Act legislativ


 


Banca Naţională a României
Regulament nr. 8 din 24.iul.2024
Monitorul Oficial, Partea I 809 14.aug.2024
Intrare în vigoare la 14.aug.2024
Regulamentul nr. 8/2024 pentru modificarea şi completarea Regulamentului Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit

Având în vedere dispoziţiile art. 4 alin. (1), art. 24 alin. (1) - (22), art. 77, art. 101, art. 104-106, art. 1631, art. 164 alin. (2), art. 166, art. 1734 lit. c), art. 289, art. 320, art. 382 şi ale art. 384 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, 

    în temeiul dispoziţiilor art. 25 alin. (2) lit. a) şi ale art. 48 din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României, precum şi ale art. 150 alin. (1) lit. c) şi ale art. 420 alin. (1), (3) şi (4) din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare,
 

    Banca Naţională a României emite prezentul regulament.
 

   Art. I. -   Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, publicat în Monitorul Oficial al României, Partea I, nr. 841 din 30 decembrie 2013, cu modificările şi completările ulterioare, se modifică şi se completează după cum urmează: 

   1. La articolul 1, litera a) se modifică şi va avea următorul cuprins: 

   " a) cadrul de administrare a activităţii instituţiilor de credit, procesul intern de evaluare a adecvării capitalului şi lichidităţii la riscuri şi externalizarea;". 

   2. La articolul 3 alineatul (1), punctul 26 se modifică şi va avea următorul cuprins: 

   " 26. externalizare - un acord de orice tip încheiat între o instituţie de credit şi un furnizor extern, în baza căruia furnizorul extern desfăşoară cu caracter repetat sau continuu o funcţie, astfel cum este definită la art. 2301 alin. (1), desfăşurată în mod obişnuit de instituţii de credit, chiar dacă instituţia de credit în cauză nu a desfăşurat-o în trecut;". 

   3. La articolul 3 alineatul (1), punctul 27 se modifică şi va avea următorul cuprins: 

   " 27. furnizor extern - un terţ, inclusiv agentul bancar, care desfăşoară un proces, un serviciu sau o activitate a instituţiei de credit sau părţi ale acestora, în baza unui acord de externalizare;". 

   4. La articolul 3 alineatul (1), punctele 28 şi 29 se abrogă. 

   5. După articolul 298 se introduce un nou paragraf, paragraful "3.16. Funcţia juridică", cuprinzând articolul 299, cu următorul cuprins: 

   " 3.16. Funcţia juridică 

   Art. 299. -   (1) Pentru administrarea eficientă a riscului juridic, funcţia juridică trebuie să dispună, ţinând cont de criteriile prevăzute la art. 5 alin. (2) şi (21), de suficientă autoritate, independenţă şi resurse pentru a-şi desfăşura activitatea. 

   (2) Funcţia juridică, prin consilierii juridici, asigură consultanţă organului de conducere, precum şi celorlalte structuri organizatorice ale instituţiei de credit, apără drepturile şi interesele legitime ale acesteia în raporturile cu autorităţile publice, instituţiile de orice natură, precum şi cu orice persoană juridică sau fizică, în conformitate cu prevederile legii şi cadrul de reglementare aplicabil. 

   (3) Instituţiile de credit trebuie să se asigure că, în cadrul funcţiei juridice, consilierii juridici deţin competenţele necesare îndeplinirii responsabilităţilor care le revin, precum şi că pregătirea profesională, expertiza şi conduita acestora sunt adecvate şi corespund standardelor şi statutului profesional conform reglementărilor în vigoare. 

   (4) În luarea deciziilor care presupun risc juridic în activitatea instituţiei de credit, organul de conducere asigură implicarea funcţiei juridice astfel încât să poată avea o imagine completă şi clară asupra operaţiunilor/proceselor analizate şi a implicaţiilor juridice subsecvente. Totodată, organul de conducere stabileşte, prin proceduri interne, cadrul de organizare şi funcţionare, atribuţiile şi responsabilităţile acestei funcţii, fără a se aduce atingere cadrului de reglementare a funcţiei de conformitate. 

   (5) Fără a aduce atingere prevederilor referitoare la atribuţiile funcţiei de administrare a riscurilor, funcţia juridică monitorizează şi evaluează periodic, conform procedurilor interne, riscurile juridice la care instituţia de credit este expusă şi le comunică funcţiei de administrare a riscurilor." 

   6. După articolul 59 se introduce un nou articol, articolul 591, cu următorul cuprins: 

   " Art. 591. -   (1) Activităţile funcţiei de audit intern trebuie să acopere, pe baza unei abordări bazate pe risc, evaluarea independentă a activităţilor externalizate de către instituţia de credit. Planul şi programul de audit trebuie să includă, în special, acordurile de externalizare a funcţiilor critice sau importante. 

   (2) În ceea ce priveşte procesul de externalizare, funcţia de audit intern trebuie să confirme cel puţin: 

   a) implementarea corectă şi eficace a cadrului de externalizare al instituţiei de credit, inclusiv a politicii de externalizare, şi în conformitate cu cerinţele legale şi de reglementare aplicabile, cu strategia privind administrarea riscurilor şi cu deciziile organului de conducere; 

   b) adecvarea, calitatea şi eficacitatea evaluării caracterului critic sau al importanţei funcţiilor; 

   c) adecvarea, calitatea şi eficacitatea evaluării riscurilor aferente acordurilor de externalizare şi menţinerea conformităţii riscurilor cu strategia privind administrarea riscurilor a instituţiei de credit; 

   d) implicarea corespunzătoare a organului de conducere; şi 

   e) monitorizarea şi administrarea acordurilor de externalizare în mod corespunzător." 

   7. La articolul 1494, litera j) se modifică şi va avea următorul cuprins: 

   " j) practicile instituţiei de credit privind monitorizarea calităţii serviciilor externalizate şi expunerea globală la risc faţă de furnizorii externi conform cerinţelor privind externalizarea prevăzute la art. 2301 -23025." 

   8. La articolul 1681, alineatul (8) se modifică şi va avea următorul cuprins: 

   " (8) Instituţia de credit îndeplineşte cerinţa de fonduri proprii suplimentare impusă de Banca Naţională a României în temeiul art. 226 alin. (3) lit. a) din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, pentru abordarea altor riscuri decât riscul asociat folosirii excesive a efectului de levier cu fonduri proprii care îndeplinesc următoarele condiţii: 

   a) cel puţin trei sferturi din cerinţa de fonduri proprii suplimentare sunt îndeplinite cu fonduri proprii de nivel 1; 

   b) cel puţin trei sferturi din fondurile proprii de nivel 1 menţionate la lit. a) sunt constituite din fonduri proprii de nivel 1 de bază." 

   9. La articolul 1681, după alineatul (8) se introduce un nou alineat, alineatul (81), cu următorul cuprins: 

   " (81) Instituţia de credit îndeplineşte cerinţa de fonduri proprii suplimentare impusă de Banca Naţională a României în temeiul art. 226 alin. (3) lit. a) din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, pentru abordarea riscului asociat folosirii excesive a efectului de levier cu fonduri proprii de nivel 1." 

   10. La articolul 1681, alineatul (9) se modifică şi va avea următorul cuprins: 

   " (9) Prin derogare de la alin. (8) şi (81), Banca Naţională a României poate solicita instituţiei de credit să îşi îndeplinească cerinţa de fonduri proprii suplimentare cu o proporţie mai ridicată de fonduri proprii de nivel 1 sau de fonduri proprii de nivel 1 de bază, atunci când apreciază a fi necesar şi având în vedere circumstanţele specifice ale instituţiei de credit." 

   11. La articolul 171 alineatul (11), litera b) se modifică şi va avea următorul cuprins: 

   " b) unui membru al personalului a cărui remuneraţie variabilă anuală nu depăşeşte 50.000 euro şi nu reprezintă mai mult de 1/3 din remuneraţia totală anuală a respectivului membru al personalului." 

   12. După articolul 230 se introduce un nou capitol, capitolul IV1 "Externalizarea", cuprinzând articolele 2301-23025, cu următorul cuprins: 

   "

CAPITOLUL IV1
Externalizarea

 

SECŢIUNEA 1
Dispoziţii generale
 

   Art. 2301. -   (1) În sensul prezentului capitol, termenii şi sintagmele de mai jos au următoarele semnificaţii: 

   1. funcţie - orice proces, serviciu sau activitate; 

   2. funcţie critică sau importantă - orice funcţie a instituţiei de credit care se află în una dintre următoarele situaţii: 

   a) prezintă o asemenea importanţă încât orice anomalie sau deficienţă în desfăşurarea acesteia ar putea avea un efect negativ semnificativ în ceea ce priveşte: 

   (i) capacitatea instituţiei de credit de a respecta pe bază continuă condiţiile de autorizare sau celelalte obligaţii care îi revin în temeiul Ordonanţei de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, al Regulamentului (UE) nr. 575/2013, cu modificările şi completările ulterioare, precum şi în temeiul reglementărilor emise în aplicarea acestora; 

   (ii) performanţa financiară a instituţiei de credit; sau 

   (iii) soliditatea sau continuitatea serviciilor şi activităţilor sale; 

   b) priveşte sarcinile operaţionale ale funcţiilor de control intern, cu excepţia cazului în care din evaluarea instituţiei de credit rezultă că neexecutarea sau executarea necorespunzătoare a sarcinilor operaţionale externalizate nu ar genera un impact negativ asupra eficacităţii funcţiei de control intern; sau 

   c) priveşte activităţile instituţiei de credit prevăzute la art. 18 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, a căror desfăşurare necesită autorizarea de către Banca Naţională a României; sau 

   d) este necesară pentru a desfăşura activităţi din cadrul liniilor de activitate de bază sau funcţii critice, astfel cum acestea sunt definite la art. 2 alin. (1) pct. 23 şi 24 din Legea nr. 312/2015 privind redresarea şi rezoluţia instituţiilor de credit şi a firmelor de investiţii, precum şi pentru modificarea şi completarea unor acte normative în domeniul financiar, cu modificările şi completările ulterioare, şi identificate ca atare de instituţia de credit prin utilizarea criteriilor prevăzute la art. 6 şi 7 din Regulamentul delegat (UE) 2016/778 al Comisiei de completare a Directivei 2014/59/UE a Parlamentului European şi a Consiliului în ceea ce priveşte circumstanţele şi condiţiile în care plata contribuţiilor ex post extraordinare poate fi amânată parţial sau integral şi în ceea ce priveşte criteriile de stabilire a activităţilor, serviciilor şi operaţiunilor pentru funcţiile critice şi de stabilire a liniilor de activitate şi a serviciilor asociate pentru liniile de activitate esenţiale, cu excepţia cazului în care din evaluarea instituţiei de credit rezultă că neexecutarea funcţiei externalizate sau executarea necorespunzătoare a funcţiei externalizate nu ar avea un impact negativ asupra continuităţii operaţionale a liniei de activitate de bază sau a funcţiei critice; 

   3. externalizare în lanţ - externalizare în cadrul căreia furnizorul extern subcontractează altor furnizori externi o funcţie externalizată a instituţiei de credit sau părţi ale acesteia. 

   (2) Atunci când aplică cerinţele prevăzute în prezentul capitol, instituţiile de credit trebuie să ia în considerare complexitatea funcţiilor externalizate, riscurile care decurg din acordurile de externalizare, caracterul critic sau importanţa funcţiilor externalizate şi impactul potenţial al externalizării asupra continuităţii activităţilor lor. 

   Art. 2302. -   (1) Instituţiile de credit au obligaţia de a evalua acordurile lor cu terţe părţi pentru a determina dacă acestea se încadrează în definiţia externalizării. 

   (2) Instituţiile de credit au obligaţia de a evalua pe bază continuă dacă acordurile lor de externalizare vizează funcţii critice sau importante.

 

SECŢIUNEA a 2-a
Dispoziţii privind cadrul de administrare a activităţii în contextul externalizării
 

   2.1. Dispoziţii generale 

   Art. 2303. -   Instituţiile de credit trebuie să identifice, să evalueze, să monitorizeze şi să administreze toate riscurile care decurg din acordurile cu terţe părţi la care sunt sau ar putea fi expuse, în special riscul operaţional şi riscul de concentrare, indiferent dacă acordurile respective sunt sau nu acorduri de externalizare. 

   Art. 2304. -   (1) Externalizarea nu trebuie să afecteze desfăşurarea activităţii instituţiei de credit cu respectarea tuturor cerinţelor legale şi de reglementare aplicabile, exercitarea atribuţiilor organului de conducere al instituţiei de credit şi nici supravegherea prudenţială a instituţiei de credit de către Banca Naţională a României. 

   (2) Atunci când externalizează, instituţiile de credit rămân pe deplin responsabile şi răspunzătoare pentru respectarea tuturor obligaţiilor lor ce decurg din cadrul legal şi de reglementare, inclusiv în ceea ce priveşte capacitatea de a monitoriza externalizarea funcţiilor critice sau importante. 

   (3) Instituţiile de credit trebuie să menţină în permanenţă un nivel suficient de activitate pentru a rămâne autorizate şi nu trebuie să utilizeze externalizarea într-o asemenea măsură încât să devină entităţi de tip «carcasă goală». În acest sens, instituţiile de credit trebuie: 

   a) să îndeplinească în permanenţă toate condiţiile de autorizare, inclusiv în ceea ce priveşte exercitarea efectivă de către organul de conducere a responsabilităţilor prevăzute la alin. (5); 

   b) să păstreze un cadru şi o structură organizatorică clare şi transparente care să permită asigurarea conformării cu cerinţele cadrului legal şi de reglementare; 

   c) atunci când sunt externalizate sarcinile operaţionale ale funcţiilor de control intern, precum în cazul externalizării în cadrul grupului sau al externalizării în cadrul sistemelor instituţionale de protecţie, să exercite o monitorizare adecvată şi să fie capabile să administreze riscurile generate de externalizarea funcţiilor critice sau importante; şi 

   d) să dispună de suficiente resurse şi capacităţi pentru a asigura conformarea cu cerinţele de la lit. a)-c). 

   (4) Externalizarea nu trebuie să determine nicio delegare a responsabilităţilor organului de conducere al instituţiei de credit. 

   (5) Organul de conducere este în orice moment pe deplin responsabil şi răspunzător cel puţin pentru: 

   a) asigurarea îndeplinirii în mod continuu de către instituţia de credit a condiţiilor de autorizare, inclusiv a oricăror alte condiţii impuse de Banca Naţională a României, în calitate de autoritate competentă; 

   b) organizarea internă a instituţiei de credit; 

   c) identificarea, evaluarea şi gestionarea conflictelor de interese; 

   d) stabilirea strategiilor şi a politicilor instituţiei de credit, precum modelul de afaceri, apetitul la risc sau cadrul de administrare a riscurilor; 

   e) supravegherea activităţii de conducere curentă a instituţiei de credit, inclusiv administrarea tuturor riscurilor asociate externalizării; şi 

   f) îndeplinirea rolului de supraveghere al organului de conducere în funcţia sa de supraveghere, inclusiv supravegherea şi monitorizarea procesului decizional al conducerii. 

   (6) Externalizarea nu trebuie să reducă cerinţele de adecvare aplicabile membrilor organului de conducere al instituţiei de credit şi persoanelor care deţin funcţii-cheie. 

   (7) Instituţiile de credit trebuie să dispună de competenţe adecvate şi de resurse suficiente şi calificate în mod corespunzător pentru a asigura administrarea şi monitorizarea adecvată a acordurilor de externalizare. 

   Art. 2305. -   (1) Instituţiile de credit trebuie: 

   a) să atribuie în mod clar responsabilităţi privind documentarea, administrarea şi controlul asupra acordurilor de externalizare; 

   b) să aloce suficiente resurse pentru a asigura conformarea cu toate cerinţele prevăzute de cadrul legal şi de reglementare, precum şi documentarea şi monitorizarea tuturor acordurilor de externalizare; 

   c) să stabilească, ca parte a cadrului de control intern al instituţiei de credit, cu aplicarea criteriilor de proporţionalitate prevăzute la art. 5 alin. (2) şi (21), o funcţie de monitorizare a externalizării sau să desemneze o persoană responsabilă pentru administrarea şi supravegherea riscurilor asociate acordurilor de externalizare, precum şi cu supravegherea documentării acordurilor de externalizare, care trebuie să fie o persoană care exercită o funcţie de conducere de nivel mediu, în sensul art. 6738 alin. (3), sau o persoană care deţine funcţii-cheie care este direct răspunzătoare faţă de organul de conducere. 

   (2) În sensul alin. (1) lit. c), instituţiile de credit mici şi cu un grad redus de complexitate, astfel cum sunt definite la art. 4 alin. (1) pct. 145 din Regulamentul (UE) nr. 575/2013, trebuie să asigure, cel puţin, o repartizare clară a sarcinilor şi a responsabilităţilor privind administrarea şi controlul acordurilor de externalizare şi pot atribui funcţia de externalizare unui membru al organului de conducere al instituţiei de credit. 

   Art. 2306. -   Instituţiile de credit trebuie să se asigure, atunci când externalizează funcţii, cel puţin că: 

   a) pot lua şi pune în aplicare decizii referitoare la activităţile lor şi la funcţiile critice sau importante, inclusiv cu privire la cele externalizate; 

   b) este menţinută buna desfăşurare a activităţilor proprii; 

   c) riscurile asociate acordurilor de externalizare existente şi planificate sunt identificate, evaluate, administrate şi diminuate în mod adecvat. Aceste riscuri au în vedere şi riscul aferent tehnologiei informaţiei şi comunicaţiilor (TIC), inclusiv cel aferent tehnologiilor financiare (fintech); 

   d) există mecanisme adecvate de asigurare a confidenţialităţii datelor şi altor informaţii; 

   e) este menţinut un flux adecvat de informaţii relevante cu furnizorii externi; 

   f) în ceea ce priveşte externalizarea funcţiilor critice sau importante, au capacitatea să întreprindă cel puţin una dintre următoarele acţiuni, într-un interval de timp adecvat: 

   (i) să transfere funcţia către alţi furnizori externi; 

   (ii) să reintegreze funcţia; sau 

   (iii) să întrerupă activităţile care depind de funcţia respectivă; 

   g) în cazul în care externalizarea implică prelucrarea datelor cu caracter personal de către furnizorii externi, sunt implementate măsuri corespunzătoare, iar datele sunt prelucrate în conformitate cu prevederile Regulamentului (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE, precum şi ale legislaţiei naţionale aplicabile domeniului protecţiei datelor. 

   2.2. Politica privind externalizarea 

   Art. 2307. -   (1) Instituţiile de credit trebuie să îşi stabilească, în scris, politica în domeniul externalizării, care include principalele etape ale ciclului de viaţă al acordurilor de externalizare încheiate sau pe care intenţionează să le încheie şi defineşte principiile, responsabilităţile şi procesele legate de externalizare, şi să asigure punerea sa în aplicare, după caz, pe bază individuală, subconsolidată şi consolidată. 

   (2) Politica de externalizare trebuie să vizeze cel puţin următoarele aspecte: 

   a) responsabilităţile organului de conducere, inclusiv implicarea sa, după caz, în procesul decizional privind externalizarea funcţiilor critice sau importante; 

   b) implicarea liniilor de activitate, a funcţiilor de control intern şi a altor persoane în ceea ce priveşte acordurile de externalizare; 

   c) planificarea acordurilor de externalizare, incluzând: 

   (i) definirea cerinţelor comerciale referitoare la acordurile de externalizare; 

   (ii) criteriile şi procesele de identificare a funcţiilor critice sau importante; 

   (iii) identificarea, evaluarea şi administrarea riscurilor în conformitate cu art. 2303; 

   (iv) evaluarea adecvării furnizorilor externi potenţiali, inclusiv măsurile necesare în temeiul art. 23015; 

   (v) proceduri pentru identificarea, evaluarea, gestionarea şi reducerea sau prevenirea potenţialelor conflicte de interese, în conformitate cu art. 293; 

   (vi) planificarea continuităţii activităţii în conformitate cu alin. (6); 

   (vii) procesul de aprobare a acordurilor de externalizare noi; 

   d) punerea în aplicare, monitorizarea şi administrarea acordurilor de externalizare, incluzând: 

   (i) monitorizarea pe bază continuă a furnizorului extern în conformitate cu art. 23021; 

   (ii) procedurile de notificare şi de răspuns la modificările intervenite la nivelul unui acord de externalizare sau al unui furnizor extern, cum ar fi, de exemplu, în ceea ce priveşte poziţia sa financiară, structurile sale organizatorice sau de acţionariat, subcontractarea; 

   (iii) examinarea independentă şi auditul conformităţii cu cerinţele prevăzute de cadrul legal şi de reglementare şi cu politicile interne; 

   (iv) procesele de reînnoire a acordurilor de externalizare; 

   e) documentarea şi ţinerea evidenţelor, luând în considerare cerinţele de la art. 2308 -23010; 

   f) strategiile de încetare şi procedurile în caz de încetare a externalizării, inclusiv cerinţa privind existenţa unui plan de încetare documentat pentru fiecare funcţie critică sau importantă care urmează să fie externalizată, în cazul în care o astfel de încetare este considerată posibilă, având în vedere eventualele întreruperi ale serviciilor sau încetarea neprevăzută a unui acord de externalizare. 

   (3) Politica de externalizare trebuie să facă distincţie între următoarele situaţii: 

   a) externalizarea funcţiilor critice sau importante şi alte acorduri de externalizare; 

   b) externalizarea către furnizori externi care sunt autorizaţi de o autoritate competentă şi cei care nu sunt autorizaţi; 

   c) externalizarea în cadrul grupului, în cadrul aceluiaşi sistem instituţional de protecţie (inclusiv entităţi deţinute integral fie individual, fie colectiv de instituţii din cadrul sistemului instituţional de protecţie) şi externalizarea către entităţi din afara grupului; şi 

   d) externalizarea către furnizori externi situaţi într-un stat membru şi furnizori externi situaţi în state terţe. 

   (4) Instituţiile de credit trebuie să se asigure că politica de externalizare acoperă identificarea efectelor potenţiale ale acordurilor de externalizare care vizează funcţii critice sau importante asupra următoarelor aspecte şi că acestea sunt luate în considerare în procesul decizional: 

   a) profilul de risc al instituţiei de credit; 

   b) capacitatea de a monitoriza furnizorul extern şi de a administra riscurile; 

   c) măsurile de asigurare a continuităţii activităţii; şi 

   d) desfăşurarea activităţii. 

   (5) Instituţiile de credit trebuie să identifice, să evalueze şi să gestioneze conflictele de interese în ceea ce priveşte acordurile lor de externalizare, în conformitate cu art. 293. 

   (6) Instituţiile de credit trebuie să stabilească şi să aplice planuri de asigurare a continuităţii activităţii lor care să ia în considerare eventualitatea în care prestarea serviciilor de către furnizorul extern nu se mai realizează sau se realizează într-un mod total necorespunzător ori alte modificări în situaţia furnizorului extern. Planurile de asigurare a continuităţii activităţii trebuie testate periodic, cel puţin anual. 

   2.3. Cerinţe privind documentaţia 

   Art. 2308. -   (1) Ca parte a cadrului de administrare a riscurilor, instituţiile de credit trebuie să ţină un registru actualizat al informaţiilor privind toate acordurile de externalizare existente la nivelul instituţiei de credit şi, după caz, la nivel subconsolidat şi consolidat. 

   (2) Registrul de evidenţă include cel puţin informaţiile prevăzute în anexa nr. 11. 

   (3) Instituţiile de credit din cadrul unui grup, organizaţiile cooperatiste sau instituţiile de credit care sunt membre ale aceluiaşi sistem instituţional de protecţie pot ţine registrul de evidenţă la nivel central. 

   (4) Instituţiile de credit trebuie să păstreze înregistrările din registrul de evidenţă cu privire la acordurile de externalizare încetate, precum şi documentele aferente, pentru perioadele specificate la nivelul legislaţiei naţionale privind arhivarea. 

   Art. 2309. -   Instituţiile de credit trebuie să documenteze corespunzător toate acordurile de externalizare existente, făcând distincţie între externalizarea funcţiilor critice sau importante şi alte acorduri de externalizare, inclusiv evaluările efectuate în legătură cu acestea şi rezultatele monitorizării acestora. 

   Art. 23010. -   (1) Instituţiile de credit trebuie să pună la dispoziţia Băncii Naţionale a României, în calitate de autoritate competentă, la cerere, într-un format electronic editabil, fie registrul de evidenţă a tuturor acordurilor de externalizare existente, fie părţi specifice din acesta, ca, de exemplu, informaţii privind toate acordurile de externalizare care se încadrează în una dintre categoriile menţionate la lit. d) de la pct. 1 din anexa nr. 11, de exemplu acordurile de externalizare pentru tehnologia informaţiei. 

   (2) Instituţiile de credit trebuie să pună la dispoziţia Băncii Naţionale a României, în calitate de autoritate competentă, la cerere, toate informaţiile necesare pentru a permite acesteia exercitarea efectivă a atribuţiilor sale de supraveghere, inclusiv, dacă este cazul, copii ale acordurilor de externalizare. 

   2.4. Cerinţe de notificare cu privire la externalizarea funcţiilor critice sau importante 

   Art. 23011. -   (1) Fără a aduce atingere prevederilor art. 348 alin. (2), instituţiile de credit trebuie să notifice în prealabil Banca Naţională a României - Direcţia supraveghere cu privire la externalizarea planificată a unor funcţii critice sau importante şi/sau dacă o funcţie externalizată a devenit critică sau importantă, astfel încât Banca Naţională a României să poată evalua în ce măsură sunt respectate cerinţele de natură prudenţială şi, dacă este cazul, să poată dispune măsurile necesare. 

   (2) În cazul externalizării planificate a unei funcţii critice sau importante, notificarea prevăzută la alin. (1) se efectuează cu două luni anterior datei la care se preconizează încheierea acordului de externalizare. 

   (3) În cazul funcţiilor externalizate care devin critice sau importante, notificarea prevăzută la alin. (1) se efectuează în termen de o lună de la data evaluării caracterului critic sau a importanţei funcţiei externalizate, conform menţiunilor de la pct. 1 lit. i) din Registrul de evidenţă a acordurilor de externalizare, prevăzut în anexa nr. 11. Banca Naţională a României evaluează externalizarea unei funcţii devenite critică sau importantă în termen de 2 luni de la data depunerii notificării şi, dacă este cazul, poate dispune măsurile necesare. 

   (4) Notificarea prevăzută la alin. (1) trebuie însoţită de următoarele documente şi informaţii: 

   a) fundamentarea oportunităţii externalizării funcţiilor în cauză, inclusiv din perspectiva riscurilor implicate de externalizare; 

   b) informaţiile prevăzute în anexa nr. 11; 

   c) proiectul acordului de externalizare sau, după caz, acordul de externalizare. 

   (5) Ulterior externalizării unei funcţii critice sau importante, instituţiile de credit notifică Băncii Naţionale a României - Direcţia supraveghere următoarele: 

   a) intenţia de schimbare a furnizorului extern, cu motivarea acestei schimbări; 

   b) eventuala reintegrare în cadrul instituţiei de credit a funcţiilor supuse externalizării; 

   c) orice evoluţii semnificative şi/sau evenimente grave care ar putea afecta activitatea furnizorului extern şi/sau capacitatea acestora de a-şi îndeplini obligaţiile faţă de clienţi, eventuale măsuri care urmează a fi adoptate de instituţia de credit în aceste cazuri. 

   (6) În cazul prevăzut la alin. (5) lit. a), notificarea se efectuează cu o lună anterior datei la care se preconizează încheierea noului acord de externalizare, astfel încât Banca Naţională a României să poată efectua evaluarea noilor circumstanţe şi, dacă este cazul, să poată dispune măsurile necesare. Notificarea trebuie însoţită de următoarele documente şi informaţii: 

   a) informaţiile prevăzute în anexa nr. 11; 

   b) proiectul acordului de externalizare. 

   (7) În cazurile prevăzute la alin. (5) lit. b) şi c), notificarea se realizează în cel mai scurt timp. 

   (8) În termenele menţionate la alin. (2) şi (6), respectiv în termen de o lună de la data notificării prevăzută la alin. (3), Banca Naţională a României poate impune instituţiei de credit anumite condiţii în legătură cu operaţiunea de externalizare sau de schimbare a furnizorului extern sau se poate opune motivat ţinând seama de factori cum ar fi: mărimea instituţiei de credit, natura activităţii care se intenţionează a fi externalizată, caracteristicile şi poziţia de piaţă ale furnizorului de servicii propus, durata contractului, conflictele de interese ce ar putea fi generate de externalizare. În lipsa unui răspuns din partea Băncii Naţionale a României, instituţiile de credit pot implementa externalizarea în condiţiile notificate. 

   (9) Notificarea prevăzută la alin. (1) şi (5) nu exonerează instituţiile de credit de îndeplinirea obligaţiilor legale, iar acestea rămân deplin responsabile şi răspunzătoare pentru respectarea tuturor cerinţelor ce decurg din cadrul legal şi de reglementare în ceea ce priveşte externalizările planificate. Banca Naţională a României, în cadrul verificărilor şi inspecţiilor efectuate în exercitarea atribuţiilor sale de supraveghere prudenţială, poate dispune măsuri de supraveghere sau măsuri sancţionatoare şi/sau sancţiuni în cazul în care constată că externalizarea planificată nu respectă cadrul legal şi de reglementare aplicabil.

 

SECŢIUNEA a 3-a
Procesul de externalizare
 

   3.1. Evaluarea prealabilă externalizării 

   Art. 23012. - Înainte de a încheia un acord de externalizare, instituţiile de credit trebuie: 

   a) să evalueze dacă acordul de externalizare vizează o funcţie critică sau importantă; 

   b) să evalueze dacă sunt îndeplinite condiţiile pentru externalizare prevăzute la art. 23013; 

   c) să identifice şi să evalueze toate riscurile relevante asociate acordului de externalizare; 

   d) să evalueze adecvarea furnizorului extern potenţial; 

   e) să identifice şi să evalueze conflictele de interese pe care le poate genera externalizarea. 

   Art. 23013. -   (1) Instituţiile de credit trebuie să se asigure că externalizarea funcţiilor privind activităţile instituţiei de credit prevăzute la art. 18 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, în măsura în care realizarea funcţiei respective de către instituţiile de credit necesită autorizarea de către Banca Naţională a României, către un furnizor extern situat în România sau în alt stat membru are loc numai dacă este îndeplinită una dintre următoarele condiţii: 

   a) furnizorul extern este autorizat sau înregistrat de o autoritate competentă să desfăşoare activităţile respective; sau 

   b) furnizorul extern are dreptul potrivit legislaţiei naţionale aplicabile să desfăşoare asemenea activităţi. 

   (2) Instituţiile de credit trebuie să se asigure că externalizarea funcţiilor privind activităţile prevăzute la art. 18 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, în măsura în care realizarea funcţiei respective necesită autorizarea Băncii Naţionale a României, către un furnizor extern situat într-un stat terţ are loc numai dacă sunt îndeplinite următoarele condiţii: 

   a) furnizorul extern este autorizat sau înregistrat să desfăşoare activităţile respective în statul terţ şi este supravegheat de o autoritate de supraveghere relevantă din statul terţ respectiv; şi 

   b) există un acord de cooperare între Banca Naţională a României, în calitate de autoritate competentă, şi autorităţile de supraveghere responsabile cu supravegherea furnizorului extern; şi 

   c) acordul de cooperare menţionat la lit. b) trebuie să garanteze că Banca Naţională a României poate cel puţin: 

   (i) să obţină, la cerere, informaţiile necesare pentru îndeplinirea atribuţiilor de supraveghere care îi revin în temeiul Ordonanţei de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, şi al Regulamentului (UE) nr. 575/2013, cu modificările şi completările ulterioare; 

   (ii) să obţină acces corespunzător la orice date, documente, sedii sau membri ai personalului din statul terţ care sunt relevanţi pentru îndeplinirea atribuţiilor de supraveghere; 

   (iii) să primească, cât mai curând posibil, informaţii de la autoritatea de supraveghere din statul terţ pentru a investiga posibilele încălcări ale cerinţelor prevăzute de Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, sau de Regulamentul (UE) nr. 575/2013, cu modificările şi completările ulterioare, precum şi de reglementările emise în aplicarea acestora; şi 

   (iv) să coopereze cu autorităţile de supraveghere relevante din statul terţ în ceea ce priveşte aplicarea sancţiunilor şi măsurilor prevăzute de lege, în cazul unei încălcări a cerinţelor prevăzute de Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, sau de Regulamentul (UE) nr. 575/2013, cu modificările şi completările ulterioare, precum şi de reglementările emise în aplicarea acestora. Cooperarea trebuie să includă, fără a se limita la aceasta, primirea de informaţii de la autorităţile de supraveghere din statul terţ, cât mai curând posibil, privind posibilele încălcări ale acestor cerinţe. 

   Art. 23014. -   (1) Instituţiile de credit trebuie să evalueze impactul potenţial al acordurilor de externalizare asupra riscului lor operaţional, trebuie să ia în considerare rezultatele evaluării atunci când decid dacă funcţia trebuie externalizată către un furnizor extern şi trebuie să ia măsuri corespunzătoare pentru a evita riscuri operaţionale suplimentare nejustificate înainte de încheierea unor acorduri de externalizare. Evaluarea trebuie să includă, după caz, scenarii privind posibile evenimente de risc, inclusiv evenimente de risc operaţional foarte grave. 

   (2) În cazul în care acordul de externalizare include posibilitatea ca furnizorul extern să subcontracteze funcţii critice sau funcţii importante altor furnizori externi, instituţiile de credit trebuie să ia în considerare: 

   a) riscurile asociate externalizării în lanţ, inclusiv riscurile suplimentare care pot apărea în cazul în care subcontractantul este situat într-o ţară terţă sau într-o altă ţară decât furnizorul extern; 

   b) riscul ca lanţurile lungi şi complexe de subcontractare să diminueze capacitatea instituţiilor de credit de a monitoriza funcţia critică sau importantă externalizată şi capacitatea Băncii Naţionale a României, în calitate de autoritate competentă, de a le supraveghea în mod eficace. 

   Art. 23015. -   (1) Înainte de a încheia un acord de externalizare şi de a lua în considerare riscurile operaţionale aferente funcţiei care urmează să fie externalizată, instituţiile de credit trebuie să se asigure, în cadrul procesului de selecţie şi de evaluare a furnizorului extern, că acesta este adecvat. 

   (2) La externalizarea funcţiilor critice sau importante, instituţiile de credit trebuie să se asigure că furnizorul extern are o bună reputaţie de afaceri, abilităţi adecvate şi suficiente, expertiza, capacitatea, resursele, precum resurse umane, informatice, financiare, structura organizatorică şi, dacă este cazul, autorizaţia/autorizaţiile sau înregistrarea/înregistrările necesară/necesare potrivit legii pentru furnizarea funcţiei critice sau importante de o manieră fiabilă şi profesională cu scopul de a-şi îndeplini obligaţiile pe durata acordului de externalizare. 

   (3) În cazul funcţiilor care nu sunt critice sau importante, instituţiile de credit trebuie să stabilească în cadrul politicii de externalizare criteriile potrivit cărora se realizează evaluarea furnizorului extern. 

   3.2. Etapa contractuală 

   Art. 23016. -   (1) Orice externalizare trebuie să facă obiectul unui acord scris care să prevadă în mod clar drepturile şi obligaţiile care revin instituţiei de credit şi furnizorului extern, urmărindu-se asigurarea respectării cadrului legal prudenţial aplicabil instituţiei de credit pe durata acestuia. 

   (2) Acordurile de externalizare trebuie să conţină clauze cel puţin cu privire la aspectele prevăzute în anexa nr. 12. 

    Art. 23017. - 

    Instituţiile de credit trebuie să se asigure că furnizorii externi respectă, după caz, standarde adecvate de securitate informatică. 

   Art. 23018. -   (1) Instituţiile de credit trebuie să se asigure că prin acordul scris de externalizare se permite funcţiei de audit intern să evalueze funcţia externalizată, utilizând o abordare bazată pe riscuri. 

   (2) Indiferent de caracterul critic sau de importanţa funcţiei externalizate, acordurile scrise de externalizare încheiate între instituţii şi furnizorii externi trebuie să menţioneze competenţele Băncii Naţionale a României, atât în calitate de autoritate competentă, cât şi în calitate de autoritate de rezoluţie, în materie de colectare de informaţii şi de investigare, în temeiul art. 225 alin. (5) - (8) din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, şi al art. 383 alin. (1) lit. a) din Legea nr. 312/2015 privind redresarea şi rezoluţia instituţiilor de credit şi a firmelor de investiţii, precum şi pentru modificarea şi completarea unor acte normative în domeniul financiar, cu modificările şi completările ulterioare, în ceea ce priveşte furnizorii externi situaţi într-un stat membru, şi trebuie, de asemenea, să asigure aceste drepturi şi în ceea ce priveşte furnizorii externi situaţi în state terţe. 

   (3) În ceea ce priveşte externalizarea unor funcţii critice sau importante, instituţiile de credit trebuie să se asigure, în cadrul acordului scris de externalizare, că furnizorul extern le acordă acestora şi Băncii Naţionale a României, atât în calitate de autoritate competentă, cât şi în calitate de autoritate de rezoluţie, precum şi oricărei alte persoane desemnate de instituţiile de credit sau de Banca Naţională a României, atât în calitate de autoritate competentă, cât şi în calitate de autoritate de rezoluţie, următoarele: 

   a) acces deplin la toate sediile operaţionale relevante, precum sedii centrale şi centre operaţionale, inclusiv la întreaga gamă de dispozitive, sisteme, reţele, informaţii şi date relevante utilizate pentru furnizarea funcţiei externalizate, inclusiv la informaţiile financiare conexe, personalul şi auditorii externi ai furnizorului extern; şi 

   b) drepturi nelimitate de inspecţie şi de audit legate de acordul de externalizare, pentru a le permite să monitorizeze acordul de externalizare şi pentru a asigura respectarea tuturor cerinţelor contractuale şi a celor aplicabile ce decurg din cadrul de reglementare. 

   (4) În ceea ce priveşte externalizarea funcţiilor care nu sunt critice sau importante, instituţiile de credit trebuie să îşi asigure drepturi proprii de acces şi de audit, astfel cum acestea sunt prevăzute la lit. a) şi b) ale alin. (3), pe baza unei abordări bazate pe riscuri, având în vedere natura funcţiei externalizate şi riscurile operaţionale şi reputaţionale conexe, scalabilitatea funcţiei externalizate, impactul potenţial asupra desfăşurării continue a activităţilor lor şi durata contractului. Instituţiile de credit trebuie să ia în considerare faptul că funcţiile externalizate pot deveni critice sau importante în timp. 

   (5) Instituţiile de credit trebuie să se asigure că acordul de externalizare sau orice alt contract nu împiedică sau nu limitează exercitarea efectivă a drepturilor de acces şi de audit de către acestea, de Banca Naţională a României, în calitate de autoritate competentă, sau de terţii desemnaţi de aceasta pentru exercitarea acestor drepturi. 

   (6) Înaintea unei inspecţii la faţa locului planificate, instituţiile de credit, Banca Naţională a României şi auditorii sau părţile terţe care acţionează în numele instituţiei de credit sau al Băncii Naţionale a României trebuie să notifice furnizorul extern într-un termen rezonabil, cu excepţia cazului în care acest lucru nu este posibil din cauza unei situaţii de urgenţă sau de criză sau ar duce la o situaţie în care auditul nu ar mai fi eficace. 

   Art. 23019. -   (1) Acordul de externalizare trebuie să permită expres instituţiei de credit să înceteze acordul, în conformitate cu legislaţia aplicabilă, inclusiv în următoarele situaţii: 

   a) în cazul în care furnizorul extern încalcă legislaţia, reglementările sau prevederile contractuale aplicabile; 

   b) în cazul în care sunt identificate obstacole care pot modifica performanţa funcţiei externalizate; 

   c) în cazul în care există modificări semnificative care afectează acordul de externalizare sau furnizorul extern precum subcontractarea sau modificări în situaţia subcontractanţilor; 

   d) în cazul în care există deficienţe în ceea ce priveşte gestionarea şi securitatea datelor sau informaţiilor confidenţiale, cu caracter personal sau considerate sensibile; şi 

   e) în cazul măsurilor dispuse de Banca Naţională a României, în calitate de autoritate competentă, de exemplu, în cazul în care Banca Naţională a României, în calitate de autoritate competentă, în urma acordului de externalizare, nu mai poate supraveghea în mod eficace instituţia de credit. 

   (2) Acordul de externalizare trebuie să faciliteze transferul funcţiei externalizate către un alt furnizor extern sau reintegrarea acesteia în cadrul instituţiei de credit. În acest scop, acordul de externalizare trebuie: 

   a) să prevadă clar obligaţiile furnizorului extern existent, în cazul unui transfer al funcţiei externalizate către un alt furnizor extern sau în cazul reintegrării acesteia în cadrul instituţiei de credit, inclusiv în ceea ce priveşte prelucrarea datelor; 

   b) să stabilească o perioadă de tranziţie adecvată, pe parcursul căreia furnizorul extern, după încetarea acordului de externalizare, să furnizeze în continuare funcţia externalizată pentru a reduce riscul de întreruperi; şi 

   c) să includă o obligaţie a furnizorului extern de a sprijini instituţia de credit în vederea transferului ordonat al funcţiei în cazul încetării contractului de externalizare. 

   3.3. Externalizarea în lanţ 

   Art. 23020. -   (1) Instituţiile de credit trebuie să ia în considerare riscurile asociate unei externalizări în lanţ. 

   (2) Externalizarea în lanţ este permisă doar cu acordul prealabil al instituţiei de credit şi în aceleaşi condiţii ca şi externalizarea către furnizorul extern principal. 

   (3) Instituţiile de credit sunt de acord cu externalizarea în lanţ doar dacă subcontractantul se angajează: 

   a) să respecte toate legile şi cerinţele aplicabile ce decurg din reglementare şi toate obligaţiile contractuale; şi 

   b) să acorde instituţiei de credit şi Băncii Naţionale a României, atât în calitate de autoritate competentă, cât şi în calitate de autoritate de rezoluţie a instituţiei de credit, aceleaşi drepturi contractuale de acces şi de audit ca cele acordate de furnizorul extern. 

   (4) Atunci când este permisă externalizarea în lanţ, instituţiile de credit trebuie să înregistreze în registrul menţionat la art. 2308 toţi subcontractanţii, indiferent de caracterul critic sau de importanţa funcţiei sau a părţii dintr-o funcţie care urmează să fie subcontractată, şi să indice dacă funcţia care urmează să fie subcontractată este considerată sau nu critică sau importantă sau dacă partea funcţiei critice sau importante care urmează să fie subcontractată este în sine critică sau importantă. 

   (5) Instituţiile de credit trebuie să ia măsurile corespunzătoare cu privire la riscurile decurgând din neîndeplinirea sau îndeplinirea necorespunzătoare a activităţilor subcontractate, care are un impact semnificativ asupra capacităţii furnizorului extern principal de a-şi respecta obligaţiile asumate prin contract. 

   3.4. Monitorizarea funcţiilor externalizate 

   Art. 23021. -   (1) Instituţiile de credit trebuie să monitorizeze în permanenţă modul de îndeplinire a obligaţiilor de către furnizorii externi în cadrul tuturor acordurilor de externalizare la care sunt parte, pe baza unei abordări bazate pe riscuri, acordând o importanţă deosebită externalizării funcţiilor critice sau importante, inclusiv asigurării disponibilităţii, integrităţii şi securităţii datelor şi informaţiilor. În cazul în care riscul, natura sau amploarea unei funcţii externalizate se modifică semnificativ, instituţiile de credit trebuie să reevalueze caracterul critic sau importanţa funcţiei respective. 

   (2) Instituţiile de credit trebuie să actualizeze periodic evaluarea riscurilor asociate funcţiilor externalizate şi trebuie să raporteze periodic organului de conducere riscurile identificate cu privire la externalizarea funcţiilor critice sau importante. 

   (3) Instituţiile de credit trebuie să administreze riscurile, în special riscul operaţional şi riscul de concentrare, asociate acordurilor de externalizare. 

   (4) Instituţiile de credit trebuie să ia măsuri corespunzătoare în cazul în care identifică deficienţe în furnizarea funcţiei externalizate. În special, instituţiile de credit trebuie să analizeze toate indiciile potrivit cărora furnizorii externi sunt susceptibili să nu execute funcţia critică sau importantă externalizată în mod eficace sau în conformitate cu legile şi cu cerinţele ce decurg din reglementare. Dacă sunt identificate deficienţe, instituţiile de credit trebuie să ia măsuri corective sau de remediere corespunzătoare. Astfel de măsuri pot include încetarea acordului de externalizare, cu efect imediat, dacă este necesar. 

   3.5. Strategii de încetare a acordurilor de externalizare 

   Art. 23022. -   (1) Instituţiile de credit trebuie să aibă o strategie de ieşire documentată pentru toate acordurile de externalizare, conformă cu politica lor de externalizare şi cu planurile de asigurare a continuităţii activităţii, care să ia în considerare cel puţin următoarele scenarii: 

   a) încetarea acordurilor de externalizare; 

   b) incapacitatea furnizorului extern; 

   c) deteriorarea calităţii funcţiei furnizate şi întreruperi efective sau potenţiale ale activităţii cauzate de furnizarea inadecvată a funcţiei sau de nefurnizarea acesteia; 

   d) apariţia unor riscuri semnificative pentru furnizarea corespunzătoare şi continuă a funcţiei. 

   (2) Instituţiile de credit trebuie să se asigure că pot să înceteze acordurile de externalizare fără perturbarea nejustificată a desfăşurării activităţii, fără limitarea respectării cerinţelor de reglementare şi fără prejudicierea continuităţii şi calităţii serviciilor furnizate clienţilor.

 

SECŢIUNEA a 4-a
Alte dispoziţii
 

   Art. 23023. -   (1) Instituţiile de credit notifică semestrial Băncii Naţionale a României - Direcţia supraveghere evoluţiile semnificative înregistrate la nivelul riscurilor asociate funcţiilor externalizate. 

   (2) Instituţiile de credit trebuie să informeze Banca Naţională a României - Direcţia supraveghere în cel mai scurt timp cu privire la orice modificări semnificative şi/sau evenimente grave legate de acordurile lor de externalizare care ar putea avea un impact semnificativ asupra continuităţii activităţii proprii. 

   Art. 23024. -   (1) Instituţiile de credit trebuie să întocmească şi să transmită Băncii Naţionale a României - Direcţia supraveghere o listă a agenţilor bancari, în care sunt înscrise datele şi informaţiile privind fiecare agent bancar, în modalitatea prevăzută în anexa nr. 4. 

   (2) Lista agenţilor bancari se actualizează de către instituţiile de credit cu ocazia fiecărei modificări sau completări a datelor şi informaţiilor înscrise iniţial. Orice modificare a datelor şi informaţiilor privind agentul bancar se transmite de către instituţiile de credit, de îndată, Băncii Naţionale a României - Direcţia supraveghere. 

   (3) În baza listei transmise de către instituţiile de credit potrivit alin. (1), agenţii bancari sunt înscrişi într-un registru ţinut de Banca Naţională a României şi actualizat permanent. 

   Art. 23025. -   (1) Banca Naţională a României, în calitate de autoritate competentă, atunci când constată că o instituţie de credit nu mai dispune de un cadru solid de administrare a activităţii sau nu mai respectă cerinţele ce decurg din cadrul legal şi de reglementare, dispune măsuri corespunzătoare, care pot include, printre altele, limitarea sau restrângerea ariei funcţiilor externalizate sau ieşirea din unul sau mai multe acorduri de externalizare. 

   (2) Banca Naţională a României, în calitate de autoritate competentă, atunci când identifică riscuri de concentrare, monitorizează evoluţia acestora pentru a evalua impactul potenţial asupra altor instituţii de credit sau asupra stabilităţii pieţei financiare şi, dacă este cazul, informează Banca Naţională a României, în calitate de autoritate de rezoluţie, cu privire la noile funcţii ale instituţiei de credit identificate ca potenţial critice, în sensul art. 2 alin. (1) pct. 23 din Legea nr. 312/2015 privind redresarea şi rezoluţia instituţiilor de credit şi a firmelor de investiţii, precum şi pentru modificarea şi completarea unor acte normative în domeniul financiar, cu modificările şi completările ulterioare, pe parcursul procesului de supraveghere." 

   13. Capitolul V al titlului II, care cuprinde articolele 231-243, se abrogă. 

   14. Articolul 681 se modifică şi va avea următorul cuprins: 

   " Art. 681. -   Anexele nr. 1-12 fac parte integrantă din prezentul regulament." 

   15. După anexa nr. 10 se introduc două noi anexe, anexele nr. 11 şi 12, având cuprinsul prevăzut în anexele nr. 1 şi 2 care fac parte integrantă din prezentul regulament. 

   Art. II. -   (1) Instituţiile de credit elaborează sau adaptează, după caz, până la data de 15 noiembrie 2024, politicile, procedurile, procesele şi practicile privind externalizarea, prevăzute în Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare, inclusiv cu cele aduse prin prezentul regulament. 

   (2) Acordurile de externalizare încheiate, revizuite sau modificate începând cu data de 15 noiembrie 2024 respectă dispoziţiile Regulamentului Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare, inclusiv cu cele aduse prin prezentul regulament. 

   (3) Prin excepţie de la alin. (1) şi (2), dispoziţiile art. 23013 alin. (2) lit. b) din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare, inclusiv cu cele aduse prin prezentul regulament, se aplică începând cu data de 15 februarie 2025. 

   (4) Instituţiile de credit trebuie să revizuiască şi să modifice în mod corespunzător acordurile de externalizare existente la data de 15 noiembrie 2024 pentru a asigura respectarea dispoziţiilor Regulamentului Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare, inclusiv cu cele aduse prin prezentul regulament. 

   (5) În cazul în care revizuirea acordurilor de externalizare a funcţiilor critice sau importante existente la data de 15 noiembrie 2024 nu este finalizată până la data de 15 februarie 2025, instituţiile de credit trebuie să informeze Banca Naţională a României, în calitate de autoritate competentă, cu privire la acest aspect, precizând inclusiv măsurile planificate pentru finalizarea procesului sau strategiile de încetare a acordurilor avute în vedere. 

   (6) Instituţiile de credit trebuie să finalizeze documentarea tuturor acordurilor de externalizare existente în conformitate cu dispoziţiile prevăzute în Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare, inclusiv cu cele aduse prin prezentul regulament, până la data prevăzută pentru reînnoirea acestora, dar nu mai târziu de 15 noiembrie 2024. 

   (7) Prin excepţie de la prevederile alin. (6), pentru acordurile de externalizare de tip cloud, cerinţele de documentare prevăzute la art. 2308 -23010 din Regulamentul Băncii Naţionale a României nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, cu modificările şi completările ulterioare, inclusiv cu cele aduse prin prezentul regulament, se aplică începând cu data intrării în vigoare a prezentului regulament. 

   Art. III. -   Prezentul regulament se publică în Monitorul Oficial al României, Partea I.

 


 

 

 

 

Preşedintele Consiliului de administraţie al Băncii Naţionale a României,
Mugur Constantin Isărescu


 

 

    Bucureşti, 24 iulie 2024. 

    Nr. 8.

 

ANEXA Nr. 1
(Anexa nr. 11 la Regulamentul nr. 5/2013)

 

Conţinutul minim al registrului de evidenţă a acordurilor de externalizare
 

   1. Pentru toate acordurile de externalizare existente: 

   a) un număr de referinţă pentru fiecare acord de externalizare; 

   b) data de începere şi, după caz, data de reînnoire a contractului, data de încetare şi/sau perioadele de preaviz pentru furnizorul extern şi pentru instituţia de credit; 

   c) o descriere succintă a funcţiilor externalizate, inclusiv a datelor externalizate, şi dacă au fost transferate sau nu date cu caracter personal sau dacă prelucrarea lor este externalizată către un furnizor extern; 

   d) o categorie atribuită de instituţia de credit care reflectă natura funcţiei externalizate, astfel cum se menţionează la lit. c), cum ar fi, de exemplu, tehnologia informaţiei, funcţie de control, care trebuie să faciliteze identificarea diferitelor tipuri de acorduri; 

   e) numele furnizorului extern, numărul de înregistrare al societăţii, codul de identificare a entităţii juridice (dacă este disponibil), adresa sediului social şi alte date de contact relevante, precum şi denumirea societăţii-mamă (dacă este cazul); 

   f) ţara sau ţările în care serviciul urmează să fie prestat, inclusiv locaţia datelor (şi anume ţara sau regiunea); 

   g) dacă funcţia externalizată este considerată sau nu critică sau importantă, inclusiv, dacă este cazul, un rezumat succint al motivelor pentru care funcţia externalizată este considerată critică sau importantă; 

   h) în cazul externalizării către un furnizor extern de servicii de tip cloud, serviciile de tip cloud şi modelele de implementare, şi anume publice/private/hibride/comunitare, precum şi natura specifică a datelor care urmează să fie deţinute şi locaţiile (şi anume ţări sau regiuni) unde datele respective sunt stocate; 

   i) data celei mai recente evaluări a caracterului critic sau a importanţei funcţiei externalizate; 

   j) în cazul externalizării în lanţ, numele subcontractanţilor, inclusiv ţara în care sunt înregistraţi subcontractanţii, în care se prestează serviciul şi, dacă este cazul, locaţia (şi anume ţara sau regiunea) unde sunt stocate datele, indicând dacă funcţia care urmează să fie subcontractată este considerată sau nu critică sau importantă sau dacă partea funcţiei critice sau importante care urmează să fie subcontractată este în sine critică sau importantă. 

   2. Pentru toate externalizările privind funcţii critice sau importante, suplimentar faţă de informaţiile de la pct. 1: 

   a) instituţiile de credit şi alte entităţi care intră în perimetrul de consolidare prudenţială sau în cadrul sistemului instituţional de protecţie, după caz, care utilizează externalizarea; 

   b) dacă furnizorul extern sau furnizorul extern subcontractant face parte sau nu din grup, dacă este sau nu membru al unui sistem instituţional de protecţie, dacă este sau nu deţinut de instituţii din cadrul grupului sau dacă este sau nu deţinut de membri ai unui sistem instituţional de protecţie, sfera de activitate, autorizaţia deţinută pentru desfăşurarea activităţii externalizate, dacă este cazul, piaţa de operare şi poziţia de piaţă a acestuia, jurisdicţia aplicabilă, acţionariatul şi, dacă este cazul, indicarea apartenenţei furnizorului extern la grupul din care face parte instituţia de credit şi precizarea includerii sau nu a acestuia în supravegherea consolidată la nivel de grup; 

   c) data celei mai recente evaluări a riscurilor şi un rezumat succint al principalelor rezultate; 

   d) persoana sau organul de conducere al instituţiei de credit care a aprobat acordul de externalizare şi numărul/data actului de aprobare; 

   e) legea aplicabilă acordului de externalizare; 

   f) data celui mai recent audit şi data următoarelor audituri programate, dacă este cazul; 

   g) un rezultat al evaluării substituibilităţii furnizorului extern, cum ar fi, de exemplu, simplu, dificil sau imposibil, posibilitatea de reintegrare a unei funcţii critice sau importante în cadrul instituţiei de credit sau impactul întreruperii funcţiei critice sau importante; 

   h) identificarea unor furnizori externi alternativi în conformitate cu lit. g); 

   i) dacă funcţia critică sau importantă externalizată sprijină operaţiuni economice a căror executare la timp este esenţială pentru instituţia de credit; 

   j) costul bugetar anual estimat.

 

ANEXA Nr. 2
(Anexa nr. 12 la Regulamentul nr. 5/2013)

 

Conţinutul minim al acordurilor de externalizare
 

   1. Acordul scris de externalizare a funcţiilor critice sau importante conţine cel puţin clauze cu privire la următoarele aspecte: 

   a) o descriere clară a funcţiei externalizate care urmează să fie furnizată; 

   b) data de începere şi data de încetare a acordului, după caz, şi perioadele de preaviz pentru furnizorul extern şi instituţia de credit; 

   c) legea aplicabilă acordului; 

   d) obligaţiile financiare ale părţilor; 

   e) dacă este permisă externalizarea în lanţ şi, în caz afirmativ, condiţiile în care se realizează aceasta, respectiv: 

   (i) tipurile de activităţi care nu pot face obiectul externalizării în lanţ, atunci când este cazul; 

   (ii) condiţiile care trebuie respectate în cazul externalizării în lanţ; 

   (iii) obligaţia furnizorului extern de a monitoriza serviciile pe care le-a subcontractat pentru a se asigura că toate obligaţiile contractuale dintre furnizorul extern şi instituţia de credit sunt îndeplinite în permanenţă; 

   (iv) obligaţia furnizorului extern de a obţine în prealabil o aprobare scrisă, specifică sau generală, din partea instituţiei de credit, pentru subcontractarea care implică prelucrarea datelor cu caracter personal, în acord cu prevederile art. 28 din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);  

   (v) obligaţia furnizorului extern de a informa instituţia de credit cu privire la orice subcontractare planificată sau la orice modificare semnificativă a acesteia, în special în cazul în care acest lucru ar putea afecta capacitatea furnizorului extern de a-şi îndeplini responsabilităţile în conformitate cu acordul de externalizare. Aceasta include modificările semnificative planificate ale subcontractanţilor şi perioada de preaviz; în special, perioada de preaviz care urmează să fie stabilită trebuie să permită instituţiei de credit care externalizează să efectueze cel puţin o evaluare a riscurilor legate de modificările propuse şi să se opună modificărilor înainte de intrarea în vigoare a subcontractării planificate sau a modificărilor semnificative ale acesteia; 

   (vi) dacă este cazul, dreptul instituţiei de credit de a se opune subcontractării planificate sau modificărilor substanţiale ale acesteia sau necesitatea aprobării explicite a acesteia; 

   (vii) dreptul instituţiei de credit de a înceta acordul în cazuri justificate, de exemplu în cazul în care subcontractarea creşte în mod semnificativ riscurile pentru instituţia de credit sau în cazul în care furnizorul extern subcontractează fără a notifica instituţia de credit; 

   f) locaţia/locaţiile (şi anume regiunile sau ţările) unde este furnizată funcţia şi/sau unde sunt păstrate şi prelucrate date relevante, inclusiv eventuala locaţie de stocare, precum şi condiţiile care trebuie îndeplinite, inclusiv cerinţa de a notifica instituţia de credit în cazul în care furnizorul extern propune schimbarea locaţiei (locaţiilor); 

   g) dispoziţii privind accesibilitatea, disponibilitatea, integritatea, confidenţialitatea şi siguranţa datelor relevante, respectiv: 

   (i) definirea cerinţelor în materie de securitate a datelor şi a sistemelor, dacă este cazul (de exemplu, în contextul externalizării serviciilor de tip cloud sau a altor servicii TIC); 

   (ii) obligaţia furnizorului extern de a proteja informaţiile confidenţiale, cu caracter personal sau considerate sensibile şi de a respecta toate cerinţele legale privind protecţia datelor care se aplică instituţiei de credit (de exemplu, protecţia datelor cu caracter personal şi faptul că se respectă secretul bancar sau alte obligaţii legale de confidenţialitate similare cu privire la informaţiile clienţilor, dacă este cazul); 

   h) dreptul instituţiei de credit de a monitoriza permanent performanţa furnizorului extern; 

   i) nivelurile serviciilor convenite, care trebuie să includă obiective de performanţă cantitative şi calitative precise pentru funcţia externalizată, pentru a permite o monitorizare în timp util, astfel încât, dacă nu sunt respectate nivelurile serviciilor convenite, să se poată lua măsuri corective adecvate, fără întârzieri nejustificate; 

   j) obligaţiile de raportare ale furnizorului extern către instituţia de credit, inclusiv informarea de către furnizorul extern cu privire la orice evoluţie care ar putea avea un impact semnificativ asupra capacităţii sale de a îndeplini eficace funcţia externalizată în conformitate cu nivelurile serviciilor convenite şi în conformitate cu legislaţia şi cu cerinţele aplicabile ce decurg din cadrul de reglementare, şi, după caz, obligaţiile de a prezenta rapoarte ale funcţiei de audit intern a furnizorului extern; 

   k) dacă furnizorul extern trebuie să încheie o asigurare obligatorie împotriva anumitor riscuri şi, dacă este cazul, nivelul asigurării necesare; 

   l) cerinţele de punere în aplicare şi de testare a planurilor pentru situaţii neprevăzute şi de continuitate a activităţii; 

   m) dispoziţii care garantează că datele care sunt proprietatea instituţiei de credit pot fi accesate în cazul insolvenţei, al rezoluţiei sau al întreruperii operaţiunilor economice ale furnizorului extern; 

   n) obligaţia furnizorului extern de a coopera cu autorităţile competente şi cu autorităţile de rezoluţie ale instituţiei de credit, inclusiv cu alte persoane desemnate de acestea; 

   o) o trimitere clară la competenţele autorităţii naţionale de rezoluţie, în special la art. 400-405 şi art. 413-419 din Legea nr. 312/2015 privind redresarea şi rezoluţia instituţiilor de credit şi a firmelor de investiţii, precum şi pentru modificarea şi completarea unor acte normative în domeniul financiar, cu modificările şi completările ulterioare, şi mai ales, o descriere a "obligaţiilor contractuale esenţiale" în sensul art. 402 din legea respectivă; 

   p) dreptul nerestricţionat al instituţiilor de credit şi al autorităţilor competente de a inspecta şi de a audita furnizorul extern în ceea ce priveşte funcţia externalizată, astfel cum se prevede la art. 23018 din regulament; 

   q) drepturi de încetare, astfel cum se prevede la art. 23019 din regulament. 

   2. Acordul scris de externalizare a funcţiilor care nu sunt critice sau importante conţine cel puţin clauze cu privire la următoarele aspecte: 

   a) o descriere clară a funcţiei externalizate care urmează să fie furnizată; 

   b) dacă este permisă externalizarea în lanţ şi, în caz afirmativ, condiţiile în care se realizează aceasta, respectiv: 

   (i) tipurile de activităţi care nu pot face obiectul externalizării în lanţ, atunci când este cazul; 

   (ii) condiţiile care trebuie respectate în cazul externalizării în lanţ; 

   (iii) obligaţia furnizorului extern de a monitoriza serviciile pe care le-a subcontractat pentru a se asigura că toate obligaţiile contractuale dintre furnizorul extern şi instituţia de credit sunt îndeplinite în permanenţă; 

   (iv) obligaţia furnizorului extern de a obţine în prealabil o aprobare scrisă, specifică sau generală, din partea instituţiei de credit, pentru subcontractarea care implică prelucrarea datelor cu caracter personal, în acord cu prevederile art. 28 din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);  

   (v) obligaţia furnizorului extern de a informa instituţia de credit cu privire la orice subcontractare planificată sau la orice modificare semnificativă a acesteia, în special în cazul în care acest lucru ar putea afecta capacitatea furnizorului extern de a-şi îndeplini responsabilităţile în conformitate cu acordul de externalizare. Aceasta include modificările semnificative planificate ale subcontractanţilor şi perioada de preaviz; în special, perioada de preaviz care urmează să fie stabilită trebuie să permită instituţiei de credit care externalizează să efectueze cel puţin o evaluare a riscurilor legate de modificările propuse şi să se opună modificărilor înainte de intrarea în vigoare a subcontractării planificate sau a modificărilor semnificative ale acesteia; 

   (vi) dacă este cazul, dreptul instituţiei de credit de a se opune subcontractării planificate sau modificărilor substanţiale ale acesteia sau necesitatea aprobării explicite a acesteia; 

   (vii) dreptul instituţiei de credit de a înceta acordul în cazuri justificate, de exemplu în cazul în care subcontractarea creşte în mod semnificativ riscurile pentru instituţia de credit sau în cazul în care furnizorul extern subcontractează fără a notifica instituţia de credit; 

   c) dispoziţii privind accesibilitatea, disponibilitatea, integritatea, confidenţialitatea şi siguranţa datelor relevante, respectiv: 

   (i) definirea cerinţelor în materie de securitate a datelor şi a sistemelor, dacă este cazul (de exemplu, în contextul externalizării serviciilor de tip cloud sau a altor servicii TIC); 

   (ii) obligaţia furnizorului extern de a proteja informaţiile confidenţiale, cu caracter personal sau considerate sensibile şi de a respecta toate cerinţele legale privind protecţia datelor care se aplică instituţiei de credit (de exemplu, protecţia datelor cu caracter personal şi faptul că se respectă secretul bancar sau alte obligaţii legale de confidenţialitate similare cu privire la informaţiile clienţilor, dacă este cazul); 

   d) dreptul instituţiei de credit de a monitoriza permanent performanţa furnizorului extern; 

   e) nivelurile serviciilor convenite, care trebuie să includă obiective de performanţă cantitative şi calitative precise pentru funcţia externalizată, pentru a permite o monitorizare în timp util, astfel încât, dacă nu sunt respectate nivelurile serviciilor convenite, să se poată lua măsuri corective adecvate, fără întârzieri nejustificate; 

   f) obligaţia furnizorului extern de a coopera cu autorităţile competente şi cu autorităţile de rezoluţie ale instituţiei de credit, inclusiv cu alte persoane desemnate de acestea; 

   g) dreptul instituţiilor de credit şi dreptul nerestricţionat al autorităţilor competente de a inspecta şi de a audita furnizorul extern în ceea ce priveşte funcţia externalizată, astfel cum se prevede la art. 23018 din regulament; 

   h) drepturi de încetare, astfel cum se prevede la art. 23019 din regulament.