Act legislativ


 


Banca Naţională a României
Regulament nr. 4 din 4.mar.2022
Monitorul Oficial, Partea I 252 15.mar.2022
Intrare în vigoare la 15.mar.2022
Regulamentul nr. 4/2022 pentru modificarea Regulamentului Băncii Naţionale a României nr. 2/2020 privind măsurile de securitate referitoare la riscurile operaţionale şi de securitate şi cerinţele de raportare aferente serviciilor de plată

Având în vedere: 
   - prevederile art. 218, 219, 223 şi art. 244 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative; 
   - Ghidul revizuit EBA/GL/2021/03 privind raportarea incidentelor majore în temeiul Directivei (UE) 2015/2.336 (DPS 2), 
    în temeiul dispoziţiilor art. 243 alin. (1) şi ale art. 244 alin. (1) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, precum şi ale art. 48 din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României,
 
    Banca Naţională a României emite prezentul regulament.
 
   Art. I. -   Regulamentul Băncii Naţionale a României nr. 2/2020 privind măsurile de securitate referitoare la riscurile operaţionale şi de securitate şi cerinţele de raportare aferente serviciilor de plată, publicat în Monitorul Oficial al României, Partea I, nr. 115 din 14 februarie 2020, cu modificările ulterioare, se modifică după cum urmează: 
   1. La articolul 2 alineatul (2), litera g) se modifică şi va avea următorul cuprins: 
   " g) confidenţialitate - proprietatea de a nu pune la dispoziţie sau de a nu divulga informaţii persoanelor, entităţilor sau proceselor neautorizate;". 
   2. La articolul 2 alineatul (2), litera h) se modifică şi va avea următorul cuprins: 
   " h) disponibilitate - proprietatea serviciilor aferente plăţilor de a fi deplin accesibile şi utilizabile de către utilizatorii serviciilor de plată, potrivit nivelurilor acceptabile predefinite anterior de prestatorul de servicii de plată;". 
   3. La articolul 2 alineatul (2), litera k) se modifică şi va avea următorul cuprins: 
   " k) incident TIC operaţional sau de securitate - un singur eveniment sau o serie de evenimente corelate neplanificate de prestatorul de servicii de plată, care are/au sau ar putea avea un impact negativ asupra integrităţii, disponibilităţii, confidenţialităţii şi/sau autenticităţii serviciilor aferente plăţilor;". 
   4. La articolul 2 alineatul (2), litera l) se modifică şi va avea următorul cuprins: 
   " l) integritate - proprietatea de a asigura acurateţea şi caracterul complet al activelor, inclusiv în ceea ce priveşte datele;". 
   5. Titlul III se modifică şi va avea următorul cuprins: 
   "
TITLUL III
Raportarea incidentelor operaţionale şi/sau de securitate majore

 
CAPITOLUL I
Încadrarea incidentelor operaţionale şi/sau de securitate în categoria incidentelor majore
 
   Art. 66. -   Prestatorii de servicii de plată trebuie să evalueze dacă un incident operaţional sau de securitate aferent serviciilor de plată prestate se încadrează în categoria incidentelor majore, în baza analizei asupra criteriilor şi potrivit metodologiei menţionate în anexa nr. 1. 
   Art. 67. -   Prestatorii de servicii de plată trebuie să evalueze un incident prin a stabili, pentru fiecare criteriu în parte, dacă pragurile relevante din anexa nr. 2 sunt sau este probabil să fie atinse înainte de soluţionarea incidentului. 
   Art. 68. -   (1) Prestatorii de servicii de plată trebuie să încadreze în categoria incidentelor majore acele incidente operaţionale sau de securitate pentru care: 
   a) unul sau mai multe criterii se încadrează în categoria «Nivel de impact ridicat»; sau 
   b) trei sau mai multe criterii se încadrează în categoria «Nivel de impact redus». 
   (2) Criteriile prevăzute la alin. (1) se încadrează în categoria «Nivel de impact redus», respectiv «Nivel de impact ridicat», prin atingerea pragurilor prevăzute în anexa nr. 2. 
   Art. 69. -   Prestatorii de servicii de plată trebuie să recurgă la estimări, de exemplu, în etapa investigaţiei iniţiale a incidentului, dacă nu deţin date efective pentru a-şi fundamenta evaluarea realizată potrivit art. 66-68, cum ar fi un prag stabilit sau pentru care este o probabilitate foarte mare de a fi atins înainte ca incidentul să fie soluţionat. 
   Art. 70. -   (1) Prestatorii de servicii de plată trebuie să efectueze evaluarea menţionată la art. 66-68 pe bază continuă, pe întreaga durată a existenţei incidentului, pentru a identifica orice posibilă schimbare a încadrării incidentului, respectiv prin încadrarea incidentului din incident minor în major sau prin încadrarea incidentului din major în minor. 
   (2) Orice schimbare a încadrării incidentului din categoria incident major în categoria incident minor trebuie transmisă Băncii Naţionale a României fără întârzieri nejustificate, conform art. 91.

 
CAPITOLUL II
Notificarea incidentelor operaţionale şi/sau de securitate majore

 
SECŢIUNEA 1
Dispoziţii generale
 
   Art. 71. -   (1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, trebuie să completeze şi să transmită Băncii Naţionale a României raportul privind incidentul major, potrivit formularelor şi instrucţiunilor de completare prevăzute în anexa nr. 3. 
   (2) Prin excepţie de la aplicarea prevederilor art. 1 alin. (2) lit. b), prestatorii de servicii de plată prevăzuţi la art. 223 alin. (1) lit. c) şi d) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care desfăşoară activitate de prestare de servicii de plată pe teritoriul României, trebuie să transmită Băncii Naţionale a României o copie a notificării prevăzute la art. 219 alin. (4) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, prin intermediul reţelei de comunicaţii interbancare. 
   Art. 72. -   (1) Prestatorii de servicii de plată trebuie să utilizeze formularele de raport prevăzute în anexa nr. 3 atunci când transmit rapoartele iniţiale, intermediare şi finale privind acelaşi incident, astfel cum sunt menţionate în secţiunile a 2-a-a 4-a. 
   (2) Prestatorii de servicii de plată trebuie să completeze integral şi progresiv rubricile din formularele de raport prevăzute la alin. (1), pe măsură ce sunt disponibile mai multe informaţii în cursul investigaţiilor, şi să indice informaţiile modificate din rapoartele precedente, dacă este cazul. 
   Art. 73. -   Prestatorii de servicii de plată trebuie să prezinte Băncii Naţionale a României o copie a informării clienţilor săi, utilizatori ai serviciilor de plată, cu privire la incidentul operaţional sau de securitate major şi la toate măsurile pe care utilizatorii de servicii de plată le pot lua pentru a atenua efectele negative ale acestuia, conform prevederilor art. 219 alin. (2) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, de îndată ce această informare este disponibilă, dacă este cazul. 
   Art. 74. -   (1) Prestatorii de servicii de plată trebuie să pună la dispoziţia Băncii Naţionale a României, la cererea acesteia, orice informaţii, date şi documente suplimentare rapoartelor transmise. 
   (2) Orice informaţie adiţională conţinută în documentele furnizate Băncii Naţionale a României, din propria iniţiativă sau la cererea acesteia, trebuie să fie inclusă în rapoarte. 
   Art. 75. -   Prestatorii de servicii de plată trebuie să răspundă oricăror solicitări de furnizare de informaţii suplimentare sau clarificări din partea Băncii Naţionale a României cu privire la documentaţia care a fost deja transmisă. 
   Art. 76. -   Prestatorii de servicii de plată trebuie să păstreze în permanenţă confidenţialitatea şi integritatea informaţiilor schimbate cu Banca Naţională a României şi să se autentifice în mod corespunzător în raporturile cu aceasta.

 
SECŢIUNEA a 2-a
Raportul iniţial
 
   Art. 77. -   Prestatorii de servicii de plată trebuie să transmită un raport iniţial Băncii Naţionale a României după ce un incident operaţional şi/sau de securitate a fost clasificat ca fiind major. 
   Art. 78. -   Prestatorii de servicii de plată trebuie să indice codul unic de referinţă de identificare a incidentului comunicat de către Banca Naţională a României, atunci când transmit o actualizare a raportului iniţial şi rapoartele intermediar şi final, exceptând situaţia în care rapoartele intermediar şi final sunt transmise împreună cu raportul iniţial. 
   Art. 79. -   Prestatorii de servicii de plată trebuie să transmită raportul iniţial prevăzut la art. 77 în termen de 4 ore de la clasificarea incidentului ca incident operaţional şi/sau de securitate major, prin canalele de raportare comunicate de către Banca Naţională a României sau de îndată ce aceste canale devin din nou disponibile/operaţionale, dacă se constată la momentul transmiterii raportării către Banca Naţională a României indisponibilitatea canalelor de raportare. 
   Art. 80. -   (1) Prestatorii de servicii de plată trebuie să clasifice incidentul ca incident operaţional şi/sau de securitate major conform prevederilor art. 68 şi anexei nr. 2, în timp util de la detectarea incidentului, dar nu mai târziu de 24 de ore de la detectarea incidentului şi fără întârzieri nejustificate din momentul în care prestatorul de servicii de plată are disponibile informaţiile necesare procesului de clasificare a incidentului. 
   (2) Dacă este necesară extinderea termenului precizat la alin. (1) pentru clasificarea incidentului, prestatorii de servicii de plată trebuie să explice această necesitate în raportul iniţial care va fi transmis Băncii Naţionale a României. 
   Art. 81. -   (1) Prestatorii de servicii de plată trebuie să transmită, de asemenea, un raport iniţial Băncii Naţionale a României atunci când un incident cunoscut anterior ca fiind minor este reclasificat ca unul major, ca urmare a evaluării efectuate potrivit art. 70. 
   (2) În situaţia prevăzută la alin. (1), prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României, prin canalele de raportare comunicate de către aceasta, raportul iniţial, de îndată ce se identifică o schimbare de stare sau de îndată ce aceste canale devin din nou disponibile/operaţionale, dacă se constată la momentul transmiterii raportării către Banca Naţională a României indisponibilitatea canalelor de raportare. 
   Art. 82. -   (1) În rapoartele lor iniţiale, prestatorii de servicii de plată trebuie să includă informaţiile prevăzute în formularul «A - Raport iniţial», cuprins în anexa nr. 3, prezentând unele caracteristici de bază ale incidentului şi consecinţele preconizate ale acestuia pe baza informaţiilor disponibile imediat după încadrarea acestuia ca major, potrivit art. 70. 
   (2) Prestatorii de servicii de plată trebuie să recurgă la estimări atunci când nu sunt disponibile date efective, în acord cu dispoziţiile art. 69.

 
SECŢIUNEA a 3-a
Raportul intermediar
 
   Art. 83. -   (1) Prestatorii de servicii de plată trebuie să transmită raportul intermediar potrivit formularului «B - Raport intermediar», cuprins în anexa nr. 3, când activităţile desfăşurate în mod uzual au revenit la normal, cu informarea corespunzătoare a Băncii Naţionale a României cu privire la această situaţie. 
   (2) Prestatorii de servicii de plată trebuie să considere că activităţile/operaţiunile au revenit la normal atunci când acestea se desfăşoară la nivelurile acceptabile predefinite anterior sau la nivelurile incluse în contractele încheiate cu furnizorii terţi privind nivelul serviciilor cu referire cel puţin la timpii de prelucrare, capacitatea şi cerinţele de securitate şi când măsurile de urgenţă nu mai sunt aplicabile. 
   Art. 84. -   (1) Prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României raportul intermediar potrivit formularului «B - Raport intermediar», cuprins în anexa nr. 3, care să conţină o descriere mai detaliată a incidentului şi a consecinţelor acestuia. 
   (2) Dacă activităţile desfăşurate în mod uzual nu au fost restabilite, prestatorii de servicii de plată trebuie să transmită Băncii Naţionale a României un raport intermediar în termen de 3 zile lucrătoare de la data transmiterii raportului iniţial. 
   (3) Prestatorii de servicii de plată trebuie să actualizeze informaţiile deja furnizate în formularele «A - Raport iniţial» şi «B - Raport intermediar», cuprinse în anexa nr. 3, atunci când au cunoştinţă despre schimbări semnificative de la data transmiterii raportului anterior, cum ar fi, de exemplu, faptul că incidentul a crescut sau a scăzut în intensitate, sunt identificate cauze noi sau sunt luate măsuri pentru soluţionarea incidentului. 
   (4) În situaţia în care incidentul nu a fost soluţionat în termen de 3 zile lucrătoare, prestatorii de servicii de plată vor actualiza informaţiile potrivit alin. (3) şi vor transmite Băncii Naţionale a României un raport intermediar suplimentar. 
   (5) Prestatorii de servicii de plată trebuie să transmită un raport intermediar suplimentar la solicitarea Băncii Naţionale a României. 
   Art. 85. -   Când datele efective nu sunt disponibile, prestatorii de servicii de plată trebuie să recurgă la estimări, prin aplicarea în mod corespunzător a prevederilor art. 69. 
   Art. 86. -   În cazul în care activitatea prestatorului de servicii de plată a revenit la normal în termenul de 4 ore de la momentul clasificării incidentului operaţional şi/sau de securitate ca major, prestatorii de servicii de plată trebuie să aibă în vedere transmiterea în mod simultan a raportului iniţial şi a raportului intermediar, prin completarea şi transmiterea formularelor «A - Raport iniţial» şi «B - Raport intermediar», cuprinse în anexa nr. 3, înainte de termenul de 4 ore.

 
SECŢIUNEA a 4-a
Raportul final
 
   Art. 87. -   Prestatorii de servicii de plată trebuie să trimită un raport final potrivit formularului «C - Raport final», cuprins în anexa nr. 3, atunci când a fost efectuată analiza cauzelor principale, indiferent dacă au fost deja implementate măsurile de atenuare a incidentului sau dacă a fost identificată cauza principală finală, şi atunci când există date disponibile pentru a înlocui orice estimări. 
   Art. 88. -   (1) Prestatorii de servicii de plată trebuie să transmită raportul final Băncii Naţionale a României în termen de maximum 20 de zile lucrătoare de la data la care aceştia pot demonstra că activitatea a revenit la normal. 
   (2) Prestatorii de servicii de plată care au nevoie de o prelungire a termenului prevăzut la alin. (1), inclusiv dacă nu sunt încă disponibile date efective cu privire la impact sau dacă nu a fost identificată cauza principală finală, trebuie să contacteze Banca Naţională a României înainte de împlinirea termenului prevăzut la alin. (1) şi să comunice o justificare adecvată a întârzierii, precum şi o nouă dată estimată pentru transmiterea raportului final. 
   Art. 89. -   În cazul în care prestatorii de servicii de plată pot să comunice toate informaţiile necesare în raportul final potrivit formularului «C - Raport final», cuprins în anexa nr. 3, în decurs de 4 ore de la momentul clasificării incidentului ca major, aceştia trebuie să aibă în vedere furnizarea agregată a informaţiilor referitoare la raportul iniţial, raportul intermediar şi raportul final prin completarea şi transmiterea împreună/simultan a formularelor «A - Raport iniţial», «B - Raport intermediar» şi «C - Raport final», cuprinse în anexa nr. 3. 
   Art. 90. -   Prestatorii de servicii de plată trebuie să includă în rapoartele finale informaţii complete cu privire la: 
   a) datele efective privind impactul în locul estimărilor utilizate şi orice alte actualizări necesare ale informaţiilor referitoare la raportul iniţial şi raportul intermediar, cuprinse în formularele «A - Raport iniţial» şi «B - Raport intermediar», prevăzute în anexa nr. 3; şi 
   b) formularul «C - Raport final», cuprins în anexa nr. 3, care să includă cauza principală, dacă aceasta este deja cunoscută, precum şi o prezentare succintă a măsurilor adoptate sau planificate a fi adoptate pentru a elimina problema şi a preveni reapariţia acesteia în viitor. 
   Art. 91. -   (1) Prestatorii de servicii de plată trebuie să transmită rapoartele finale şi atunci când, ca urmare a evaluării pe bază continuă a incidentului, aceştia constată faptul că un incident major deja raportat nu mai îndeplineşte criteriile pentru a fi considerat major şi nu se preconizează că acesta le va îndeplini înainte de soluţionarea incidentului. 
   (2) În situaţia prevăzută la alin. (1), prestatorii de servicii de plată trebuie să trimită rapoartele finale de îndată ce se constată această situaţie şi, în orice caz, până la termenul transmiterii următorului raport. 
   (3) În situaţia prevăzută la alin. (1), prestatorii de servicii de plată trebuie să indice reîncadrarea incidentului drept minor, să transmită formularul «C - Raport final», cuprins în anexa nr. 3, şi să explice motivele acestei încadrări.

 
CAPITOLUL III
Raportarea delegată şi consolidată
 
   Art. 92. -   (1) În cazul prestatorilor de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează să delege îndeplinirea obligaţiilor de raportare a incidentelor majore unei terţe părţi, aceştia trebuie să informeze în prealabil Banca Naţională a României şi să asigure îndeplinirea următoarelor condiţii: 
   a) contractul sau acordurile interne existente în cadrul unui grup, după caz, care stă/stau la baza raportării delegate dintre prestatorul de servicii de plată şi terţa parte defineşte/definesc în mod clar alocarea responsabilităţilor tuturor părţilor; 
   b) delegarea respectă cerinţele privind externalizarea funcţiilor operaţionale importante prevăzute la: 
   (i) art. 54 şi 55 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi art. 46-50 din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică în legătură cu instituţiile de plată şi, respectiv, pentru instituţiile emitente de monedă electronică; sau 
   (ii) cap. V al titlului II din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare, pentru instituţiile de credit; 
   c) asigură în mod corespunzător confidenţialitatea datelor sensibile, precum şi calitatea, consecvenţa, integritatea şi fiabilitatea informaţiilor care vor fi transmise Băncii Naţionale a României; 
   d) transmiterea, în prealabil, către Banca Naţională a României a tuturor informaţiilor în acord cu prevederile art. 97 şi obţinerea aprobării prevăzute la art. 98. 
   (2) În situaţia prevăzută la alin. (1) lit. a), contractul sau acordurile interne existente în cadrul unui grup, după caz, trebuie să prevadă în mod clar faptul că prestatorul de servicii de plată afectat rămâne pe deplin responsabil şi răspunzător pentru îndeplinirea cerinţelor prevăzute la art. 219 alin. (1), (2) şi (4) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi pentru conţinutul informaţiilor prezentate Băncii Naţionale a României. 
   (3) În situaţia prevăzută la alin. (1) lit. b) pct. (i), prestatorii de servicii de plată vor trata obligaţia de raportare a incidentelor majore ca funcţie operaţională importantă. 
   (4) În situaţia prevăzută la alin. (1) lit. b) pct. (ii), prestatorii de servicii de plată vor trata obligaţia de raportare a incidentelor majore ca activitate semnificativă, în înţelesul Regulamentului Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare. 
   Art. 93. -   (1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează să delege unei terţe părţi îndeplinirea obligaţiilor de raportare în mod consolidat, prin transmiterea unui singur raport care face referire la mai mulţi prestatori de servicii de plată afectaţi de acelaşi incident operaţional sau de securitate major, trebuie să informeze Banca Naţională a României, să includă informaţiile de contact cu privire la prestatorii de servicii de plată afectaţi, cuprinse în formularul «A - Raport iniţial» din anexa nr. 3, şi să se asigure de îndeplinirea următoarelor condiţii: 
   a) includerea dispoziţiilor referitoare la raportarea consolidată în contractul care stă la baza raportării delegate; 
   b) raportarea consolidată condiţionată de faptul că incidentul este cauzat de o întrerupere a serviciilor prestate de către terţa parte; 
   c) limitarea raportării consolidate la prestatorii de servicii de plată stabiliţi în acelaşi stat membru; 
   d) transmiterea listei tuturor prestatorilor de servicii de plată afectaţi de incident şi asigurarea faptului că terţa parte evaluează semnificaţia incidentului pentru fiecare prestator de servicii de plată afectat şi include în raportul consolidat doar prestatorii de servicii de plată pentru care incidentul a fost clasificat drept unul major. În cazul incertitudinii, asigură includerea unui prestator de servicii de plată în raportul consolidat atât timp cât nu există dovezi în sens contrar; 
   e) asigurarea faptului că, atunci când nu este posibil să se furnizeze un singur răspuns în unele câmpuri cuprinse în formularele prevăzute în anexa nr. 3, terţa parte fie completează date individuale pentru fiecare prestator de servicii de plată afectat, specificând în plus identitatea fiecărui prestator de servicii de plată la care se referă informaţiile, fie utilizează valori agregate, astfel cum au fost observate sau estimate pentru acei prestatori de servicii de plată; 
   f) trebuie să se asigure că terţa parte informează în permanenţă prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, cu privire la toate informaţiile relevante legate de incident şi la toate interacţiunile pe care terţa parte le-ar putea avea cu Banca Naţională a României, precum şi cu privire la conţinutul acestora, însă doar în măsura în care acest lucru este compatibil cu evitarea oricărei încălcări a confidenţialităţii în ceea ce priveşte informaţiile referitoare la alţi prestatori de servicii de plată. 
   (2) Dispoziţiile art. 92 alin. (1) lit. b) sunt aplicabile în mod corespunzător în ceea ce priveşte delegarea unei terţe părţi pentru a îndeplini obligaţiile de raportare în mod consolidat, în acord cu alin. (1). 
   Art. 94. -   Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, nu trebuie să îşi delege îndeplinirea obligaţiilor de raportare potrivit art. 92 sau 93, după caz, înainte de a obţine aprobarea Băncii Naţionale a României potrivit prevederilor art. 98 sau după ce au fost informaţi de către Banca Naţională a României cu privire la faptul că acordul de externalizare nu îndeplineşte cerinţele prevăzute la art. 94 alin. (1) lit. b).  
   Art. 95. -   (1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează să retragă delegarea îndeplinirii obligaţiilor lor de raportare trebuie să informeze Banca Naţională a României în termen de maximum 5 zile lucrătoare de la data luării acestei decizii. 
   (2) Prestatorii de servicii de plată prevăzuţi la alin. (1) trebuie să informeze Banca Naţională a României cu privire la orice evoluţie semnificativă care afectează terţa parte desemnată şi capacitatea acesteia de a-şi îndeplini obligaţiile de raportare. 
   Art. 96. -   (1) Prestatorii de servicii de plată trebuie să îşi îndeplinească obligaţiile de raportare prevăzute în prezentul titlu, fără a recurge la asistenţa externă, ori de câte ori terţa parte desemnată nu a informat Banca Naţională a României cu privire la un incident operaţional sau de securitate major în conformitate cu prevederile art. 219 alin. (1) şi/sau (4) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative şi cu cele ale prezentului titlu. 
   (2) Prestatorii de servicii de plată trebuie să se asigure că un incident operaţional sau de securitate major nu este raportat de două ori, individual, de către prestatorul de servicii de plată în cauză şi încă o dată de către terţa parte către care prestatorul de servicii de plată a delegat îndeplinirea obligaţiilor de raportare. 
   (3) Prestatorii de servicii de plată trebuie să se asigure că în cazul în care un incident este cauzat de o întrerupere a serviciilor prestate de un furnizor terţ de servicii tehnice sau de infrastructură, care afectează mai mulţi prestatori de servicii de plată, raportarea delegată se referă la datele individuale aferente prestatorului de servicii de plată afectat, cu excepţia cazului în care se raportează consolidat. 
   Art. 97. -   (1) Prestatorii de servicii de plată, prevăzuţi la art. 223 alin. (1) lit. a), b) şi e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, care intenţionează, în acord cu prevederile art. 92 şi 93, să îşi delege unei terţe părţi obligaţiile de raportare a incidentelor operaţionale sau de securitate majore specifice propriilor servicii de plată prestate, la nivel individual sau consolidat, trebuie să transmită Băncii Naţionale a României, fără întârzieri nejustificate, o cerere însoţită de următoarele documente şi informaţii: 
   a) decizia internă cu privire la raportarea delegată sau consolidată a incidentelor majore specifice propriilor servicii de plată prestate, după caz, semnată la nivelul organului de conducere al prestatorilor de servicii de plată; 
   b) extrasul din contractul/acordul intern care stă la baza delegării îndeplinirii obligaţiilor de raportare, care să probeze îndeplinirea condiţiilor prevăzute la art. 92 alin. (1) lit. a) şi c) şi, respectiv, art. 93 alin. (1) lit. a)-f), după caz. 
   (2) În situaţia în care documentaţia transmisă de către prestatorii de servicii de plată nu îndeplineşte cerinţele menţionate la alin. (1), Banca Naţională a României comunică acestora, în termen de 30 de zile lucrătoare, documentele şi informaţiile necesare pentru conformarea la dispoziţiile alin. (1). 
   (3) Banca Naţională a României poate solicita orice alte informaţii, date, documente şi declaraţii relevante în scopul evaluării cu privire la delegarea obligaţiilor de raportare, în acord cu prevederile art. 92 şi 93. 
   (4) Prestatorul de servicii de plată trebuie să transmită informaţiile solicitate potrivit alin. (2) şi/sau (3) în termen de maximum 45 de zile lucrătoare de la data comunicării solicitării. 
   (5) Pentru situaţii bine fundamentate de prestatorul de servicii de plată, la cererea acestuia, Banca Naţională a României poate prelungi termenul de transmitere a documentelor şi informaţiilor prevăzut la alin. (4). 
   (6) Documentaţia este completă numai după ce prestatorii de servicii de plată au transmis toate documentele şi informaţiile potrivit alin. (1)-(3), în termenul prevăzut la alin. (4), respectiv alin. (5), dacă este cazul. 
   (7) Informaţiile şi documentele prezentate după expirarea termenelor prevăzute în prezentul articol nu sunt luate în considerare la evaluarea cererii prestatorului de servicii de plată de delegare a unei terţe părţi a obligaţiilor de raportare a incidentelor operaţionale sau de securitate majore. 
   Art. 98. -   Banca Naţională a României evaluează şi comunică prestatorului de servicii de plată decizia sa cu privire la posibilitatea prestatorului de servicii de plată de a delega către o terţă parte obligaţiile sale de raportare a incidentelor majore potrivit prezentului titlu, în termen de 30 de zile lucrătoare de la data la care documentaţia este considerată completă potrivit art. 97 alin. (6)." 
   6. Anexa nr. 1 se modifică şi se înlocuieşte cu anexa nr. 1 care face parte integrantă din prezentul regulament. 
   7. Anexa nr. 2 se modifică şi se înlocuieşte cu anexa nr. 2 care face parte integrantă din prezentul regulament. 
   8. Anexa nr. 3 se modifică şi se înlocuieşte cu anexa nr. 3 care face parte integrantă din prezentul regulament. 
   Art. II. -   Prezentul regulament se publică în Monitorul Oficial al României, Partea I.

 

p. Preşedintele Consiliului de administraţie al Băncii Naţionale a României,
Florin Georgescu

    Bucureşti, 4 martie 2022. 
    Nr. 4.
 
ANEXA Nr. 1
(Anexa nr. 1 la Regulamentul nr. 2/2020)

 
Criterii relevante pentru calificarea incidentelor şi indicatorii pe baza cărora acestea se cuantifică
 
   A. Operaţiuni de plată afectate 
    Prestatorii serviciilor de plată trebuie să stabilească valoarea totală a operaţiunilor afectate şi numărul operaţiunilor de plată compromise, inclusiv numărul operaţiunilor de plată compromise exprimate ca procent din nivelul obişnuit al operaţiunilor de plată executate cu serviciile de plată afectate. 
    Operaţiuni afectate reprezintă toate operaţiunile de plată naţionale şi transfrontaliere care au fost sau vor fi probabil afectate în mod direct sau indirect de incident şi, în special, acele operaţiuni de plată care nu au putut fi iniţiate sau procesate, cele al căror conţinut al mesajului de plată a fost modificat şi cele care au fost dispuse în mod fraudulos, indiferent dacă fondurile aferente au fost recuperate sau nu sau executarea adecvată este prevenită sau împiedicată în orice fel de incident. 
    Pentru incidentele operaţionale care afectează iniţierea şi/sau procesarea operaţiunilor de plată prestatorii de servicii de plată trebuie să raporteze doar acele incidente operaţionale cu o durată mai mare de o oră. Durata incidentului trebuie măsurată de la momentul apariţiei incidentului până la momentul la care activităţile/operaţiunile afectate au fost restabilite la nivelul existent anterior apariţiei incidentului. 
    Prestatorii de servicii de plată trebuie să determine nivelul obişnuit al operaţiunilor de plată ca media zilnică calculată la nivelul anului precedent a operaţiunilor de plată naţionale şi transfrontaliere executate cu aceleaşi servicii de plată care au fost afectate de incident. Dacă prestatorii de servicii de plată nu consideră că această cifră este reprezentativă, de exemplu, din cauza caracterului sezonier, aceştia trebuie să utilizeze un alt indicator mai reprezentativ şi să prezinte Băncii Naţionale a României justificarea aferentă pentru această abordare şi să indice această abordare în câmpul "Operaţiuni de plată afectate/Comentarii" din secţiunea B2 a formularului "B - Raport intermediar" cuprins în anexa nr. 3 la regulament. 
    Dacă nu este posibil a se stabili numărul şi valoarea operaţiunii afectate, prestatorii de servicii de plată trebuie să utilizeze estimări şi să indice această abordare în câmpul "Estimare" din secţiunea B2 a formularului "B - Raport intermediar" cuprins în anexa nr. 3 la regulament. 
   B. Utilizatori ai serviciilor de plată afectaţi 
    Prestatorii de servicii de plată trebuie să stabilească numărul utilizatorilor serviciilor de plată afectaţi, exprimat în termeni absoluţi şi ca procent din numărul total al utilizatorilor serviciilor de plată. 
    Utilizatori ai serviciilor de plată afectaţi reprezintă toţi clienţii de la nivel naţional sau din străinătate, consumatori sau persoane juridice, care au un contract cu prestatorul serviciului de plată afectat, care le acordă acestora accesul la serviciul de plată afectat, şi care au suportat sau vor suporta probabil consecinţele incidentului. Dacă nu este posibil a se stabili numărul utilizatorilor serviciilor de plată care este posibil să fi folosit serviciul de plată pe durata incidentului, prestatorii de servicii de plată trebuie să utilizeze estimări bazate pe activitatea anterioară şi să indice această abordare în câmpul "Estimare" din secţiunea B2 a formularului "B - Raport intermediar" cuprins în anexa nr. 3 la regulament. 
    În cazul grupurilor, fiecare prestator de servicii de plată trebuie să aibă în vedere doar utilizatorii serviciilor de plată proprii. În cazul unui prestator de servicii de plată care oferă servicii operaţionale altor persoane, acesta trebuie să aibă în vedere doar utilizatorii de servicii de plată proprii (dacă există), iar prestatorii de servicii de plată care beneficiază de respectivele servicii operaţionale trebuie să evalueze incidentul în legătură cu utilizatorii serviciilor de plată proprii. 
    Pentru incidentele operaţionale care afectează iniţierea şi/sau procesarea operaţiunilor de plată, prestatorii de servicii de plată trebuie să raporteze doar acele incidente operaţionale care afectează utilizatorii serviciilor de plată cu o durată mai mare de o oră. Durata incidentului trebuie măsurată de la momentul apariţiei incidentului până la momentul la care activităţile/operaţiunile afectate au fost restabilite la nivelul existent anterior apariţiei incidentului. 
    Prestatorii de servicii de plată trebuie să considere numărul total al utilizatorilor serviciilor de plată ca fiind valoarea cumulată a utilizatorilor serviciilor de plată de la nivel naţional sau din străinătate cu care au raporturi contractuale la momentul incidentului (sau, alternativ, cea mai recentă valoare disponibilă) şi care au acces la serviciul de plată afectat, indiferent de dimensiunea acestora sau dacă aceştia sunt consideraţi utilizatori activi sau pasivi ai serviciilor de plată. 
   C. Încălcarea securităţii reţelelor sau a sistemelor informatice 
    Prestatorii de servicii de plată trebuie să stabilească dacă orice acţiune răuvoitoare a compromis securitatea reţelelor sau a sistemelor informatice legate de furnizarea de servicii de plată. 
    Prestatorii de servicii de plată trebuie să stabilească dacă orice acţiune răuvoitoare a compromis disponibilitatea, autenticitatea, integritatea sau confidenţialitatea reţelelor sau a sistemelor informatice, inclusiv a datelor, legate de furnizarea de servicii de plată. 
   D. Perioadă de nefuncţionare a serviciului 
    Prestatorii de servicii de plată trebuie să stabilească perioada de timp în care serviciul va fi probabil nefuncţional pentru utilizatorul serviciilor de plată sau în care ordinul de plată nu poate fi executat de către prestatorul de servicii de plată. 
    Prestatorii de servicii de plată trebuie să aibă în vedere perioada de timp în care orice activitate, proces sau canal asociat prestării serviciilor de plată este sau va fi probabil indisponibilă/indisponibil şi, astfel, împiedică (i) iniţierea şi/sau executarea unui serviciu de plată şi/sau (ii) accesul la un cont de plăţi. 
    Prestatorii de servicii de plată trebuie să calculeze perioada de nefuncţionare a serviciului de la momentul iniţial al indisponibilităţii şi trebuie să ia în considerare atât intervalele de timp cuprinse într-o zi lucrătoare în care aceştia desfăşoară activitate ce le permite executarea unui serviciu de plată, cât şi orele din afara programului de activitate şi perioadele de întreţinere, dacă este cazul şi dacă sunt aplicabile. Dacă prestatorii de servicii de plată nu pot să stabilească momentul iniţial al nefuncţionării serviciilor, aceştia trebuie să calculeze în mod excepţional perioada de nefuncţionare a serviciului de la momentul în care s-a detectat nefuncţionarea. 
   E. Impact economic 
    Prestatorii de servicii de plată trebuie să stabilească la nivel global costurile financiare asociate incidentului şi să ia în calcul atât valoarea absolută, cât şi, dacă este cazul, importanţa relativă a acestor costuri în raport cu dimensiunea prestatorului de servicii de plată, respectiv cu fondurile proprii de nivelul 1 ale prestatorului de servicii de plată. 
    Prestatorii de servicii de plată trebuie să aibă în vedere atât costurile care pot fi legate în mod direct de incident, cât şi pe cele care sunt legate în mod indirect de incident. Printre altele, prestatorii de servicii de plată trebuie să ţină cont de fondurile sau activele expropriate, costurile de înlocuire a echipamentelor hardware sau software, alte costuri realizate în scopuri judiciare sau de remediere, taxe aplicate ca urmare a neconformităţii cu obligaţiile contractuale, sancţiuni, datorii externe şi venituri pierdute. În ceea ce priveşte costurile indirecte, prestatorii de servicii de plată trebuie să le aibă în vedere doar pe cele care sunt deja cunoscute sau foarte probabil de a se concretiza. 
   F. Nivel ridicat de escaladare internă 
    Prestatorii serviciilor de plată trebuie să stabilească dacă acest incident a fost sau va fi probabil raportat conducerii superioare. 
    Prestatorii de servicii de plată trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, conducerea relevantă, stabilită conform prevederilor art. 479 alin. (2) lit. d) din regulament, a fost sau va fi probabil informată cu privire la incident în afara oricărei proceduri de notificare periodice şi în permanenţă pe durata existenţei incidentului. Suplimentar, prestatorii de servicii de plată trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, a fost sau este susceptibil de a fi declanşat modulul de gestionare a situaţiei de criză. 
   G. Alţi prestatori de servicii de plată sau infrastructuri relevante potenţial afectaţi/afectate 
    Prestatorii de servicii de plată trebuie să stabilească implicaţiile sistemice pe care le va avea probabil incidentul, cum ar fi potenţialul acestuia de a se propaga asupra altor prestatori de servicii de plată, infrastructuri ale pieţei financiare şi/sau scheme de plată. 
    Prestatorii de servicii de plată trebuie să evalueze impactul incidentului asupra pieţei financiare, care trebuie înţeleasă ca fiind infrastructurile pieţei financiare şi/sau schemele de plată care susţin serviciile lor de plată şi alţi prestatori de servicii de plată. În mod specific, prestatorii de servicii de plată trebuie să evalueze dacă incidentul s-a propagat sau probabil se va propaga în mod similar la alţi prestatori de servicii de plată, dacă acesta a afectat sau va afecta probabil funcţionarea infrastructurilor pieţei financiare şi dacă a compromis sau va compromite probabil funcţionarea robustă a sistemului financiar în ansamblu. Prestatorii de servicii de plată trebuie să aibă în vedere diferite aspecte, precum dacă o componentă/un echipament software afectată/afectat este supusă/supus unor drepturi de proprietate sau este disponibilă/disponibil în general, dacă reţeaua compromisă este internă sau externă şi dacă prestatorul de servicii de plată a încetat sau va înceta probabil să îşi îndeplinească obligaţiile rezultate din participarea sa la infrastructurile pieţei financiare. 
   H. Impact reputaţional 
    Prestatorii de servicii de plată trebuie să stabilească modul în care incidentul poate submina încrederea utilizatorilor de servicii de plată în prestatorul de servicii de plată însuşi şi, în general, în serviciul aferent sau piaţa în ansamblu. 
    Prestatorii de servicii de plată trebuie să aibă în vedere nivelul de vizibilitate pe care, după cunoştinţa lor, incidentul l-a atins sau îl va atinge probabil pe piaţă. În mod specific, prestatorii de servicii de plată trebuie să considere probabilitatea ca incidentul să provoace daune societăţii ca fiind un indicator bun al potenţialului acestuia de a afecta reputaţia lor. 
    Prestatorii de servicii de plată trebuie să ţină cont dacă: (i) utilizatorii serviciilor de plată şi alţi prestatori de servicii de plată au sesizat efectele adverse ale incidentului; (ii) incidentul a afectat un proces vizibil aferent unui serviciu de plată şi, prin urmare, este susceptibil de a dobândi sau a dobândit deja acoperire mediatică (având în vedere nu doar media tradiţională, precum ziarele, ci şi bloguri, reţele de socializare etc.); (iii) au fost sau vor fi probabil nerespectate obligaţiile contractuale, care au condus la publicarea unor măsuri legale împotriva prestatorului/prestatorilor de servicii de plată; (iv) au fost sau vor fi probabil nerespectate cerinţele prevăzute în cadrul de reglementare, care au condus la impunerea unor măsuri specifice supravegherii sau sancţiuni împotriva prestatorului/prestatorilor de servicii de plată, care au fost sau vor fi probabil publicate; sau (v) a apărut acelaşi tip de incident în trecut.

 
ANEXA Nr. 2
(Anexa nr. 2 la Regulamentul nr. 2/2020)

 
Praguri ale criteriilor luate în considerare la calificarea unui incident în categoria incidentelor majore

 

Criterii Nivel de impact redus Nivel de impact ridicat
Operaţiuni de plată afectate > 10% din nivelul obişnuit al operaţiunilor de plată procesate de prestatorul de servicii de plată (sub aspectul numărului de operaţiuni)
şi
durata incidentului > o oră*)
sau
> 500.000 EUR
şi
durata incidentului > o oră*)
> 25% din nivelul obişnuit al operaţiunilor de plată procesate de prestatorul de servicii de plată (sub aspectul numărului de operaţiuni)


sau
> 15.000.000 EUR
Utilizatori ai serviciilor de plată afectaţi > 5.000
şi
durata incidentului > o oră*)
sau
> 10% dintre utilizatorii serviciilor de plată ai prestatorului de servicii de plată
şi
durata incidentului > o oră*)
> 50.000


sau
> 25% dintre utilizatorii serviciilor de plată ai prestatorului de servicii de plată
Perioadă de nefuncţionare a serviciului > 2 ore Nu este cazul.
Încălcare a securităţii reţelelor sau a sistemelor informatice Da Nu este cazul.
Impact economic Nu este cazul. > Max. (0,1% fonduri proprii de nivelul 1**), 200.000 EUR)
sau
> 5.000.000 EUR
Nivel ridicat de escaladare internă Da Da, şi declanşarea modulului de gestionare a situaţiei de criză (sau echivalent) este cea mai probabilă.
Alţi prestatori de servicii de plată sau infrastructuri relevante potenţial afectaţi/afectate Da Nu este cazul.
Impact reputaţional Da Nu este cazul.

   *) Pragul privind durata incidentului pe o perioadă mai mare de o oră se aplică numai la incidente operaţionale care afectează capacitatea prestatorului de servicii de plată de a iniţia şi/sau procesa operaţiuni de plată. 
   **) Fondurile proprii de nivelul 1, astfel cum sunt definite la art. 25 din Regulamentul (UE) nr. 575/2013 al Parlamentului European şi al Consiliului din 26 iunie 2013 privind cerinţele prudenţiale pentru instituţiile şi societăţile de investiţii şi de modificare a Regulamentului (UE) nr. 648/2012.

 
ANEXA Nr. 3
(Anexa nr. 3 la Regulamentul nr. 2/2020)

 
Formularele de raportare a incidentelor majore

 




 




 




 




 
Metodologie şi instrucţiuni de completare a formularelor de raportare a incidentelor majore
 
    Prestatorii de servicii de plată trebuie să completeze secţiunea relevantă din formularele de raport cuprinse în prezenta anexă în funcţie de etapa de raportare în care se află: secţiunea A - pentru raportul iniţial, secţiunea B - pentru rapoarte intermediare şi secţiunea C - pentru raportul final. Prestatorii de servicii de plată trebuie să utilizeze acelaşi formular atunci când transmit informaţiile referitoare la raportul iniţial, raportul intermediar şi raportul final prin completarea şi transmiterea formularelor "A - Raport iniţial", "B - Raport intermediar" şi "C - Raport final". Toate câmpurile sunt obligatorii, exceptând cazurile în care se specifică altfel în mod clar. 
    Titlu 
    Raport iniţial: aceasta este prima notificare pe care prestatorul de servicii de plată (PSP) o transmite Băncii Naţionale a României (BNR). 
    Raport intermediar: acesta conţine o descriere detaliată a incidentului şi a efectelor acestuia şi reprezintă o actualizare a raportului iniţial şi intermediar, dacă este cazul, cu privire la acelaşi incident. 
    Raport final: acesta este ultimul raport pe care PSP îl va trimite BNR cu privire la incident, întrucât: (i) a fost deja efectuată o analiză a cauzelor principale şi estimările pot fi înlocuite cu cifre reale sau; (ii) incidentul nu mai este considerat unul major şi trebuie reclasificat drept unul minor. 
    Reîncadrarea incidentului drept unul minor: incidentul nu mai îndeplineşte criteriile pentru a fi considerat major şi nu este de aşteptat să le îndeplinească înainte ca acesta să fie soluţionat. PSP trebuie să explice motivele acestei reîncadrări. 
    Data şi ora raportului: data şi ora exactă a transmiterii raportului către BNR 
    Codul de identificare a incidentului (aplicabil pentru raportul intermediar şi cel final, precum şi pentru actualizări ale raportului iniţial): cod de referinţă emis de BNR la primirea raportului iniţial pentru a identifica în mod unic incidentul 
    A - Raport iniţial 
    A 1 - Detalii generale 
    Tip de raport: 
    Individual: trebuie indicat dacă raportul se referă la un singur prestator de servicii de plată afectat (PSP), după caz. 
    Consolidat: trebuie indicat dacă raportul se referă la mai mulţi PSP afectaţi de acelaşi incident major operaţional şi/sau de securitate, care utilizează opţiunea de raportare consolidată, după caz. Câmpurile de la secţiunea "Prestatorul de servicii de plată afectat" trebuie lăsate necompletate (cu excepţia câmpului "Ţara/Ţările afectată/afectate de incident") şi trebuie furnizată o listă a PSP incluşi în raport prin completarea tabelului aferent (Raport consolidat - lista PSP). 
    Prestatorul de servicii de plată afectat (PSP): se referă la PSP căruia i se întâmplă incidentul. 
    Denumirea prestatorului de servicii de plată: trebuie indicat numele complet al PSP care face obiectul procedurii de raportare, aşa cum apare în registrul naţional oficial al PSP aplicabil, administrat de BNR. 
    Numărul unic de identificare al prestatorului de servicii de plată la nivel naţional: trebuie indicat numărul de identificare unic relevant, utilizat pentru identificarea PSP, astfel: 
   a) numărul din registrul administrat de BNR pentru instituţiile de plată prevăzute la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative; 
   b) numărul din registrul administrat de BNR pentru instituţiile emitente de monedă electronică prevăzute la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative; 
   c) numărul din registrul administrat de BNR pentru furnizorii specializaţi în servicii de informare cu privire la conturi, persoane juridice române şi persoane fizice cu sediul profesional în România, prevăzute la art. 223 alin. (1) lit. b) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative; 
   d) numărul de înmatriculare din registrul instituţiilor de credit, administrat de BNR pentru entităţile care sunt instituţii de credit, persoane juridice române sau sucursale ale instituţiilor de credit din state terţe autorizate de Banca Naţională a României, prevăzute la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative; 
   e) codul unic de identificare fiscală sau un element echivalent pentru entităţile care sunt furnizori de servicii poştale giro care prestează servicii de plată potrivit cadrului legislativ naţional aplicabil, prevăzute la art. 223 alin. (1) lit. e) din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative. 
    Conducerea/Entitatea-mamă la nivelul grupului: în cazul grupurilor de entităţi definite la art. 5 alin. (1) pct. 29 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative trebuie indicat numele entităţii conducătoare. 
    Ţara/Ţările afectată/afectate de incident: trebuie indicată ţara sau indicate ţările, după caz, în care s-a materializat impactul incidentului (de exemplu, sunt afectate mai multe sucursale ale unui PSP aflate în diferite ţări), indiferent de severitatea incidentului în altă ţară/alte ţări. Este posibil ca aceasta să fie sau să nu fie aceeaşi cu statul membru de origine. 
    Persoana de contact principală: trebuie indicate prenumele şi numele de familie ale persoanei responsabile de raportarea incidentului sau, dacă o persoană terţă raportează în numele PSP afectat, prenumele şi numele de familie ale persoanei care conduce departamentul de gestionare a incidentelor/de risc sau o structură organizatorică similară din cadrul PSP afectat. 
    E-mail: trebuie indicată adresa de e-mail la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un e-mail personal sau din partea societăţii. 
    Telefon: trebuie indicat numărul de telefon care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii. 
    Persoana de contact secundară: trebuie indicate prenumele şi numele de familie ale unei persoane alternative care ar putea fi contactată de către BNR pentru a solicita informaţii despre un incident, atunci când persoana de contact principală nu este disponibilă. Dacă o parte terţă raportează în numele PSP afectat, numele şi prenumele unei persoane alternative din departamentul de gestionare a incidentelor/de risc sau o structură organizatorică similară din cadrul PSP afectat. 
    E-mail: trebuie indicată adresa de e-mail a persoanei de contact alternative la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi o adresă de e-mail personală sau din partea societăţii. 
    Telefon: trebuie indicat numărul de telefon al persoanei de contact alternative care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii. 
    Entitatea raportoare: această secţiune trebuie completată dacă o terţă parte îndeplineşte obligaţiile de raportare în numele PSP afectat, dacă este cazul. 
    Denumirea entităţii raportoare: trebuie indicată denumirea completă a entităţii care raportează incidentul, aşa cum apare în registrul naţional oficial al companiilor aplicabil. 
    Numărul unic de identificare al entităţii raportoare la nivel naţional: trebuie indicat numărul de identificare unic relevant utilizat în ţara în care se află partea terţă pentru a identifica entitatea care raportează incidentul. 
    Persoana de contact principală: trebuie indicate prenumele şi numele de familie ale persoanei responsabile de raportarea incidentului. 
    E-mail: trebuie indicată adresa de e-mail la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un e-mail personal sau din partea societăţii. 
    Telefon: trebuie indicat numărul de telefon care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii. 
    Persoana de contact secundară: trebuie indicate prenumele şi numele de familie ale unei persoane alternative din cadrul entităţii care raportează incidentul, care ar putea fi contactată de către Banca Naţională României atunci când persoana de contact principală nu este disponibilă. 
    E-mail: trebuie indicată adresa de e-mail a persoanei de contact alternative la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi o adresă de e-mail personală sau din partea societăţii. 
    Telefon: trebuie indicat numărul de telefon al persoanei de contact alternative care este apelat pentru orice solicitări de clarificări suplimentare care pot fi abordate, dacă este necesar. Poate fi un număr de telefon personal sau din partea societăţii. 
    A 2 - Detectarea şi încadrarea incidentului 
    Data şi ora detectării incidentului: trebuie indicate data şi ora la care incidentul a fost identificat pentru prima dată. 
    Data şi ora încadrării incidentului: trebuie indicate data şi ora la care incidentul operaţional sau de securitate a fost clasificat ca major. 
    Incidentul a fost detectat de către: trebuie indicat dacă incidentul a fost detectat de către un utilizator al unui serviciu de plată, o structură organizatorică din cadrul PSP (de exemplu, o funcţie de audit internă) sau o parte externă (de exemplu, un furnizor extern de servicii). În alte cazuri vă rugăm să oferiţi o explicaţie în câmpul aferent. 
    Tipul incidentului: trebuie indicat dacă, din informaţiile şi datele deţinute, este un incident operaţional şi/sau de securitate. 
    Operaţional: reprezintă un incident apărut ca urmare a unor procese inadecvate sau defectuoase, din cauza unor persoane şi sisteme ori cazuri de forţă majoră care afectează integritatea, disponibilitatea, confidenţialitatea şi/sau autenticitatea serviciilor aferente plăţilor. 
    Securitate: reprezintă un incident cauzat de accesul, utilizarea, divulgarea, perturbarea, modificarea sau distrugerea neautorizată a activelor PSP care afectează integritatea, disponibilitatea, confidenţialitatea şi/sau autenticitatea serviciilor aferente plăţilor. Acest lucru se poate întâmpla atunci când, printre altele, PSP se confruntă o încălcare a securităţii reţelelor sau a sistemelor informatice. 
    Criterii care declanşează elaborarea raportului privind incidentul major: trebuie indicat criteriul sau indicate criteriile care au generat raportarea incidentului ca major. Se pot selecta una sau mai multe opţiuni din următoarele criterii: operaţiuni de plată afectate, utilizatori ai serviciilor de plată afectaţi, perioadă de nefuncţionare a serviciului, încălcare a securităţii reţelelor sau a sistemelor informatice, impact economic, nivel ridicat de escaladare internă, alţi prestatori de servicii de plată sau alte infrastructuri relevante potenţial afectaţi/afectate şi impact reputaţional. 
    O descriere scurtă şi generală a incidentului: trebuie explicate pe scurt cele mai relevante aspecte ale incidentului, cu indicarea posibilelor cauze, a impactului imediat etc. 
    Impactul asupra altor state ale UE, dacă este cazul: trebuie indicat în cazul în care se consideră că incidentul are impact în alt stat membru sau în alte state membre şi se încadrează în termenele-limită de raportare aplicabile. Trebuie furnizată şi traducerea în limba engleză. 
    Raportarea incidentului către alte autorităţi: trebuie indicat dacă incidentul a fost/va fi raportat către alte autorităţi în baza altor cerinţe legale de raportare, dacă acestea sunt cunoscute la momentul raportării. Trebuie indicată fiecare autoritate naţională către care s-a efectuat/va fi efectuată raportarea. 
    Motivul trimiterii întârziate a raportului iniţial: trebuie indicată motivaţia pentru care prestatorul de servicii de plată necesită extinderea termenului de raportare de 24 de ore de la momentul clasificării incidentului ca major. 
    B - Raport intermediar 
    B 1 - Detalii generale 
    Descrierea mai detaliată a incidentului: trebuie furnizată o descriere detaliată a principalelor caracteristici ale incidentului, care să includă cel puţin următoarele: aspectele specifice şi contextul aferent, apariţia şi evoluţia incidentului, impactul, în special asupra utilizatorilor serviciilor de plată (USP), şi, după caz, comunicarea avută cu USP. 
    A fost considerat incidentul în legătură cu unul sau mai multe incidente anterioare?: trebuie indicat dacă incidentul este sau nu corelat cu incidente anterioare, în cazul în care aceste informaţii sunt disponibile. Dacă incidentul a fost corelat cu incidente anterioare, trebuie indicat/indicate care dintre acestea. 
    Au fost afectaţi sau implicaţi alţi furnizori de servicii sau terţi?: trebuie indicat dacă incidentul a afectat sau nu alţi furnizori de servicii/terţe părţi, în cazul în care aceste informaţii sunt disponibile. Dacă incidentul a afectat sau a implicat alţi furnizori de servicii/terţe părţi, trebuie indicate părţile afectate, prin enumerare, şi trebuie furnizate mai multe informaţii. 
    S-au aplicat măsuri de gestionare a crizei (intern şi/sau extern)?: trebuie indicat dacă a început sau nu gestionarea crizei la nivel intern şi/sau extern. Dacă gestionarea crizei a început, trebuie furnizate mai multe informaţii. 
    Data şi ora începerii incidentului: trebuie indicate data şi ora la care a apărut incidentul, dacă sunt cunoscute. 
    Data şi ora la care incidentul a fost restabilit (soluţionat) sau este de aşteptat să fie restabilit (soluţionat): trebuie indicate data şi ora când incidentul a fost sau se aşteaptă să fie restabilit şi activităţile au revenit sau se aşteaptă să revină la normal. 
    Arii funcţionale afectate: trebuie indicată fiecare etapă din cadrul procesului de plată care a fost afectată de incident. Se pot selecta una sau mai multe opţiuni din următoarele: autentificare/autorizare, comunicare, compensare, decontare directă, decontare indirectă, altele. 
    Autentificare/Autorizare: reprezintă procedurile care permit PSP să verifice identitatea unui utilizator al serviciului de plată sau valabilitatea utilizării unui anumit instrument de plată, inclusiv a utilizării elementelor de securitate personalizate ale utilizatorului, şi a exprimării acordului utilizatorului serviciului de plată (sau al unui terţ care acţionează în numele utilizatorului respectiv) faţă de transferarea fondurilor. 
    Comunicare: reprezintă fluxul de informaţii în scopul identificării, autentificării, notificării şi comunicării dintre PSP care oferă servicii de administrare cont şi prestatorii de servicii de iniţiere a plăţii, prestatorii de servicii de informare cu privire la conturi, plătitori, beneficiarii plăţii şi alţi PSP. 
    Compensare: reprezintă un proces de transmitere, reconciliere şi, în unele cazuri, confirmare a ordinelor de transfer înainte de decontare, eventual cu includerea compensării ordinelor şi cu stabilirea poziţiilor finale pentru decontare. 
    Decontare directă: reprezintă încheierea unei operaţiuni de plată sau a procesării cu scopul de a îndeplini obligaţiile participanţilor prin transferarea de fonduri atunci când această acţiune este desfăşurată de către însuşi PSP afectat. 
    Decontare indirectă: reprezintă încheierea unei operaţiuni de plată sau a procesării cu scopul de a îndeplini obligaţiile participanţilor prin transferarea de fonduri atunci când această acţiune este desfăşurată de către un alt PSP în numele PSP afectat. 
    Altele: reprezintă altă arie funcţională afectată, diferită cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. 
    Modificări aduse rapoartelor anterioare: trebuie indicate modificările faţă de informaţiile furnizate în rapoartele precedente cu privire la acelaşi incident (de exemplu, raportul iniţial şi, dacă este cazul, raportul intermediar). 
    B 2 - Clasificarea incidentului şi informaţii privind incidentul 
    Operaţiuni de plată afectate: trebuie precizate pragurile care sunt sau vor fi probabil atinse de către incident, dacă există, precum şi valorile aferente: numărul operaţiunilor de plată afectate, procentul operaţiunilor de plată afectate în raport cu numărul operaţiunilor de plată executate cu aceleaşi servicii de plată care au fost afectate de incident, precum şi valoarea totală a operaţiunilor. PSP trebuie să prezinte valori specifice pentru aceste variabile, care pot fi valori efective sau estimări. Ca regulă generală, PSP trebuie să înţeleagă ca fiind "operaţiuni de plată afectate" toate operaţiunile interne şi transfrontaliere care au fost sau vor fi probabil afectate în mod direct sau indirect de incident şi, în mod specific, acele operaţiuni care nu au putut fi iniţiate sau procesate, cele al căror conţinut al mesajului de plată a fost modificat şi cele care au fost iniţiate în mod fraudulos (indiferent dacă fondurile au fost recuperate sau nu). Mai mult, PSP trebuie să înţeleagă faptul că nivelul obişnuit al operaţiunilor de plată este media anuală zilnică a operaţiunilor interne şi transfrontaliere executate cu aceleaşi servicii de plată care au fost afectate de incident, considerând anul anterior ca fiind perioada de referinţă pentru calcule. Dacă PSP nu consideră că această valoare este reprezentativă (de exemplu, din cauza caracterului sezonier), aceştia trebuie să utilizeze în schimb un alt indicator mai reprezentativ şi să prezinte autorităţii naţionale justificarea aferentă acestei abordări în câmpul "Comentarii". În cazurile în care operaţiunile de plată, denominate în alte monede decât euro, sunt afectate de incident, la calcularea pragurilor şi raportarea valorii operaţiunilor de plată, PSP trebuie să convertească valoarea acestor operaţiuni în euro prin utilizarea cursului de schimb de referinţă zilnic al Băncii Centrale Europene publicat pentru ziua anterioară transmiterii raportului. 
    Utilizatori ai serviciilor de plată afectaţi: trebuie precizate pragurile care sunt sau vor fi probabil atinse de către incident, dacă există, şi valorile aferente: numărul total al utilizatorilor serviciilor de plată care au fost afectaţi şi procentul utilizatorilor serviciilor de plată afectaţi din numărul total al utilizatorilor serviciilor de plată. PSP trebuie să prezinte valori concrete pentru aceste variabile, care pot fi valori efective sau estimări. PSP trebuie să înţeleagă ca fiind "utilizatori ai serviciilor de plată afectate" toţi clienţii (de la nivel intern sau din străinătate, consumatori sau întreprinderi) care au un contract cu prestatorul serviciului de plată afectat, care le acordă acestora accesul la serviciul de plată afectat şi care au suportat sau vor suporta probabil consecinţele incidentului. PSP trebuie să recurgă la estimări bazate pe activitatea anterioară pentru a stabili numărul utilizatorilor serviciilor de plată care este posibil să fi folosit serviciul de plată pe durata incidentului. În cazul grupurilor, fiecare PSP trebuie să aibă în vedere doar utilizatorii serviciilor de plată proprii. În cazul unui PSP care oferă servicii operaţionale altor persoane, acesta trebuie să aibă în vedere doar utilizatorii de servicii de plată proprii (dacă există), iar PSP care beneficiază de respectivele servicii operaţionale trebuie să evalueze, de asemenea, incidentul în legătură cu utilizatorii serviciilor de plată proprii. Mai mult, PSP trebuie să considere ca fiind numărul total al utilizatorilor serviciilor de plată valoarea agregată a utilizatorilor serviciilor de plată interni şi din străinătate faţă de care este obligat prin contract la momentul incidentului (sau, alternativ, cea mai recentă valoare disponibilă) şi care au acces la serviciul de plată afectat, indiferent de dimensiunea acestora sau dacă aceştia sunt consideraţi utilizatori activi sau pasivi ai serviciilor de plată. 
    Încălcare a securităţii reţelelor sau a sistemelor informatice: trebuie stabilit dacă orice acţiune răuvoitoare a compromis disponibilitatea, autenticitatea, integritatea sau confidenţialitatea reţelelor sau a sistemelor informatice (inclusiv a datelor) legate de furnizarea de servicii de plată. 
    Perioadă de nefuncţionare a serviciului: trebuie precizate dacă pragul este sau va fi probabil atins de către incident, precum şi valoarea aferentă: timpul total de indisponibilitate a serviciului. PSP trebuie să prezinte valori concrete pentru această variabilă, care pot fi exprimate în valori efective sau estimări. PSP trebuie să aibă în vedere perioada de timp în care orice activitate, proces sau canal asociat prestării serviciilor de plată este sau va fi probabil indisponibil şi, astfel, împiedică: (i) iniţierea şi/sau executarea unui serviciu de plată; şi/sau (ii) accesul la un cont de plăţi. PSP trebuie să calculeze durata de nefuncţionare a serviciului de la momentul iniţial al indisponibilităţii şi trebuie să ia în considerare atât intervalele de timp în care aceştia funcţionează conform cerinţelor de executare a serviciilor de plată, cât şi orele în care nu funcţionează, precum şi perioadele de întreţinere, dacă este cazul şi dacă există. Dacă prestatorii de servicii de plată nu pot să stabilească momentul iniţial al indisponibilităţii serviciului, aceştia trebuie să calculeze în mod excepţional durata de nefuncţionare a serviciului de la momentul în care s-a detectat indisponibilitatea. 
    Impact economic: trebuie precizate dacă pragul este sau va fi probabil atins de către incident, precum şi valorile aferente: costurile directe şi indirecte exprimate în euro. PSP trebuie să prezinte valori concrete pentru aceste variabile, care pot fi valori efective sau estimări. PSP trebuie să aibă în vedere atât costurile care pot fi legate în mod direct de incident, cât şi cele care sunt legate în mod indirect de incident. Printre altele, PSP trebuie să ţină cont de fondurile sau activele expropriate, costurile de înlocuire a echipamentelor hardware sau software, alte costuri specifice expertizei criminalistice sau costuri de remediere, taxe aplicate ca urmare a neconformităţii cu obligaţiile contractuale, sancţiuni, datorii externe şi venituri pierdute. În ceea ce priveşte costurile indirecte, PSP trebuie să le aibă în vedere doar pe cele care sunt deja cunoscute sau foarte probabil de a se concretiza. În cazurile în care costurile sunt exprimate în alte monede decât euro, atunci când se calculează pragul şi se raportează valoarea impactului economic, PSP trebuie să convertească valoarea costurilor în euro prin utilizarea cursului de schimb de referinţă zilnic al Băncii Centrale Europene publicat pentru ziua anterioară transmiterii raportului. 
    Costuri directe: suma de bani (în euro) asociată costului direct al incidentului, inclusiv fonduri necesare pentru remedierea incidentului (de exemplu, fonduri sau active expropriate, costuri de înlocuire a echipamentelor hardware şi software, tarife datorate nerespectării obligaţiilor contractuale). 
    Costuri indirecte: suma de bani (în euro) asociată costului indirect al incidentului (de exemplu, costuri asociate reparaţiilor/compensaţiilor pentru clienţi, venituri pierdute ca urmare a oportunităţilor de afaceri ratate, posibile cheltuieli judiciare). 
    Nivel ridicat de escaladare internă: trebuie să se aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, conducerea relevantă, stabilită conform prevederilor art. 479 alin. (2) lit. d) din regulament, a fost sau va fi probabil informată cu privire la incident în afara oricărei proceduri de notificare periodice şi în permanenţă pe durata existenţei incidentului. În plus, PSP trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăţilor, a fost sau este susceptibil de a fi declanşat modulul de gestionare a situaţiei de criză. 
    Alţi PSP sau infrastructuri relevante potenţial afectaţi/afectate: trebuie evaluat impactul incidentului asupra pieţei financiare, care este înţeleasă ca fiind infrastructurile pieţei financiare şi/sau schemele de plată care o susţin, precum şi restul PSP. În mod specific, PSP trebuie să evalueze dacă incidentul s-a propagat sau probabil se va propaga în mod similar la alţi PSP, dacă acesta a afectat sau va afecta probabil funcţionarea fără probleme a infrastructurilor pieţei financiare şi dacă a compromis sau va compromite probabil soliditatea sistemului financiar în ansamblu. PSP trebuie să aibă în vedere diferite aspecte, precum dacă o componentă/un echipament software afectată/afectat este supusă/supus unor drepturi de proprietate sau este disponibilă/disponibil în general, dacă reţeaua compromisă este internă sau externă şi dacă PSP a încetat sau va înceta probabil să îşi îndeplinească obligaţiile rezultate din participarea sa la infrastructurile pieţei financiare. 
    Impact reputaţional: trebuie să se aibă în vedere nivelul de vizibilitate pe care, după cunoştinţa PSP, incidentul l-a atins sau îl va atinge probabil pe piaţă. În mod specific, PSP trebuie să aibă în vedere probabilitatea ca incidentul să provoace daune societăţii ca fiind un indicator bun al potenţialului acestuia de a afecta reputaţia lor. PSP trebuie să ţină cont dacă: (i) utilizatorii serviciilor de plată şi alţi prestatori de servicii de plată au sesizat efectele adverse ale incidentului; (ii) incidentul a afectat un proces vizibil aferent unui serviciu de plată şi, prin urmare, este susceptibil de a dobândi sau a dobândit deja acoperire mediatică (având în vedere nu doar media tradiţională, precum ziarele, ci şi bloguri, reţele de socializare etc. Acoperirea mediatică în acest context nu înseamnă doar câteva comentarii negative din partea urmăritorilor, ci ar trebui să existe o raportare valabilă sau un număr semnificativ de comentarii/alerte negative); (iii) au fost sau vor fi probabil nerespectate obligaţiile contractuale, care au condus la publicarea unor măsuri legale împotriva prestatorului/prestatorilor de servicii de plată; (iv) au fost sau vor fi probabil nerespectate cerinţele prevăzute în cadrul de reglementare, care au condus la impunerea unor măsuri specifice supravegherii sau sancţiuni împotriva prestatorului/prestatorilor de servicii de plată, care au fost sau vor fi probabil publicate; sau (v) a apărut acelaşi tip de incident în trecut. 
    B 3 - Descrierea incidentului 
    Tipul incidentului: trebuie precizată natura operaţională sau de securitate a incidentului. Explicaţii suplimentare trebuie furnizate în câmpul corespunzător din raportul iniţial. 
    Cauza incidentului: trebuie precizată cauza incidentului sau, dacă aceasta nu se cunoaşte încă, cea mai probabilă cauză. Se pot selecta una sau mai multe opţiuni. 
    În curs de investigare: cauza nu a fost încă stabilită. 
    Acţiune răuvoitoare: acţiuni care vizează în mod intenţionat PSP. Acestea includ utilizarea de software rău intenţionat, colectarea de informaţii, intruziunile, atacurile distribuite/refuzarea serviciului (D/DoS), acţiunile interne deliberate, daunele fizice cauzate de acţiuni externe deliberate, securitatea conţinutului informaţiilor, acţiunile frauduloase şi altele. Pentru mai multe detalii, vă rugăm să consultaţi secţiunea C 2. 
    Eşecul procesului: cauza incidentului a fost o proiectare sau o execuţie defectuoasă a procesului de plată, a controalelor procesului şi/sau a proceselor de sprijin (de exemplu, procesul de schimbare/migrare, testare, configurare, capacitate, monitorizare). 
    Eşecul sistemului: cauza incidentului este asociată cu o proiectare, execuţie, componente, specificaţii, integrare sau complexitate necorespunzătoare a sistemelor, reţelelor, infrastructurilor şi bazelor de date care sprijină activitatea de prestare a serviciilor de plată. 
    Eroare umană: incidentul a fost cauzat de eroarea neintenţionată a unei persoane, fie ca parte a procedurii de plată (de exemplu, încărcarea fişierului unui lot de plăţi greşit în sistemul de plăţi), fie în legătură cu aceasta (de exemplu, puterea este întreruptă în mod accidental, iar activitatea de plată este suspendată). 
    Evenimente externe: cauza este asociată cu evenimente aflate în general în afara controlului direct al organizaţiei (de exemplu, dezastre naturale, o defecţiune la un furnizor de servicii tehnice). 
    Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. 
    Incidentul v-a afectat direct sau indirect prin intermediul unui furnizor de servicii?: trebuie indicat dacă incidentul a vizat în mod direct PSP sau dacă acesta îl afectează indirect prin intermediul unei terţe părţi, dacă aceste informaţii sunt disponibile. În cazul unui impact indirect trebuie precizată denumirea furnizorului/furnizorilor de servicii. 
    B 4 - Impactul incidentului 
    Impact general: trebuie indicate dimensiunile care au fost afectate de incidentul operaţional sau de securitate. Se pot selecta una sau mai multe opţiuni. 
    Integritate: proprietatea de a asigura acurateţea şi caracterul complet al activelor (inclusiv al datelor). 
    Disponibilitate: proprietatea serviciilor aferente plăţilor de a fi deplin accesibile şi utilizabile de către utilizatorii serviciilor de plată, potrivit nivelurilor acceptabile predefinite anterior de prestatorul de servicii de plată. 
    Confidenţialitate: proprietatea de a nu pune la dispoziţie sau de a nu divulga informaţii persoanelor, entităţilor sau proceselor neautorizate. 
    Autenticitate: reprezintă proprietatea unei surse de a fi ceea ce se pretinde a fi. 
    Canale comerciale afectate: trebuie precizate canalul sau canalele de interacţiune cu utilizatorii serviciilor de plată, care au fost afectate de incident. Se pot selecta una sau mai multe opţiuni. 
    Sucursale: sediul comercial (altul decât sediul social) care nu are personalitate juridică, prin intermediul căruia PSP execută în mod direct unele sau toate operaţiunile inerente activităţii unui PSP. Toate sediile comerciale înfiinţate în acelaşi stat membru de către un PSP al cărui sediu social se află într-un alt stat membru trebuie considerate ca fiind o singură sucursală. 
    Servicii bancare electronice (E-banking): utilizarea de computere pentru desfăşurarea operaţiunilor financiare prin internet. 
    Servicii bancare prin telefon (Telephone banking): utilizarea de telefoane pentru desfăşurarea operaţiunilor financiare. 
    Servicii bancare prin telefon mobil (Mobile banking): utilizarea unei anumite aplicaţii bancare pe un telefon inteligent sau un dispozitiv similar pentru desfăşurarea operaţiunilor financiare. 
    ATM-uri: dispozitive electromecanice care permit utilizatorilor serviciilor de plată să retragă numerar din conturile lor şi/sau să acceseze alte servicii. 
    Punct de vânzare: spaţiu fizic al comerciantului în care este iniţiată operaţiunea de plată. 
    Comerţ electronic: operaţiunea de plată este iniţiată la un punct virtual de vânzare (de exemplu, pentru operaţiunile de plată iniţiate prin internet utilizând transferuri de credit, carduri de plată, transfer de monedă electronică între conturi de monedă electronică). 
    Altele: canalul comercial afectat nu este niciunul dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. 
    Servicii de plată afectate: trebuie precizate serviciile de plată care nu funcţionează în parametri normali ca urmare a incidentului. Se pot selecta una sau mai multe opţiuni. 
    Depunere de numerar într-un cont de plăţi: depunerea de numerar la un PSP pentru a credita un cont de plăţi. 
    Retragere de numerar dintr-un cont de plăţi: solicitarea primită de către un PSP din partea utilizatorului serviciului său de plăţi pentru a furniza numerar şi a-şi debita contul de plăţi cu suma aferentă. 
    Operaţiuni necesare funcţionării unui cont de plăţi: acele acţiuni care trebuie să fie realizate într-un cont de plăţi pentru a activa, a dezactiva şi/sau a menţine contul respectiv (de exemplu, deschidere, blocare). 
    Acceptare de instrumente de plată: un serviciu de plată care constă în faptul că un PSP stabileşte în baza unui contract cu un beneficiar al plăţii să accepte şi să proceseze operaţiuni de plată, rezultând într-un transfer al fondurilor către beneficiarul plăţii. 
    Operaţiuni de transfer-credit: un serviciu de plată pentru creditarea unui cont de plăţi al unui beneficiar al plăţii cu o operaţiune de plată sau o serie de operaţiuni de plată din contul de plăţi al unui plătitor de către PSP care deţine contul de plăţi al plătitorului pe baza unei instrucţiuni date de către plătitor. 
    Debitări directe: un serviciu de plată pentru debitarea contului de plăţi al unui plătitor, în cazul în care o operaţiune de plată este iniţiată de beneficiarul plăţii pe baza consimţământului dat de către plătitor beneficiarului plăţii, prestatorului de servicii de plată al plătitorului sau propriului prestator de servicii de plată al beneficiarului plăţii. 
    Operaţiuni de plată iniţiate cu card de plată: un serviciu de plată bazat pe infrastructura şi regulile schemei de plată cu cardul pentru a iniţia o operaţiune de plată prin intermediul oricărui card, oricăror mijloace de telecomunicaţii, dispozitive digitale sau informatice ori software, dacă rezultatul acestuia este o operaţiune cu cardul de debit sau cu cardul de credit. Operaţiunile de plată bazate pe card exclud operaţiunile bazate pe alte tipuri de servicii de plată. 
    Emitere de instrumente de plată: un serviciu de plată care constă în faptul că un PSP stabileşte cu un plătitor în baza unui contract ca acesta să îi furnizeze un instrument de plată pentru a iniţia şi a procesa operaţiunile de plată ale plătitorului. 
    Remitere de bani: un serviciu de plată prin care fondurile sunt primite de la plătitor, fără crearea unui cont de plăţi pe numele plătitorului sau al beneficiarului plăţii pentru realizarea respectivei operaţiuni de plată, cu scopul unic de a transfera o sumă echivalentă beneficiarului plăţii sau unui alt prestator de servicii de plată care acţionează în numele şi pe seama beneficiarului plăţii, inclusiv în situaţia în care fondurile sunt primite în numele şi pe seama beneficiarului plăţii şi sunt puse la dispoziţia acestuia. 
    Servicii de iniţiere a plăţii: servicii de plată pentru iniţierea unui ordin de plată la cererea utilizatorului serviciilor de plată cu privire la un cont de plăţi deţinut la un alt prestator de servicii de plată. 
    Servicii de informare cu privire la conturi: servicii de plată online prin care se furnizează informaţii consolidate în legătură cu unul sau mai multe conturi de plăţi deţinute de utilizatorul serviciilor de plată la alt prestator de servicii de plată sau la mai mulţi prestatori de servicii de plată. 
    B 5 - Diminuarea incidentului 
    Ce acţiuni/măsuri au fost luate până în prezent sau sunt planificate pentru a restabili situaţia după incident?: trebuie furnizate detalii privind acţiunile care au fost luate sau prevăzute a fi luate pentru gestionarea temporară a incidentului. 
    Planurile de asigurare a continuităţii activităţii şi/sau de recuperare în caz de dezastre au fost activate?: trebuie precizate dacă acestea au fost activate şi, în acest caz, trebuie furnizate cele mai relevante detalii despre ceea ce s-a întâmplat, cum ar fi, când au fost activate şi în ce au constat aceste planuri. 
    C - Raportul final 
    C 1 - Detalii generale 
    Actualizarea informaţiilor din raportul iniţial şi raportul intermediar sau rapoartele intermediare (rezumat): trebuie precizate informaţii suplimentare cu privire la incident, inclusiv modificările specifice aduse informaţiilor furnizate în raportul intermediar. Trebuie indicate, de asemenea, orice alte informaţii relevante. 
    Măsurile de control iniţiale sunt în vigoare?: trebuie indicat dacă a trebuit sau nu să fie anulate sau reduse unele măsuri de control în orice moment pe durata manifestării incidentului. În caz afirmativ, trebuie indicate toate măsurile de control care au fost reinstituite şi, în caz contrar, trebuie indicate în câmpul aferent textului liber care din măsurile de control nu sunt reinstituite şi perioada suplimentară necesară pentru reinstituirea lor. 
    C 2 - Analiza cauzei principale şi acţiuni de urmărire 
    Care a fost cauza principală (dacă este deja cunoscută)?: trebuie indicată care este cauza principală a incidentului sau, dacă aceasta nu este cunoscută încă, care este cea mai probabilă cauză a incidentului. Pot fi selectate mai multe opţiuni, dar trebuie să se facă distincţie între cauza principală şi impactul incidentului: 
    Acţiune răuvoitoare: orice acţiune externă sau internă care vizează în mod intenţionat PSP. Trebuie să selecteze una sau mai multe opţiuni din următoarele categorii: 
    Software rău intenţionat: de exemplu, un virus informatic, un vierme informatic, Trojan, spyware 
    Colectare de informaţii: de exemplu, scanare, sniffing, inginerie socială 
    Intruziuni: de exemplu, compromiterea unui cont privilegiat, compromiterea unui cont neprivilegiat, compromiterea aplicaţiei, bot 
    Atac distribuit de indisponibilizare a serviciului (D/DoS): o încercare de a indisponibiliza un serviciu online prin încărcarea acestuia cu trafic (număr mare de solicitări) din mai multe surse 
    Acţiuni interne deliberate: de exemplu, sabotaj, furt 
    Daunele fizice cauzate de acţiuni externe deliberate: de exemplu, sabotaj, atac fizic al sediilor/centrelor de date 
    Securitatea conţinutului informaţiilor: acces neautorizat la informaţii, modificarea neautorizată a informaţiilor 
    Acţiuni frauduloase: utilizare neautorizată a resurselor, drepturilor de autor, masquerada, phishing 
    Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. 
    Eşecul procesului: cauza incidentului a fost o proiectare sau o execuţie defectuoasă a procesului de plată, a controalelor procesului şi/sau a proceselor de sprijin (de exemplu, procesul de schimbare/migrare, testare, configurare, capacitate, monitorizare). Se pot selecta una sau mai multe opţiuni din următoarele categorii: 
    Monitorizare şi control deficitare: de exemplu, în ceea ce priveşte operaţiunile în curs de desfăşurare, datele de expirare a unui certificat, datele de expirare a unei licenţe, datele de expirare a unor patch-uri, valorile maxime definite ale contorului, nivelurile de completare a bazei de date, gestionarea drepturilor utilizatorilor, principiul controlului dual. 
    Aspecte de comunicare: de exemplu, între participanţii la piaţă sau în cadrul organizaţiei. 
    Operaţiuni necorespunzătoare: de exemplu, nu există niciun schimb de certificate, memoria cache este complet utilizată. 
    Gestionarea inadecvată a schimbării: de exemplu, erori de configurare neidentificate, instalare, inclusiv actualizări, probleme de întreţinere, erori neaşteptate. 
    Neadecvare a procedurilor şi a documentaţiei interne: de exemplu, lipsa de transparenţă în ceea ce priveşte funcţionalităţile, procesele şi apariţia unei funcţionări defectuoase, absenţa documentaţiei. 
    Aspecte legate de recuperare: de exemplu, gestionare a situaţiilor de urgenţă, redundanţă inadecvată. 
    Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. 
    Eşecul sistemului: cauza incidentului este asociată cu o proiectare, execuţie, componente, specificaţii, integrare sau complexitate necorespunzătoare a sistemelor, reţelelor, infrastructurilor şi bazelor de date care sprijină activitatea de prestare a serviciilor de plată. Se pot selecta una sau mai multe opţiuni din următoarele categorii: 
    Eşecul echipamentului: defectarea echipamentelor tehnologice fizice implicate în desfăşurarea proceselor şi/sau stocarea datelor necesare PSP pentru a-şi desfăşura serviciile aferente plăţilor (de exemplu, defectarea unităţilor de hard-disk, a centrelor de date, a altor infrastructuri) 
    Eşecul reţelei: funcţionarea necorespunzătoare a reţelelor de telecomunicaţii, publice sau private, care permit schimbul de date şi informaţii (de exemplu, prin internet) în timpul desfăşurării proceselor aferente plăţilor 
    Deficienţe ale bazei de date: structura datelor care stochează informaţiile cu caracter personal şi informaţiile legate de plăţi necesare pentru executarea operaţiunilor de plată 
    Eşecul aplicaţiei/software: defecţiuni ale programelor, ale sistemelor de operare etc. care sprijină furnizarea de servicii de plată de către PSP (de exemplu, defecţiuni, funcţii necunoscute) 
    Daună fizică: de exemplu, daune neintenţionate cauzate de condiţii inadecvate, lucrări de construcţii. 
    Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. 
    Eroare umană: incidentul a fost cauzat de eroarea neintenţionată a unei persoane, fie ca parte a procedurii de plată (de exemplu, încărcarea fişierului unui lot de plăţi greşit în sistemul de plăţi), fie în legătură cu aceasta (de exemplu, energia electrică este întreruptă în mod accidental, iar activitatea de plată este suspendată). Se pot selecta una sau mai multe opţiuni din următoarele categorii: 
    Neintenţionată: de exemplu, greşeli, erori, omisiuni, lipsa de experienţă şi de cunoştinţe 
    Lipsă de acţiune: de exemplu, din cauza lipsei de abilităţi, competenţe, cunoştinţe, experienţă, conştientizare 
    Resurse insuficiente: de exemplu, lipsa resurselor umane, disponibilitatea personalului 
    Altele: cauza incidentului nu este niciuna dintre toate cele indicate mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. 
    Eveniment extern: cauza este asociată cu evenimente aflate în general în afara controlului direct al PSP. Se pot selecta una sau mai multe opţiuni din următoarele categorii: 
    Eşec la nivelul unui furnizor/prestator de servicii tehnice: de exemplu, întreruperi ale alimentării cu energie electrică, întreruperi ale internetului, aspecte juridice, aspecte legate de afaceri, dependenţe ale serviciului 
    Forţă majoră: de exemplu, întreruperea alimentării cu energie electrică, incendii, cauze naturale precum cutremure, inundaţii, precipitaţii abundente, vânturi puternice 
    Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. 
    Alte informaţii relevante privind cauza principală: trebuie furnizate orice detalii suplimentare privind cauza principală, inclusiv concluziile preliminare rezultate din analiza cauzelor principale. 
    Acţiuni/măsuri corective principale luate sau planificate pentru prevenirea reapariţiei incidentului în viitor, dacă se cunosc deja: trebuie descrise acţiunile principale care au fost luate sau sunt prevăzute a fi luate pentru a preveni reapariţia incidentului în viitor. 
    C 3 - Informaţii suplimentare 
    Incidentul a fost comunicat altor prestatori de servicii de plată în scopul informării?: trebuie furnizate informaţii cu privire la comunicarea incidentului altor PSP contactaţi, pe cale oficială sau neoficială, prezentând detalii despre PSP care au fost informaţi, informaţiile care au fost comunicate şi motivele care au stat la baza comunicării acestor informaţii. 
    A fost luată vreo măsură cu caracter legal împotriva prestatorului de servicii de plată?: trebuie precizat dacă la data completării raportului final PSP a făcut obiectul vreunei acţiuni în justiţie (de exemplu, a fost adus în instanţă sau şi-a pierdut licenţa) ca urmare a manifestării incidentului. 
    Evaluarea eficacităţii măsurilor aplicate: trebuie indicată, dacă este cazul, o autoevaluare a eficacităţii măsurilor întreprinse pe durata incidentului, inclusiv a lecţiilor învăţate în urma incidentului.