TARGET este operațional și TARGET2 încetează să mai fie operațional, soldurile conturilor PM se transferă în conturile succesoare corespunzătoare din sistemul TARGET ale titularului de cont.(2)Cerința ca titularii de cont PM, participanții indirecți și titularii de BIC adresabili care au aderat la schema SCT Inst să fie adresabili pe Platforma TIPS în temeiul art. 5 se aplică de la 25 februarie 2022. … 12.La apendicele I punctul 8 subpunctul (4), litera (b) se modifică și va avea următorul cuprins:(b)modul utilizator-către-aplicație (U2A)U2A permite comunicarea directă între un participant și ICM. Informațiile sunt afișate într-un browser care rulează pe un sistem PC (SWIFT Alliance WebStation sau altă interfață, astfel cum poate fi prevăzut de SWIFT). Pentru accesul la U2A, infrastructura IT trebuie să accepte fișiere de tip cookies. Detalii suplimentare sunt prevăzute în Manualul utilizatorului ICM (ICM User Handbook). …  … 13.La apendicele IV punctul 6, litera (g) se modifică și va avea următorul cuprins:(g)în vederea procesării în situații de urgență a ordinelor de plată, participanții aduc active eligibile drept colateral. Pe parcursul procesării în situații de urgență, plățile în situații de urgență primite pot fi utilizate pentru a disponibiliza fonduri pentru plățile inițiate în situații de urgență. În scopul procesării în situații de urgență, lichiditatea disponibilă a participanților poate să nu fie luată în considerare de BNR. …  … 14.După apendicele VII se introduce un nou apendice, apendicele VIII, cu următorul cuprins: + 
Apendice VIII
Cerințe privind gestionarea securității informațiilor și gestionarea continuității activității
Gestionarea securității informațiilorAceste cerințe se aplică fiecărui participant, cu excepția cazului în care participantul demonstrează că nu i se aplică o cerință specifică. La stabilirea domeniului de aplicare a cerințelor în cadrul infrastructurii sale, participantul ar trebui să identifice elementele care fac parte din lanțul tranzacției de plată (Payment Transaction Chain – PTC). În mod specific, PTC începe la un punct de intrare (Point of Entry – PoE), respectiv un sistem implicat în crearea de tranzacții (de exemplu, stații de lucru, aplicații de tip front-office și back-office, middleware) și se încheie la sistemul responsabil pentru transmiterea mesajului către SWIFT (de exemplu, SWIFT VPN Box) sau internet (acesta din urmă fiind aplicabil accesului prin internet).Cerința 1.1: Politica în domeniul securității informațiilorConducerea trebuie să stabilească o direcție clară de politică în conformitate cu obiectivele de afaceri și să își exprime susținerea și angajamentul pentru asigurarea securității informațiilor prin emiterea, aprobarea și menținerea unei politici de securitate a informațiilor care vizează gestionarea securității informațiilor și a rezilienței cibernetice în întreaga organizație în ceea ce privește identificarea, evaluarea și tratarea riscurilor legate de securitatea informațiilor și de reziliența cibernetică. Politica ar trebui să conțină cel puțin următoarele secțiuni: obiective, domeniu de aplicare (inclusiv domenii precum organizarea, resursele umane, administrarea activelor etc.), principii și alocarea responsabilităților.Cerința 1.2: Organizarea internăTrebuie stabilit un cadru de securitate a informațiilor pentru implementarea politicii de securitate a informațiilor în cadrul organizației. Conducerea trebuie să coordoneze și să revizuiască stabilirea cadrului de securitate a informațiilor pentru a asigura implementarea politicii de securitate a informațiilor (potrivit cerinței 1.1) în întreaga organizație, inclusiv alocarea de resurse suficiente și atribuirea de responsabilități în materie de securitate în acest scop.Cerința 1.3: Părțile externeSecuritatea informațiilor organizației și a sistemelor de prelucrare a informațiilor nu ar trebui să fie redusă prin introducerea unei părți/unor părți externe sau a produselor/serviciilor furnizate de acestea și/sau prin dependența de acestea. Orice acces al părților externe la sistemele organizației de prelucrare a informațiilor trebuie controlat. În cazul în care părțile externe sau produsele/serviciile părților externe sunt necesare pentru accesul la sistemele organizației de prelucrare a informațiilor trebuie efectuată o evaluare a riscurilor pentru a determina implicațiile în materie de securitate și cerințele de control. Controalele trebuie agreate și definite într-un acord cu fiecare parte externă relevantă. Cerința 1.4: Administrarea activelorToate activele informaționale, procesele operaționale și sistemele informatice subiacente, cum ar fi sistemele de operare, infrastructurile, aplicațiile de business, produsele standard, serviciile și aplicațiile dezvoltate de utilizatori, din aria de acoperire a lanțului tranzacției de plată, sunt luate în evidență și au un proprietar desemnat. Trebuie atribuită responsabilitatea pentru întreținerea și operarea controalelor adecvate în cadrul proceselor operaționale și a componentelor informatice aferente, pentru a proteja activele informaționale. NOTĂ:Proprietarul poate delega implementarea unor controale specifice, după caz, dar rămâne răspunzător pentru protecția adecvată a activelor.Cerința 1.5: Clasificarea activelor informaționaleActivele informaționale se clasifică în funcție de caracterul lor critic pentru furnizarea fără probleme a serviciului de către participant. Clasificarea indică necesitatea, prioritățile și gradul de protecție necesar atunci când se tratează respectivul activ informațional în procesele operaționale relevante și ia de asemenea în considerare componentele IT subiacente. Trebuie utilizată o schemă de clasificare a activelor informaționale aprobată de conducere pentru a defini un set adecvat de controale de protecție pe tot parcursul ciclului de viață al activelor informaționale (inclusiv eliminarea și distrugerea activelor informaționale) și pentru a comunica necesitatea unor măsuri specifice de manipulare.Cerința 1.6: Securitatea resurselor umaneResponsabilitățile în materie de securitate trebuie abordate înainte de angajare în fișe ale postului adecvate și în termenii și condițiile de încadrare în muncă. Toți candidații pentru angajare, contractanții și utilizatorii terți sunt verificați în mod corespunzător, în special în cazul locurilor de muncă care presupun acces la informații sensibile. Angajații, contractanții și utilizatorii terți ai sistemelor de prelucrare a informațiilor semnează un acord privind rolurile și responsabilitățile lor în materie de securitate. Trebuie asigurat un nivel adecvat de conștientizare în rândul tuturor angajaților, contractanților și utilizatorilor terți și li se oferă acestora educație și formare în ceea ce privește procedurile de securitate și utilizarea corectă a sistemelor de prelucrare a informațiilor, pentru a reduce la minimum posibilele riscuri în materie de securitate. Trebuie stabilit un proces disciplinar formal pentru angajați pentru abordarea cazurilor de încălcare a securității. Trebuie stabilite responsabilități pentru a se asigura gestionarea ieșirii din organizație a unui angajat, a unui contractant sau a unui utilizator terț sau a transferului acestuia în cadrul organizației, precum și faptul că sunt finalizate procedurile de returnare a tuturor echipamentelor și de anulare a tuturor drepturilor de acces. Cerința 1.7: Securitatea fizică și în materie de mediu Sistemele de prelucrare a informațiilor critice sau sensibile trebuie amplasate în zone securizate, protejate de perimetre de securitate definite, cu bariere de securitate și controale la intrare adecvate. Acestea trebuie protejate fizic împotriva accesului neautorizat, a deteriorării și a interferențelor. Accesul trebuie acordat numai persoanelor care intră sub incidența cerinței 1.6. Trebuie stabilite proceduri și standarde pentru a proteja suporturile fizice care conțin active informaționale atunci când se află în tranzit.Echipamentele trebuie protejate împotriva amenințărilor fizice și de mediu. Protecția echipamentelor (inclusiv a echipamentelor utilizate în afara amplasamentului) și protecția împotriva furtului sunt necesare pentru a reduce riscul de acces neautorizat la informații și pentru a proteja informațiile și echipamentele împotriva pierderii sau deteriorării. Pot fi necesare măsuri speciale de protecție împotriva amenințărilor fizice și de protejare a sistemelor-suport, cum ar fi infrastructura de alimentare cu energie electrică și de cablare.Cerința 1.8: Gestionarea operațiunilor Trebuie stabilite responsabilități și proceduri pentru gestionarea și operarea sistemelor de prelucrare a informațiilor care acoperă toate sistemele subiacente din lanțul tranzacției de plată de la un capăt la altul. În ceea ce privește procedurile operaționale, inclusiv administrarea tehnică a sistemelor informatice, trebuie implementată separarea sarcinilor, unde este cazul, pentru a reduce riscul de utilizare necorespunzătoare din neglijență sau deliberată a sistemului. În cazul în care separarea sarcinilor nu poate fi implementată din motive obiective consemnate, trebuie implementate controale compensatorii în urma unei analize formale a riscurilor. Trebuie stabilite controale pentru a preveni și detecta introducerea de cod dăunător (malware) pentru sistemele din lanțul de tranzacției de plată. De asemenea, trebuie stabilite controale (inclusiv cunoașterea de către utilizatori) pentru a preveni, detecta și elimina codul dăunător. Codul mobil se utilizează numai din surse sigure (de exemplu, componentele Microsoft COM semnate și Java Applets). Configurația browserului (de exemplu, utilizarea extensiilor și a componentelor de tip plugin) trebuie să fie strict controlată.Trebuie implementate de către conducere politici de efectuare de copii de rezervă și de recuperare a datelor; aceste politici de recuperare includ un plan al procesului de restaurare, care este testat la intervale regulate, cel puțin anual. Sistemele care sunt critice pentru securitatea plăților sunt monitorizate, iar evenimentele relevante pentru securitatea informațiilor se înregistrează. Se utilizează jurnalele operatorilor pentru a se asigura că sunt identificate problemele sistemului informațional. Jurnalele operatorilor sunt revizuite periodic, pe baza unui eșantion, în funcție de gradul critic al operațiunilor. Se utilizează monitorizarea sistemului pentru a verifica eficacitatea controalelor care sunt identificate ca fiind critice pentru securitatea plăților și pentru a verifica conformitatea cu un model de politică de acces.Schimburile de informații dintre organizații se bazează pe o politică formală de schimb, sunt efectuate în conformitate cu acordurile de schimb dintre părțile implicate și respectă orice legislație relevantă. Componentele software ale părților terțe utilizate în schimbul de informații cu TARGET2 (cum ar fi software-ul primit de la un birou de servicii în scenariul 2 din secțiunea privind aria de acoperire din documentul TARGET2 privind aranjamentul de autocertificare) trebuie utilizate în cadrul unui acord formal cu terțul.Cerința 1.9: Controlul accesuluiAccesul la active informaționale trebuie justificat pe baza cerințelor de business (necesitatea de a cunoaște^1) și în conformitate cu cadrul stabilit al politicilor corporative (inclusiv politica de securitate a informațiilor). Trebuie definite reguli clare de control al accesului, pe baza principiului celui mai mic privilegiu^2, pentru a reflecta îndeaproape necesitățile proceselor de business și informatice corespunzătoare. Dacă este cazul (de exemplu, pentru gestionarea copiilor de rezervă), controlul accesului logic ar trebui să fie în concordanță cu controlul accesului fizic, cu excepția cazului în care există controale compensatorii adecvate (de exemplu, criptarea, anonimizarea datelor cu caracter personal).^1 Principiul necesității de a cunoaște se referă la identificarea setului de informații la care o persoană are nevoie de acces pentru a-și îndeplini atribuțiile.^2 Principiul celui mai mic privilegiu se referă la adaptarea profilului de acces al unei persoane la un sistem informatic pentru a corespunde rolului de business corespunzător.Trebuie instituite proceduri formale și documentate pentru a controla alocarea drepturilor de acces la sistemele informaționale și la serviciile care intră în aria de acoperire a lanțului tranzacției de plată. Procedurile acoperă toate etapele ciclului de viață al accesului utilizatorilor, de la înregistrarea inițială a noilor utilizatori până la eliminarea definitivă a utilizatorilor care nu mai necesită acces. Se acordă o atenție deosebită, după caz, alocării drepturilor de acces a căror importanță este atât de semnificativă încât utilizarea abuzivă a respectivelor drepturi de acces ar putea avea un impact negativ grav asupra operațiunilor participantului (de exemplu, drepturile de acces care permit administrarea sistemului, anularea controalelor sistemului, accesul direct la datele de business). Trebuie stabilite controale adecvate pentru identificarea, autentificarea și autorizarea utilizatorilor în anumite puncte din rețeaua organizației, de exemplu, pentru accesul local și de la distanță la sistemele din lanțul tranzacției de plată. Pentru asigurarea alocării răspunderii, conturile personale nu sunt partajate.În ceea ce privește parolele, regulile trebuie stabilite și impuse prin controale specifice pentru a se asigura că parolele nu pot fi ghicite cu ușurință, de exemplu, reguli privind complexitatea și valabilitatea limitată în timp. Trebuie stabilit un protocol sigur de recuperare și/sau de resetare a parolei.Trebuie elaborată și implementată o politică privind utilizarea controalelor criptografice pentru a proteja confidențialitatea, autenticitatea și integritatea informațiilor. Se stabilește o politică de gestionare a cheilor pentru a sprijini utilizarea controalelor criptografice. Trebuie să existe o politică de vizualizare a informațiilor confidențiale pe ecran sau în format tipărit (de exemplu, o politică de tip ecran curat sau birou curat) pentru a reduce riscul de acces neautorizat.Atunci când se lucrează de la distanță, trebuie luate în considerare riscurile de a lucra într-un mediu neprotejat și trebuie aplicate controale tehnice și organizaționale adecvate.Cerința 1.10: Achiziționarea, dezvoltarea și întreținerea sistemelor informaționaleCerințele de securitate trebuie identificate și agreate înainte de dezvoltarea și/sau implementarea sistemelor informaționale. Trebuie construite controale adecvate în aplicații, inclusiv în aplicațiile dezvoltate de utilizatori, pentru a se asigura prelucrarea corectă. Aceste controale includ validarea datelor de intrare, a prelucrării interne și a datelor de ieșire. Pot fi necesare controale suplimentare pentru sistemele care prelucrează sau au un impact asupra informațiilor sensibile, valoroase sau critice. Aceste controale se stabilesc pe baza cerințelor de securitate și a evaluării riscurilor în conformitate cu politicile stabilite (de exemplu, politica de securitate a informațiilor, politica de control criptografic).Cerințele operaționale ale noilor sisteme trebuie stabilite, documentate și testate înainte de acceptarea și utilizarea lor. În ceea ce privește securitatea rețelei, ar trebui implementate controale adecvate, inclusiv segmentarea și gestionarea în condiții de siguranță, pe baza caracterului critic al fluxurilor de date și a nivelului de risc al zonelor de rețea din cadrul organizației. Trebuie să existe controale specifice pentru a proteja informațiile sensibile transmise prin rețelele publice.Accesul la fișierele de sistem și la codul-sursă al programului trebuie controlat, iar proiectele informatice și activitățile-suport trebuie să se desfășoare în condiții de siguranță. Trebuie să se acorde atenție evitării expunerii datelor sensibile în mediile de testare. Mediile de proiect și de suport trebuie controlate strict. Implementarea schimbărilor în producție trebuie strict controlată. Trebuie realizată o evaluare a riscurilor aferente schimbărilor majore care urmează să fie implementate în producție.Activitățile periodice de testare a securității sistemelor în producție se desfășoară, de asemenea, în conformitate cu un plan predefinit, bazat pe rezultatul unei evaluări a riscurilor, iar testele de securitate includ, cel puțin, evaluări ale vulnerabilității. Toate deficiențele evidențiate în timpul activităților de testare a securității trebuie evaluate și trebuie pregătite și urmărite în timp util planuri de acțiune pentru eliminarea oricărei lacune identificate.Cerința 1.11: Securitatea informațiilor în relațiile cu furnizorii Pentru a asigura protecția sistemelor informaționale interne ale participantului care sunt accesibile furnizorilor trebuie documentate și agreate în mod oficial cu furnizorul cerințele de securitate a informațiilor pentru diminuarea riscurilor asociate accesului furnizorului.Cerința 1.12: Gestionarea incidentelor de securitate a informațiilor și îmbunătățiriPentru a asigura o abordare coerentă și eficace a gestionării incidentelor de securitate a informațiilor, inclusiv a comunicării privind evenimentele de securitate și punctele slabe în materie de securitate, trebuie stabilite și testate rolurile, responsabilitățile și procedurile, la nivel de business și tehnic, astfel încât să se asigure o redresare rapidă, eficace și ordonată și în condiții de siguranță în urma incidentelor de securitate a informațiilor, inclusiv a scenariilor legate de o cauză cibernetică (de exemplu, o fraudă săvârșită de un atacator extern sau intern). Personalul implicat în aceste proceduri trebuie să fie instruit în mod corespunzător.Cerința 1.13: Revizuirea conformității tehniceSistemele informaționale interne ale unui participant (de exemplu, sistemele de back-office, rețelele interne și conectivitatea la rețele externe) sunt evaluate periodic din punctul de vedere al conformității cu cadrul de politici stabilit al organizației (de exemplu, politica de securitate a informațiilor, politica de control criptografic).Cerința 1.14: VirtualizareaMașinile virtuale de tip guest trebuie să respecte toate măsurile de securitate stabilite pentru hardware și sisteme fizice (de exemplu, procese de hardening, de logare). Controalele privind hipervizoarele trebuie să includă: procese de hardening ale hipervizorului și ale sistemului de operare gazdă, remediere regulată a deficiențelor, separare strictă a diferitelor medii (de exemplu, producție și dezvoltare). Gestionarea centralizată, logarea și monitorizarea, precum și gestionarea drepturilor de acces, în special pentru conturile cu multe privilegii, trebuie implementate pe baza unei evaluări a riscurilor. Mașinile virtuale de tip guest gestionate de același hipervizor trebuie să aibă un profil de risc similar.Cerința 1.15: Informatica de tip CloudUtilizarea soluțiilor de tip cloud publice și/sau hibride în lanțul tranzacției de plată trebuie să se bazeze pe o evaluare formală a riscurilor, ținând seama de controalele tehnice și de clauzele contractuale aferente soluției cloud.Dacă se utilizează soluții cloud hibride, se înțelege că nivelul critic al întregului sistem este cel mai ridicat dintre cele ale sistemelor conectate. Toate componentele de la sediu ale soluțiilor hibride trebuie să fie separate de celelalte sisteme instalate la sediu.Gestionarea continuității activității (aplicabilă numai participanților critici)Următoarele cerințe (2.1-2.6) se referă la gestionarea continuității activității. Fiecare participant la TARGET2 clasificat de Eurosistem ca fiind critic pentru buna funcționare a sistemului TARGET2 trebuie să aibă implementată o strategie de continuitate a activității care să cuprindă următoarele elemente:Cerința 2.1: Trebuie dezvoltate planuri de continuitate a activității și proceduri pentru menținerea acestora.Cerința 2.2: Trebuie să fie disponibil un sediu operațional secundar.Cerința 2.3: Profilul de risc al sediului secundar trebuie să fie diferit de cel al sediului principal, pentru a evita ca ambele sedii să fie afectate simultan de același eveniment. De exemplu, sediul secundar trebuie să fie într-o rețea electrică și un circuit central de telecomunicații diferite de cele ale sediului principal. Cerința 2.4: În cazul unei perturbări operaționale majore care face ca sediul principal să fie inaccesibil și/sau ca personalul critic să fie indisponibil, participantul critic trebuie să fie în măsură să reia operațiunile normale de la sediul secundar, unde să fie posibilă închiderea corespunzătoare a zilei de operare și deschiderea următoarei (următoarelor) zile de operare.Cerința 2.5: Trebuie să existe proceduri pentru a se asigura că procesarea tranzacțiilor este reluată de la sediul secundar într-un interval de timp rezonabil după întreruperea inițială a serviciului și proporțional cu caracterul critic al activității întrerupte.Cerința 2.6: Capacitatea de a face față perturbărilor operaționale este testată cel puțin o dată pe an, iar personalul critic este instruit în mod corespunzător. Perioada maximă dintre testări nu depășește un an. …  + 
Articolul IIAnexa IIa la Ordinul Băncii Naționale a României nr. 4/2015 privind funcționarea sistemului de plăți TARGET2 – România, publicat în Monitorul Oficial al României, Partea I, nr. 436 și 436 bis din 18 iunie 2015, cu modificările și completările ulterioare, se modifică și se completează după cum urmează:1.La articolul 1, definiția „ordin de plată instant“ (instant payment order) se modifică și va avea următorul cuprins:– «ordin de plată instant» (instant payment order) înseamnă, în conformitate cu schema de transfer credit instant SEPA (schema SCT Inst) a Consiliului European al Plăților, o instrucțiune de plată care poate fi executată 24 de ore pe zi, în orice zi calendaristică a anului, cu procesare imediată sau aproape imediată și cu notificarea plătitorului și care include (i) ordine de plată instant din TIPS DCA în TIPS DCA, (ii) ordine de plată instant din TIPS DCA într-un cont tehnic TIPS AS, (iii) ordine de plată instant dintr-un cont tehnic TIPS AS în TIPS DCA și (iv) ordine de plată instant dintr-un cont tehnic TIPS AS într-un cont tehnic TIPS AS; …  … 2.La articolul 1, după definiția „soluția pentru situații de urgență“ (Contingency Solution) se adaugă 4 noi definiții cu următorul cuprins:– «cont tehnic al sistemului auxiliar în TIPS (cont tehnic TIPS AS)» (TIPS ancillary system technical account – TIPS AS technical account) înseamnă un cont deținut de un sistem auxiliar sau de o bancă centrală în numele unui sistem auxiliar în sistemul component al TARGET2 al băncii centrale, pentru a fi utilizat de sistemul auxiliar în scopul decontării plăților instant în propriile sale registre; … – «ordin de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS» (TIPS DCA to TIPS AS technical account liquidity transfer order) înseamnă instrucțiunea de a transfera un volum specificat de fonduri dintr-un TIPS DCA într-un cont tehnic TIPS AS pentru a finanța poziția titularului de TIPS DCA (sau poziția unui alt participant la sistemul auxiliar) în registrele sistemului auxiliar; … – «ordin de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA» (TIPS AS technical account to TIPS DCA liquidity transfer order) înseamnă instrucțiunea de a transfera un volum specificat de fonduri dintr-un cont tehnic TIPS AS către un TIPS DCA pentru a reduce poziția titularului de TIPS DCA (sau poziția unui alt participant al sistemului auxiliar) în registrele sistemului auxiliar; … – «furnizor de servicii de rețea (Network Service Provider – NSP)» înseamnă o întreprindere căreia i s-a atribuit o concesiune cu Eurosistemul pentru a furniza servicii de conectivitate prin intermediul Portalului unic al Eurosistemului de acces la infrastructurile de piață. …  … 3.La articolul 1, definiția „furnizor de servicii de rețea T2S“ se abrogă. … 4.La articolul 4 alineatul 2, litera (f^3) se modifică și va avea următorul cuprins:(f^3)ordine de transfer de lichiditate din TIPS DCA în PM și ordine de transfer de lichiditate din PM în TIPS DCA; …  … 5.La articolul 4 alineatul 2, după litera (f^3) se introduce o nouă literă, litera (f^4), cu următorul cuprins:(f^4)ordine de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS și ordine de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA; și …  … 6.La articolul 4, alineatul 3 se modifică și va avea următorul cuprins:3.TARGET2 asigură decontarea pe bază brută în timp real a plăților în euro, cu decontare în banii băncii centrale în conturile PM, T2S DCA și TIPS DCA. TARGET2 este organizat și funcționează pe baza SSP, prin intermediul căreia sunt inițiate și procesate ordinele de plată și prin care, în final, sunt primite plăți prin aceleași metode tehnice. În ceea ce privește funcționarea tehnică a T2S DCA, TARGET2 este organizat din punct de vedere tehnic și funcționează pe Platforma T2S. În ceea ce privește funcționarea tehnică a TIPS DCA și a conturilor tehnice TIPS AS, TARGET2 este organizat din punct de vedere tehnic și funcționează pe Platforma TIPS. BNR este furnizorul de servicii în temeiul prezentelor condiții. Actele și omisiunile BCN care furnizează SSP și ale 4CB sunt considerate ca fiind actele și omisiunile BNR, pentru care aceasta își asumă răspunderea în conformitate cu art. 21 din prezenta anexă. Participarea în conformitate cu prezentele condiții nu dă naștere unei relații contractuale între titularii de T2S DCA și BCN care furnizează SSP sau 4CB când oricare dintre acestea din urmă acționează în acea calitate. Instrucțiunile, mesajele sau informațiile pe care un titular de T2S DCA le primește de la sau le trimite către SSP sau Platforma T2S în legătură cu serviciile prestate în temeiul prezentelor condiții sunt considerate a fi primite de la sau trimise către BNR. …  … 7.La articolul 8, alineatul 3 se modifică și va avea următorul cuprins:3.În cazul în care BNR a aprobat o cerere din partea unui titular de T2S DCA în conformitate cu alin. (1), se consideră că titularul de T2S DCA a acordat CSD-ului (CSD-urilor) participant(e) un mandat pentru a debita T2S DCA cu sumele aferente tranzacțiilor cu instrumente financiare efectuate în aceste conturi de instrumente financiare. …  … 8.La articolul 28, alineatul 1 se modifică și va avea următorul cuprins:1.Se prezumă că titularii de T2S DCA cunosc, respectă și pot demonstra autorităților competente relevante conformitatea lor cu toate obligațiile care le revin cu privire la legislația privind protecția datelor. Se prezumă că aceștia cunosc și respectă toate obligațiile care le revin în legătură cu legislația cu privire la prevenirea spălării banilor, finanțarea terorismului, activitățile nucleare cu risc de proliferare și dezvoltarea unor sisteme de transport al armelor nucleare, în special în ceea ce privește punerea în aplicare a măsurilor adecvate cu privire la orice plăți debitate sau creditate în T2S DCA ale acestora. Înainte de a intra în raporturi contractuale cu furnizorul lor de servicii de rețea T2S, titularii de T2S DCA se asigură că sunt informați cu privire la politica acestuia privind extragerea datelor. …  … 9.Articolul 30 se modifică și va avea următorul cuprins: + 
Articolul 30Relația contractuală cu un furnizor de servicii de rețea1.Titularii de T2S DCA fie:(a)au încheiat un contract cu un furnizor de servicii de rețea în cadrul contractului de concesiune cu respectivul furnizor de servicii de rețea pentru a stabili o conexiune tehnică la TARGET2 – România; fie … (b)se conectează prin intermediul unei alte entități care a încheiat un contract cu un furnizor de servicii de rețea în cadrul contractului de concesiune cu respectivul furnizor de servicii de rețea. …  … 2.Raportul juridic dintre un titular de T2S DCA și furnizorul de servicii de rețea este reglementat exclusiv de termenii și condițiile contractului separat încheiat cu un furnizor de servicii de rețea, astfel cum se menționează la alin. (1) lit. (a). … 3.Serviciile ce urmează a fi prestate de către furnizorul de servicii de rețea nu sunt incluse în serviciile ce urmează a fi prestate de către BNR în legătură cu TARGET2. … 4.BNR nu este răspunzătoare pentru acțiunile, erorile sau omisiunile furnizorului de servicii de rețea (incluzând directorii, personalul și subcontractorii acestuia) sau pentru acțiunile, erorile sau omisiunile terților aleși de participanți pentru a avea acces la rețeaua furnizorului de servicii de rețea. …  … 10.După articolul 34 se introduce un nou articol, articolul 34^1, care va avea următorul cuprins: + 
Articolul 34^1Dispoziții tranzitoriiOdată ce sistemul TARGET este operațional și TARGET2 încetează să mai fie operațional, titularii de T2S DCA devin titulari de T2S DCA în sistemul TARGET. … 11.Trimiterile la „furnizor de servicii de rețea T2S“ (la forma de singular sau de plural) de la articolul 6 alineatul (1) litera (a) punctul (i), articolul 9 alineatul (5), articolul 10 alineatul (6), articolul 14 alineatul (1) litera (a), articolul 22 alineatul (1), articolul 22 alineatul (2), articolul 22 alineatul (3), articolul 27 alineatul (5), articolul 28 alineatul (1), articolul 29 alineatul (1) din anexa IIa și de la punctul 1 din apendicele I se înlocuiesc cu trimiteri la „furnizor de servicii de rețea (NSP)“. … 12.La apendicele I punctul 7 alineatul (1), litera (b) se modifică și va avea următorul cuprins:(b)modul utilizator-către-aplicație (U2A)U2A permite comunicarea directă între un titular de T2S DCA și T2S GUI. Informațiile sunt afișate într-un browser care rulează pe un sistem PC. Pentru accesul la U2A, infrastructura IT trebuie să accepte fișiere de tip cookies. Detalii suplimentare sunt prevăzute în Manualul utilizatorului T2S (T2S User Handbook). …  …  + 
Articolul IIIAnexa IIb la Ordinul Băncii Naționale a României nr. 4/2015 privind funcționarea sistemului de plăți TARGET2 -România, publicat în Monitorul Oficial al României, Partea I, nr. 436 și 436 bis din 18 iunie 2015, se modifică și se completează după cum urmează:1.Trimiterile la „furnizor de servicii de rețea TIPS“ (la forma de singular sau plural) de la articolul 17 alineatul (1) litera (a), articolul 24 alineatul (1),articolul 24 alineatul (2), articolul 26 alineatul (2) litera (d), articolul 29 alineatul (6),punctul 1 din apendicele I, punctul 6 alineatul (1) din apendicele I și punctul 3 alineatul (3) litera (b) din apendicele II se înlocuiesc cu trimiteri la „furnizor de servicii de rețea (NSP)“. … 2.La articolul 1 punctul 21, definiția „entitate adresabilă“ se modifică și va avea următorul cuprins:21.«entitate adresabilă» (reachable party) înseamnă o entitate care: (a) are atribuit un BIC; (b) este desemnată ca entitate adresabilă de un titular de TIPS DCA sau de un sistem auxiliar; (c) este un corespondent, un client sau o sucursală a unui titular de TIPS DCA sau un participant la un sistem auxiliar ori un corespondent, un client sau o sucursală a unui participant la un sistem auxiliar; și (d) este adresabilă prin intermediul Platformei TIPS și poate iniția și primi ordine de plată instant fie prin intermediul titularului de TIPS DCA sau sistemului auxiliar, fie direct, dacă este autorizată în acest sens de titularul de TIPS DCA sau de sistemul auxiliar; …  … 3.La articolul 1 punctul 29, definiția „furnizor de servicii de rețea TIPS“ se abrogă. … 4.La articolul 1 punctul 33, definiția „ordin de plată“ se modifică și va avea următorul cuprins:33.«ordin de plată» (payment order), cu excepția cazului în care este utilizat în contextul articolelor 16-18 din prezenta anexă, înseamnă un ordin de plată instant, un răspuns pozitiv la solicitarea de returnare, un ordin de transfer de lichiditate din PM în TIPS DCA, un ordin de transfer de lichiditate din TIPS DCA în PM, un ordin de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA sau un ordin de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS; …  … 5.La articolul 1 punctul 34, definiția „ordin de plată instant“ (instant payment order) se modifică și va avea următorul cuprins:34.«ordin de plată instant» (instant payment order) înseamnă, în conformitate cu schema de transfer credit instant SEPA (schema SCT Inst) a Consiliului European al Plăților, o instrucțiune de plată care poate fi executată 24 de ore pe zi, în orice zi calendaristică a anului, cu procesare imediată sau aproape imediată și cu notificarea plătitorului și care include (i) ordine de plată instant din TIPS DCA în TIPS DCA, (ii) ordine de plată instant din TIPS DCA într-un cont tehnic TIPS AS, (iii) ordine de plată instant dintr-un cont tehnic TIPS AS în TIPS DCA și (iv) ordine de plată instant dintr-un cont tehnic TIPS AS într-un cont tehnic TIPS AS; …  … 6.La articolul 1, după punctul 52 se introduc 7 noi puncte, punctele 53-59, care vor avea următorul cuprins:53.«cont tehnic al sistemului auxiliar în TIPS (cont tehnic TIPS AS)» (TIPS ancillary system technical account – TIPS AS technical account) înseamnă un cont deținut de un sistem auxiliar sau de banca centrală în numele unui sistem auxiliar în sistemul său component al TARGET2 pentru a fi utilizat de respectivul sistem auxiliar în scopul decontării plăților instant în propriile sale registre; … 54.«ordin de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS» (TIPS DCA to TIPS AS technical account liquidity transfer order) înseamnă instrucțiunea de a transfera un volum specificat de fonduri dintr-un TIPS DCA într-un cont tehnic TIPS AS pentru a finanța poziția titularului de TIPS DCA (sau poziția unui alt participant la sistemul auxiliar) în registrele sistemului auxiliar; … 55.«ordin de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA» (TIPS AS technical account to TIPS DCA liquidity transfer order) înseamnă instrucțiunea de a transfera un volum specificat de fonduri dintr-un cont tehnic TIPS AS către un TIPS DCA pentru a reduce poziția titularului de TIPS DCA (sau poziția unui alt participant la sistemul auxiliar) în registrele sistemului auxiliar; … 56.«schema de transfer credit instant SEPA (SCT Inst) a Consiliului European al Plăților sau schema SCT Inst» [European Payments Council’s SEPA Instant Credit Transfer (SCT Inst) scheme] înseamnă o schemă de standarde deschise, automatizată, care prevede un set de reguli interbancare pe care trebuie să le respecte participanții la SCT Inst și care permite prestatorilor de servicii de plată din SEPA să ofere un produs automatizat de transfer credit instant în euro la nivelul SEPA; … 57.«serviciu de căutare prin alias mobil (MPL)» [mobile proxy look-up (MPL) service] înseamnă un serviciu care permite titularilor de TIPS DCA, sistemelor auxiliare care utilizează conturi tehnice TIPS AS și entităților adresabile care primesc de la clienții lor o cerere de executare a unui ordin de plată instant în favoarea unui beneficiar identificat cu un alias (de exemplu, un număr de telefon mobil) să extragă din registrul central al MPL IBAN-ul beneficiarului corespunzător și codul BIC care urmează să fie utilizate pentru a credita contul relevant în TIPS; … 58.«furnizor de servicii de rețea» (Network Service Provider – NSP) înseamnă o întreprindere căreia i s-a atribuit o concesiune cu Eurosistemul pentru a furniza servicii de conectivitate prin intermediul Portalului unic al Eurosistemului de acces la infrastructurile de piață; … 59.«IBAN» înseamnă numărul de cont bancar internațional care identifică în mod unic un cont individual deschis la o anumită instituție financiară dintr-o anumită țară. …  … 7.La articolul 3 alineatul (1) litera (e), trimiterea la „apendicele V: Cerințe tehnice de conectivitate în contextul TIPS“ se abrogă. … 8.La articolul 4 alineatul (2), după litera (i) se introduce o nouă literă, litera (i^1), cu următorul cuprins:(i^1)ordine de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS și ordine de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA; și …  … 9.La articolul 4, alineatul (3) se modifică și va avea următorul cuprins:(3)TARGET2 asigură decontarea pe bază brută în timp real a plăților în euro, cu decontare în banii băncii centrale în conturile PM, T2S DCA și TIPS DCA. TARGET2 este organizat și funcționează pe baza SSP, prin intermediul căreia sunt inițiate și procesate ordinele de plată și prin care, în final, sunt primite plăți prin aceleași metode tehnice. În ceea ce privește funcționarea tehnică a TIPS DCA și a conturilor tehnice TIPS AS, TARGET2 este organizat din punct de vedere tehnic și funcționează pe Platforma TIPS. În ceea ce privește funcționarea tehnică a T2S DCA, TARGET2 este organizat din punct de vedere tehnic și funcționează pe Platforma T2S. … 10.La articolul 6 alineatul (1) litera (a), punctul (i) se modifică și va avea următorul cuprins:(i)să instaleze, să administreze, să opereze, să monitorizeze și să asigure securitatea infrastructurii IT pentru a se conecta la Platforma TIPS și pentru a iniția ordine de plată către aceasta. În acest scop, titularii de TIPS DCA solicitanți pot implica terțe părți, însă rămân exclusiv răspunzători. În special, cu excepția cazului în care este utilizată o entitate ordonatoare, titularii de TIPS DCA solicitanți încheie un acord cu unul sau mai mulți furnizori de servicii de rețea pentru a obține conexiunea și drepturile de acces necesare, în conformitate cu specificațiile tehnice din apendicele I; și …  … 11.Articolul 9 se modifică și va avea următorul cuprins: + 
Articolul 9Relația contractuală cu un furnizor de servicii de rețea(1)Participanții fie:(a)încheie un contract cu un furnizor de servicii de rețea în cadrul contractului de concesiune cu respectivul furnizor de servicii de rețea pentru a stabili o conexiune tehnică la TARGET2 – România; fie … (b)se conectează prin intermediul unei alte entități care a încheiat un contract cu un furnizor de servicii de rețea în cadrul contractului de concesiune cu respectivul furnizor de servicii de rețea. … (2)Relația juridică dintre un participant și furnizorul de servicii de rețea este reglementată exclusiv de termenii și condițiile contractului separat încheiat între aceștia, astfel cum se menționează la alin. (1) lit. (a).(3)Serviciile ce urmează a fi prestate de către furnizorul de servicii de rețea nu sunt incluse în serviciile ce urmează a fi prestate de către BNR în legătură cu TARGET2.(4)BNR nu este răspunzătoare pentru acțiunile, erorile sau omisiunile furnizorului de servicii de rețea (incluzând directorii, personalul și subcontractorii acestuia) sau pentru acțiunile, erorile sau omisiunile terților aleși de participanți pentru a avea acces la rețeaua furnizorului de servicii de rețea.12.Articolul 10 se abrogă. … 13.După articolul 11 se introduce un nou articol, articolul 11^1, cu următorul cuprins: + 
Articolul 11^1Registrul MPL(1)Registrul central MPL conține aliasul – tabelul de corespondență IBAN pentru serviciul MPL.(2)Fiecare alias poate fi legat de un singur IBAN. Un IBAN poate fi legat de unul sau mai mulți alias.(3)Articolul 29 se aplică datelor conținute în registrul MPL. … 14.La articolul 12 alineatul (9) se abrogă. … 15.Articolul 16 se modifică și va avea următorul cuprins: + 
Articolul 16Tipuri de ordine de plată în TIPS DCAÎn contextul serviciului TIPS sunt considerate ca fiind ordine de plată următoarele:(a)ordine de plată instant; … (b)răspunsuri pozitive la solicitările de returnare; … (c)ordine de transfer de lichiditate din TIPS DCA în PM; … (d)ordine de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS; și … (e)ordine de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA. …  … 16.La articolul 18, alineatul (6) se modifică și va avea următorul cuprins:(6)După acceptarea, conform art. 17, a unui ordin de transfer de lichiditate din TIPS DCA în PM, a unui ordin de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS sau a unui ordin de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA, TARGET2 – România verifică dacă există suficiente fonduri disponibile în contul plătitorului. În cazul în care nu există suficiente fonduri disponibile, ordinul de transfer de lichiditate este respins. În cazul în care există suficiente fonduri disponibile, ordinul de transfer de lichiditate se decontează imediat. … 17.La articolul 20 alineatul (1), litera (b) se modifică și va avea următorul cuprins:(b)ordinele de transfer de lichiditate din TIPS DCA în PM, răspunsurile pozitive la solicitările de returnare și ordinele de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS sunt considerate a fi intrate în TARGET2 – România și irevocabile în momentul debitării TIPS DCA relevant. Ordinele de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA se consideră a fi intrate în TARGET2 – România și irevocabile în momentul debitării contului tehnic TIPS AS relevant. …  … 18.La articolul 30, alineatul (1) se modifică și va avea următorul cuprins:(1)Se prezumă că titularii de TIPS DCA cunosc, respectă și pot demonstra autorităților competente relevante conformitatea lor cu toate obligațiile care le revin în legătură cu legislația privind protecția datelor. Se prezumă că aceștia cunosc și respectă toate obligațiile care le revin în legătură cu legislația privind prevenirea spălării banilor, finanțarea terorismului, activitățile nucleare cu risc de proliferare și dezvoltarea unor sisteme de transport al armelor nucleare, în special în ceea ce privește implementarea măsurilor adecvate cu privire la orice plăți debitate sau creditate în TIPS DCA ale acestora. Titularii de TIPS DCA se asigură că sunt informați cu privire la politica furnizorului lor ales de servicii de rețea privind extragerea datelor înainte de a intra în raporturi contractuale cu respectivul furnizor de servicii de rețea. … 19.După articolul 35 se introduce un nou articol, articolul 35^1, care va avea următorul cuprins: + 
Articolul 35^1Dispoziție tranzitorieOdată ce sistemul TARGET este operațional și TARGET2 încetează să mai fie operațional, titularii de TIPS DCA devin titulari de TIPS DCA în sistemul TARGET. … 20.La apendicele I, tabelul de la punctul 2 se modifică și va avea următorul cuprins:

 … 21.La apendicele I punctul 6 alineatul (1), litera (b) se modifică și va avea următorul cuprins:(b)modul «utilizator-către-aplicație» (U2A)U2A permite comunicarea directă între un titular de TIPS DCA și TIPS GUI. Informațiile sunt afișate într-un browser care rulează pe un sistem PC. Pentru accesul la U2A, infrastructura IT trebuie să accepte fișiere de tip cookies. Detalii suplimentare sunt prevăzute în Manualul utilizatorului TIPS (TIPS User Handbook). …  … 22.La apendicele IV, punctul 2 se abrogă; … 23.Apendicele V se abrogă. …  …  + 
Articolul IVAnexa IV la Ordinul Băncii Naționale a României nr. 4/2015 privind funcționarea sistemului de plăți TARGET2 – România, publicat în Monitorul Oficial al României, Partea I, nr. 436 și 436 bis din 18 iunie 2015, cu modificările și completările ulterioare, se modifică și se completează după cum urmează:1.La punctul 14 subpunctul (14), litera (d) se modifică și va avea următorul cuprins:(d)ordinele SWIFT care utilizează mesajele MT 103 nu pot fi transmise. …  … 2.La punctul 18 subpunctul (1) litera (b), primul rând al tabelului se modifică după cum urmează:

 … 3.La punctul 18 subpunctul (1) litera (d), ultimul paragraf se abrogă. …  + 
Articolul VLa Ordinul Băncii Naționale a României nr. 4/2015 privind funcționarea sistemului de plăți TARGET2 – România, publicat în Monitorul Oficial al României, Partea I, nr. 436 și 436 bis din 18 iunie 2015, cu modificările și completările ulterioare, după anexa IV se introduce o nouă anexă, anexa IVa, cu următorul cuprins: + 
Anexa IVa
SERVICIUL TIPS
pentru sistemele auxiliare care decontează plăți instant1.DefinițiiÎn sensul prezentei anexe și în completarea definițiilor de la articolul 1 din anexa IIb:(1)«bancă centrală a sistemului auxiliar» [ancillary system central bank (ASCB)] înseamnă banca centrală din Eurosistem cu care sistemul auxiliar relevant care decontează plăți instant în registrele proprii a încheiat un acord bilateral pentru decontarea plăților instant ale sistemului auxiliar;(2)«volum brut de bază» (underlying gross volume) înseamnă numărul de plăți instant decontate în registrele proprii ale sistemelor auxiliare și permise din fonduri deținute în contul tehnic TIPS AS. Nu sunt incluse plățile instant către sau dinspre TIPS DCA sau alte conturi tehnice TIPS AS;(3)«entitate ordonatoare» (instructing party) înseamnă o entitate care a fost desemnată ca atare de un sistem auxiliar și care este autorizată să trimită ordine de plată către Platforma TIPS și/sau să primească ordine de plată de la Platforma TIPS în numele respectivului sistem auxiliar sau al unei entități adresabile a respectivului sistem auxiliar. … 2.Intrarea ordinelor de plată în sistem și irevocabilitatea acestoraAplicarea articolului 20 din anexa IIb, referitor la momentul intrării ordinelor de plată instant, a răspunsurilor pozitive la solicitările de returnare, a ordinelor de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS și a ordinelor de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA în sistemul component al TARGET2 relevant nu produce niciun efect asupra regulilor sistemelor auxiliare care stipulează un moment de intrare în sistemul auxiliar și/sau de irevocabilitate a ordinelor de transfer inițiate într-un astfel de sistem auxiliar anterior momentului intrării respectivului ordin de plată în sistemul component al TARGET2 respectiv. … 3.Conturi deschise pentru facilitarea decontării plăților instant în registrele proprii ale sistemelor auxiliare(1)Pentru a facilita decontarea plăților instant aferente sistemelor auxiliare în TIPS se deschide un cont tehnic TIPS AS.(2)Un cont tehnic TIPS AS este identificat prin intermediul unui număr de cont unic de până la 34 de caractere care va avea structura prezentată în tabelul următor.

(3)Conturile tehnice TIPS AS pot avea pe parcursul zilei doar sold zero sau pozitiv, iar pe perioada nopții pot menține un sold pozitiv. Soldul de pe perioada nopții al contului este supus regulilor privind remunerarea care se aplică fondurilor de garantare în temeiul articolului 11 din prezenta orientare. … 4.Procedura de decontare(1)Sistemul auxiliar utilizează un cont tehnic TIPS AS pentru a colecta lichiditatea necesară rezervată de membrii compensatori pentru a-și finanța pozițiile.(2)La cerere, sistemul auxiliar este informat cu privire la creditarea și debitarea contului său tehnic TIPS AS.(3)Un sistem auxiliar poate trimite ordine de plată instant și răspunsuri pozitive la solicitările de returnare către orice titular de TIPS DCA sau către orice sistem auxiliar din TIPS. Un sistem auxiliar primește și procesează ordine de plată instant, solicitări de returnare și răspunsuri pozitive la solicitările de returnare din partea oricărui titular de TIPS DCA sau a oricărui sistem auxiliar TIPS. … 5.Interfața pentru utilizator(1)Titularul de cont tehnic TIPS AS are acces la Platforma TIPS în modul A2A și se poate conecta, de asemenea, în modul U2A fie direct, fie prin intermediul uneia sau mai multor entități ordonatoare.(2)Accesul la Platforma TIPS permite titularilor de cont tehnic TIPS AS:(a)să acceseze informații referitoare la conturile proprii și să își administreze CMB; … (b)să inițieze ordine de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA; și … (c)să gestioneze anumite date statice. …  … 6.Lista comisioanelor și facturarea(1)Un sistem auxiliar din TIPS este supus următoarelor două comisioane:(a)un comision per tranzacție, calculat pe aceeași bază ca și lista de comisioane pentru titularii de cont TIPS DCA conform apendicelui IV din anexa IIb; … (b)un comision bazat pe volumul brut de bază al plăților instant decontate pe platforma proprie a sistemului auxiliar și permise de pozițiile prefinanțate din contul tehnic TIPS AS. Comisionul este de 0.0005 EUR per plată instant. … (2)Volumul brut de bază al plăților instant ale sistemului auxiliar se calculează de către banca centrală a sistemului auxiliar în fiecare lună pe baza volumului brut de bază din luna precedentă, rotunjit în jos la cea mai apropiată zecime și raportat de sistemul auxiliar, cel târziu până în a treia zi de operare a lunii următoare. Volumul brut calculat se aplică la calculul comisionului în cursul lunii următoare.(3)Fiecare sistem auxiliar primește o factură de la banca centrală a sistemului auxiliar pentru luna anterioară, pe baza comisioanelor menționate la subpunctul (1) de la acest punct, nu mai târziu de a noua zi de operare a lunii următoare. Plățile se efectuează nu mai târziu de a paisprezecea zi de operare a lunii în care este emisă factura în contul indicat de banca centrală a sistemului auxiliar sau se debitează dintr-un cont indicat de sistemul auxiliar.(4)În scopul listelor de comisioane și al facturării în temeiul prezentei anexe:(a)un sistem auxiliar care a fost desemnat ca sistem în temeiul Directivei 98/26/CE este tratat ca un sistem auxiliar separat, chiar dacă este operat de o entitate juridică care operează un alt sistem auxiliar; … (b)un sistem auxiliar care nu a fost desemnat ca sistem în temeiul Directivei 98/26/CE este tratat ca sistem auxiliar separat în cazul în care îndeplinește următoarele criterii:(i)este constituit ca un acord formal, sub forma unui contract sau a unui instrument legislativ; … (ii)are mai mult de un [membru] [participant] [cu excepția operatorului de sistem al sistemului respectiv]; … (iii)este stabilit în scopul compensării și/sau decontării plăților și/sau a instrumentelor financiare între participanți; și … (iv)aplică reguli comune și acorduri standardizate pentru compensarea și decontarea plăților și a instrumentelor financiare între participanți. …  … (5)Comisioanele, în scopul facturării în temeiul prezentului articol pentru perioada 1 decembrie 2021-28 februarie 2022, se ridică la media comisioanelor totale facturate pentru lunile septembrie, octombrie și noiembrie 2021. …  + 
Articolul VIPrezentul ordin intră în vigoare la data de 21 noiembrie 2021, cu excepția punctelor 1, 9 și 11 ale art. II din prezentul ordin, care vor intra în vigoare la data de 13 iunie 2022. + 
Articolul VIIPrezentul ordin se publică în Monitorul Oficial al României, Partea I.
Președintele Consiliului de administrație al Băncii Naționale a României,
Mugur Constantin IsărescuBucurești, 5 noiembrie 2021.Nr. 5.

	Redacția Lex24 Drept la Sursa!
	Articole Urmărește