1. Legislaţie
  2. Acte legislative

Act legislativ


 


Banca Naţională a României
Ordin nr. 5 din 5.noi.2021
Monitorul Oficial, Partea I 1094 17.noi.2021
Intrare în vigoare la 21.noi.2021
Ordinul nr. 5/2021 pentru modificarea şi completarea Ordinului Băncii Naţionale a României nr. 4/2015 privind funcţionarea sistemului de plăţi TARGET2 - România

Având în vedere prevederile art. 22 din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României şi ale art. 404 şi 405 din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, 
    în temeiul dispoziţiilor art. 48 din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României,
 
    Banca Naţională a României emite următorul ordin:
 
   Art. I. -   Anexa II la Ordinul Băncii Naţionale a României nr. 4/2015 privind funcţionarea sistemului de plăţi TARGET2 - România, publicat în Monitorul Oficial al României, Partea I, nr. 436 şi 436 bis din 18 iunie 2015, cu modificările şi completările ulterioare, se modifică şi se completează după cum urmează: 
   1. La articolul 1 punctul (24) definiţia "grup" (group), litera (a) se modifică şi va avea următorul cuprins: 
   " (a) un ansamblu de instituţii de credit incluse în declaraţiile financiare consolidate ale societăţii-mamă în cazul în care societatea-mamă este obligată să prezinte declaraţii financiare consolidate conform Standardului internaţional de contabilitate nr. 27 (IAS 27), adoptat în conformitate cu Regulamentul (CE) nr. 1.126/2008 al Comisiei (*) şi alcătuit din: (i) o societate-mamă şi una sau mai multe filiale; sau (ii) două sau mai multe filiale ale unei societăţi-mamă; sau 
   (*) Regulamentul (CE) nr. 1.126/2008 al Comisiei din 3 noiembrie 2008 de adoptare a anumitor standarde internaţionale de contabilitate în conformitate cu Regulamentul (CE) nr. 1.606/2002 al Parlamentului European şi al Consiliului (JO L 320, 29.11.2008, p. 1). "
 
   2. La articolul 1 punctul (71) definiţia "furnizor de servicii de reţea TIPS" se abrogă. 
   3. La articolul 1 punctul (75), definiţia "ordin de plată instant" (instant payment order) se modifică şi va avea următorul cuprins: 
   " (75) «ordin de plată instant» (instant payment order) înseamnă, în conformitate cu schema de transfer credit instant SEPA (schema SCT Inst) a Consiliului European al Plăţilor, o instrucţiune de plată care poate fi executată 24 de ore pe zi, în orice zi calendaristică a anului, cu procesare imediată sau aproape imediată şi cu notificarea plătitorului şi care include (i) ordine de plată instant din TIPS DCA în TIPS DCA, (ii) ordine de plată instant din TIPS DCA într-un cont tehnic TIPS AS, (iii) ordine de plată instant dintr-un cont tehnic TIPS AS în TIPS DCA şi (iv) ordine de plată instant dintr-un cont tehnic TIPS AS într-un cont tehnic TIPS AS;". 
   4. La articolul 1, după punctul (80) se introduc cinci noi puncte, punctele (81) - (85), cu următorul cuprins: 
   " (81) «schema de transfer credit instant SEPA (SCT Inst) a Consiliului European al Plăţilor» sau «schema SCT Inst» [European Payments Council's SEPA Instant Credit Transfer (SCT Inst) scheme] înseamnă o schemă de standarde deschise, automatizată, care prevede un set de reguli interbancare pe care trebuie să le respecte participanţii la SCT Inst şi care permite prestatorilor de servicii de plată din SEPA să ofere un produs automatizat de transfer credit instant în euro la nivelul SEPA; 
   (82) «cont tehnic al sistemului auxiliar în TIPS (cont tehnic TIPS AS)» (TIPS ancillary system technical account - TIPS AS technical account) înseamnă un cont deţinut de un sistem auxiliar sau de o bancă centrală în numele unui sistem auxiliar în sistemul component al TARGET2 al băncii centrale pentru a fi utilizat de sistemul auxiliar în scopul decontării plăţilor instant în propriile sale registre; 
   (83) «ordin de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS» (TIPS DCA to TIPS AS technical account liquidity transfer order) înseamnă instrucţiunea de a transfera un volum specificat de fonduri dintr-un TIPS DCA într-un cont tehnic TIPS AS pentru a finanţa poziţia titularului de TIPS DCA (sau poziţia unui alt participant la sistemul auxiliar) în registrele sistemului auxiliar; 
   (84) «ordin de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA» (TIPS AS technical account to TIPS DCA liquidity transfer order) înseamnă instrucţiunea de a transfera un volum specificat de fonduri dintr-un cont tehnic TIPS AS către un TIPS DCA pentru a reduce poziţia titularului de TIPS DCA (sau poziţia unui alt participant la sistemul auxiliar) în registrele sistemului auxiliar; 
   (85) «entitate adresabilă» (reachable party) înseamnă o entitate care: (a) are atribuit un BIC; (b) este desemnată ca entitate adresabilă de un titular de TIPS DCA sau de un sistem auxiliar; (c) este un corespondent, un client sau o sucursală a unui titular de TIPS DCA sau un participant la un sistem auxiliar, un corespondent, un client sau o sucursală a unui participant la un sistem auxiliar; şi (d) este adresabilă prin intermediul Platformei TIPS şi poate iniţia şi primi ordine de plată instant fie prin intermediul titularului de TIPS DCA sau al sistemului auxiliar, fie direct, dacă este autorizată în acest sens de titularul de TIPS DCA sau de sistemul auxiliar;". 
   5. La articolul 3 alineatul (2), litera (f3) se modifică şi va avea următorul cuprins: 
   " (f3) ordine de transfer de lichiditate din TIPS DCA în PM şi ordine de transfer de lichiditate din PM în TIPS DCA;". 
   6. La articolul 3 alineatul (2), după litera (f3) se introduce o nouă literă, litera (f4), cu următorul cuprins: 
   " (f4) ordine de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS şi ordine de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA; şi". 
   7. La articolul 3, alineatul (3) se modifică şi va avea următorul cuprins: 
   " (3) TARGET2 asigură decontarea pe bază brută în timp real a plăţilor în euro, cu decontare în banii băncii centrale în conturile PM, T2S DCA şi TIPS DCA. TARGET2 este organizat şi funcţionează pe baza SSP, prin intermediul căreia sunt iniţiate şi procesate ordinele de plată şi prin care, în final, sunt primite plăţi prin aceleaşi metode tehnice. În ceea ce priveşte funcţionarea tehnică a T2S DCA, TARGET2 este organizat din punct de vedere tehnic şi funcţionează pe Platforma T2S. În ceea ce priveşte funcţionarea tehnică a TIPS DCA şi a conturilor tehnice TIPS AS, TARGET2 este organizat din punct de vedere tehnic şi funcţionează pe Platforma TIPS." 
   8. Articolul 5 se modifică şi va avea următorul cuprins: 
   "
Articolul 5
Participanţi direcţi
 
   (1) Titularii de cont PM în TARGET2 - România sunt participanţi direcţi şi îndeplinesc condiţiile stabilite în art. 8 alin. (1) şi (2). Aceştia trebuie să aibă deschis cel puţin un cont PM la BNR. Titularii de cont PM care au aderat la schema SCT Inst prin semnarea Acordului de aderare la schema de transfer credit instant SEPA sunt şi rămân adresabili pe Platforma TIPS în orice moment, fie ca titulari de TIPS DCA, fie ca entităţi adresabile prin intermediul unui titular de TIPS DCA. 
   (2) Titularii de cont PM pot desemna titulari de BIC adresabili, indiferent de locul de stabilire al acestora. Titularii de cont PM pot desemna titulari de BIC adresabili care au aderat la schema SCT Inst prin semnarea Acordului de aderare la schema de transfer credit instant SEPA numai dacă astfel de entităţi sunt adresabile pe Platforma TIPS, fie ca titulari de TIPS DCA, fie ca entităţi adresabile prin intermediul unui titular de TIPS DCA. 
   (3) Titularii de cont PM pot desemna entităţi ca participanţi indirecţi în PM numai dacă sunt îndeplinite condiţiile prevăzute în art. 6. Titularii de cont PM pot desemna ca participanţi indirecţi entităţi care au aderat la schema SCT Inst prin semnarea Acordului de aderare la schema de transfer credit instant SEPA, numai dacă astfel de entităţi sunt adresabile pe Platforma TIPS, fie ca titulari de TIPS DCA la BNR, fie ca entităţi adresabile prin intermediul unui titular de TIPS DCA. 
   (4) Accesul multiadresant prin intermediul sucursalelor poate fi furnizat după cum urmează: 
   (a) o instituţie de credit în sensul art. 4 alin. (1) lit. (a) sau (b) din prezenta anexă, care a fost admisă ca titular de cont PM, poate acorda acces la contul său PM uneia sau mai multor sucursale ale sale stabilite în Uniune sau în SEE pentru a iniţia ordine de plată şi/sau a primi plăţi în mod direct, cu condiţia ca BNR să fi fost informată în mod corespunzător; 
   (b) când o sucursală a unei instituţii de credit a fost admisă ca titular de cont PM, celelalte sucursale ale aceleiaşi persoane juridice şi/sau sediul său principal, în ambele cazuri cu condiţia ca acestea să fie stabilite în Uniune sau în SEE, pot accesa contul PM al sucursalei, cu condiţia să fi informat BNR." 
   9. Articolul 28 se modifică şi va avea următorul cuprins: 
   "
Articolul 28
Cerinţe privind securitatea şi proceduri de control
 
   (1) Participanţii implementează măsuri adecvate de securitate pentru a-şi proteja sistemele împotriva accesului şi utilizării neautorizate. Participanţii sunt singurii responsabili pentru protecţia adecvată a confidenţialităţii, integrităţii şi disponibilităţii sistemelor proprii. 
   (2) Participanţii aduc la cunoştinţa BNR orice incidente de securitate produse la nivelul infrastructurii tehnice proprii şi, atunci când este cazul, orice incidente de securitate care se produc la nivelul infrastructurii tehnice a terţilor furnizori. BNR poate solicita informaţii suplimentare despre incident şi, dacă este necesar, poate solicita participantului să ia măsurile adecvate pentru a preveni repetarea unui asemenea eveniment. 
   (3) BNR poate impune cerinţe suplimentare privind securitatea, în special în ceea ce priveşte securitatea cibernetică sau prevenirea fraudei, tuturor participanţilor şi/sau participanţilor consideraţi critici de către BNR. 
   (4) Participanţii furnizează BNR: 
   (i) acces permanent la dovada aderării lor la cerinţele de securitate de punct final ale furnizorului de servicii de reţea ales; şi 
   (ii) pe bază anuală, declaraţia TARGET2 privind autocertificarea, astfel cum este publicată pe website-ul BNR şi pe website-ul BCE în limba engleză. 
   (5) BNR evaluează declaraţia (declaraţiile) de autocertificare a(le) participantului cu privire la nivelul de conformitate al acestuia cu fiecare dintre cerinţele TARGET2 privind autocertificarea. Aceste cerinţe sunt enumerate în apendicele VIII, care în plus faţă de celelalte apendice enumerate în art. 2 alin. (1) fac parte integrantă din prezentele reguli. 
   (6) Nivelul de conformitate al participantului cu cerinţele TARGET2 privind autocertificarea se clasifică după cum urmează, în ordine crescătoare în funcţie de gravitate: «conformitate deplină»; «neconformitate minoră» sau «neconformitate majoră». Se aplică următoarele criterii: conformitatea deplină este atinsă în cazul în care participanţii îndeplinesc 100% din cerinţe; neconformitatea minoră apare atunci când un participant îndeplineşte mai puţin de 100%, dar cel puţin 66% din cerinţe, în timp ce o neconformitate majoră apare atunci când un participant îndeplineşte mai puţin de 66% din cerinţe. În cazul în care un participant demonstrează că o anumită cerinţă nu i se aplică, se consideră că respectă cerinţa respectivă în scopul clasificării. Un participant care nu reuşeşte să atingă nivelul de «conformitate deplină» trebuie să prezinte un plan de acţiune prin care demonstrează modul în care intenţionează să atingă acest nivel. BNR informează autorităţile de supraveghere relevante cu privire la nivelul de conformitate al participantului respectiv. 
   (7) În cazul în care participantul refuză să acorde acces permanent la dovada aderării sale la cerinţele de securitate de punct final ale furnizorilor săi de servicii de reţea aleşi sau nu furnizează autocertificarea TARGET2, nivelul de conformitate al participantului este clasificat drept «neconformitate majoră». 
   (8) BNR reevaluează pe bază anuală conformitatea participanţilor. 
   (9) BNR poate impune următoarele măsuri reparatorii participanţilor al căror nivel de conformitate a fost evaluat ca neconformitate minoră sau majoră, în ordine crescătoare în funcţie de severitate: 
   (i) monitorizare extinsă: participantul trebuie să furnizeze BNR un raport lunar, semnat de un membru al conducerii superioare, cu privire la progresele înregistrate în soluţionarea neconformităţii. Participantul suportă, de asemenea, o penalitate lunară pentru fiecare cont afectat egală cu comisionul său lunar, astfel cum se prevede la pct. 1 din apendicele VI, din care sunt excluse comisioanele pentru tranzacţii. Această măsură reparatorie poate fi impusă în cazul în care participantul primeşte o a doua evaluare consecutivă prin care se constată existenţa unei neconformităţi minore sau o evaluare prin care se constată existenţa unei neconformităţi majore; 
   (ii) suspendare: participarea la TARGET2 - România poate fi suspendată în împrejurările descrise la art. 34 alin. (2) lit. (b) şi (c) din prezenta anexă. Prin derogare de la art. 34 din prezenta anexă, participantului i se transmite un preaviz de trei luni cu privire la o astfel de suspendare. Participantul suportă o penalitate lunară pentru fiecare cont suspendat reprezentând dublul comisionului său lunar, astfel cum se prevede la pct. 1 din apendicele VI, din care se exclud comisioanele pentru tranzacţii. Această măsură reparatorie poate fi impusă în cazul în care participantul primeşte o a doua evaluare consecutivă prin care se constată existenţa unei neconformităţi majore; 
   (iii) încetare: participarea la TARGET2 - România încetează în împrejurările descrise la art. 34 alin. (2) lit. (b) şi (c) din prezenta anexă. Prin derogare de la art. 34 din prezenta anexă, participantului i se transmite un preaviz de trei luni cu privire la o astfel de încetare. Participantul suportă o penalitate suplimentară de 1.000 EUR pentru fiecare cont pentru care s-a dispus încetarea. Această măsură reparatorie poate fi impusă în cazul în care participantul nu a abordat neconformitatea majoră într-un mod acceptabil pentru BNR în termen de trei luni de la suspendare. 
   (10) Participanţii care permit accesul terţilor la contul lor PM astfel cum este prevăzut la art. 5 alin. (2)-(4) abordează riscul pe care îl prezintă acordarea acestui acces în conformitate cu cerinţele de securitate prevăzute la alin. (1)-(9) ale acestui articol. Autocertificarea prevăzută la alin. (4) precizează faptul că participantul impune cerinţele de securitate de punct final ale furnizorului de servicii de reţea TARGET2 asupra terţilor care au acces la contul PM al respectivului participant." 
   10. La articolul 39, alineatul (1) se modifică şi va avea următorul cuprins: 
   " (1) Se prezumă că participanţii au cunoştinţă, respectă şi pot demonstra autorităţilor competente relevante conformitatea lor cu toate obligaţiile care le revin în legătură cu legislaţia privind protecţia datelor. Se prezumă că aceştia cunosc şi respectă toate obligaţiile care le revin în legătură cu legislaţia privind prevenirea spălării banilor, finanţarea terorismului, activităţile nucleare cu risc de proliferare şi dezvoltarea unor sisteme de transport al armelor nucleare, în special în ceea ce priveşte punerea în aplicare a măsurilor adecvate cu privire la orice plăţi debitate sau creditate în conturile PM ale acestora. Participanţii se asigură că sunt informaţi cu privire la politica furnizorului de servicii de reţea TARGET2 privind extragerea datelor înainte de a intra în raporturi contractuale cu furnizorul de servicii de reţea TARGET2." 
   11. După articolul 45 se introduce un nou articol, articolul 451, cu următorul cuprins: 
   "
Articolul 451
Dispoziţii tranzitorii
 
   (1) Odată ce sistemul TARGET este operaţional şi TARGET2 încetează să mai fie operaţional, soldurile conturilor PM se transferă în conturile succesoare corespunzătoare din sistemul TARGET ale titularului de cont. 
   (2) Cerinţa ca titularii de cont PM, participanţii indirecţi şi titularii de BIC adresabili care au aderat la schema SCT Inst să fie adresabili pe Platforma TIPS în temeiul art. 5 se aplică de la 25 februarie 2022." 
   12. La apendicele I punctul 8 subpunctul (4), litera (b) se modifică şi va avea următorul cuprins: 
   " (b) modul utilizator-către-aplicaţie (U2A) U2A permite comunicarea directă între un participant şi ICM. Informaţiile sunt afişate într-un browser care rulează pe un sistem PC (SWIFT Alliance WebStation sau altă interfaţă, astfel cum poate fi prevăzut de SWIFT). Pentru accesul la U2A, infrastructura IT trebuie să accepte fişiere de tip cookies. Detalii suplimentare sunt prevăzute în Manualul utilizatorului ICM (ICM User Handbook)." 
   13. La apendicele IV punctul 6, litera (g) se modifică şi va avea următorul cuprins: 
   " (g) în vederea procesării în situaţii de urgenţă a ordinelor de plată, participanţii aduc active eligibile drept colateral. Pe parcursul procesării în situaţii de urgenţă, plăţile în situaţii de urgenţă primite pot fi utilizate pentru a disponibiliza fonduri pentru plăţile iniţiate în situaţii de urgenţă. În scopul procesării în situaţii de urgenţă, lichiditatea disponibilă a participanţilor poate să nu fie luată în considerare de BNR." 
   14. După apendicele VII se introduce un nou apendice, apendicele VIII, cu următorul cuprins: 
   "
Apendicele VIII

 
Cerinţe privind gestionarea securităţii informaţiilor şi gestionarea continuităţii activităţii
 
    Gestionarea securităţii informaţiilor 
    Aceste cerinţe se aplică fiecărui participant, cu excepţia cazului în care participantul demonstrează că nu i se aplică o cerinţă specifică. La stabilirea domeniului de aplicare a cerinţelor în cadrul infrastructurii sale, participantul ar trebui să identifice elementele care fac parte din lanţul tranzacţiei de plată (Payment Transaction Chain - PTC). În mod specific, PTC începe la un punct de intrare (Point of Entry - PoE), respectiv un sistem implicat în crearea de tranzacţii (de exemplu, staţii de lucru, aplicaţii de tip front-office şi back-office, middleware) şi se încheie la sistemul responsabil pentru transmiterea mesajului către SWIFT (de exemplu, SWIFT VPN Box) sau internet (acesta din urmă fiind aplicabil accesului prin internet). 
    Cerinţa 1.1: Politica în domeniul securităţii informaţiilor 
    Conducerea trebuie să stabilească o direcţie clară de politică în conformitate cu obiectivele de afaceri şi să îşi exprime susţinerea şi angajamentul pentru asigurarea securităţii informaţiilor prin emiterea, aprobarea şi menţinerea unei politici de securitate a informaţiilor care vizează gestionarea securităţii informaţiilor şi a rezilienţei cibernetice în întreaga organizaţie în ceea ce priveşte identificarea, evaluarea şi tratarea riscurilor legate de securitatea informaţiilor şi de rezilienţa cibernetică. Politica ar trebui să conţină cel puţin următoarele secţiuni: obiective, domeniu de aplicare (inclusiv domenii precum organizarea, resursele umane, administrarea activelor etc.), principii şi alocarea responsabilităţilor. 
    Cerinţa 1.2: Organizarea internă 
    Trebuie stabilit un cadru de securitate a informaţiilor pentru implementarea politicii de securitate a informaţiilor în cadrul organizaţiei. Conducerea trebuie să coordoneze şi să revizuiască stabilirea cadrului de securitate a informaţiilor pentru a asigura implementarea politicii de securitate a informaţiilor (potrivit cerinţei 1.1) în întreaga organizaţie, inclusiv alocarea de resurse suficiente şi atribuirea de responsabilităţi în materie de securitate în acest scop. 
    Cerinţa 1.3: Părţile externe 
    Securitatea informaţiilor organizaţiei şi a sistemelor de prelucrare a informaţiilor nu ar trebui să fie redusă prin introducerea unei părţi/unor părţi externe sau a produselor/serviciilor furnizate de acestea şi/sau prin dependenţa de acestea. Orice acces al părţilor externe la sistemele organizaţiei de prelucrare a informaţiilor trebuie controlat. În cazul în care părţile externe sau produsele/serviciile părţilor externe sunt necesare pentru accesul la sistemele organizaţiei de prelucrare a informaţiilor trebuie efectuată o evaluare a riscurilor pentru a determina implicaţiile în materie de securitate şi cerinţele de control. Controalele trebuie agreate şi definite într-un acord cu fiecare parte externă relevantă. 
    Cerinţa 1.4: Administrarea activelor 
    Toate activele informaţionale, procesele operaţionale şi sistemele informatice subiacente, cum ar fi sistemele de operare, infrastructurile, aplicaţiile de business, produsele standard, serviciile şi aplicaţiile dezvoltate de utilizatori, din aria de acoperire a lanţului tranzacţiei de plată, sunt luate în evidenţă şi au un proprietar desemnat. Trebuie atribuită responsabilitatea pentru întreţinerea şi operarea controalelor adecvate în cadrul proceselor operaţionale şi a componentelor informatice aferente, pentru a proteja activele informaţionale.
 
   NOTĂ:  
Proprietarul poate delega implementarea unor controale specifice, după caz, dar rămâne răspunzător pentru protecţia adecvată a activelor.
 
    Cerinţa 1.5: Clasificarea activelor informaţionale 
    Activele informaţionale se clasifică în funcţie de caracterul lor critic pentru furnizarea fără probleme a serviciului de către participant. Clasificarea indică necesitatea, priorităţile şi gradul de protecţie necesar atunci când se tratează respectivul activ informaţional în procesele operaţionale relevante şi ia de asemenea în considerare componentele IT subiacente. Trebuie utilizată o schemă de clasificare a activelor informaţionale aprobată de conducere pentru a defini un set adecvat de controale de protecţie pe tot parcursul ciclului de viaţă al activelor informaţionale (inclusiv eliminarea şi distrugerea activelor informaţionale) şi pentru a comunica necesitatea unor măsuri specifice de manipulare. 
    Cerinţa 1.6: Securitatea resurselor umane 
    Responsabilităţile în materie de securitate trebuie abordate înainte de angajare în fişe ale postului adecvate şi în termenii şi condiţiile de încadrare în muncă. Toţi candidaţii pentru angajare, contractanţii şi utilizatorii terţi sunt verificaţi în mod corespunzător, în special în cazul locurilor de muncă care presupun acces la informaţii sensibile. Angajaţii, contractanţii şi utilizatorii terţi ai sistemelor de prelucrare a informaţiilor semnează un acord privind rolurile şi responsabilităţile lor în materie de securitate. Trebuie asigurat un nivel adecvat de conştientizare în rândul tuturor angajaţilor, contractanţilor şi utilizatorilor terţi şi li se oferă acestora educaţie şi formare în ceea ce priveşte procedurile de securitate şi utilizarea corectă a sistemelor de prelucrare a informaţiilor, pentru a reduce la minimum posibilele riscuri în materie de securitate. Trebuie stabilit un proces disciplinar formal pentru angajaţi pentru abordarea cazurilor de încălcare a securităţii. Trebuie stabilite responsabilităţi pentru a se asigura gestionarea ieşirii din organizaţie a unui angajat, a unui contractant sau a unui utilizator terţ sau a transferului acestuia în cadrul organizaţiei, precum şi faptul că sunt finalizate procedurile de returnare a tuturor echipamentelor şi de anulare a tuturor drepturilor de acces. 
    Cerinţa 1.7: Securitatea fizică şi în materie de mediu 
    Sistemele de prelucrare a informaţiilor critice sau sensibile trebuie amplasate în zone securizate, protejate de perimetre de securitate definite, cu bariere de securitate şi controale la intrare adecvate. Acestea trebuie protejate fizic împotriva accesului neautorizat, a deteriorării şi a interferenţelor. Accesul trebuie acordat numai persoanelor care intră sub incidenţa cerinţei 1.6. Trebuie stabilite proceduri şi standarde pentru a proteja suporturile fizice care conţin active informaţionale atunci când se află în tranzit. 
    Echipamentele trebuie protejate împotriva ameninţărilor fizice şi de mediu. Protecţia echipamentelor (inclusiv a echipamentelor utilizate în afara amplasamentului) şi protecţia împotriva furtului sunt necesare pentru a reduce riscul de acces neautorizat la informaţii şi pentru a proteja informaţiile şi echipamentele împotriva pierderii sau deteriorării. Pot fi necesare măsuri speciale de protecţie împotriva ameninţărilor fizice şi de protejare a sistemelor-suport, cum ar fi infrastructura de alimentare cu energie electrică şi de cablare. 
    Cerinţa 1.8: Gestionarea operaţiunilor 
    Trebuie stabilite responsabilităţi şi proceduri pentru gestionarea şi operarea sistemelor de prelucrare a informaţiilor care acoperă toate sistemele subiacente din lanţul tranzacţiei de plată de la un capăt la altul. 
    În ceea ce priveşte procedurile operaţionale, inclusiv administrarea tehnică a sistemelor informatice, trebuie implementată separarea sarcinilor, unde este cazul, pentru a reduce riscul de utilizare necorespunzătoare din neglijenţă sau deliberată a sistemului. În cazul în care separarea sarcinilor nu poate fi implementată din motive obiective consemnate, trebuie implementate controale compensatorii în urma unei analize formale a riscurilor. Trebuie stabilite controale pentru a preveni şi detecta introducerea de cod dăunător (malware) pentru sistemele din lanţul de tranzacţiei de plată. De asemenea, trebuie stabilite controale (inclusiv cunoaşterea de către utilizatori) pentru a preveni, detecta şi elimina codul dăunător. Codul mobil se utilizează numai din surse sigure (de exemplu, componentele Microsoft COM semnate şi Java Applets). Configuraţia browserului (de exemplu, utilizarea extensiilor şi a componentelor de tip plugin) trebuie să fie strict controlată. 
    Trebuie implementate de către conducere politici de efectuare de copii de rezervă şi de recuperare a datelor; aceste politici de recuperare includ un plan al procesului de restaurare, care este testat la intervale regulate, cel puţin anual. 
    Sistemele care sunt critice pentru securitatea plăţilor sunt monitorizate, iar evenimentele relevante pentru securitatea informaţiilor se înregistrează. Se utilizează jurnalele operatorilor pentru a se asigura că sunt identificate problemele sistemului informaţional. Jurnalele operatorilor sunt revizuite periodic, pe baza unui eşantion, în funcţie de gradul critic al operaţiunilor. Se utilizează monitorizarea sistemului pentru a verifica eficacitatea controalelor care sunt identificate ca fiind critice pentru securitatea plăţilor şi pentru a verifica conformitatea cu un model de politică de acces. 
    Schimburile de informaţii dintre organizaţii se bazează pe o politică formală de schimb, sunt efectuate în conformitate cu acordurile de schimb dintre părţile implicate şi respectă orice legislaţie relevantă. Componentele software ale părţilor terţe utilizate în schimbul de informaţii cu TARGET2 (cum ar fi software-ul primit de la un birou de servicii în scenariul 2 din secţiunea privind aria de acoperire din documentul TARGET2 privind aranjamentul de autocertificare) trebuie utilizate în cadrul unui acord formal cu terţul. 
    Cerinţa 1.9: Controlul accesului 
    Accesul la active informaţionale trebuie justificat pe baza cerinţelor de business (necesitatea de a cunoaşte1) şi în conformitate cu cadrul stabilit al politicilor corporative (inclusiv politica de securitate a informaţiilor). Trebuie definite reguli clare de control al accesului, pe baza principiului celui mai mic privilegiu2, pentru a reflecta îndeaproape necesităţile proceselor de business şi informatice corespunzătoare. Dacă este cazul (de exemplu, pentru gestionarea copiilor de rezervă), controlul accesului logic ar trebui să fie în concordanţă cu controlul accesului fizic, cu excepţia cazului în care există controale compensatorii adecvate (de exemplu, criptarea, anonimizarea datelor cu caracter personal). 
   1 Principiul necesităţii de a cunoaşte se referă la identificarea setului de informaţii la care o persoană are nevoie de acces pentru a-şi îndeplini atribuţiile.  
   2 Principiul celui mai mic privilegiu se referă la adaptarea profilului de acces al unei persoane la un sistem informatic pentru a corespunde rolului de business corespunzător.
 
    Trebuie instituite proceduri formale şi documentate pentru a controla alocarea drepturilor de acces la sistemele informaţionale şi la serviciile care intră în aria de acoperire a lanţului tranzacţiei de plată. Procedurile acoperă toate etapele ciclului de viaţă al accesului utilizatorilor, de la înregistrarea iniţială a noilor utilizatori până la eliminarea definitivă a utilizatorilor care nu mai necesită acces. 
    Se acordă o atenţie deosebită, după caz, alocării drepturilor de acces a căror importanţă este atât de semnificativă încât utilizarea abuzivă a respectivelor drepturi de acces ar putea avea un impact negativ grav asupra operaţiunilor participantului (de exemplu, drepturile de acces care permit administrarea sistemului, anularea controalelor sistemului, accesul direct la datele de business). 
    Trebuie stabilite controale adecvate pentru identificarea, autentificarea şi autorizarea utilizatorilor în anumite puncte din reţeaua organizaţiei, de exemplu, pentru accesul local şi de la distanţă la sistemele din lanţul tranzacţiei de plată. Pentru asigurarea alocării răspunderii, conturile personale nu sunt partajate. 
    În ceea ce priveşte parolele, regulile trebuie stabilite şi impuse prin controale specifice pentru a se asigura că parolele nu pot fi ghicite cu uşurinţă, de exemplu, reguli privind complexitatea şi valabilitatea limitată în timp. Trebuie stabilit un protocol sigur de recuperare şi/sau de resetare a parolei. 
    Trebuie elaborată şi implementată o politică privind utilizarea controalelor criptografice pentru a proteja confidenţialitatea, autenticitatea şi integritatea informaţiilor. Se stabileşte o politică de gestionare a cheilor pentru a sprijini utilizarea controalelor criptografice. 
    Trebuie să existe o politică de vizualizare a informaţiilor confidenţiale pe ecran sau în format tipărit (de exemplu, o politică de tip ecran curat sau birou curat) pentru a reduce riscul de acces neautorizat. 
    Atunci când se lucrează de la distanţă, trebuie luate în considerare riscurile de a lucra într-un mediu neprotejat şi trebuie aplicate controale tehnice şi organizaţionale adecvate. 
    Cerinţa 1.10: Achiziţionarea, dezvoltarea şi întreţinerea sistemelor informaţionale 
    Cerinţele de securitate trebuie identificate şi agreate înainte de dezvoltarea şi/sau implementarea sistemelor informaţionale. 
    Trebuie construite controale adecvate în aplicaţii, inclusiv în aplicaţiile dezvoltate de utilizatori, pentru a se asigura prelucrarea corectă. Aceste controale includ validarea datelor de intrare, a prelucrării interne şi a datelor de ieşire. Pot fi necesare controale suplimentare pentru sistemele care prelucrează sau au un impact asupra informaţiilor sensibile, valoroase sau critice. Aceste controale se stabilesc pe baza cerinţelor de securitate şi a evaluării riscurilor în conformitate cu politicile stabilite (de exemplu, politica de securitate a informaţiilor, politica de control criptografic). 
    Cerinţele operaţionale ale noilor sisteme trebuie stabilite, documentate şi testate înainte de acceptarea şi utilizarea lor. În ceea ce priveşte securitatea reţelei, ar trebui implementate controale adecvate, inclusiv segmentarea şi gestionarea în condiţii de siguranţă, pe baza caracterului critic al fluxurilor de date şi a nivelului de risc al zonelor de reţea din cadrul organizaţiei. Trebuie să existe controale specifice pentru a proteja informaţiile sensibile transmise prin reţelele publice. 
    Accesul la fişierele de sistem şi la codul-sursă al programului trebuie controlat, iar proiectele informatice şi activităţile-suport trebuie să se desfăşoare în condiţii de siguranţă. Trebuie să se acorde atenţie evitării expunerii datelor sensibile în mediile de testare. Mediile de proiect şi de suport trebuie controlate strict. Implementarea schimbărilor în producţie trebuie strict controlată. Trebuie realizată o evaluare a riscurilor aferente schimbărilor majore care urmează să fie implementate în producţie. 
    Activităţile periodice de testare a securităţii sistemelor în producţie se desfăşoară, de asemenea, în conformitate cu un plan predefinit, bazat pe rezultatul unei evaluări a riscurilor, iar testele de securitate includ, cel puţin, evaluări ale vulnerabilităţii. Toate deficienţele evidenţiate în timpul activităţilor de testare a securităţii trebuie evaluate şi trebuie pregătite şi urmărite în timp util planuri de acţiune pentru eliminarea oricărei lacune identificate. 
    Cerinţa 1.11: Securitatea informaţiilor în relaţiile cu furnizorii 
    Pentru a asigura protecţia sistemelor informaţionale interne ale participantului care sunt accesibile furnizorilor trebuie documentate şi agreate în mod oficial cu furnizorul cerinţele de securitate a informaţiilor pentru diminuarea riscurilor asociate accesului furnizorului. 
    Cerinţa 1.12: Gestionarea incidentelor de securitate a informaţiilor şi îmbunătăţiri 
    Pentru a asigura o abordare coerentă şi eficace a gestionării incidentelor de securitate a informaţiilor, inclusiv a comunicării privind evenimentele de securitate şi punctele slabe în materie de securitate, trebuie stabilite şi testate rolurile, responsabilităţile şi procedurile, la nivel de business şi tehnic, astfel încât să se asigure o redresare rapidă, eficace şi ordonată şi în condiţii de siguranţă în urma incidentelor de securitate a informaţiilor, inclusiv a scenariilor legate de o cauză cibernetică (de exemplu, o fraudă săvârşită de un atacator extern sau intern). Personalul implicat în aceste proceduri trebuie să fie instruit în mod corespunzător. 
    Cerinţa 1.13: Revizuirea conformităţii tehnice 
    Sistemele informaţionale interne ale unui participant (de exemplu, sistemele de back-office, reţelele interne şi conectivitatea la reţele externe) sunt evaluate periodic din punctul de vedere al conformităţii cu cadrul de politici stabilit al organizaţiei (de exemplu, politica de securitate a informaţiilor, politica de control criptografic). 
    Cerinţa 1.14: Virtualizarea 
    Maşinile virtuale de tip guest trebuie să respecte toate măsurile de securitate stabilite pentru hardware şi sisteme fizice (de exemplu, procese de hardening, de logare). Controalele privind hipervizoarele trebuie să includă: procese de hardening ale hipervizorului şi ale sistemului de operare gazdă, remediere regulată a deficienţelor, separare strictă a diferitelor medii (de exemplu, producţie şi dezvoltare). Gestionarea centralizată, logarea şi monitorizarea, precum şi gestionarea drepturilor de acces, în special pentru conturile cu multe privilegii, trebuie implementate pe baza unei evaluări a riscurilor. Maşinile virtuale de tip guest gestionate de acelaşi hipervizor trebuie să aibă un profil de risc similar. 
    Cerinţa 1.15: Informatica de tip Cloud 
    Utilizarea soluţiilor de tip cloud publice şi/sau hibride în lanţul tranzacţiei de plată trebuie să se bazeze pe o evaluare formală a riscurilor, ţinând seama de controalele tehnice şi de clauzele contractuale aferente soluţiei cloud. 
    Dacă se utilizează soluţii cloud hibride, se înţelege că nivelul critic al întregului sistem este cel mai ridicat dintre cele ale sistemelor conectate. Toate componentele de la sediu ale soluţiilor hibride trebuie să fie separate de celelalte sisteme instalate la sediu. 
    Gestionarea continuităţii activităţii (aplicabilă numai participanţilor critici) 
    Următoarele cerinţe (2.1-2.6) se referă la gestionarea continuităţii activităţii. Fiecare participant la TARGET2 clasificat de Eurosistem ca fiind critic pentru buna funcţionare a sistemului TARGET2 trebuie să aibă implementată o strategie de continuitate a activităţii care să cuprindă următoarele elemente: 
    Cerinţa 2.1: Trebuie dezvoltate planuri de continuitate a activităţii şi proceduri pentru menţinerea acestora. 
    Cerinţa 2.2: Trebuie să fie disponibil un sediu operaţional secundar. 
    Cerinţa 2.3: Profilul de risc al sediului secundar trebuie să fie diferit de cel al sediului principal, pentru a evita ca ambele sedii să fie afectate simultan de acelaşi eveniment. De exemplu, sediul secundar trebuie să fie într-o reţea electrică şi un circuit central de telecomunicaţii diferite de cele ale sediului principal. 
    Cerinţa 2.4: În cazul unei perturbări operaţionale majore care face ca sediul principal să fie inaccesibil şi/sau ca personalul critic să fie indisponibil, participantul critic trebuie să fie în măsură să reia operaţiunile normale de la sediul secundar, unde să fie posibilă închiderea corespunzătoare a zilei de operare şi deschiderea următoarei (următoarelor) zile de operare. 
    Cerinţa 2.5: Trebuie să existe proceduri pentru a se asigura că procesarea tranzacţiilor este reluată de la sediul secundar într-un interval de timp rezonabil după întreruperea iniţială a serviciului şi proporţional cu caracterul critic al activităţii întrerupte. 
    Cerinţa 2.6: Capacitatea de a face faţă perturbărilor operaţionale este testată cel puţin o dată pe an, iar personalul critic este instruit în mod corespunzător. Perioada maximă dintre testări nu depăşeşte un an." 
   Art. II. -   Anexa IIa la Ordinul Băncii Naţionale a României nr. 4/2015 privind funcţionarea sistemului de plăţi TARGET2 - România, publicat în Monitorul Oficial al României, Partea I, nr. 436 şi 436 bis din 18 iunie 2015, cu modificările şi completările ulterioare, se modifică şi se completează după cum urmează: 
   1. La articolul 1, definiţia "ordin de plată instant" (instant payment order) se modifică şi va avea următorul cuprins: 
   " - «ordin de plată instant» (instant payment order) înseamnă, în conformitate cu schema de transfer credit instant SEPA (schema SCT Inst) a Consiliului European al Plăţilor, o instrucţiune de plată care poate fi executată 24 de ore pe zi, în orice zi calendaristică a anului, cu procesare imediată sau aproape imediată şi cu notificarea plătitorului şi care include (i) ordine de plată instant din TIPS DCA în TIPS DCA, (ii) ordine de plată instant din TIPS DCA într-un cont tehnic TIPS AS, (iii) ordine de plată instant dintr-un cont tehnic TIPS AS în TIPS DCA şi (iv) ordine de plată instant dintr-un cont tehnic TIPS AS într-un cont tehnic TIPS AS;". 
   2. La articolul 1, după definiţia "soluţia pentru situaţii de urgenţă" (Contingency Solution) se adaugă 4 noi definiţii cu următorul cuprins: 
   " - «cont tehnic al sistemului auxiliar în TIPS (cont tehnic TIPS AS)» (TIPS ancillary system technical account - TIPS AS technical account) înseamnă un cont deţinut de un sistem auxiliar sau de o bancă centrală în numele unui sistem auxiliar în sistemul component al TARGET2 al băncii centrale, pentru a fi utilizat de sistemul auxiliar în scopul decontării plăţilor instant în propriile sale registre; 
   - «ordin de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS» (TIPS DCA to TIPS AS technical account liquidity transfer order) înseamnă instrucţiunea de a transfera un volum specificat de fonduri dintr-un TIPS DCA într-un cont tehnic TIPS AS pentru a finanţa poziţia titularului de TIPS DCA (sau poziţia unui alt participant la sistemul auxiliar) în registrele sistemului auxiliar; 
   - «ordin de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA» (TIPS AS technical account to TIPS DCA liquidity transfer order) înseamnă instrucţiunea de a transfera un volum specificat de fonduri dintr-un cont tehnic TIPS AS către un TIPS DCA pentru a reduce poziţia titularului de TIPS DCA (sau poziţia unui alt participant al sistemului auxiliar) în registrele sistemului auxiliar; 
   - «furnizor de servicii de reţea (Network Service Provider - NSP)» înseamnă o întreprindere căreia i s-a atribuit o concesiune cu Eurosistemul pentru a furniza servicii de conectivitate prin intermediul Portalului unic al Eurosistemului de acces la infrastructurile de piaţă." 
   3. La articolul 1, definiţia "furnizor de servicii de reţea T2S" se abrogă. 
   4. La articolul 4 alineatul 2, litera (f3) se modifică şi va avea următorul cuprins: 
   " (f3) ordine de transfer de lichiditate din TIPS DCA în PM şi ordine de transfer de lichiditate din PM în TIPS DCA;". 
   5. La articolul 4 alineatul 2, după litera (f3) se introduce o nouă literă, litera (f4), cu următorul cuprins: 
   " (f4) ordine de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS şi ordine de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA; şi". 
   6. La articolul 4, alineatul 3 se modifică şi va avea următorul cuprins: 
   " 3. TARGET2 asigură decontarea pe bază brută în timp real a plăţilor în euro, cu decontare în banii băncii centrale în conturile PM, T2S DCA şi TIPS DCA. TARGET2 este organizat şi funcţionează pe baza SSP, prin intermediul căreia sunt iniţiate şi procesate ordinele de plată şi prin care, în final, sunt primite plăţi prin aceleaşi metode tehnice. În ceea ce priveşte funcţionarea tehnică a T2S DCA, TARGET2 este organizat din punct de vedere tehnic şi funcţionează pe Platforma T2S. În ceea ce priveşte funcţionarea tehnică a TIPS DCA şi a conturilor tehnice TIPS AS, TARGET2 este organizat din punct de vedere tehnic şi funcţionează pe Platforma TIPS. BNR este furnizorul de servicii în temeiul prezentelor condiţii. Actele şi omisiunile BCN care furnizează SSP şi ale 4CB sunt considerate ca fiind actele şi omisiunile BNR, pentru care aceasta îşi asumă răspunderea în conformitate cu art. 21 din prezenta anexă. Participarea în conformitate cu prezentele condiţii nu dă naştere unei relaţii contractuale între titularii de T2S DCA şi BCN care furnizează SSP sau 4CB când oricare dintre acestea din urmă acţionează în acea calitate. Instrucţiunile, mesajele sau informaţiile pe care un titular de T2S DCA le primeşte de la sau le trimite către SSP sau Platforma T2S în legătură cu serviciile prestate în temeiul prezentelor condiţii sunt considerate a fi primite de la sau trimise către BNR." 
   7. La articolul 8, alineatul 3 se modifică şi va avea următorul cuprins: 
   " 3. În cazul în care BNR a aprobat o cerere din partea unui titular de T2S DCA în conformitate cu alin. (1), se consideră că titularul de T2S DCA a acordat CSD-ului (CSD-urilor) participant(e) un mandat pentru a debita T2S DCA cu sumele aferente tranzacţiilor cu instrumente financiare efectuate în aceste conturi de instrumente financiare." 
   8. La articolul 28, alineatul 1 se modifică şi va avea următorul cuprins: 
   " 1. Se prezumă că titularii de T2S DCA cunosc, respectă şi pot demonstra autorităţilor competente relevante conformitatea lor cu toate obligaţiile care le revin cu privire la legislaţia privind protecţia datelor. Se prezumă că aceştia cunosc şi respectă toate obligaţiile care le revin în legătură cu legislaţia cu privire la prevenirea spălării banilor, finanţarea terorismului, activităţile nucleare cu risc de proliferare şi dezvoltarea unor sisteme de transport al armelor nucleare, în special în ceea ce priveşte punerea în aplicare a măsurilor adecvate cu privire la orice plăţi debitate sau creditate în T2S DCA ale acestora. Înainte de a intra în raporturi contractuale cu furnizorul lor de servicii de reţea T2S, titularii de T2S DCA se asigură că sunt informaţi cu privire la politica acestuia privind extragerea datelor." 
   9. Articolul 30 se modifică şi va avea următorul cuprins: 
   "
Articolul 30
Relaţia contractuală cu un furnizor de servicii de reţea
 
   1. Titularii de T2S DCA fie: 
   (a) au încheiat un contract cu un furnizor de servicii de reţea în cadrul contractului de concesiune cu respectivul furnizor de servicii de reţea pentru a stabili o conexiune tehnică la TARGET2 - România; fie 
   (b) se conectează prin intermediul unei alte entităţi care a încheiat un contract cu un furnizor de servicii de reţea în cadrul contractului de concesiune cu respectivul furnizor de servicii de reţea. 
   2. Raportul juridic dintre un titular de T2S DCA şi furnizorul de servicii de reţea este reglementat exclusiv de termenii şi condiţiile contractului separat încheiat cu un furnizor de servicii de reţea, astfel cum se menţionează la alin. (1) lit. (a). 
   3. Serviciile ce urmează a fi prestate de către furnizorul de servicii de reţea nu sunt incluse în serviciile ce urmează a fi prestate de către BNR în legătură cu TARGET2. 
   4. BNR nu este răspunzătoare pentru acţiunile, erorile sau omisiunile furnizorului de servicii de reţea (incluzând directorii, personalul şi subcontractorii acestuia) sau pentru acţiunile, erorile sau omisiunile terţilor aleşi de participanţi pentru a avea acces la reţeaua furnizorului de servicii de reţea." 
   10. După articolul 34 se introduce un nou articol, articolul 341, care va avea următorul cuprins: 
   "
Articolul 341
Dispoziţii tranzitorii
 
    Odată ce sistemul TARGET este operaţional şi TARGET2 încetează să mai fie operaţional, titularii de T2S DCA devin titulari de T2S DCA în sistemul TARGET." 
   11. Trimiterile la "furnizor de servicii de reţea T2S" (la forma de singular sau de plural) de la articolul 6 alineatul (1) litera (a) punctul (i), articolul 9 alineatul (5), articolul 10 alineatul (6), articolul 14 alineatul (1) litera (a), articolul 22 alineatul (1), articolul 22 alineatul (2), articolul 22 alineatul (3), articolul 27 alineatul (5), articolul 28 alineatul (1), articolul 29 alineatul (1) din anexa IIa şi de la punctul 1 din apendicele I se înlocuiesc cu trimiteri la "furnizor de servicii de reţea (NSP)". 
   12. La apendicele I punctul 7 alineatul (1), litera (b) se modifică şi va avea următorul cuprins: 
   " (b) modul utilizator-către-aplicaţie (U2A) U2A permite comunicarea directă între un titular de T2S DCA şi T2S GUI. Informaţiile sunt afişate într-un browser care rulează pe un sistem PC. Pentru accesul la U2A, infrastructura IT trebuie să accepte fişiere de tip cookies. Detalii suplimentare sunt prevăzute în Manualul utilizatorului T2S (T2S User Handbook)." 
   Art. III. -   Anexa IIb la Ordinul Băncii Naţionale a României nr. 4/2015 privind funcţionarea sistemului de plăţi TARGET2 - România, publicat în Monitorul Oficial al României, Partea I, nr. 436 şi 436 bis din 18 iunie 2015, se modifică şi se completează după cum urmează: 
   1. Trimiterile la "furnizor de servicii de reţea TIPS" (la forma de singular sau plural) de la articolul 17 alineatul (1) litera (a), articolul 24 alineatul (1), articolul 24 alineatul (2), articolul 26 alineatul (2) litera (d), articolul 29 alineatul (6), punctul 1 din apendicele I, punctul 6 alineatul (1) din apendicele I şi punctul 3 alineatul (3) litera (b) din apendicele II se înlocuiesc cu trimiteri la "furnizor de servicii de reţea (NSP)". 
   2. La articolul 1 punctul 21, definiţia "entitate adresabilă" se modifică şi va avea următorul cuprins: 
   " 21. «entitate adresabilă» (reachable party) înseamnă o entitate care: (a) are atribuit un BIC; (b) este desemnată ca entitate adresabilă de un titular de TIPS DCA sau de un sistem auxiliar; (c) este un corespondent, un client sau o sucursală a unui titular de TIPS DCA sau un participant la un sistem auxiliar ori un corespondent, un client sau o sucursală a unui participant la un sistem auxiliar; şi (d) este adresabilă prin intermediul Platformei TIPS şi poate iniţia şi primi ordine de plată instant fie prin intermediul titularului de TIPS DCA sau sistemului auxiliar, fie direct, dacă este autorizată în acest sens de titularul de TIPS DCA sau de sistemul auxiliar;". 
   3. La articolul 1 punctul 29, definiţia "furnizor de servicii de reţea TIPS" se abrogă. 
   4. La articolul 1 punctul 33, definiţia "ordin de plată" se modifică şi va avea următorul cuprins: 
   " 33. «ordin de plată» (payment order), cu excepţia cazului în care este utilizat în contextul articolelor 16-18 din prezenta anexă, înseamnă un ordin de plată instant, un răspuns pozitiv la solicitarea de returnare, un ordin de transfer de lichiditate din PM în TIPS DCA, un ordin de transfer de lichiditate din TIPS DCA în PM, un ordin de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA sau un ordin de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS;". 
   5. La articolul 1 punctul 34, definiţia "ordin de plată instant" (instant payment order) se modifică şi va avea următorul cuprins: 
   " 34. «ordin de plată instant» (instant payment order) înseamnă, în conformitate cu schema de transfer credit instant SEPA (schema SCT Inst) a Consiliului European al Plăţilor, o instrucţiune de plată care poate fi executată 24 de ore pe zi, în orice zi calendaristică a anului, cu procesare imediată sau aproape imediată şi cu notificarea plătitorului şi care include 
   (i) ordine de plată instant din TIPS DCA în TIPS DCA, (ii) ordine de plată instant din TIPS DCA într-un cont tehnic TIPS AS, 
   (iii) ordine de plată instant dintr-un cont tehnic TIPS AS în TIPS DCA şi (iv) ordine de plată instant dintr-un cont tehnic TIPS AS într-un cont tehnic TIPS AS;". 
   6. La articolul 1, după punctul 52 se introduc 7 noi puncte, punctele 53-59, care vor avea următorul cuprins: 
   " 53. «cont tehnic al sistemului auxiliar în TIPS (cont tehnic TIPS AS)» (TIPS ancillary system technical account - TIPS AS technical account) înseamnă un cont deţinut de un sistem auxiliar sau de banca centrală în numele unui sistem auxiliar în sistemul său component al TARGET2 pentru a fi utilizat de respectivul sistem auxiliar în scopul decontării plăţilor instant în propriile sale registre; 
   54. «ordin de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS» (TIPS DCA to TIPS AS technical account liquidity transfer order) înseamnă instrucţiunea de a transfera un volum specificat de fonduri dintr-un TIPS DCA într-un cont tehnic TIPS AS pentru a finanţa poziţia titularului de TIPS DCA (sau poziţia unui alt participant la sistemul auxiliar) în registrele sistemului auxiliar; 
   55. «ordin de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA» (TIPS AS technical account to TIPS DCA liquidity transfer order) înseamnă instrucţiunea de a transfera un volum specificat de fonduri dintr-un cont tehnic TIPS AS către un TIPS DCA pentru a reduce poziţia titularului de TIPS DCA (sau poziţia unui alt participant la sistemul auxiliar) în registrele sistemului auxiliar; 
   56. «schema de transfer credit instant SEPA (SCT Inst) a Consiliului European al Plăţilor sau schema SCT Inst» [European Payments Council's SEPA Instant Credit Transfer (SCT Inst) scheme] înseamnă o schemă de standarde deschise, automatizată, care prevede un set de reguli interbancare pe care trebuie să le respecte participanţii la SCT Inst şi care permite prestatorilor de servicii de plată din SEPA să ofere un produs automatizat de transfer credit instant în euro la nivelul SEPA; 
   57. «serviciu de căutare prin alias mobil (MPL)» [mobile proxy look-up (MPL) service] înseamnă un serviciu care permite titularilor de TIPS DCA, sistemelor auxiliare care utilizează conturi tehnice TIPS AS şi entităţilor adresabile care primesc de la clienţii lor o cerere de executare a unui ordin de plată instant în favoarea unui beneficiar identificat cu un alias (de exemplu, un număr de telefon mobil) să extragă din registrul central al MPL IBAN-ul beneficiarului corespunzător şi codul BIC care urmează să fie utilizate pentru a credita contul relevant în TIPS; 
   58. «furnizor de servicii de reţea» (Network Service Provider - NSP) înseamnă o întreprindere căreia i s-a atribuit o concesiune cu Eurosistemul pentru a furniza servicii de conectivitate prin intermediul Portalului unic al Eurosistemului de acces la infrastructurile de piaţă; 
   59. «IBAN» înseamnă numărul de cont bancar internaţional care identifică în mod unic un cont individual deschis la o anumită instituţie financiară dintr-o anumită ţară." 
   7. La articolul 3 alineatul (1) litera (e), trimiterea la "apendicele V: Cerinţe tehnice de conectivitate în contextul TIPS" se abrogă. 
   8. La articolul 4 alineatul (2), după litera (i) se introduce o nouă literă, litera (i1), cu următorul cuprins: 
   " (i1) ordine de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS şi ordine de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA; şi". 
   9. La articolul 4, alineatul (3) se modifică şi va avea următorul cuprins: 
   " (3) TARGET2 asigură decontarea pe bază brută în timp real a plăţilor în euro, cu decontare în banii băncii centrale în conturile PM, T2S DCA şi TIPS DCA. TARGET2 este organizat şi funcţionează pe baza SSP, prin intermediul căreia sunt iniţiate şi procesate ordinele de plată şi prin care, în final, sunt primite plăţi prin aceleaşi metode tehnice. În ceea ce priveşte funcţionarea tehnică a TIPS DCA şi a conturilor tehnice TIPS AS, TARGET2 este organizat din punct de vedere tehnic şi funcţionează pe Platforma TIPS. În ceea ce priveşte funcţionarea tehnică a T2S DCA, TARGET2 este organizat din punct de vedere tehnic şi funcţionează pe Platforma T2S." 
   10. La articolul 6 alineatul (1) litera (a), punctul (i) se modifică şi va avea următorul cuprins: 
   " (i) să instaleze, să administreze, să opereze, să monitorizeze şi să asigure securitatea infrastructurii IT pentru a se conecta la Platforma TIPS şi pentru a iniţia ordine de plată către aceasta. În acest scop, titularii de TIPS DCA solicitanţi pot implica terţe părţi, însă rămân exclusiv răspunzători. În special, cu excepţia cazului în care este utilizată o entitate ordonatoare, titularii de TIPS DCA solicitanţi încheie un acord cu unul sau mai mulţi furnizori de servicii de reţea pentru a obţine conexiunea şi drepturile de acces necesare, în conformitate cu specificaţiile tehnice din apendicele I; şi". 
   11. Articolul 9 se modifică şi va avea următorul cuprins: 
   "
ARTICOLUL 9
Relaţia contractuală cu un furnizor de servicii de reţea
 
   (1) Participanţii fie: 
   (a) încheie un contract cu un furnizor de servicii de reţea în cadrul contractului de concesiune cu respectivul furnizor de servicii de reţea pentru a stabili o conexiune tehnică la TARGET2 - România; fie 
   (b) se conectează prin intermediul unei alte entităţi care a încheiat un contract cu un furnizor de servicii de reţea în cadrul contractului de concesiune cu respectivul furnizor de servicii de reţea. 
   (2) Relaţia juridică dintre un participant şi furnizorul de servicii de reţea este reglementată exclusiv de termenii şi condiţiile contractului separat încheiat între aceştia, astfel cum se menţionează la alin. (1) lit. (a). 
   (3) Serviciile ce urmează a fi prestate de către furnizorul de servicii de reţea nu sunt incluse în serviciile ce urmează a fi prestate de către BNR în legătură cu TARGET2. 
   (4) BNR nu este răspunzătoare pentru acţiunile, erorile sau omisiunile furnizorului de servicii de reţea (incluzând directorii, personalul şi subcontractorii acestuia) sau pentru acţiunile, erorile sau omisiunile terţilor aleşi de participanţi pentru a avea acces la reţeaua furnizorului de servicii de reţea." 
   12. Articolul 10 se abrogă. 
   13. După articolul 11 se introduce un nou articol, articolul 111, cu următorul cuprins: 
   "
ARTICOLUL 111
Registrul MPL
 
   (1) Registrul central MPL conţine aliasul - tabelul de corespondenţă IBAN pentru serviciul MPL. 
   (2) Fiecare alias poate fi legat de un singur IBAN. Un IBAN poate fi legat de unul sau mai mulţi alias. 
   (3) Articolul 29 se aplică datelor conţinute în registrul MPL." 
   14. La articolul 12 alineatul (9) se abrogă. 
   15. Articolul 16 se modifică şi va avea următorul cuprins: 
   "
ARTICOLUL 16
Tipuri de ordine de plată în TIPS DCA
 
    În contextul serviciului TIPS sunt considerate ca fiind ordine de plată următoarele: 
   (a) ordine de plată instant; 
   (b) răspunsuri pozitive la solicitările de returnare; 
   (c) ordine de transfer de lichiditate din TIPS DCA în PM; 
   (d) ordine de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS; şi 
   (e) ordine de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA." 
   16. La articolul 18, alineatul (6) se modifică şi va avea următorul cuprins: 
   " (6) După acceptarea, conform art. 17, a unui ordin de transfer de lichiditate din TIPS DCA în PM, a unui ordin de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS sau a unui ordin de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA, TARGET2 - România verifică dacă există suficiente fonduri disponibile în contul plătitorului. În cazul în care nu există suficiente fonduri disponibile, ordinul de transfer de lichiditate este respins. În cazul în care există suficiente fonduri disponibile, ordinul de transfer de lichiditate se decontează imediat." 
   17. La articolul 20 alineatul (1), litera (b) se modifică şi va avea următorul cuprins: 
   " (b) ordinele de transfer de lichiditate din TIPS DCA în PM, răspunsurile pozitive la solicitările de returnare şi ordinele de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS sunt considerate a fi intrate în TARGET2 - România şi irevocabile în momentul debitării TIPS DCA relevant. Ordinele de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA se consideră a fi intrate în TARGET2 - România şi irevocabile în momentul debitării contului tehnic TIPS AS relevant." 
   18. La articolul 30, alineatul (1) se modifică şi va avea următorul cuprins: 
   " (1) Se prezumă că titularii de TIPS DCA cunosc, respectă şi pot demonstra autorităţilor competente relevante conformitatea lor cu toate obligaţiile care le revin în legătură cu legislaţia privind protecţia datelor. Se prezumă că aceştia cunosc şi respectă toate obligaţiile care le revin în legătură cu legislaţia privind prevenirea spălării banilor, finanţarea terorismului, activităţile nucleare cu risc de proliferare şi dezvoltarea unor sisteme de transport al armelor nucleare, în special în ceea ce priveşte implementarea măsurilor adecvate cu privire la orice plăţi debitate sau creditate în TIPS DCA ale acestora. Titularii de TIPS DCA se asigură că sunt informaţi cu privire la politica furnizorului lor ales de servicii de reţea privind extragerea datelor înainte de a intra în raporturi contractuale cu respectivul furnizor de servicii de reţea." 
   19. După articolul 35 se introduce un nou articol, articolul 351, care va avea următorul cuprins: 
   "
ARTICOLUL 351
Dispoziţie tranzitorie
 
    Odată ce sistemul TARGET este operaţional şi TARGET2 încetează să mai fie operaţional, titularii de TIPS DCA devin titulari de TIPS DCA în sistemul TARGET." 
   20. La apendicele I, tabelul de la punctul 2 se modifică şi va avea următorul cuprins: 
   "

Tip de mesaj Denumire mesaj
Pacs.002 FIToFIPayment Status Report
Pacs.004 PaymentReturn
Pacs.008 FIToFICustomerCreditTransfer
Pacs.028 FIToFIPaymentStatusRequest
camt.003 GetAccount
camt.004 ReturnAccount
camt.005 GetTransaction
camt.006 ReturnTransaction
camt.011 ModifyLimit
camt.019 ReturnBusinessDayInformation
camt.025 Receipt
camt.029 ResolutionOfInvestigation
camt.050 LiquidityCreditTransfer
camt.052 BankToCustomerAccountReport
camt.053 BankToCustomerStatement
camt.054 BankToCustomerDebitCreditNotification
camt.056 FIToFIPaymentCancellationRequest
acmt.010 AccountRequestAcknowledgement
acmt.011 AccountRequestRejection
acmt.015 AccountExcludedMandateMaintenanceRequest
reda.016 PartyStatusAdviceV01
reda.022 PartyModificationRequestV01"

   21. La apendicele I punctul 6 alineatul (1), litera (b) se modifică şi va avea următorul cuprins: 
   " (b) modul «utilizator-către-aplicaţie» (U2A) 
    U2A permite comunicarea directă între un titular de TIPS DCA şi TIPS GUI. Informaţiile sunt afişate într-un browser care rulează pe un sistem PC. Pentru accesul la U2A, infrastructura IT trebuie să accepte fişiere de tip cookies. Detalii suplimentare sunt prevăzute în Manualul utilizatorului TIPS (TIPS User Handbook)." 
   22. La apendicele IV, punctul 2 se abrogă; 
   23. Apendicele V se abrogă. 
   Art. IV. -   Anexa IV la Ordinul Băncii Naţionale a României nr. 4/2015 privind funcţionarea sistemului de plăţi TARGET2 - România, publicat în Monitorul Oficial al României, Partea I, nr. 436 şi 436 bis din 18 iunie 2015, cu modificările şi completările ulterioare, se modifică şi se completează după cum urmează: 
   1. La punctul 14 subpunctul (14), litera (d) se modifică şi va avea următorul cuprins: 
   " (d) ordinele SWIFT care utilizează mesajele MT 103 nu pot fi transmise." 
   2. La punctul 18 subpunctul (1) litera (b), primul rând al
tabelului se modifică după cum urmează:
 

"Interval De la (milioane EUR/zi de operare) La (milioane EUR/zi de operare) Comision anual (EUR) Comision lunar (EUR)"

   3. La punctul 18 subpunctul (1) litera (d), ultimul paragraf se abrogă. 
   Art. V. -   La Ordinul Băncii Naţionale a României nr. 4/2015 privind funcţionarea sistemului de plăţi TARGET2 - România, publicat în Monitorul Oficial al României, Partea I, nr. 436 şi 436 bis din 18 iunie 2015, cu modificările şi completările ulterioare, după anexa IV se introduce o nouă anexă, anexa IVa, cu următorul cuprins: 
   "
ANEXA IVa

 
SERVICIUL TIPS
pentru sistemele auxiliare care decontează plăţi instant
 
   1. Definiţii 
    În sensul prezentei anexe şi în completarea definiţiilor de la articolul 1 din anexa IIb: 
   (1) «bancă centrală a sistemului auxiliar» [ancillary system central bank (ASCB)] înseamnă banca centrală din Eurosistem cu care sistemul auxiliar relevant care decontează plăţi instant în registrele proprii a încheiat un acord bilateral pentru decontarea plăţilor instant ale sistemului auxiliar; 
   (2) «volum brut de bază» (underlying gross volume) înseamnă numărul de plăţi instant decontate în registrele proprii ale sistemelor auxiliare şi permise din fonduri deţinute în contul tehnic TIPS AS. Nu sunt incluse plăţile instant către sau dinspre TIPS DCA sau alte conturi tehnice TIPS AS; 
   (3) «entitate ordonatoare» (instructing party) înseamnă o entitate care a fost desemnată ca atare de un sistem auxiliar şi care este autorizată să trimită ordine de plată către Platforma TIPS şi/sau să primească ordine de plată de la Platforma TIPS în numele respectivului sistem auxiliar sau al unei entităţi adresabile a respectivului sistem auxiliar. 
   2. Intrarea ordinelor de plată în sistem şi irevocabilitatea acestora 
    Aplicarea articolului 20 din anexa IIb, referitor la momentul intrării ordinelor de plată instant, a răspunsurilor pozitive la solicitările de returnare, a ordinelor de transfer de lichiditate din TIPS DCA într-un cont tehnic TIPS AS şi a ordinelor de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA în sistemul component al TARGET2 relevant nu produce niciun efect asupra regulilor sistemelor auxiliare care stipulează un moment de intrare în sistemul auxiliar şi/sau de irevocabilitate a ordinelor de transfer iniţiate într-un astfel de sistem auxiliar anterior momentului intrării respectivului ordin de plată în sistemul component al TARGET2 respectiv. 
   3. Conturi deschise pentru facilitarea decontării plăţilor instant în registrele proprii ale sistemelor auxiliare 
   (1) Pentru a facilita decontarea plăţilor instant aferente sistemelor auxiliare în TIPS se deschide un cont tehnic TIPS AS. 
   (2) Un cont tehnic TIPS AS este identificat prin intermediul unui număr de cont unic de până la 34 de caractere care va avea structura prezentată în tabelul următor.

 

Denumire (Name) Format Cuprins
Partea A Tip de cont Exact 1 caracter «A» pentru contul tehnic al sistemului auxiliar
Codul de ţară al băncii centrale Exact 2 caractere Cod de ţară ISO 3166-1
Codul monedei Exact 3 caractere EUR
Partea B Titular de cont Exact 11 caractere Codul BIC
Partea C Subclasificarea contului Până la 17 caractere Text liber (alfanumeric) furnizat de titularul de cont

   (3) Conturile tehnice TIPS AS pot avea pe parcursul zilei doar sold zero sau pozitiv, iar pe perioada nopţii pot menţine un sold pozitiv. Soldul de pe perioada nopţii al contului este supus regulilor privind remunerarea care se aplică fondurilor de garantare în temeiul articolului 11 din prezenta orientare. 
   4. Procedura de decontare 
   (1) Sistemul auxiliar utilizează un cont tehnic TIPS AS pentru a colecta lichiditatea necesară rezervată de membrii compensatori pentru a-şi finanţa poziţiile. 
   (2) La cerere, sistemul auxiliar este informat cu privire la creditarea şi debitarea contului său tehnic TIPS AS. 
   (3) Un sistem auxiliar poate trimite ordine de plată instant şi răspunsuri pozitive la solicitările de returnare către orice titular de TIPS DCA sau către orice sistem auxiliar din TIPS. Un sistem auxiliar primeşte şi procesează ordine de plată instant, solicitări de returnare şi răspunsuri pozitive la solicitările de returnare din partea oricărui titular de TIPS DCA sau a oricărui sistem auxiliar TIPS. 
   5. Interfaţa pentru utilizator 
   (1) Titularul de cont tehnic TIPS AS are acces la Platforma TIPS în modul A2A şi se poate conecta, de asemenea, în modul U2A fie direct, fie prin intermediul uneia sau mai multor entităţi ordonatoare. 
   (2) Accesul la Platforma TIPS permite titularilor de cont tehnic TIPS AS: 
   (a) să acceseze informaţii referitoare la conturile proprii şi să îşi administreze CMB; 
   (b) să iniţieze ordine de transfer de lichiditate dintr-un cont tehnic TIPS AS în TIPS DCA; şi 
   (c) să gestioneze anumite date statice. 
   6. Lista comisioanelor şi facturarea 
   (1) Un sistem auxiliar din TIPS este supus următoarelor două comisioane: 
   (a) un comision per tranzacţie, calculat pe aceeaşi bază ca şi lista de comisioane pentru titularii de cont TIPS DCA conform apendicelui IV din anexa IIb; 
   (b) un comision bazat pe volumul brut de bază al plăţilor instant decontate pe platforma proprie a sistemului auxiliar şi permise de poziţiile prefinanţate din contul tehnic TIPS AS. Comisionul este de 0.0005 EUR per plată instant. 
   (2) Volumul brut de bază al plăţilor instant ale sistemului auxiliar se calculează de către banca centrală a sistemului auxiliar în fiecare lună pe baza volumului brut de bază din luna precedentă, rotunjit în jos la cea mai apropiată zecime şi raportat de sistemul auxiliar, cel târziu până în a treia zi de operare a lunii următoare. Volumul brut calculat se aplică la calculul comisionului în cursul lunii următoare. 
   (3) Fiecare sistem auxiliar primeşte o factură de la banca centrală a sistemului auxiliar pentru luna anterioară, pe baza comisioanelor menţionate la subpunctul (1) de la acest punct, nu mai târziu de a noua zi de operare a lunii următoare. Plăţile se efectuează nu mai târziu de a paisprezecea zi de operare a lunii în care este emisă factura în contul indicat de banca centrală a sistemului auxiliar sau se debitează dintr-un cont indicat de sistemul auxiliar. 
   (4) În scopul listelor de comisioane şi al facturării în temeiul prezentei anexe: 
   (a) un sistem auxiliar care a fost desemnat ca sistem în temeiul Directivei 98/26/CE este tratat ca un sistem auxiliar separat, chiar dacă este operat de o entitate juridică care operează un alt sistem auxiliar; 
   (b) un sistem auxiliar care nu a fost desemnat ca sistem în temeiul Directivei 98/26/CE este tratat ca sistem auxiliar separat în cazul în care îndeplineşte următoarele criterii: 
   (i) este constituit ca un acord formal, sub forma unui contract sau a unui instrument legislativ; 
   (ii) are mai mult de un [membru] [participant] [cu excepţia operatorului de sistem al sistemului respectiv]; 
   (iii) este stabilit în scopul compensării şi/sau decontării plăţilor şi/sau a instrumentelor financiare între participanţi; şi 
   (iv) aplică reguli comune şi acorduri standardizate pentru compensarea şi decontarea plăţilor şi a instrumentelor financiare între participanţi. 
   (5) Comisioanele, în scopul facturării în temeiul prezentului articol pentru perioada 1 decembrie 2021-28 februarie 2022, se ridică la media comisioanelor totale facturate pentru lunile septembrie, octombrie şi noiembrie 2021." 
   Art. VI. -   Prezentul ordin intră în vigoare la data de 21 noiembrie 2021, cu excepţia punctelor 1, 9 şi 11 ale art. II din prezentul ordin, care vor intra în vigoare la data de 13 iunie 2022. 
   Art. VII. -   Prezentul ordin se publică în Monitorul Oficial al României, Partea I.

 

Preşedintele Consiliului de administraţie al Băncii Naţionale a României,
Mugur Constantin Isărescu

    Bucureşti, 5 noiembrie 2021. 
    Nr. 5. 

T: +4031 132 2321
E: press@bnro.ro