ORDIN Nr. 10
din 3 februarie 2011
pentru aprobarea
Instructiunii nr. 2/2011 privind auditarea sistemelor informatice utilizate de
entitatile autorizate, reglementate si supravegheate de Comisia Nationala a
Valorilor Mobiliare
ACT EMIS DE:
COMISIA NATIONALA A VALORILOR MOBILIARE
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 118 din 16 februarie 2011
In conformitate cu prevederile art. 1, 2 şi art. 7
alin. (3) şi (15) din Statutul Comisiei Naţionale a Valorilor Mobiliare,
aprobat prin Ordonanţa de urgenţă a Guvernului nr. 25/2002, aprobată cu
modificări şi completări prin Legea nr. 514/2002, cu modificările şi
completările ulterioare,
Comisia Naţională a Valorilor Mobiliare, în şedinţa din data de 2 februarie 2011, a hotărât emiterea
următorului ordin:
Art. 1. - Se aprobă Instrucţiunea nr. 2/2011 privind
auditarea sistemelor informatice utilizate de entităţile autorizate,
reglementate şi supravegheate de Comisia Naţională a Valorilor Mobiliare,
prevăzută în anexa care face parte integrantă din prezentul ordin.
Art. 2. - Instrucţiunea prevăzută la art. 1 intră în
vigoare la data publicării acesteia şi a prezentului ordin în Monitorul Oficial
al României, Partea I, şi va
fi publicată şi în Buletinul Comisiei Naţionale a Valorilor Mobiliare şi pe
site-ul acesteia (www.cnvmr.ro).
Preşedintele Comisiei Naţionale a Valorilor Mobiliare,
Gabriela Anghelache
ANEXĂ
INSTRUCŢIUNEA Nr. 2/2011
privind auditarea sistemelor informatice utilizate
de entităţile autorizate, reglementate şi supravegheate de Comisia Naţională a Valorilor
Mobiliare
CAPITOLUL I
Dispoziţii generale
Art. 1. - Prezenta instrucţiune stabileşte cerinţele
minime obligatorii de auditare a sistemelor informatice utilizate de entităţile
autorizate, reglementate şi supravegheate de Comisia Naţională a Valorilor
Mobiliare, denumită în continuare C.N.V.M.
Art. 2. - (1) Termenii, abrevierile şi expresiile
utilizate în prezenta instrucţiune au semnificaţia prevăzută în Legea nr.
297/2004 privind piaţa de capital, cu modificările şi completările ulterioare.
(2) In înţelesul prezentei instrucţiuni, termenii şi
expresiile de mai jos au următoarele semnificaţii:
1. audit al sistemului informatic - activitatea de colectare şi evaluare a unor probe pentru a
determina dacă sistemul informatic este securizat, menţine integritatea datelor
prelucrate şi stocate, permite atingerea obiectivelor strategice ale entităţii
şi utilizarea eficientă a resurselor informaţionale;
2. auditor IT- persoana
fizică care deţine un certificat CISA (Certified
Information Systems Auditor) eliberat de către
ISACA şi care este înscrisă în Registrul public al C.N.V.M.;
3. angajaţi-cheie - persoane care au autoritatea şi responsabilitatea de a planifica,
conduce şi controla activităţile entităţii, în mod direct sau indirect,
incluzând oricare director (executiv sau altfel) al entităţii;
4. atac etic - test al
reţelei informatice realizat printr-o simulare a unui atac real asupra
reţelelor, sistemelor şi aplicaţiilor informatice utilizate de entitatea
auditată;
5. certificarea sistemului
de management al securităţii informaţiei -
certificarea implementării unui sistem de management al securităţii informaţiei
în conformitate cu cerinţele standardului SR EN ISO 27001:2005;
6. date - orice
reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi
prelucrată printr-un sistem informatic, incluzându-se şi orice program
informatic care poate determina realizarea unei funcţii similare de către un
sistem informatic;
7. declaraţie de
aplicabilitate - declaraţie care defineşte
politica de securitate a sistemului informatic al entităţii şi care va reflecta
procesul de evaluare a riscurilor pe care entitatea şi Ie-a asumat;
8. EA MLA - acord între
membrii EA (Cooperare europeană pentru acreditare) pentru a recunoaşte
echivalenţa şi încrederea acestor certificate de acreditare, inspecţiile,
certificatele de calibrare şi rapoartele de testare în cadrul Europei;
9. hardware - ansamblul
elementelor fizice şi tehnice cu ajutorul cărora datele se pot culege,
verifica, prelucra, transmite, afişa şi stoca, inclusiv suporturile de memorare
(dispozitivele de stocare) a datelor, precum şi echipamentele de calculator
auxiliare;
10. SR EN ISO/IEC 27001:2005 - standard care stabileşte cerinţele pentru un sistem de management
al securităţii informaţiei. Ajută la identificarea, managementul şi minimizarea
ameninţărilor care afectează de obicei informaţia;
11. ISACA (Asociaţia
de Audit şi Control al Sistemelor lnformatice//A7formaf/OA7 Systems Audit and Control Association) -
organizaţie profesională internaţională care grupează şi certifică specialişti
în domeniul auditului sistemelor informaţionale şi care are ca scop asigurarea
guvernantei, controlului, securităţii sistemului informatic, precum şi a
auditului profesional;
12. prelucrare automată a
datelor- proces prin care datele dintr-un sistem
informatic sunt prelucrate prin intermediul unui program informatic;
13. program informatic -
ansamblu de instrucţiuni care poate fi executat de un sistem informatic în
vederea obţinerii unui rezultat determinat;
14. raport de audit - instrumentul prin care se comunică scopul auditării, obiectivele urmărite,
normele/standardele aplicate, perioada acoperită, natura, întinderea,
procedurile, constatările şi concluziile auditului, precum şi orice rezervă pe
care auditorul ITo are asupra sistemului informatic
auditat;
15. resurse informaţionale - totalitatea informaţiilor şi a documentelor, conform cerinţelor
stabilite de legislaţia în domeniu;
16. sistem informatic -
orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în
relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea
automată a datelor, cu ajutorul unui program informatic;
17. standard de audit ISACA - cerinţă ISACA pentru organizarea, desfăşurarea şi raportarea
auditului sistemului informatic;
18. software - toată
gama de produse program, care cuprinde cel puţin următoarele elemente: sisteme
de operare, drivere şi programe;
19. set de măsuri de
siguranţă - totalitatea măsurilor tehnice şi
operaţionale care sunt luate de către o entitate pentru utilizarea în condiţii
de siguranţă a sistemului informatic;
20. SMSI (sistem de
management al securităţii informaţiei) - sistem de
management bazat pe o abordare a riscurilor la care organizaţia este expusă,
care are scopul de a stabili, implementa, opera, monitoriza, revizui, menţine
şi îmbunătăţi securitatea informaţiei.
Art. 3. - (1) Prezenta instrucţiune se aplică următoarelor
categorii de entităţi autorizate, reglementate şi supravegheate de C.N.V.M.,
denumite în continuare entităţi:
a) organisme de plasament
colectiv care se autoadministrează;
b) depozitari centrali, case de
compensare/contrapărţi centrale;
c) societăţi de servicii de investiţii financiare (S.S.I.F.) încadrate la art. 7 alin.
(1) lit. a) şi b) din Legea nr. 297/2004, cu modificările şi completările
ulterioare, inclusiv sucursale ale firmelor de investiţii din alte state
membre;
d) S.S.I.F. încadrate la art. 7 alin. (1) lit. c) din
Legea nr. 297/2004, cu modificările şi completările ulterioare, inclusiv
sucursale ale firmelor de investiţii din alte state
membre;
e) traderi;
f) societăţi de administrare a investiţiilor, inclusiv
sucursale ale societăţilor de administrare a investiţiilor din alte state
membre;
g) fondul de compensare a investitorilor; h) operatori
de piaţă/operatori de sistem;
i) alte entităţi nominalizate de C.N.V.M. prin acte
normative.
(2) In cazul instituţiilor de credit autorizate de
Banca Naţională a României care prestează servicii de investiţii financiare pe
piaţa de capital sunt aplicabile atât reglementările emise de aceasta în
domeniul auditării sistemelor informatice, cât şi prevederile cap. VI din prezenta instrucţiune.
CAPITOLUL II
Obligaţiile entităţilor
Art. 4. - (1) Entităţile prevăzute la art. 3 alin. (1)
lit. c) care utilizează sisteme informatice de prelucrare automată a datelor au
obligaţia să elaboreze un set de măsuri de siguranţă, în concordanţă cu
legislaţia în domeniu, ce va include cel puţin următoarele elemente:
A. măsuri organizatorice:
1. definirea politicii de securitate;
2. definirea obiectivelor de securitate;
3. desemnarea responsabilului cu securitatea
informaţiei;
4. desemnarea în cadrul entităţii a personalului
responsabil cu:
a) intervenţia în caz de incidente;
b) mentenanţa aplicaţiilor informatice şi a
echipamentelor;
c) recuperarea datelor în caz de dezastre;
d) formularea propunerilor privind modificarea regulamentelor
interioare şi a procedurilor de lucru astfel încât să se asigure îndeplinirea
obiectivelor de securitate;
B. politica de securitate:
1. sistemele informatice care oferă intermediarilor şi
clienţilor lor accesul la pieţe trebuie să fie amplasate în spaţii special
amenajate, care să asigure integritatea, securitatea şi disponibilitatea lor în
orice moment;
2. operatorii sistemelor informatice trebuie să aibă
disponibil personal tehnic calificat care să opereze şi să supravegheze aceste
sisteme;
3. locaţia acestor sisteme informatice trebuie să
asigure redundanţa:
a) circuitelor de alimentare cu curent electric;
b) reţelelor de conectare la pieţe;
c) hardware-ului suport pe care
aplicaţiile rulează;
d) bazelor de date aferente folosite pentru stocarea
datelor;
C. manual de securitate:
1. în structura sa, manualul de securitate va cuprinde
cel puţin capitolele:
a) prezentarea entităţii;
b) prezentarea infrastructurii hardware şi software;
c) politica de securitate;
d) obiectivele de securitate;
e) managementul infrastructurilor hardware şi software;
f) managementul resurselor umane alocate;
g) comunicarea şi controlul accesului în sistemul
informatic; h) managementul incidentelor;
i) managementul riscului şi recuperarea datelor în caz
de dezastru;
j) continuitatea afacerii;
k) înregistrări şi controlul înregistrărilor;
2. toate documentele referitoare la procedurile de
sistem vor face parte integrantă din manualul de securitate;
D. proceduri generale de sistem;
E. plan de combatere a riscurilor. Riscurile care se
vor lua în considerare în elaborarea planului sunt din următoarele categorii:
1. încălcarea legilor, reglementărilor şi contractelor;
2. daune fizice;
3. împiedicarea realizării
sarcinilor la parametrii de performanţă;
4. efect negativ asupra
relaţiilor cu terţii, indiferent dacă aceştia sunt clienţi sau alte persoane cu
care entitatea interacţionează;
5. consecinţe financiare;
F. declaraţie de aplicabilitate.
(2) Entităţile prevăzute la
alin. (1) au obligaţia de a asigura permanent instruirea personalului angajat,
inclusiv a angajaţilor-cheie, în vederea cunoaşterii obligaţiilor ce decurg din
setul de măsuri prevăzut la alin. (1).
Art. 5. - (1) Sistemele informatice utilizate de entităţile prevăzute la art. 3 alin. (1) lit. c)
trebuie să îndeplinească cel puţin următoarele cerinţe:
1. cerinţe referitoare la respectarea reglementărilor
pieţei de capital:
a) să asigure integritatea, confidenţialitatea,
securitatea, disponibilitatea datelor în orice circumstanţe, precum şi
prelucrarea acestora în conformitate cu reglementările pieţei de capital, luând
în considerare posibilitatea actualizării acestora, în funcţie de modificările
intervenite în legislaţia pieţei de capital. Sistemele informatice care oferă
intermediarilor şi clienţilor lor accesul la pieţe trebuie să asigure cel
puţin:
1. integritatea şi securitatea datelor trimise la şi
recepţionate de la piaţă în sisteme de baze de date care funcţionează în regim
de redundanţă şi care să poată fi certificate în orice moment;
2. securitatea şi integritatea datelor procesate prin
folosirea unei scheme de encriptare, atât asupra datelor trimise către pieţe,
cât şi asupra datelor recepţionate de la pieţe;
3. jurnalizarea în timp real a
informaţiei despre ordinele plasate pe piaţă, a stării acestor ordine,
respectiv a modificărilor care se aduc acestor ordine în decursul existenţei
lor de către clienţii ce utilizează aceste sisteme informatice;
b) să asigure respectarea condiţiilor tehnice şi
operaţionale aferente utilizării conturilor globale, efectuării operaţiunilor
de împrumut de valori mobiliare şi de constituire a garanţiilor asociate
acestora prevăzute de reglementările C.N.V.M.;
c) să asigure posibilitatea imprimării documentelor pe
format hârtie clare, inteligibile şi complete reprezentând rapoartele precizate
în reglementările emise de C.N.V.M.;
d) să asigure respectarea conţinutului de informaţii
prevăzut în formularele de raportare corespunzătoare entităţilor, aşa cum sunt
prevăzute în legislaţia pieţei de capital, precum şi alte raportări solicitate
prin reglementările pieţei de capital;
e) să asigure în orice moment reconstituirea
rapoartelor şi informaţiilor supuse verificării. Utilizatorii acestor sisteme
informatice trebuie să asigure păstrarea datelor înregistrate şi jurnalizate de
către sistemele de tranzacţionare şi back-office într-un sistem de tip bază de
date de stocare pentru o perioada de timp în conformitate cu legislaţia
aplicabilă în vigoare. Acest sistem de păstrare a datelor trebuie să asigure
posibilitatea ca aceste date să poată fi transmise sau puse la dispoziţia
C.N.V.M. la cerere;
f) să asigure elemente de identificare a datelor
supuse prelucrării şi verificării. Sistemele informatice trebuie să asigure
identificarea exactă a timpului la care înregistrările au fost efectuate şi
identificarea utilizatorilor sistemului la acel moment;
g) să asigure confidenţialitatea şi protecţia
informaţiilor şi a programelor prin parole, coduri de identificare pentru
accesul la informaţii, precum şi realizarea de copii de siguranţă pentru
programe şi informaţii deţinute;
h) să asigure la sediul entităţii, pe o perioadă
nedeterminată, manuale de utilizare complete şi actualizate ale programelor
informaţionale utilizate;
i) să asigure verificarea prin teste de control a
programelor informatice utilizate.
Entităţile, ca utilizatori ai sistemelor informatice,
trebuie să procedeze regulat la testarea funcţionalităţilor noi introduse
pentru îndeplinirea cerinţelor pieţelor. Aceasta practică trebuie să fie
formalizată prin alcătuirea de planuri de testare;
j) să asigure arhivarea pe suport digital extern a
informaţiilor, a datelor introduse, a situaţiilor financiare sau a altor
documente, cu posibilitatea de reintegrare în sistem a datelor arhivate;
k) să asigure respectarea oricăror altor cerinţe care
rezultă din dispoziţiile legale în vigoare, aplicabile în funcţie de obiectul
de activitate al entităţii;
2. cerinţe generale privind programele informatice
utilizate în activitatea financiară şi contabilă, cuprinse în cap. G şi H din
anexa nr. 1 la Ordinul ministrului economiei şi finanţelor nr. 3.512/2008
privind documentele financiar-contabile, cu completările ulterioare.
(2) Măsurile tehnice aplicate de entităţi pentru
îndeplinirea cerinţelor prevăzute la alin. (1) trebuie să fie în concordanţă cu
progresul tehnologic în domeniu.
(3) In procesul de supraveghere, C.N.V.M. poate
solicita în scris entităţii auditate orice informaţii sau documente relevante,
aceasta având obligaţia de a se conforma.
(4) C.N.V.M. asigură confidenţialitatea informaţiilor
primite, în conformitate cu prevederile legislaţiei pieţei de capital, cu
excepţiile prevăzute de lege.
CAPITOLUL III
Auditarea sistemului informatic
Art. 6. - (1) Entităţile prevăzute la art. 3 alin. (1)
lit. c) au obligaţia de a audita sistemul informatic utilizat. Sistemul
informatic al entităţii va fi auditat de un auditor IT.
(2) Auditarea se efectuează în baza unui contract
încheiat între auditorul IT şi entitatea care a solicitat auditarea.
(3) In situaţia în care auditul sistemului informatic
este efectuat de o echipă formată din mai mulţi auditori, aceştia răspund
solidar pentru asigurarea derulării procesului de audit în conformitate cu
legislaţia în domeniu.
(4) Auditorii IT sunt răspunzători pentru conformarea
cu cerinţele necesare efectuării auditului sistemului informatic.
CAPITOLUL IV
Obligaţiile auditorilor IT
Art. 7. - (1) Auditorii ITcare auditează sistemele
informatice utilizate de entităţile prevăzute la art. 3 alin. (1) lit. c) au
obligaţia de a se înscrie în Registrul public al C.N.V.M.
(2) In vederea înscrierii în
Registrul public al C.N.V.M., auditorul IT trebuie să depună la C.N.V.M. o
cerere care să cuprindă următoarele informaţii şi documente anexate, după caz:
a) numele şi prenumele complete şi orice alt nume
folosit;
b) locul şi data naşterii;
c) codul numeric personal sau
echivalentul acestuia, pentru persoanele străine;
d) seria şi numărul documentului de identitate;
e) data eliberării documentului de identitate şi
emitentul;
f) domiciliul stabil/reşedinţa (adresa completă -
stradă, număr, bloc, scară, etaj, apartament, oraş, judeţ/sector, cod poştal,
după caz);
g) cetăţenia/naţionalitatea şi ţara de origine;
h) adresa unde îşi desfăşoară activitatea;
i) telefon/fax, e-mail, adresa paginii de internet,
după caz;
j) certificatul de membru ISACAÎn copie legalizată, precum şi dovada de membru activ emisă de către ISACA;
k) curriculum vitae, datat şi semnat, cu prezentarea
experienţei profesionale;
l) certificatul de auditor al sistemelor informatice
(CISA - Certified Information Systems Auditor) în copie legalizată, precum şi dovada faptului că certificarea este activă;
m) contract de asigurare de răspundere profesională de
minimum 100.000 euro, în copie;
n) certificate de cazier judiciar şi fiscal, în
original sau copie legalizată, aflate în interiorul termenului de valabilitate;
o) dovada achitării tarifului de înscriere în Registrul
public al C.N.V.M., în copie.
(3) Radierea din Registrul public al C.N.V.M. a
auditorilor IT se realizează în următoarele condiţii, după caz:
a) la cerere;
b) la decesul auditorului IT;
c) din alte cauze prevăzute de lege.
Art. 8. - (1) Auditorul IT are obligaţia de a întocmi
la încheierea auditării prevăzute la art. 6 un raport de audit care trebuie să
cuprindă cel puţin următoarele elemente:
1. titlul raportului şi denumirea entităţii auditate
(beneficiarul raportului);
2. datele de identificare ale auditorului IT (cel puţin
numele, numărul certificatului CISA, telefon, fax, e-mail şi adresa unde îşi
desfăşoară activitatea);
3. semnătura auditorului;
4. destinatarii raportului şi
restricţiile privind distribuţia raportului;
5. locul auditării;
6. data raportului;
7. perioada acoperită de audit;
8. descrierea ariei auditului, incluzând şi:
a) descrierea entităţii auditate;
b) descrierea sistemelor auditate;
c) măsurile organizatorice: politicile aplicabile şi
procedurile implementate;
d) identificarea aplicaţiilor utilizate şi persoanele
implicate;
e) componentele sistemelor informatice utilizate:
aplicaţie/server/sistem de operare/detalii configurare/locaţie/ administrare;
f) analiza riscurilor
implicate de activitate, a posibilelor vulnerabilităţi ale sistemului
informatic auditat şi a măsurilor de reducere a riscurilor asociate (controale);
g) descrierea modului prin care s-a efectuat atacul
etic şi rezultatul obţinut;
9. opinia detaliată a
auditorului privind îndeplinirea cerinţelor prevăzute la art. 4 şi 5. (Pentru
fiecare cerinţă, cu menţiunea: DA/NU, precum şi motivaţia);
10. afirmaţia de conformitate (opinia pozitivă), de
conformare parţială/totală referitoare la obiectivele auditate, indicând
punctele care trebuie îmbunătăţite (opinia cu rezerve/calificată), sau de
neîndeplinire a obiectivelor auditate (opinia negativă);
11. anexă distinctă conţinând constatările, riscurile
asociate, recomandările pentru acţiuni corective şi răspunsul managementului
entităţii auditate (pentru fiecare constatare din raport). Anexa va fi semnată
de un reprezentant al conducerii executive a entităţii auditate;
12. declaraţia auditorului că
auditul a fost efectuat în conformitate cu standardele
de audit ISACA;
13. declaraţie a auditorului pe
propria răspundere, sub semnătură olografă, că nu se află în relaţii cu
entitatea auditată sau cu angajaţii-cheie ori cu conducerea entităţii, care ar
putea să îi afecteze independenţa sau obiectivitatea;
14. măsurile corective recomandate;
15. răspunsul managementului
cu privire la măsurile corective recomandate, inclusiv termenul de aplicare;
16. data următorului audit;
17. alte observaţii.
(2) Raportul prevăzut la alin. (1) va fi întocmit în
conformitate cu standardele ISACA-S2 şi S7 sau cu standardul ISAE 3000 şi
ghidul ISACA-G20 pentru verificări de tip audit.
Art. 9. -Auditorul IT va notifica la C.N.V.M., în regim
de urgenţă, fără să vină în contradicţie cu dispoziţiile din Codul privind
conduita etică, profesională şi cu Standardele de audit ISACA, orice fapt sau
act în legătură cu sistemul informatic utilizat de entitate şi care:
a) constituie o încălcare semnificativă a actelor
normative ce reglementează condiţiile de autorizare şi funcţionare a entităţii
auditate;
b) este de natură să afecteze continuitatea activităţii
entităţii reglementate auditate;
c) poate conduce la o opinie de audit cu rezerve, la
imposibilitatea exprimării unei opinii profesionale sau la o opinie negativă.
Art. 10. -Auditorul IT , la
solicitarea scrisă a C.N.V.M., are obligaţia:
a) să prezinte C.N.V.M. orice raport sau document ce a
fost adus la cunoştinţa entităţii auditate;
b) să prezinte C.N.V.M. o declaraţie care să indice
motivele de încetare a contractului de audit,
indiferent de natura acestora;
c) să prezinte C.N.V.M. orice alte informaţii sau
documente solicitate.
CAPITOLUL V
Cerinţe de raportare
Art. 11. - (1) Entităţile prevăzute la art. 3 alin. (1)
lit. c) au obligaţia auditării sistemului informatic cel puţin anual.
(2) Raportul de audit menţionat la art. 8 va fi
transmis către C.N.V.M. în termen de 90 de zile de la încheierea perioadei de
auditare a sistemului informatic şi va cuprinde cel puţin informaţiile
prevăzute la art. 8 alin. (1) pct. 1-7, pct. 8 lit. a)- d), pct. 9, 10, 12-17
şi art. 8 alin. (2).
(3) Pentru entităţile'prevăzute la art. 3 alin. (1)
lit. i), C.N.V.M. va hotărî prin act individual termenul de întocmire a
raportului de audit şi, după caz, obţinerea certificării SMSI.
(4) Raportul de audit prevăzut
la alin. (2) se transmite la C.N.V.M. de către entitatea auditată. Entitatea
auditată, prin reprezentantul legal, depune odată cu raportul o declaraţie pe
propria răspundere prin care confirmă faptul că a remediat situaţiile
vulnerabile evidenţiate în sistemul informatic utilizat, având în vedere
recomandarea făcută de auditorul IT, după caz, şi inclusă în raportul de audit.
(5) In cazul în care la nivelul entităţii se adoptă
hotărârea unor schimbări majore în structura sistemelor informatice, cum ar fi:
a) schimbarea integrală a unor aplicaţii informatice
folosite în contabilitatea entităţii;
b) schimbarea procedurilor sau a fluxurilor de
prelucrare a datelor contabile;
c) schimbarea procedurilor de arhivare şi/sau de
restaurare a datelor contabile;
d) schimbarea unuia dintre serverele care rulează
aplicaţiile de contabilitate, se va realiza, în termen de 60 de zile, un raport de audit al
sistemelor informatice care va cuprinde o analiză a impactului şi a riscurilor
induse de schimbările care se introduc. Raportul de
audit va fi transmis la C.N.V.M. în termen de 5 zile de la finalizare.
(6) Rapoartele de audit prevăzute în prezenta
instrucţiune vor fi semnate şi stampilate de către persoanele autorizate în
acest sens şi se vor depune la C.N.V.M. într-un exemplar original în format
hârtie, precum şi în format electronic.
CAPITOLUL VI
Certificarea SMSI
Art. 12. - (1) Entităţile prevăzute la art. 3 alin. (1)
lit. a), b), d)-h) şi alin. (2) au obligaţia să obţină certificarea SMSI (în
baza implementării standardelor SR EN ISO/IEC 27001:2005) emisă de o
organizaţie naţională sau internaţională acreditată de un semnatar al acordului
EA MLA.
(2) Componenta de audit a procesului de certificare
SMSI se va realiza de către un ISMS Lead Auditor.
(3) Entităţile prevăzute la
alin. (1) au obligaţia să îşi revizuiască anual SMSI obţinut.
(4) Entităţile prevăzute la
alin. (1) au obligaţia să îşi reînnoiască certificatul SMSI obţinut după
fiecare perioadă de 3 ani.
(5) Dispoziţiile prevăzute la alin. (1) se aplică şi
în cazul sistemelor de tranzacţionare administrate de un operator de
piaţă/operator de sistem.
Art. 13. - (1) Entităţile prevăzute la art. 12 alin.
(1) au obligaţia de a depune la C.N.V.M. cel puţin următoarele documente:
a) certificatul SMSI, în copie
legalizată;
b) datele de identificare ale organismului de
certificare acreditat [adresa completă, codul unic de înregistrare (CUI) sau
echivalentul acestuia pentru organismele internaţionale; număr de telefon, fax,
e-mail, persoane de contact];
c) datele de identificare ale organismului care a
acreditat organismul de certificare (adresa completă, codul unic de înregistrare
(CUI) sau echivalentul acestuia pentru organismele internaţionale; număr de
telefon, fax, e-mail, persoane de contact);
d) domeniul acreditat;
e) dovada revizuirii SMSI, după caz;
f) dovada reînnoirii certificării SMSI, după caz.
(2) Documentele prevăzute la alin. (1) se depun la
C.N.V.M. în termen de 10 zile lucrătoare de la data primirii certificatului
SMSI.
(3) In cazul revizuirii sau
reînnoirii certificatului SMSI entităţile prevăzute la art. 12 alin. (1) vor
depune la C.N.V.M. documentele prevăzute la alin. (1) în termen de 5 zile
lucrătoare de la primirea documentelor relevante.
CAPITOLUL VII
Sancţiuni
Art. 14. - Nerespectarea
prevederilor prezentei instrucţiuni de către entităţile prevăzute la art. 3 se
sancţionează în conformitate cu prevederile titlului X „Răspunderi şi sancţiuni" din Legea nr. 297/2004 privind piaţa
de capital, cu modificările şi completările ulterioare.
Art. 15. -In cazul constatării unor deficienţe
semnificative în activitatea profesională desfăşurată de auditorul IT în
legătură cu auditarea sistemelor informatice ale unei entităţi, C.N.V.M. va
sesiza organele competente, respectiv ISACA, în vederea adoptării unor măsuri
corective şi, după caz, disciplinare corespunzătoare, potrivit reglementărilor
în vigoare.
CAPITOLUL VIII
Dispoziţii tranzitorii şi finale
Art. 16. - (1) Pentru anul 2011, entităţile prevăzute
la art. 3 pot opta pentru obţinerea certificării SMSI conform prevederilor cap.
VI sau pentru auditarea sistemelor informatice conform
cap. II-V.
(2) In termen de maximum 30 de zile de la intrarea în
vigoare a prezentei instrucţiuni, entităţile prevăzute la art. 3 au obligaţia
de a transmite la C.N.V.M. o declaraţie pe propria răspundere a
reprezentantului legal referitoare la modul de exercitare a opţiunii prevăzute
la alin. (1).
(3) Entităţile prevăzute la art. 3 care aplică
prevederile cap. II-V au
obligaţia transmiterii la C.N.V.M. a primului raport de audit în termen de 9
luni de la intrarea în vigoare a prezentei instrucţiuni.
(4) Entităţile prevăzute la art. 3 care aplică
prevederile cap. VI au
obligaţia transmiterii la C.N.V.M. a documentelor prevăzute la art. 13 în
termen de 12 luni de la intrarea în vigoare a prezentei instrucţiuni.
Art. 17. - Obligaţia prevăzută la art. 12 se aplică
începând cu 1 ianuarie 2012.
Art. 18. - Instrucţiunea şi ordinul de aprobare se
publică în Monitorul Oficial al României, Partea I, în
Buletinul C.N.V.M. şi pe pagina de internet a C.N.V.M.