REGULAMENT nr. 8 din 24 iulie 2024

redactia-lex24
Redacția Lex24 29/12/2024
0 comentarii
Redacția Lex24
Publicat in Repertoriu legislativ, 29/12/2024

Vă rugăm să vă conectați la marcaj Închide

Informatii Document

Emitent: BANCA NATIONALA A ROMÂNIEI
Publicat în: MONITORUL OFICIAL nr. 809 din 14 august 2024
Actiuni Suferite
Actiuni Induse
Refera pe
Referit de
Nu exista actiuni suferite de acest act
Acte referite de acest act:

Alegeti sectiunea:
SECTIUNE ACTREFERA PEACT NORMATIV
ActulREFERIRE LAREGULAMENT 5 20/12/2013
ActulREFERIRE LALEGE 227 04/07/2007
ActulREFERIRE LAOUG 99 06/12/2006 ART. 4
ActulREFERIRE LAOUG 99 06/12/2006 ART. 24
ActulREFERIRE LAOUG 99 06/12/2006 ART. 77
ActulREFERIRE LAOUG 99 06/12/2006 ART. 101
ActulREFERIRE LAOUG 99 06/12/2006 ART. 104
ActulREFERIRE LAOUG 99 06/12/2006 ART. 105
ActulREFERIRE LAOUG 99 06/12/2006 ART. 106
ActulREFERIRE LAOUG 99 06/12/2006 ART. 150
ActulREFERIRE LAOUG 99 06/12/2006 ART. 163
ActulREFERIRE LAOUG 99 06/12/2006 ART. 164
ActulREFERIRE LAOUG 99 06/12/2006 ART. 166
ActulREFERIRE LAOUG 99 06/12/2006 ART. 173
ActulREFERIRE LAOUG 99 06/12/2006 ART. 289
ActulREFERIRE LAOUG 99 06/12/2006 ART. 320
ActulREFERIRE LAOUG 99 06/12/2006 ART. 382
ActulREFERIRE LAOUG 99 06/12/2006 ART. 384
ActulREFERIRE LAOUG 99 06/12/2006 ART. 420
ActulREFERIRE LALEGE 312 28/06/2004 ART. 25
ActulREFERIRE LALEGE 312 28/06/2004 ART. 48
ART. 1REFERIRE LAREGULAMENT 679 27/04/2016
ART. 1REFERIRE LALEGE 312 04/12/2015 ART. 2
ART. 1REFERIRE LALEGE 312 04/12/2015 ART. 383
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 3
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 231
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 232
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 233
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 234
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 235
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 236
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 237
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 238
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 239
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 240
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 241
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 242
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 ART. 243
ART. 1ABROGA PEREGULAMENT 5 20/12/2013 CAP. 5
ART. 1COMPLETEAZA PEREGULAMENT 5 20/12/2013 ART. 1
ART. 1COMPLETEAZA PEREGULAMENT 5 20/12/2013 ART. 168
ART. 1COMPLETEAZA PEREGULAMENT 5 20/12/2013 CAP. 1
ART. 1COMPLETEAZA PEREGULAMENT 5 20/12/2013 CAP. 4
ART. 1MODIFICA PEREGULAMENT 5 20/12/2013 ART. 1
ART. 1MODIFICA PEREGULAMENT 5 20/12/2013 ART. 3
ART. 1MODIFICA PEREGULAMENT 5 20/12/2013 ART. 149
ART. 1MODIFICA PEREGULAMENT 5 20/12/2013 ART. 168
ART. 1MODIFICA PEREGULAMENT 5 20/12/2013 ART. 171
ART. 1MODIFICA PEREGULAMENT 5 20/12/2013 ART. 681
ART. 1REFERIRE LAREGULAMENT 5 20/12/2013
ART. 1REFERIRE LAOUG 99 06/12/2006
ART. 1REFERIRE LAOUG 99 06/12/2006 ART. 18
ART. 1REFERIRE LAOUG 99 06/12/2006 ART. 225
ART. 1REFERIRE LAOUG 99 06/12/2006 ART. 226
ART. 2REFERIRE LAREGULAMENT 5 20/12/2013
ANEXA 0REFERIRE LAREGULAMENT 679 27/04/2016
ANEXA 0REFERIRE LALEGE 312 04/12/2015 ART. 400
ANEXA 0REFERIRE LALEGE 312 04/12/2015 ART. 401
ANEXA 0REFERIRE LALEGE 312 04/12/2015 ART. 402
ANEXA 0REFERIRE LALEGE 312 04/12/2015 ART. 403
ANEXA 0REFERIRE LALEGE 312 04/12/2015 ART. 404
ANEXA 0REFERIRE LALEGE 312 04/12/2015 ART. 405
ANEXA 0REFERIRE LALEGE 312 04/12/2015 ART. 413
ANEXA 0REFERIRE LALEGE 312 04/12/2015 ART. 414
ANEXA 0REFERIRE LALEGE 312 04/12/2015 ART. 415
ANEXA 0REFERIRE LALEGE 312 04/12/2015 ART. 416
ANEXA 0REFERIRE LALEGE 312 04/12/2015 ART. 417
ANEXA 0REFERIRE LALEGE 312 04/12/2015 ART. 418
ANEXA 0REFERIRE LALEGE 312 04/12/2015 ART. 419
ANEXA 1REFERIRE LAREGULAMENT 5 20/12/2013
ANEXA 2REFERIRE LAREGULAMENT 5 20/12/2013
 Nu exista acte care fac referire la acest act





Având în vedere dispozițiile art. 4 alin. (1), art. 24 alin. (1)-(2^2), art. 77, art. 101, art. 104106, art. 163^1, art. 164 alin. (2), art. 166, art. 173^4 lit. c), art. 289, art. 320, art. 382 și ale art. 384 alin. (1) din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare,în temeiul dispozițiilor art. 25 alin. (2) lit. a) și ale art. 48 din Legea nr. 312/2004 privind Statutul Băncii Naționale a României, precum și ale art. 150 alin. (1) lit. c) și ale art. 420 alin. (1), (3) și (4) din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare,Banca Națională a României emite prezentul regulament. + 
Articolul IRegulamentul Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, publicat în Monitorul Oficial al României, Partea I, nr. 841 din 30 decembrie 2013, cu modificările și completările ulterioare, se modifică și se completează după cum urmează:1.La articolul 1, litera a) se modifică și va avea următorul cuprins:a)cadrul de administrare a activității instituțiilor de credit, procesul intern de evaluare a adecvării capitalului și lichidității la riscuri și externalizarea;2.La articolul 3 alineatul (1), punctul 26 se modifică și va avea următorul cuprins:26.externalizare – un acord de orice tip încheiat între o instituție de credit și un furnizor extern, în baza căruia furnizorul extern desfășoară cu caracter repetat sau continuu o funcție, astfel cum este definită la art. 230^1 alin. (1), desfășurată în mod obișnuit de instituții de credit, chiar dacă instituția de credit în cauză nu a desfășurat-o în trecut;3.La articolul 3 alineatul (1), punctul 27 se modifică și va avea următorul cuprins:27.furnizor extern – un terț, inclusiv agentul bancar, care desfășoară un proces, un serviciu sau o activitate a instituției de credit sau părți ale acestora, în baza unui acord de externalizare;4.La articolul 3 alineatul (1), punctele 28 și 29 se abrogă.5.După articolul 29^8 se introduce un nou paragraf, paragraful „3.1^6. Funcția juridică“, cuprinzând articolul 29^9, cu următorul cuprins: 3.1^6.Funcția juridică + 
Articolul 29^9(1)Pentru administrarea eficientă a riscului juridic, funcția juridică trebuie să dispună, ținând cont de criteriile prevăzute la art. 5 alin. (2) și (2^1), de suficientă autoritate, independență și resurse pentru a-și desfășura activitatea.(2)Funcția juridică, prin consilierii juridici, asigură consultanță organului de conducere, precum și celorlalte structuri organizatorice ale instituției de credit, apără drepturile și interesele legitime ale acesteia în raporturile cu autoritățile publice, instituțiile de orice natură, precum și cu orice persoană juridică sau fizică, în conformitate cu prevederile legii și cadrul de reglementare aplicabil.(3)Instituțiile de credit trebuie să se asigure că, în cadrul funcției juridice, consilierii juridici dețin competențele necesare îndeplinirii responsabilităților care le revin, precum și că pregătirea profesională, expertiza și conduita acestora sunt adecvate și corespund standardelor și statutului profesional conform reglementărilor în vigoare.(4)În luarea deciziilor care presupun risc juridic în activitatea instituției de credit, organul de conducere asigură implicarea funcției juridice astfel încât să poată avea o imagine completă și clară asupra operațiunilor/proceselor analizate și a implicațiilor juridice subsecvente. Totodată, organul de conducere stabilește, prin proceduri interne, cadrul de organizare și funcționare, atribuțiile și responsabilitățile acestei funcții, fără a se aduce atingere cadrului de reglementare a funcției de conformitate.(5)Fără a aduce atingere prevederilor referitoare la atribuțiile funcției de administrare a riscurilor, funcția juridică monitorizează și evaluează periodic, conform procedurilor interne, riscurile juridice la care instituția de credit este expusă și le comunică funcției de administrare a riscurilor.6.După articolul 59 se introduce un nou articol, articolul 59^1, cu următorul cuprins: + 
Articolul 59^1(1)Activitățile funcției de audit intern trebuie să acopere, pe baza unei abordări bazate pe risc, evaluarea independentă a activităților externalizate de către instituția de credit. Planul și programul de audit trebuie să includă, în special, acordurile de externalizare a funcțiilor critice sau importante.(2)În ceea ce privește procesul de externalizare, funcția de audit intern trebuie să confirme cel puțin:a)implementarea corectă și eficace a cadrului de externalizare al instituției de credit, inclusiv a politicii de externalizare, și în conformitate cu cerințele legale și de reglementare aplicabile, cu strategia privind administrarea riscurilor și cu deciziile organului de conducere;b)adecvarea, calitatea și eficacitatea evaluării caracterului critic sau al importanței funcțiilor;c)adecvarea, calitatea și eficacitatea evaluării riscurilor aferente acordurilor de externalizare și menținerea conformității riscurilor cu strategia privind administrarea riscurilor a instituției de credit;d)implicarea corespunzătoare a organului de conducere; șie)monitorizarea și administrarea acordurilor de externalizare în mod corespunzător.7.La articolul 149^4, litera j) se modifică și va avea următorul cuprins:j)practicile instituției de credit privind monitorizarea calității serviciilor externalizate și expunerea globală la risc față de furnizorii externi conform cerințelor privind externalizarea prevăzute la art. 230^1-230^25.8.La articolul 168^1, alineatul (8) se modifică și va avea următorul cuprins:(8)Instituția de credit îndeplinește cerința de fonduri proprii suplimentare impusă de Banca Națională a României în temeiul art. 226 alin. (3) lit. a) din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, pentru abordarea altor riscuri decât riscul asociat folosirii excesive a efectului de levier cu fonduri proprii care îndeplinesc următoarele condiții:a)cel puțin trei sferturi din cerința de fonduri proprii suplimentare sunt îndeplinite cu fonduri proprii de nivel 1;b)cel puțin trei sferturi din fondurile proprii de nivel 1 menționate la lit. a) sunt constituite din fonduri proprii de nivel 1 de bază.9.La articolul 168^1, după alineatul (8) se introduce un nou alineat, alineatul (8^1), cu următorul cuprins:(8^1)Instituția de credit îndeplinește cerința de fonduri proprii suplimentare impusă de Banca Națională a României în temeiul art. 226 alin. (3) lit. a) din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, pentru abordarea riscului asociat folosirii excesive a efectului de levier cu fonduri proprii de nivel 1.10.La articolul 168^1, alineatul (9) se modifică și va avea următorul cuprins:(9)Prin derogare de la alin. (8) și (8^1), Banca Națională a României poate solicita instituției de credit să își îndeplinească cerința de fonduri proprii suplimentare cu o proporție mai ridicată de fonduri proprii de nivel 1 sau de fonduri proprii de nivel 1 de bază, atunci când apreciază a fi necesar și având în vedere circumstanțele specifice ale instituției de credit.11.La articolul 171 alineatul (1^1), litera b) se modifică și va avea următorul cuprins:b)unui membru al personalului a cărui remunerație variabilă anuală nu depășește 50.000 euro și nu reprezintă mai mult de 1/3 din remunerația totală anuală a respectivului membru al personalului.12.După articolul 230 se introduce un nou capitol, capitolul IV^1 „Externalizarea“, cuprinzând articolele 230^1-230^25, cu următorul cuprins: + 
Capitolul IV^1Externalizarea + 
Secţiunea 1Dispoziții generale + 
Articolul 230^1(1)În sensul prezentului capitol, termenii și sintagmele de mai jos au următoarele semnificații:1.funcție – orice proces, serviciu sau activitate;2.funcție critică sau importantă – orice funcție a instituției de credit care se află în una dintre următoarele situații:a)prezintă o asemenea importanță încât orice anomalie sau deficiență în desfășurarea acesteia ar putea avea un efect negativ semnificativ în ceea ce privește:(i)capacitatea instituției de credit de a respecta pe bază continuă condițiile de autorizare sau celelalte obligații care îi revin în temeiul Ordonanței de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, al Regulamentului (UE) nr. 575/2013, cu modificările și completările ulterioare, precum și în temeiul reglementărilor emise în aplicarea acestora;(ii)performanța financiară a instituției de credit; sau(iii)soliditatea sau continuitatea serviciilor și activităților sale;b)privește sarcinile operaționale ale funcțiilor de control intern, cu excepția cazului în care din evaluarea instituției de credit rezultă că neexecutarea sau executarea necorespunzătoare a sarcinilor operaționale externalizate nu ar genera un impact negativ asupra eficacității funcției de control intern; sauc)privește activitățile instituției de credit prevăzute la art. 18 alin. (1) din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, a căror desfășurare necesită autorizarea de către Banca Națională a României; saud)este necesară pentru a desfășura activități din cadrul liniilor de activitate de bază sau funcții critice, astfel cum acestea sunt definite la art. 2 alin. (1) pct. 23 și 24 din Legea nr. 312/2015 privind redresarea și rezoluția instituțiilor de credit și a firmelor de investiții, precum și pentru modificarea și completarea unor acte normative în domeniul financiar, cu modificările și completările ulterioare, și identificate ca atare de instituția de credit prin utilizarea criteriilor prevăzute la art. 6 și 7 din Regulamentul delegat (UE) 2016/778 al Comisiei de completare a Directivei 2014/59/UE a Parlamentului European și a Consiliului în ceea ce privește circumstanțele și condițiile în care plata contribuțiilor ex post extraordinare poate fi amânată parțial sau integral și în ceea ce privește criteriile de stabilire a activităților, serviciilor și operațiunilor pentru funcțiile critice și de stabilire a liniilor de activitate și a serviciilor asociate pentru liniile de activitate esențiale, cu excepția cazului în care din evaluarea instituției de credit rezultă că neexecutarea funcției externalizate sau executarea necorespunzătoare a funcției externalizate nu ar avea un impact negativ asupra continuității operaționale a liniei de activitate de bază sau a funcției critice;3.externalizare în lanț – externalizare în cadrul căreia furnizorul extern subcontractează altor furnizori externi o funcție externalizată a instituției de credit sau părți ale acesteia.(2)Atunci când aplică cerințele prevăzute în prezentul capitol, instituțiile de credit trebuie să ia în considerare complexitatea funcțiilor externalizate, riscurile care decurg din acordurile de externalizare, caracterul critic sau importanța funcțiilor externalizate și impactul potențial al externalizării asupra continuității activităților lor. + 
Articolul 230^2(1)Instituțiile de credit au obligația de a evalua acordurile lor cu terțe părți pentru a determina dacă acestea se încadrează în definiția externalizării.(2)Instituțiile de credit au obligația de a evalua pe bază continuă dacă acordurile lor de externalizare vizează funcții critice sau importante. + 
Secţiunea a 2-aDispoziții privind cadrul de administrare a activității în contextul externalizării2.1.Dispoziții generale + 
Articolul 230^3Instituțiile de credit trebuie să identifice, să evalueze, să monitorizeze și să administreze toate riscurile care decurg din acordurile cu terțe părți la care sunt sau ar putea fi expuse, în special riscul operațional și riscul de concentrare, indiferent dacă acordurile respective sunt sau nu acorduri de externalizare. + 
Articolul 230^4(1)Externalizarea nu trebuie să afecteze desfășurarea activității instituției de credit cu respectarea tuturor cerințelor legale și de reglementare aplicabile, exercitarea atribuțiilor organului de conducere al instituției de credit și nici supravegherea prudențială a instituției de credit de către Banca Națională a României.(2)Atunci când externalizează, instituțiile de credit rămân pe deplin responsabile și răspunzătoare pentru respectarea tuturor obligațiilor lor ce decurg din cadrul legal și de reglementare, inclusiv în ceea ce privește capacitatea de a monitoriza externalizarea funcțiilor critice sau importante.(3)Instituțiile de credit trebuie să mențină în permanență un nivel suficient de activitate pentru a rămâne autorizate și nu trebuie să utilizeze externalizarea într-o asemenea măsură încât să devină entități de tip «carcasă goală». În acest sens, instituțiile de credit trebuie:a)să îndeplinească în permanență toate condițiile de autorizare, inclusiv în ceea ce privește exercitarea efectivă de către organul de conducere a responsabilităților prevăzute la alin. (5);b)să păstreze un cadru și o structură organizatorică clare și transparente care să permită asigurarea conformării cu cerințele cadrului legal și de reglementare;c)atunci când sunt externalizate sarcinile operaționale ale funcțiilor de control intern, precum în cazul externalizării în cadrul grupului sau al externalizării în cadrul sistemelor instituționale de protecție, să exercite o monitorizare adecvată și să fie capabile să administreze riscurile generate de externalizarea funcțiilor critice sau importante; șid)să dispună de suficiente resurse și capacități pentru a asigura conformarea cu cerințele de la lit. a)-c).(4)Externalizarea nu trebuie să determine nicio delegare a responsabilităților organului de conducere al instituției de credit.(5)Organul de conducere este în orice moment pe deplin responsabil și răspunzător cel puțin pentru:a)asigurarea îndeplinirii în mod continuu de către instituția de credit a condițiilor de autorizare, inclusiv a oricăror alte condiții impuse de Banca Națională a României, în calitate de autoritate competentă;b)organizarea internă a instituției de credit;c)identificarea, evaluarea și gestionarea conflictelor de interese;d)stabilirea strategiilor și a politicilor instituției de credit, precum modelul de afaceri, apetitul la risc sau cadrul de administrare a riscurilor;e)supravegherea activității de conducere curentă a instituției de credit, inclusiv administrarea tuturor riscurilor asociate externalizării; șif)îndeplinirea rolului de supraveghere al organului de conducere în funcția sa de supraveghere, inclusiv supravegherea și monitorizarea procesului decizional al conducerii.(6)Externalizarea nu trebuie să reducă cerințele de adecvare aplicabile membrilor organului de conducere al instituției de credit și persoanelor care dețin funcții-cheie.(7)Instituțiile de credit trebuie să dispună de competențe adecvate și de resurse suficiente și calificate în mod corespunzător pentru a asigura administrarea și monitorizarea adecvată a acordurilor de externalizare. + 
Articolul 230^5(1)Instituțiile de credit trebuie:a)să atribuie în mod clar responsabilități privind documentarea, administrarea și controlul asupra acordurilor de externalizare;b)să aloce suficiente resurse pentru a asigura conformarea cu toate cerințele prevăzute de cadrul legal și de reglementare, precum și documentarea și monitorizarea tuturor acordurilor de externalizare;c)să stabilească, ca parte a cadrului de control intern al instituției de credit, cu aplicarea criteriilor de proporționalitate prevăzute la art. 5 alin. (2) și (2^1), o funcție de monitorizare a externalizării sau să desemneze o persoană responsabilă pentru administrarea și supravegherea riscurilor asociate acordurilor de externalizare, precum și cu supravegherea documentării acordurilor de externalizare, care trebuie să fie o persoană care exercită o funcție de conducere de nivel mediu, în sensul art. 67^38 alin. (3), sau o persoană care deține funcții-cheie care este direct răspunzătoare față de organul de conducere.(2)În sensul alin. (1) lit. c), instituțiile de credit mici și cu un grad redus de complexitate, astfel cum sunt definite la art. 4 alin. (1) pct. 145 din Regulamentul (UE) nr. 575/2013, trebuie să asigure, cel puțin, o repartizare clară a sarcinilor și a responsabilităților privind administrarea și controlul acordurilor de externalizare și pot atribui funcția de externalizare unui membru al organului de conducere al instituției de credit. + 
Articolul 230^6Instituțiile de credit trebuie să se asigure, atunci când externalizează funcții, cel puțin că:a)pot lua și pune în aplicare decizii referitoare la activitățile lor și la funcțiile critice sau importante, inclusiv cu privire la cele externalizate;b)este menținută buna desfășurare a activităților proprii;c)riscurile asociate acordurilor de externalizare existente și planificate sunt identificate, evaluate, administrate și diminuate în mod adecvat. Aceste riscuri au în vedere și riscul aferent tehnologiei informației și comunicațiilor (TIC), inclusiv cel aferent tehnologiilor financiare (fintech);d)există mecanisme adecvate de asigurare a confidențialității datelor și altor informații;e)este menținut un flux adecvat de informații relevante cu furnizorii externi;f)în ceea ce privește externalizarea funcțiilor critice sau importante, au capacitatea să întreprindă cel puțin una dintre următoarele acțiuni, într-un interval de timp adecvat:(i)să transfere funcția către alți furnizori externi;(ii)să reintegreze funcția; sau(iii)să întrerupă activitățile care depind de funcția respectivă;g)în cazul în care externalizarea implică prelucrarea datelor cu caracter personal de către furnizorii externi, sunt implementate măsuri corespunzătoare, iar datele sunt prelucrate în conformitate cu prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, precum și ale legislației naționale aplicabile domeniului protecției datelor.2.2.Politica privind externalizarea + 
Articolul 230^7(1)Instituțiile de credit trebuie să își stabilească, în scris, politica în domeniul externalizării, care include principalele etape ale ciclului de viață al acordurilor de externalizare încheiate sau pe care intenționează să le încheie și definește principiile, responsabilitățile și procesele legate de externalizare, și să asigure punerea sa în aplicare, după caz, pe bază individuală, subconsolidată și consolidată.(2)Politica de externalizare trebuie să vizeze cel puțin următoarele aspecte:a)responsabilitățile organului de conducere, inclusiv implicarea sa, după caz, în procesul decizional privind externalizarea funcțiilor critice sau importante;b)implicarea liniilor de activitate, a funcțiilor de control intern și a altor persoane în ceea ce privește acordurile de externalizare;c)planificarea acordurilor de externalizare, incluzând:(i)definirea cerințelor comerciale referitoare la acordurile de externalizare;(ii)criteriile și procesele de identificare a funcțiilor critice sau importante;(iii)identificarea, evaluarea și administrarea riscurilor în conformitate cu art. 230^3;(iv)evaluarea adecvării furnizorilor externi potențiali, inclusiv măsurile necesare în temeiul art. 230^15;(v)proceduri pentru identificarea, evaluarea, gestionarea și reducerea sau prevenirea potențialelor conflicte de interese, în conformitate cu art. 29^3;(vi)planificarea continuității activității în conformitate cu alin. (6);(vii)procesul de aprobare a acordurilor de externalizare noi;d)punerea în aplicare, monitorizarea și administrarea acordurilor de externalizare, incluzând:(i)monitorizarea pe bază continuă a furnizorului extern în conformitate cu art. 230^21;(ii)procedurile de notificare și de răspuns la modificările intervenite la nivelul unui acord de externalizare sau al unui furnizor extern, cum ar fi, de exemplu, în ceea ce privește poziția sa financiară, structurile sale organizatorice sau de acționariat, subcontractarea;(iii)examinarea independentă și auditul conformității cu cerințele prevăzute de cadrul legal și de reglementare și cu politicile interne;(iv)procesele de reînnoire a acordurilor de externalizare;e)documentarea și ținerea evidențelor, luând în considerare cerințele de la art. 230^8-230^10;f)strategiile de încetare și procedurile în caz de încetare a externalizării, inclusiv cerința privind existența unui plan de încetare documentat pentru fiecare funcție critică sau importantă care urmează să fie externalizată, în cazul în care o astfel de încetare este considerată posibilă, având în vedere eventualele întreruperi ale serviciilor sau încetarea neprevăzută a unui acord de externalizare.(3)Politica de externalizare trebuie să facă distincție între următoarele situații:a)externalizarea funcțiilor critice sau importante și alte acorduri de externalizare;b)externalizarea către furnizori externi care sunt autorizați de o autoritate competentă și cei care nu sunt autorizați;c)externalizarea în cadrul grupului, în cadrul aceluiași sistem instituțional de protecție (inclusiv entități deținute integral fie individual, fie colectiv de instituții din cadrul sistemului instituțional de protecție) și externalizarea către entități din afara grupului; șid)externalizarea către furnizori externi situați într-un stat membru și furnizori externi situați în state terțe.(4)Instituțiile de credit trebuie să se asigure că politica de externalizare acoperă identificarea efectelor potențiale ale acordurilor de externalizare care vizează funcții critice sau importante asupra următoarelor aspecte și că acestea sunt luate în considerare în procesul decizional:a)profilul de risc al instituției de credit;b)capacitatea de a monitoriza furnizorul extern și de a administra riscurile;c)măsurile de asigurare a continuității activității; șid)desfășurarea activității.(5)Instituțiile de credit trebuie să identifice, să evalueze și să gestioneze conflictele de interese în ceea ce privește acordurile lor de externalizare, în conformitate cu art. 29^3.(6)Instituțiile de credit trebuie să stabilească și să aplice planuri de asigurare a continuității activității lor care să ia în considerare eventualitatea în care prestarea serviciilor de către furnizorul extern nu se mai realizează sau se realizează într-un mod total necorespunzător ori alte modificări în situația furnizorului extern. Planurile de asigurare a continuității activității trebuie testate periodic, cel puțin anual.2.3.Cerințe privind documentația + 
Articolul 230^8(1)Ca parte a cadrului de administrare a riscurilor, instituțiile de credit trebuie să țină un registru actualizat al informațiilor privind toate acordurile de externalizare existente la nivelul instituției de credit și, după caz, la nivel subconsolidat și consolidat.(2)Registrul de evidență include cel puțin informațiile prevăzute în anexa nr. 11.(3)Instituțiile de credit din cadrul unui grup, organizațiile cooperatiste sau instituțiile de credit care sunt membre ale aceluiași sistem instituțional de protecție pot ține registrul de evidență la nivel central.(4)Instituțiile de credit trebuie să păstreze înregistrările din registrul de evidență cu privire la acordurile de externalizare încetate, precum și documentele aferente, pentru perioadele specificate la nivelul legislației naționale privind arhivarea. + 
Articolul 230^9Instituțiile de credit trebuie să documenteze corespunzător toate acordurile de externalizare existente, făcând distincție între externalizarea funcțiilor critice sau importante și alte acorduri de externalizare, inclusiv evaluările efectuate în legătură cu acestea și rezultatele monitorizării acestora. + 
Articolul 230^10(1)Instituțiile de credit trebuie să pună la dispoziția Băncii Naționale a României, în calitate de autoritate competentă, la cerere, într-un format electronic editabil, fie registrul de evidență a tuturor acordurilor de externalizare existente, fie părți specifice din acesta, ca, de exemplu, informații privind toate acordurile de externalizare care se încadrează în una dintre categoriile menționate la lit. d) de la pct. 1 din anexa nr. 11, de exemplu acordurile de externalizare pentru tehnologia informației.(2)Instituțiile de credit trebuie să pună la dispoziția Băncii Naționale a României, în calitate de autoritate competentă, la cerere, toate informațiile necesare pentru a permite acesteia exercitarea efectivă a atribuțiilor sale de supraveghere, inclusiv, dacă este cazul, copii ale acordurilor de externalizare.2.4.Cerințe de notificare cu privire la externalizarea funcțiilor critice sau importante + 
Articolul 230^11(1)Fără a aduce atingere prevederilor art. 34^8 alin. (2), instituțiile de credit trebuie să notifice în prealabil Banca Națională a României – Direcția supraveghere cu privire la externalizarea planificată a unor funcții critice sau importante și/sau dacă o funcție externalizată a devenit critică sau importantă, astfel încât Banca Națională a României să poată evalua în ce măsură sunt respectate cerințele de natură prudențială și, dacă este cazul, să poată dispune măsurile necesare.(2)În cazul externalizării planificate a unei funcții critice sau importante, notificarea prevăzută la alin. (1) se efectuează cu două luni anterior datei la care se preconizează încheierea acordului de externalizare.(3)În cazul funcțiilor externalizate care devin critice sau importante, notificarea prevăzută la alin. (1) se efectuează în termen de o lună de la data evaluării caracterului critic sau a importanței funcției externalizate, conform mențiunilor de la pct. 1 lit. i) din Registrul de evidență a acordurilor de externalizare, prevăzut în anexa nr. 11. Banca Națională a României evaluează externalizarea unei funcții devenite critică sau importantă în termen de 2 luni de la data depunerii notificării și, dacă este cazul, poate dispune măsurile necesare.(4)Notificarea prevăzută la alin. (1) trebuie însoțită de următoarele documente și informații:a)fundamentarea oportunității externalizării funcțiilor în cauză, inclusiv din perspectiva riscurilor implicate de externalizare;b)informațiile prevăzute în anexa nr. 11;c)proiectul acordului de externalizare sau, după caz, acordul de externalizare.(5)Ulterior externalizării unei funcții critice sau importante, instituțiile de credit notifică Băncii Naționale a României – Direcția supraveghere următoarele:a)intenția de schimbare a furnizorului extern, cu motivarea acestei schimbări;b)eventuala reintegrare în cadrul instituției de credit a funcțiilor supuse externalizării;c)orice evoluții semnificative și/sau evenimente grave care ar putea afecta activitatea furnizorului extern și/sau capacitatea acestora de a-și îndeplini obligațiile față de clienți, eventuale măsuri care urmează a fi adoptate de instituția de credit în aceste cazuri.(6)În cazul prevăzut la alin. (5) lit. a), notificarea se efectuează cu o lună anterior datei la care se preconizează încheierea noului acord de externalizare, astfel încât Banca Națională a României să poată efectua evaluarea noilor circumstanțe și, dacă este cazul, să poată dispune măsurile necesare. Notificarea trebuie însoțită de următoarele documente și informații:a)informațiile prevăzute în anexa nr. 11;b)proiectul acordului de externalizare.(7)În cazurile prevăzute la alin. (5) lit. b) și c), notificarea se realizează în cel mai scurt timp.(8)În termenele menționate la alin. (2) și (6), respectiv în termen de o lună de la data notificării prevăzută la alin. (3), Banca Națională a României poate impune instituției de credit anumite condiții în legătură cu operațiunea de externalizare sau de schimbare a furnizorului extern sau se poate opune motivat ținând seama de factori cum ar fi: mărimea instituției de credit, natura activității care se intenționează a fi externalizată, caracteristicile și poziția de piață ale furnizorului de servicii propus, durata contractului, conflictele de interese ce ar putea fi generate de externalizare. În lipsa unui răspuns din partea Băncii Naționale a României, instituțiile de credit pot implementa externalizarea în condițiile notificate.(9)Notificarea prevăzută la alin. (1) și (5) nu exonerează instituțiile de credit de îndeplinirea obligațiilor legale, iar acestea rămân deplin responsabile și răspunzătoare pentru respectarea tuturor cerințelor ce decurg din cadrul legal și de reglementare în ceea ce privește externalizările planificate. Banca Națională a României, în cadrul verificărilor și inspecțiilor efectuate în exercitarea atribuțiilor sale de supraveghere prudențială, poate dispune măsuri de supraveghere sau măsuri sancționatoare și/sau sancțiuni în cazul în care constată că externalizarea planificată nu respectă cadrul legal și de reglementare aplicabil. + 
Secţiunea a 3-aProcesul de externalizare3.1.Evaluarea prealabilă externalizării + 
Articolul 230^12Înainte de a încheia un acord de externalizare, instituțiile de credit trebuie:a)să evalueze dacă acordul de externalizare vizează o funcție critică sau importantă;b)să evalueze dacă sunt îndeplinite condițiile pentru externalizare prevăzute la art. 230^13;c)să identifice și să evalueze toate riscurile relevante asociate acordului de externalizare;d)să evalueze adecvarea furnizorului extern potențial;e)să identifice și să evalueze conflictele de interese pe care le poate genera externalizarea. + 
Articolul 230^13(1)Instituțiile de credit trebuie să se asigure că externalizarea funcțiilor privind activitățile instituției de credit prevăzute la art. 18 alin. (1) din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, în măsura în care realizarea funcției respective de către instituțiile de credit necesită autorizarea de către Banca Națională a României, către un furnizor extern situat în România sau în alt stat membru are loc numai dacă este îndeplinită una dintre următoarele condiții:a)furnizorul extern este autorizat sau înregistrat de o autoritate competentă să desfășoare activitățile respective; saub)furnizorul extern are dreptul potrivit legislației naționale aplicabile să desfășoare asemenea activități.(2)Instituțiile de credit trebuie să se asigure că externalizarea funcțiilor privind activitățile prevăzute la art. 18 alin. (1) din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, în măsura în care realizarea funcției respective necesită autorizarea Băncii Naționale a României, către un furnizor extern situat într-un stat terț are loc numai dacă sunt îndeplinite următoarele condiții:a)furnizorul extern este autorizat sau înregistrat să desfășoare activitățile respective în statul terț și este supravegheat de o autoritate de supraveghere relevantă din statul terț respectiv; șib)există un acord de cooperare între Banca Națională a României, în calitate de autoritate competentă, și autoritățile de supraveghere responsabile cu supravegherea furnizorului extern; șic)acordul de cooperare menționat la lit. b) trebuie să garanteze că Banca Națională a României poate cel puțin:(i)să obțină, la cerere, informațiile necesare pentru îndeplinirea atribuțiilor de supraveghere care îi revin în temeiul Ordonanței de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, și al Regulamentului (UE) nr. 575/2013, cu modificările și completările ulterioare;(ii)să obțină acces corespunzător la orice date, documente, sedii sau membri ai personalului din statul terț care sunt relevanți pentru îndeplinirea atribuțiilor de supraveghere;(iii)să primească, cât mai curând posibil, informații de la autoritatea de supraveghere din statul terț pentru a investiga posibilele încălcări ale cerințelor prevăzute de Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, sau de Regulamentul (UE) nr. 575/2013, cu modificările și completările ulterioare, precum și de reglementările emise în aplicarea acestora; și(iv)să coopereze cu autoritățile de supraveghere relevante din statul terț în ceea ce privește aplicarea sancțiunilor și măsurilor prevăzute de lege, în cazul unei încălcări a cerințelor prevăzute de Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, sau de Regulamentul (UE) nr. 575/2013, cu modificările și completările ulterioare, precum și de reglementările emise în aplicarea acestora. Cooperarea trebuie să includă, fără a se limita la aceasta, primirea de informații de la autoritățile de supraveghere din statul terț, cât mai curând posibil, privind posibilele încălcări ale acestor cerințe. + 
Articolul 230^14(1)Instituțiile de credit trebuie să evalueze impactul potențial al acordurilor de externalizare asupra riscului lor operațional, trebuie să ia în considerare rezultatele evaluării atunci când decid dacă funcția trebuie externalizată către un furnizor extern și trebuie să ia măsuri corespunzătoare pentru a evita riscuri operaționale suplimentare nejustificate înainte de încheierea unor acorduri de externalizare. Evaluarea trebuie să includă, după caz, scenarii privind posibile evenimente de risc, inclusiv evenimente de risc operațional foarte grave.(2)În cazul în care acordul de externalizare include posibilitatea ca furnizorul extern să subcontracteze funcții critice sau funcții importante altor furnizori externi, instituțiile de credit trebuie să ia în considerare:a)riscurile asociate externalizării în lanț, inclusiv riscurile suplimentare care pot apărea în cazul în care subcontractantul este situat într-o țară terță sau într-o altă țară decât furnizorul extern;b)riscul ca lanțurile lungi și complexe de subcontractare să diminueze capacitatea instituțiilor de credit de a monitoriza funcția critică sau importantă externalizată și capacitatea Băncii Naționale a României, în calitate de autoritate competentă, de a le supraveghea în mod eficace. + 
Articolul 230^15(1)Înainte de a încheia un acord de externalizare și de a lua în considerare riscurile operaționale aferente funcției care urmează să fie externalizată, instituțiile de credit trebuie să se asigure, în cadrul procesului de selecție și de evaluare a furnizorului extern, că acesta este adecvat.(2)La externalizarea funcțiilor critice sau importante, instituțiile de credit trebuie să se asigure că furnizorul extern are o bună reputație de afaceri, abilități adecvate și suficiente, expertiza, capacitatea, resursele, precum resurse umane, informatice, financiare, structura organizatorică și, dacă este cazul, autorizația/autorizațiile sau înregistrarea/înregistrările necesară/necesare potrivit legii pentru furnizarea funcției critice sau importante de o manieră fiabilă și profesională cu scopul de a-și îndeplini obligațiile pe durata acordului de externalizare.(3)În cazul funcțiilor care nu sunt critice sau importante, instituțiile de credit trebuie să stabilească în cadrul politicii de externalizare criteriile potrivit cărora se realizează evaluarea furnizorului extern.3.2.Etapa contractuală + 
Articolul 230^16(1)Orice externalizare trebuie să facă obiectul unui acord scris care să prevadă în mod clar drepturile și obligațiile care revin instituției de credit și furnizorului extern, urmărindu-se asigurarea respectării cadrului legal prudențial aplicabil instituției de credit pe durata acestuia.(2)Acordurile de externalizare trebuie să conțină clauze cel puțin cu privire la aspectele prevăzute în anexa nr. 12. + 
Articolul 230^17Instituțiile de credit trebuie să se asigure că furnizorii externi respectă, după caz, standarde adecvate de securitate informatică. + 
Articolul 230^18(1)Instituțiile de credit trebuie să se asigure că prin acordul scris de externalizare se permite funcției de audit intern să evalueze funcția externalizată, utilizând o abordare bazată pe riscuri.(2)Indiferent de caracterul critic sau de importanța funcției externalizate, acordurile scrise de externalizare încheiate între instituții și furnizorii externi trebuie să menționeze competențele Băncii Naționale a României, atât în calitate de autoritate competentă, cât și în calitate de autoritate de rezoluție, în materie de colectare de informații și de investigare, în temeiul art. 225 alin. (5)-(8) din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, și al art. 383 alin. (1) lit. a) din Legea nr. 312/2015 privind redresarea și rezoluția instituțiilor de credit și a firmelor de investiții, precum și pentru modificarea și completarea unor acte normative în domeniul financiar, cu modificările și completările ulterioare, în ceea ce privește furnizorii externi situați într-un stat membru, și trebuie, de asemenea, să asigure aceste drepturi și în ceea ce privește furnizorii externi situați în state terțe.(3)În ceea ce privește externalizarea unor funcții critice sau importante, instituțiile de credit trebuie să se asigure, în cadrul acordului scris de externalizare, că furnizorul extern le acordă acestora și Băncii Naționale a României, atât în calitate de autoritate competentă, cât și în calitate de autoritate de rezoluție, precum și oricărei alte persoane desemnate de instituțiile de credit sau de Banca Națională a României, atât în calitate de autoritate competentă, cât și în calitate de autoritate de rezoluție, următoarele:a)acces deplin la toate sediile operaționale relevante, precum sedii centrale și centre operaționale, inclusiv la întreaga gamă de dispozitive, sisteme, rețele, informații și date relevante utilizate pentru furnizarea funcției externalizate, inclusiv la informațiile financiare conexe, personalul și auditorii externi ai furnizorului extern; șib)drepturi nelimitate de inspecție și de audit legate de acordul de externalizare, pentru a le permite să monitorizeze acordul de externalizare și pentru a asigura respectarea tuturor cerințelor contractuale și a celor aplicabile ce decurg din cadrul de reglementare.(4)În ceea ce privește externalizarea funcțiilor care nu sunt critice sau importante, instituțiile de credit trebuie să își asigure drepturi proprii de acces și de audit, astfel cum acestea sunt prevăzute la lit. a) și b) ale alin. (3), pe baza unei abordări bazate pe riscuri, având în vedere natura funcției externalizate și riscurile operaționale și reputaționale conexe, scalabilitatea funcției externalizate, impactul potențial asupra desfășurării continue a activităților lor și durata contractului. Instituțiile de credit trebuie să ia în considerare faptul că funcțiile externalizate pot deveni critice sau importante în timp.(5)Instituțiile de credit trebuie să se asigure că acordul de externalizare sau orice alt contract nu împiedică sau nu limitează exercitarea efectivă a drepturilor de acces și de audit de către acestea, de Banca Națională a României, în calitate de autoritate competentă, sau de terții desemnați de aceasta pentru exercitarea acestor drepturi.(6)Înaintea unei inspecții la fața locului planificate, instituțiile de credit, Banca Națională a României și auditorii sau părțile terțe care acționează în numele instituției de credit sau al Băncii Naționale a României trebuie să notifice furnizorul extern într-un termen rezonabil, cu excepția cazului în care acest lucru nu este posibil din cauza unei situații de urgență sau de criză sau ar duce la o situație în care auditul nu ar mai fi eficace. + 
Articolul 230^19(1)Acordul de externalizare trebuie să permită expres instituției de credit să înceteze acordul, în conformitate cu legislația aplicabilă, inclusiv în următoarele situații:a)în cazul în care furnizorul extern încalcă legislația, reglementările sau prevederile contractuale aplicabile;b)în cazul în care sunt identificate obstacole care pot modifica performanța funcției externalizate;c)în cazul în care există modificări semnificative care afectează acordul de externalizare sau furnizorul extern precum subcontractarea sau modificări în situația subcontractanților;d)în cazul în care există deficiențe în ceea ce privește gestionarea și securitatea datelor sau informațiilor confidențiale, cu caracter personal sau considerate sensibile; șie)în cazul măsurilor dispuse de Banca Națională a României, în calitate de autoritate competentă, de exemplu, în cazul în care Banca Națională a României, în calitate de autoritate competentă, în urma acordului de externalizare, nu mai poate supraveghea în mod eficace instituția de credit.(2)Acordul de externalizare trebuie să faciliteze transferul funcției externalizate către un alt furnizor extern sau reintegrarea acesteia în cadrul instituției de credit. În acest scop, acordul de externalizare trebuie:a)să prevadă clar obligațiile furnizorului extern existent, în cazul unui transfer al funcției externalizate către un alt furnizor extern sau în cazul reintegrării acesteia în cadrul instituției de credit, inclusiv în ceea ce privește prelucrarea datelor;b)să stabilească o perioadă de tranziție adecvată, pe parcursul căreia furnizorul extern, după încetarea acordului de externalizare, să furnizeze în continuare funcția externalizată pentru a reduce riscul de întreruperi; șic)să includă o obligație a furnizorului extern de a sprijini instituția de credit în vederea transferului ordonat al funcției în cazul încetării contractului de externalizare.3.3.Externalizarea în lanț + 
Articolul 230^20(1)Instituțiile de credit trebuie să ia în considerare riscurile asociate unei externalizări în lanț.(2)Externalizarea în lanț este permisă doar cu acordul prealabil al instituției de credit și în aceleași condiții ca și externalizarea către furnizorul extern principal.(3)Instituțiile de credit sunt de acord cu externalizarea în lanț doar dacă subcontractantul se angajează:a)să respecte toate legile și cerințele aplicabile ce decurg din reglementare și toate obligațiile contractuale; șib)să acorde instituției de credit și Băncii Naționale a României, atât în calitate de autoritate competentă, cât și în calitate de autoritate de rezoluție a instituției de credit, aceleași drepturi contractuale de acces și de audit ca cele acordate de furnizorul extern.(4)Atunci când este permisă externalizarea în lanț, instituțiile de credit trebuie să înregistreze în registrul menționat la art. 230^8 toți subcontractanții, indiferent de caracterul critic sau de importanța funcției sau a părții dintr-o funcție care urmează să fie subcontractată, și să indice dacă funcția care urmează să fie subcontractată este considerată sau nu critică sau importantă sau dacă partea funcției critice sau importante care urmează să fie subcontractată este în sine critică sau importantă.(5)Instituțiile de credit trebuie să ia măsurile corespunzătoare cu privire la riscurile decurgând din neîndeplinirea sau îndeplinirea necorespunzătoare a activităților subcontractate, care are un impact semnificativ asupra capacității furnizorului extern principal de a-și respecta obligațiile asumate prin contract.3.4.Monitorizarea funcțiilor externalizate + 
Articolul 230^21(1)Instituțiile de credit trebuie să monitorizeze în permanență modul de îndeplinire a obligațiilor de către furnizorii externi în cadrul tuturor acordurilor de externalizare la care sunt parte, pe baza unei abordări bazate pe riscuri, acordând o importanță deosebită externalizării funcțiilor critice sau importante, inclusiv asigurării disponibilității, integrității și securității datelor și informațiilor. În cazul în care riscul, natura sau amploarea unei funcții externalizate se modifică semnificativ, instituțiile de credit trebuie să reevalueze caracterul critic sau importanța funcției respective.(2)Instituțiile de credit trebuie să actualizeze periodic evaluarea riscurilor asociate funcțiilor externalizate și trebuie să raporteze periodic organului de conducere riscurile identificate cu privire la externalizarea funcțiilor critice sau importante.(3)Instituțiile de credit trebuie să administreze riscurile, în special riscul operațional și riscul de concentrare, asociate acordurilor de externalizare.(4)Instituțiile de credit trebuie să ia măsuri corespunzătoare în cazul în care identifică deficiențe în furnizarea funcției externalizate. În special, instituțiile de credit trebuie să analizeze toate indiciile potrivit cărora furnizorii externi sunt susceptibili să nu execute funcția critică sau importantă externalizată în mod eficace sau în conformitate cu legile și cu cerințele ce decurg din reglementare. Dacă sunt identificate deficiențe, instituțiile de credit trebuie să ia măsuri corective sau de remediere corespunzătoare. Astfel de măsuri pot include încetarea acordului de externalizare, cu efect imediat, dacă este necesar.3.5.Strategii de încetare a acordurilor de externalizare + 
Articolul 230^22(1)Instituțiile de credit trebuie să aibă o strategie de ieșire documentată pentru toate acordurile de externalizare, conformă cu politica lor de externalizare și cu planurile de asigurare a continuității activității, care să ia în considerare cel puțin următoarele scenarii:a)încetarea acordurilor de externalizare;b)incapacitatea furnizorului extern;c)deteriorarea calității funcției furnizate și întreruperi efective sau potențiale ale activității cauzate de furnizarea inadecvată a funcției sau de nefurnizarea acesteia;d)apariția unor riscuri semnificative pentru furnizarea corespunzătoare și continuă a funcției.(2)Instituțiile de credit trebuie să se asigure că pot să înceteze acordurile de externalizare fără perturbarea nejustificată a desfășurării activității, fără limitarea respectării cerințelor de reglementare și fără prejudicierea continuității și calității serviciilor furnizate clienților. + 
Secţiunea a 4-aAlte dispoziții + 
Articolul 230^23(1)Instituțiile de credit notifică semestrial Băncii Naționale a României – Direcția supraveghere evoluțiile semnificative înregistrate la nivelul riscurilor asociate funcțiilor externalizate.(2)Instituțiile de credit trebuie să informeze Banca Națională a României – Direcția supraveghere în cel mai scurt timp cu privire la orice modificări semnificative și/sau evenimente grave legate de acordurile lor de externalizare care ar putea avea un impact semnificativ asupra continuității activității proprii. + 
Articolul 230^24(1)Instituțiile de credit trebuie să întocmească și să transmită Băncii Naționale a României – Direcția supraveghere o listă a agenților bancari, în care sunt înscrise datele și informațiile privind fiecare agent bancar, în modalitatea prevăzută în anexa nr. 4.(2)Lista agenților bancari se actualizează de către instituțiile de credit cu ocazia fiecărei modificări sau completări a datelor și informațiilor înscrise inițial. Orice modificare a datelor și informațiilor privind agentul bancar se transmite de către instituțiile de credit, de îndată, Băncii Naționale a României – Direcția supraveghere.(3)În baza listei transmise de către instituțiile de credit potrivit alin. (1), agenții bancari sunt înscriși într-un registru ținut de Banca Națională a României și actualizat permanent. + 
Articolul 230^25(1)Banca Națională a României, în calitate de autoritate competentă, atunci când constată că o instituție de credit nu mai dispune de un cadru solid de administrare a activității sau nu mai respectă cerințele ce decurg din cadrul legal și de reglementare, dispune măsuri corespunzătoare, care pot include, printre altele, limitarea sau restrângerea ariei funcțiilor externalizate sau ieșirea din unul sau mai multe acorduri de externalizare.(2)Banca Națională a României, în calitate de autoritate competentă, atunci când identifică riscuri de concentrare, monitorizează evoluția acestora pentru a evalua impactul potențial asupra altor instituții de credit sau asupra stabilității pieței financiare și, dacă este cazul, informează Banca Națională a României, în calitate de autoritate de rezoluție, cu privire la noile funcții ale instituției de credit identificate ca potențial critice, în sensul art. 2 alin. (1) pct. 23 din Legea nr. 312/2015 privind redresarea și rezoluția instituțiilor de credit și a firmelor de investiții, precum și pentru modificarea și completarea unor acte normative în domeniul financiar, cu modificările și completările ulterioare, pe parcursul procesului de supraveghere.13.Capitolul V al titlului II, care cuprinde articolele 231-243, se abrogă.14.Articolul 681 se modifică și va avea următorul cuprins: + 
Articolul 681Anexele nr. 1-12 fac parte integrantă din prezentul regulament.15.După anexa nr. 10 se introduc două noi anexe, anexele nr. 11 și 12, având cuprinsul prevăzut în anexele nr. 1 și 2 care fac parte integrantă din prezentul regulament. + 
Articolul II(1)Instituțiile de credit elaborează sau adaptează, după caz, până la data de 15 noiembrie 2024, politicile, procedurile, procesele și practicile privind externalizarea, prevăzute în Regulamentul Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare, inclusiv cu cele aduse prin prezentul regulament.(2)Acordurile de externalizare încheiate, revizuite sau modificate începând cu data de 15 noiembrie 2024 respectă dispozițiile Regulamentului Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare, inclusiv cu cele aduse prin prezentul regulament.(3)Prin excepție de la alin. (1) și (2), dispozițiile art. 230^13 alin. (2) lit. b) din Regulamentul Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare, inclusiv cu cele aduse prin prezentul regulament, se aplică începând cu data de 15 februarie 2025.(4)Instituțiile de credit trebuie să revizuiască și să modifice în mod corespunzător acordurile de externalizare existente la data de 15 noiembrie 2024 pentru a asigura respectarea dispozițiilor Regulamentului Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare, inclusiv cu cele aduse prin prezentul regulament.(5)În cazul în care revizuirea acordurilor de externalizare a funcțiilor critice sau importante existente la data de 15 noiembrie 2024 nu este finalizată până la data de 15 februarie 2025, instituțiile de credit trebuie să informeze Banca Națională a României, în calitate de autoritate competentă, cu privire la acest aspect, precizând inclusiv măsurile planificate pentru finalizarea procesului sau strategiile de încetare a acordurilor avute în vedere.(6)Instituțiile de credit trebuie să finalizeze documentarea tuturor acordurilor de externalizare existente în conformitate cu dispozițiile prevăzute în Regulamentul Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare, inclusiv cu cele aduse prin prezentul regulament, până la data prevăzută pentru reînnoirea acestora, dar nu mai târziu de 15 noiembrie 2024.(7)Prin excepție de la prevederile alin. (6), pentru acordurile de externalizare de tip cloud, cerințele de documentare prevăzute la art. 230^8-230^10 din Regulamentul Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare, inclusiv cu cele aduse prin prezentul regulament, se aplică începând cu data intrării în vigoare a prezentului regulament. + 
Articolul IIIPrezentul regulament se publică în Monitorul Oficial al României, Partea I.
Președintele Consiliului de administrație al Băncii Naționale a României,
Mugur Constantin IsărescuBucurești, 24 iulie 2024.Nr. 8. + 
Anexa nr. 1(Anexa nr. 11 la Regulamentul nr. 5/2013)
Conținutul minim al registrului de evidență a acordurilor de externalizare1.Pentru toate acordurile de externalizare existente:a)un număr de referință pentru fiecare acord de externalizare;b)data de începere și, după caz, data de reînnoire a contractului, data de încetare și/sau perioadele de preaviz pentru furnizorul extern și pentru instituția de credit;c)o descriere succintă a funcțiilor externalizate, inclusiv a datelor externalizate, și dacă au fost transferate sau nu date cu caracter personal sau dacă prelucrarea lor este externalizată către un furnizor extern;d)o categorie atribuită de instituția de credit care reflectă natura funcției externalizate, astfel cum se menționează la lit. c), cum ar fi, de exemplu, tehnologia informației, funcție de control, care trebuie să faciliteze identificarea diferitelor tipuri de acorduri;e)numele furnizorului extern, numărul de înregistrare al societății, codul de identificare a entității juridice (dacă este disponibil), adresa sediului social și alte date de contact relevante, precum și denumirea societății-mamă (dacă este cazul);f)țara sau țările în care serviciul urmează să fie prestat, inclusiv locația datelor (și anume țara sau regiunea);g)dacă funcția externalizată este considerată sau nu critică sau importantă, inclusiv, dacă este cazul, un rezumat succint al motivelor pentru care funcția externalizată este considerată critică sau importantă;h)în cazul externalizării către un furnizor extern de servicii de tip cloud, serviciile de tip cloud și modelele de implementare, și anume publice/private/hibride/comunitare, precum și natura specifică a datelor care urmează să fie deținute și locațiile (și anume țări sau regiuni) unde datele respective sunt stocate;i)data celei mai recente evaluări a caracterului critic sau a importanței funcției externalizate;j)în cazul externalizării în lanț, numele subcontractanților, inclusiv țara în care sunt înregistrați subcontractanții, în care se prestează serviciul și, dacă este cazul, locația (și anume țara sau regiunea) unde sunt stocate datele, indicând dacă funcția care urmează să fie subcontractată este considerată sau nu critică sau importantă sau dacă partea funcției critice sau importante care urmează să fie subcontractată este în sine critică sau importantă.2.Pentru toate externalizările privind funcții critice sau importante, suplimentar față de informațiile de la pct. 1:a)instituțiile de credit și alte entități care intră în perimetrul de consolidare prudențială sau în cadrul sistemului instituțional de protecție, după caz, care utilizează externalizarea;b)dacă furnizorul extern sau furnizorul extern subcontractant face parte sau nu din grup, dacă este sau nu membru al unui sistem instituțional de protecție, dacă este sau nu deținut de instituții din cadrul grupului sau dacă este sau nu deținut de membri ai unui sistem instituțional de protecție, sfera de activitate, autorizația deținută pentru desfășurarea activității externalizate, dacă este cazul, piața de operare și poziția de piață a acestuia, jurisdicția aplicabilă, acționariatul și, dacă este cazul, indicarea apartenenței furnizorului extern la grupul din care face parte instituția de credit și precizarea includerii sau nu a acestuia în supravegherea consolidată la nivel de grup;c)data celei mai recente evaluări a riscurilor și un rezumat succint al principalelor rezultate;d)persoana sau organul de conducere al instituției de credit care a aprobat acordul de externalizare și numărul/data actului de aprobare;e)legea aplicabilă acordului de externalizare;f)data celui mai recent audit și data următoarelor audituri programate, dacă este cazul;g)un rezultat al evaluării substituibilității furnizorului extern, cum ar fi, de exemplu, simplu, dificil sau imposibil, posibilitatea de reintegrare a unei funcții critice sau importante în cadrul instituției de credit sau impactul întreruperii funcției critice sau importante;h)identificarea unor furnizori externi alternativi în conformitate cu lit. g);i)dacă funcția critică sau importantă externalizată sprijină operațiuni economice a căror executare la timp este esențială pentru instituția de credit;j)costul bugetar anual estimat. + 
Anexa nr. 2(Anexa nr. 12 la Regulamentul nr. 5/2013)
Conținutul minim al acordurilor de externalizare1.Acordul scris de externalizare a funcțiilor critice sau importante conține cel puțin clauze cu privire la următoarele aspecte:a)o descriere clară a funcției externalizate care urmează să fie furnizată;b)data de începere și data de încetare a acordului, după caz, și perioadele de preaviz pentru furnizorul extern și instituția de credit;c)legea aplicabilă acordului;d)obligațiile financiare ale părților;e)dacă este permisă externalizarea în lanț și, în caz afirmativ, condițiile în care se realizează aceasta, respectiv:(i)tipurile de activități care nu pot face obiectul externalizării în lanț, atunci când este cazul;(ii)condițiile care trebuie respectate în cazul externalizării în lanț;(iii)obligația furnizorului extern de a monitoriza serviciile pe care le-a subcontractat pentru a se asigura că toate obligațiile contractuale dintre furnizorul extern și instituția de credit sunt îndeplinite în permanență;(iv)obligația furnizorului extern de a obține în prealabil o aprobare scrisă, specifică sau generală, din partea instituției de credit, pentru subcontractarea care implică prelucrarea datelor cu caracter personal, în acord cu prevederile art. 28 din Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);(v)obligația furnizorului extern de a informa instituția de credit cu privire la orice subcontractare planificată sau la orice modificare semnificativă a acesteia, în special în cazul în care acest lucru ar putea afecta capacitatea furnizorului extern de a-și îndeplini responsabilitățile în conformitate cu acordul de externalizare. Aceasta include modificările semnificative planificate ale subcontractanților și perioada de preaviz; în special, perioada de preaviz care urmează să fie stabilită trebuie să permită instituției de credit care externalizează să efectueze cel puțin o evaluare a riscurilor legate de modificările propuse și să se opună modificărilor înainte de intrarea în vigoare a subcontractării planificate sau a modificărilor semnificative ale acesteia;(vi)dacă este cazul, dreptul instituției de credit de a se opune subcontractării planificate sau modificărilor substanțiale ale acesteia sau necesitatea aprobării explicite a acesteia;(vii)dreptul instituției de credit de a înceta acordul în cazuri justificate, de exemplu în cazul în care subcontractarea crește în mod semnificativ riscurile pentru instituția de credit sau în cazul în care furnizorul extern subcontractează fără a notifica instituția de credit;f)locația/locațiile (și anume regiunile sau țările) unde este furnizată funcția și/sau unde sunt păstrate și prelucrate date relevante, inclusiv eventuala locație de stocare, precum și condițiile care trebuie îndeplinite, inclusiv cerința de a notifica instituția de credit în cazul în care furnizorul extern propune schimbarea locației (locațiilor);g)dispoziții privind accesibilitatea, disponibilitatea, integritatea, confidențialitatea și siguranța datelor relevante, respectiv:(i)definirea cerințelor în materie de securitate a datelor și a sistemelor, dacă este cazul (de exemplu, în contextul externalizării serviciilor de tip cloud sau a altor servicii TIC);(ii)obligația furnizorului extern de a proteja informațiile confidențiale, cu caracter personal sau considerate sensibile și de a respecta toate cerințele legale privind protecția datelor care se aplică instituției de credit (de exemplu, protecția datelor cu caracter personal și faptul că se respectă secretul bancar sau alte obligații legale de confidențialitate similare cu privire la informațiile clienților, dacă este cazul);h)dreptul instituției de credit de a monitoriza permanent performanța furnizorului extern;i)nivelurile serviciilor convenite, care trebuie să includă obiective de performanță cantitative și calitative precise pentru funcția externalizată, pentru a permite o monitorizare în timp util, astfel încât, dacă nu sunt respectate nivelurile serviciilor convenite, să se poată lua măsuri corective adecvate, fără întârzieri nejustificate;j)obligațiile de raportare ale furnizorului extern către instituția de credit, inclusiv informarea de către furnizorul extern cu privire la orice evoluție care ar putea avea un impact semnificativ asupra capacității sale de a îndeplini eficace funcția externalizată în conformitate cu nivelurile serviciilor convenite și în conformitate cu legislația și cu cerințele aplicabile ce decurg din cadrul de reglementare, și, după caz, obligațiile de a prezenta rapoarte ale funcției de audit intern a furnizorului extern;k)dacă furnizorul extern trebuie să încheie o asigurare obligatorie împotriva anumitor riscuri și, dacă este cazul, nivelul asigurării necesare;l)cerințele de punere în aplicare și de testare a planurilor pentru situații neprevăzute și de continuitate a activității;m)dispoziții care garantează că datele care sunt proprietatea instituției de credit pot fi accesate în cazul insolvenței, al rezoluției sau al întreruperii operațiunilor economice ale furnizorului extern;n)obligația furnizorului extern de a coopera cu autoritățile competente și cu autoritățile de rezoluție ale instituției de credit, inclusiv cu alte persoane desemnate de acestea;o)o trimitere clară la competențele autorității naționale de rezoluție, în special la art. 400405 și art. 413419 din Legea nr. 312/2015 privind redresarea și rezoluția instituțiilor de credit și a firmelor de investiții, precum și pentru modificarea și completarea unor acte normative în domeniul financiar, cu modificările și completările ulterioare, și mai ales, o descriere a „obligațiilor contractuale esențiale“ în sensul art. 402 din legea respectivă;p)dreptul nerestricționat al instituțiilor de credit și al autorităților competente de a inspecta și de a audita furnizorul extern în ceea ce privește funcția externalizată, astfel cum se prevede la art. 230^18 din regulament;q)drepturi de încetare, astfel cum se prevede la art. 230^19 din regulament.2.Acordul scris de externalizare a funcțiilor care nu sunt critice sau importante conține cel puțin clauze cu privire la următoarele aspecte:a)o descriere clară a funcției externalizate care urmează să fie furnizată;b)dacă este permisă externalizarea în lanț și, în caz afirmativ, condițiile în care se realizează aceasta, respectiv:(i)tipurile de activități care nu pot face obiectul externalizării în lanț, atunci când este cazul;(ii)condițiile care trebuie respectate în cazul externalizării în lanț;(iii)obligația furnizorului extern de a monitoriza serviciile pe care le-a subcontractat pentru a se asigura că toate obligațiile contractuale dintre furnizorul extern și instituția de credit sunt îndeplinite în permanență;(iv)obligația furnizorului extern de a obține în prealabil o aprobare scrisă, specifică sau generală, din partea instituției de credit, pentru subcontractarea care implică prelucrarea datelor cu caracter personal, în acord cu prevederile art. 28 din Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);(v)obligația furnizorului extern de a informa instituția de credit cu privire la orice subcontractare planificată sau la orice modificare semnificativă a acesteia, în special în cazul în care acest lucru ar putea afecta capacitatea furnizorului extern de a-și îndeplini responsabilitățile în conformitate cu acordul de externalizare. Aceasta include modificările semnificative planificate ale subcontractanților și perioada de preaviz; în special, perioada de preaviz care urmează să fie stabilită trebuie să permită instituției de credit care externalizează să efectueze cel puțin o evaluare a riscurilor legate de modificările propuse și să se opună modificărilor înainte de intrarea în vigoare a subcontractării planificate sau a modificărilor semnificative ale acesteia;(vi)dacă este cazul, dreptul instituției de credit de a se opune subcontractării planificate sau modificărilor substanțiale ale acesteia sau necesitatea aprobării explicite a acesteia;(vii)dreptul instituției de credit de a înceta acordul în cazuri justificate, de exemplu în cazul în care subcontractarea crește în mod semnificativ riscurile pentru instituția de credit sau în cazul în care furnizorul extern subcontractează fără a notifica instituția de credit;c)dispoziții privind accesibilitatea, disponibilitatea, integritatea, confidențialitatea și siguranța datelor relevante, respectiv:(i)definirea cerințelor în materie de securitate a datelor și a sistemelor, dacă este cazul (de exemplu, în contextul externalizării serviciilor de tip cloud sau a altor servicii TIC);(ii)obligația furnizorului extern de a proteja informațiile confidențiale, cu caracter personal sau considerate sensibile și de a respecta toate cerințele legale privind protecția datelor care se aplică instituției de credit (de exemplu, protecția datelor cu caracter personal și faptul că se respectă secretul bancar sau alte obligații legale de confidențialitate similare cu privire la informațiile clienților, dacă este cazul);d)dreptul instituției de credit de a monitoriza permanent performanța furnizorului extern;e)nivelurile serviciilor convenite, care trebuie să includă obiective de performanță cantitative și calitative precise pentru funcția externalizată, pentru a permite o monitorizare în timp util, astfel încât, dacă nu sunt respectate nivelurile serviciilor convenite, să se poată lua măsuri corective adecvate, fără întârzieri nejustificate;f)obligația furnizorului extern de a coopera cu autoritățile competente și cu autoritățile de rezoluție ale instituției de credit, inclusiv cu alte persoane desemnate de acestea;g)dreptul instituțiilor de credit și dreptul nerestricționat al autorităților competente de a inspecta și de a audita furnizorul extern în ceea ce privește funcția externalizată, astfel cum se prevede la art. 230^18 din regulament;h)drepturi de încetare, astfel cum se prevede la art. 230^19 din regulament.

Redacția Lex24
Drept la Sursa!
Articole Urmărește
Categorii: Monitorul Oficial Partea I
Abonati-va
Anunțați despre
0 Discuții
Cel mai vechi
Cel mai nou Cele mai votate
Feedback-uri inline
Vezi toate comentariile
0
Opinia dvs. este importantă, adăugați un comentariu.x

Raport

Conține informații înșelătoare sau false
Hărțuire sau comportament de intimidare
Conține materiale pentru adulți sau sensibile
Conține conținut abuziv sau disprețuitor
Conține spam, conținut fals sau potențial malware

Blocare membru?

Vă rugăm să confirmați că doriți să blocați acest membru.

Nu vei mai putea:

  • Vedeți postările membrilor blocați
  • Menționați acest membru în postări
  • Invitați acest membru în grupuri
  • Trimite mesaj acestui membru
  • Adăugați acest membru ca conexiune

Vă rugăm să rețineți: Această acțiune va elimina și acest membru din conexiunile dvs. și va trimite un raport administratorului site-ului. Vă rugăm să acordați câteva minute pentru finalizarea acestui proces.

Raport

Ai raportat deja acest lucru .