Banca Națională a României - BNR

Regulamentul nr. 3/2018 privind monitorizarea infrastructurilor pieței financiare și a instrumentelor de plată

Modificări (1)

Text publicat în M.Of. al României.

În vigoare de la 16 august 2018

Acest document poate avea modificări ulterioare. Cumpărați documentul în formă actualizată sau alegeți un abonament Lege5 care permite accesul la orice formă actualizată.

Cumpără forma actualizată

sau autentifică-te

  •  

Având în vedere prevederile art. 2 alin. (2) lit. b) și ale art. 22 alin. (1) și (2) din Legea nr. 312/2004 privind Statutul Băncii Naționale a României, ale art. 404, 407 și art. 408 alin. (1) din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, ale art. 13 alin. (4) din Legea nr. 253/2004 privind caracterul definitiv al decontării în sistemele de plăți și în sistemele de decontare a operațiunilor cu instrumente financiare, cu modificările și completările ulterioare, ale art. 187 alin. (2) din Legea nr. 126/2018 privind piețele de instrumente financiare, ale art. 62 din Ordonanța de urgență a Guvernului nr. 113/2009 privind serviciile de plată, aprobată cu modificări prin Legea nr. 197/2010, cu modificările și completările ulterioare, ale art. 61 din Legea nr. 127/2011 privind activitatea de emitere de monedă electronică, cu modificările ulterioare,

în temeiul art. 48 alin. (2) din Legea nr. 312/2004, art. 405 din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare, art. 186 alin. (1) din Ordonanța de urgență a Guvernului nr. 113/2009 privind serviciile de plată, aprobată cu modificări prin Legea nr. 197/2010, cu modificările și completările ulterioare,

Banca Națională a României emite prezentul regulament.

TITLUL I Obiect, domeniu de aplicare și definiții

Art. 1. -

(1) Prezentul regulament stabilește cerințele pentru:

a) autorizarea și monitorizarea infrastructurilor pieței financiare, denumite în continuare IPF;

b) monitorizarea participanților la aceste infrastructuri;

c) punerea în circulație, emiterea și monitorizarea instrumentelor de plată.

(2) Prezentul regulament se aplică:

a) infrastructurilor pieței financiare, inclusiv administratorilor acestora, care funcționează pe teritoriul României;

b) participanților la infrastructurile pieței financiare menționate la lit. a);

c) prestatorilor de servicii de plată care pun în circulație și/sau acceptă instrumente de plată pe teritoriul României.

(3) IPF operate pe teritoriul României de către Eurosistem, Băncii Centrale Europene și Băncii Naționale a României nu li se aplică prevederile următoarelor articolele: art. 6-8 Cerințele generale privind guvernanța, art. 16 alin. (3) - (5) Cerințe privind cadrul pentru gestionarea cuprinzătoare a riscurilor, art. 17-22 Cerințe pentru gestionarea riscului de credit, art. 23-29 Cerințe privind aranjamentele de garantare, art. 72-77 Cerințe privind riscul general de afaceri, art. 78-81 Cerințe privind riscul de custodie și de investiție și art. 89-91 Cerințe privind criteriile de acces și participare.

Art. 2. -

În înțelesul prezentului regulament, termenii și expresiile de mai jos au următoarele semnificații:

1. acceptant - un prestator de servicii de plată care încheie un contract cu beneficiarul plății privind acceptarea și prelucrarea tranzacțiilor de plată cu instrumente de plată electronică, efectuate în scopul executării unui transfer de fonduri către beneficiarul plății;

2. administrator al unei infrastructuri a pieței financiare - persoana juridică care stabilește regulile de funcționare a unei infrastructuri a pieței financiare și este responsabil legal de operarea infrastructurii;

3. agent de decontare sau bancă de decontare - are semnificația prevăzută la art. 2 alin. (1) pct. 4 din Legea nr. 253/2004 privind caracterul definitiv al decontării în sistemele de plăți și în sistemele de decontare a operațiunilor cu instrumente financiare, cu modificările și completările ulterioare;

4. agent nostro - instituție de credit utilizată de participanții la o infrastructură a pieței financiare pentru decontare;

5. autentificare - o procedură care permite prestatorului de servicii de plată să verifice identitatea unui utilizator al serviciilor de plată sau valabilitatea utilizării unui anumit instrument de plată, inclusiv utilizarea elementelor de securitate personalizate ale utilizatorului;

6. bancă custode - instituție de credit ce păstrează și protejează activele financiare ale terților;

7. beneficiar al plății - persoana fizică sau juridică care este destinatarul vizat al fondurilor care au făcut obiectul unei operațiuni de plată;

8. card - dispozitiv fizic sau instrument virtual care poate fi utilizat de către deținătorul său pentru a efectua operațiuni de plată. În această categorie sunt incluse, dar fără a se limita la, cardurile de debit, de credit, de debit amânat, preplătit, virtual;

9. card de debit - cardul prin intermediul căruia utilizatorul dispune de fondurile din contul său de plăți pentru a efectua operațiuni de plată;

10. card de debit amânat - cardul prin intermediul căruia utilizatorul dispune de fondurile oferite de instituția emitentă sub forma unei linii de credit pentru a efectua operațiuni de plată. Întreaga sumă datorată instituției emitente trebuie rambursată integral până la sfârșitul perioadei specificate în contract;

11. card de credit - cardul prin intermediul căruia utilizatorul dispune de fondurile oferite de instituția emitentă sub forma unei linii de credit pentru a efectua operațiuni de plată. Suma datorată poate fi rambursată total sau parțial, existând obligația de rambursare a sumei minime stabilite în contract până la data stabilită în acesta;

12. card preplătit - cardul reîncărcabil sau nereîncărcabil, personalizat sau nepersonalizat, prin intermediul căruia utilizatorul dispune de fondurile depuse în scopul efectuării unor operațiuni de plată specifice;

13. card virtual - cardul fără suport fizic, utilizat pentru efectuarea plăților în mediul on-line;

14. clearing - procesul de transmitere, reconciliere și, după caz, confirmare a ordinelor de transfer înainte de decontare, cu posibilitatea de includere a compensării pe bază netă a ordinelor de transfer și de stabilire a pozițiilor finale pentru decontare;

15. compensare - conform prevederilor art. 2 alin. (1) pct. 11 din Legea nr. 253/2004 privind caracterul definitiv al decontării în sistemele de plăți și în sistemele de decontare a operațiunilor cu instrumente financiare, cu modificările și completările ulterioare;

16. condiții de piață extreme, dar plauzibile - set cuprinzător de condiții istorice și ipotetice, incluzând cele mai volatile perioade care au fost suportate de piețele deservite de infrastructura pieței financiare;

17. conducere - directori executivi, respectiv membri ai consiliului de administrație, în cazul sistemului de conducere unitar, care sunt implicați în gestionarea zilnică a activității administratorului infrastructurii pieței financiare sau membrii directoratului administratorului infrastructurii pieței financiare într-un sistem dualist;

18. conexiune - un set de contracte și acorduri operaționale între două sau mai multe infrastructuri ale pieței financiare care conectează aceste infrastructuri direct sau printr-un intermediar;

19. conexiune directă - conexiune stabilită între două infrastructuri ale pieței financiare, fără a exista intermedierea realizată de un terț;

20. conexiune indirectă - conexiune stabilită între două infrastructuri ale pieței financiare prin intermediul unui terț care nu este o infrastructură a pieței financiare;

21. conexiune releu - conexiune care implică minimum trei infrastructuri ale pieței financiare, în care o infrastructură a pieței financiare realizează intermedierea între alte două infrastructuri ale pieței financiare. Conexiunea releu poate fi percepută ca un lanț de două conexiuni directe;

22. continuitatea activității - starea de funcționare neîntreruptă a operațiunilor, ce presupune măsuri organizaționale, tehnice și de personal utilizate pentru a asigura continuitatea serviciilor critice după o întrerupere cauzată de producerea unui eveniment perturbator și pentru reluarea treptată a tuturor serviciilor în cazul unui eveniment perturbator major, prelungit sau cu efecte pe scară largă;

23. consiliu - consiliul de administrație și/sau consiliul de supraveghere al administratorului infrastructurii pieței financiare;

24. contraparte centrală (CPC) - conform prevederilor art. 2 pct.1 din Regulamentul (UE) nr. 648/2012 al Parlamentului European și al Consiliului privind instrumentele financiare derivate extrabursiere, contrapărțile centrale și registrele centrale de tranzacții;

25. dată prevăzută pentru decontare - ziua în care fondurile și/sau instrumentele financiare sunt datorate și trebuie să fie puse la dispoziția beneficiarului acestora, în conformitate cu regulile infrastructurii pieței financiare respective;

26. decontare finală - transferul necondiționat și irevocabil al fondurilor și/sau instrumentelor financiare sau stingerea unei obligații de către o infrastructură a pieței financiare sau de către participanții la aceasta, în concordanță cu prevederile contractuale;

27. decontare în banii băncii centrale - serviciul furnizat de o bancă centrală, în calitate de agent de decontare pentru o infrastructură a pieței financiare, pentru stingerea obligațiilor de plată prin efectuarea de înregistrări în conturile de decontare deschise și administrate de banca centrală, ale participanților la acea IPF sau ale agenților nostro;

28. decontare în banii băncii comerciale - serviciul furnizat de o bancă comercială, în calitate de agent de decontare pentru o infrastructură a pieței financiare, pentru stingerea obligațiilor de plată prin efectuarea de înregistrări în conturile de decontare deschise și administrate de banca comercială, ale participanților la acea IPF sau ale agenților nostro;

29. depozitar central de instrumente financiare (DC) - are semnificația prevăzută la art. 2 alin. (1) pct. 1 din Regulamentul (UE) nr. 909/2014;

30. emitent - prestator de servicii de plată care emite și pune la dispoziția deținătorului un instrument de plată electronică, în baza unui contract încheiat cu deținătorul;

31. expuneri curente - pierderea financiară pe care administratorul unei infrastructuri a pieței financiare sau participanții la aceasta ar suporta-o imediat dacă unul dintre participanți nu ar putea să își îndeplinească obligațiile rezultate din participarea la respectiva infrastructură a pieței financiare. Valoarea expunerii este stabilită ca maxim dintre zero și valoarea de piață sau costul de înlocuire a unei tranzacții sau a unui portofoliu de tranzacții cu o contrapartidă, care s-ar pierde implicit ca urmare a imposibilității contrapartidei de a-și îndeplini obligațiile asumate;

32. expunere la riscul de credit - o sumă sau valoare expusă riscului ca un participant să nu o deconteze în întregime, atunci când este scadentă sau la orice moment ulterior;

33. externalizarea - utilizarea de către o entitate a unui furnizor extern, în vederea desfășurării de către acesta, pe bază contractuală și în mod continuu, a unor activități efectuate în mod obișnuit de către entitatea în cauză;

34. furnizor de lichiditate - o entitate cu care o infrastructură a pieței financiare a încheiat un acord de furnizare a fondurilor;

35. furnizor de serviciu critic - furnizor al unui serviciu care este indispensabil pentru funcționarea unei infrastructuri a pieței financiare, a unui participant, a unui prestator de servicii de plată. În categoria furnizorilor de servicii critice sunt incluse și entitățile către care au fost externalizate activități, servicii sau funcții critice;

36. garanție - orice activ care se poate valorifica, inclusiv o sumă de bani, instrumente financiare și creanțe private, și care face obiectul oricărei forme de garantare, al unui contract de report ori al unui contract similar și care este constituit în scopul garantării drepturilor și obligațiilor care pot rezulta în legătură cu participarea la un sistem sau care este pus la dispoziția Băncii Naționale a României ori a băncilor centrale din statele membre ale Spațiului Economic European sau a Băncii Centrale Europene;

37. guvernanță - set de relații între proprietarii infrastructurii pieței financiare, consiliu, conducere și alte părți relevante ce includ participanți, autorități, clienți ai participanților, infrastructuri ale pieței financiare interdependente și piața deservită;

38. infrastructură a pieței financiare (IPF) - sistem multilateral organizat între instituțiile participante, inclusiv administratorul infrastructurii pieței financiare, utilizat pentru clearing, decontare sau înregistrare a plăților sau a tranzacțiilor cu instrumente financiare, inclusiv a instrumentelor financiare derivate, sau a altor tranzacții financiare. În sensul prezentului regulament, în categoria infrastructurilor pieței financiare sunt incluse sistemele de plăți și sistemele de decontare a operațiunilor cu instrumente financiare din cadrul depozitarilor centrali și contrapărților centrale;

39. instrucțiune critică - ordin de transfer care trebuie efectuat cu prioritate, în cazul apariției unei perturbări, pentru evitarea manifestării și propagării riscurilor în cadrul unei infrastructuri a pieței financiare sau a riscului sistemic;

40. instrument de plată - un dispozitiv sau un set de proceduri care permite transferul de fonduri de la plătitor la beneficiar. Acestea includ instrumentele de plată electronică și cele pe suport hârtie;

41. instrument de plată electronică - un card sau un instrument de plată electronică cu acces la distanță;

42. instrument de plată electronică cu acces la distanță - set de proceduri, care se bazează pe o soluție informatică, de tipul: internet-banking, home-banking, phone-banking, mobile- banking, care permite utilizatorului inițierea de operațiuni de plată, în baza fondurilor de care dispune;

43. marjă - garanție constituită în favoarea contrapartidei pentru a proteja împotriva expunerilor curente sau potențiale viitoare cauzate de evoluția prețului de piață sau a eventualei incapacități de îndeplinire a obligațiilor;

44. membru independent al consiliului - un membru neexecutiv al consiliului care nu are nicio relație de afaceri, familială sau de altă natură care creează un conflict de interese în legătură cu IPF sau administratorul IPF, acționarii majoritari ai acestora, conducerea acestora sau participanții la acestea și care nu a avut astfel de relații în cei 2 ani care precedă numirea sa în consiliu;

45. modificare majoră - schimbarea semnificativă a arhitecturii infrastructurii pieței financiare, introducerea unor noi funcționalități ori activități sau schimbări cu un impact semnificativ asupra profilului de risc al infrastructurii pieței financiare;

46. modificare minoră - modificare care nu afectează semnificativ profilul de risc al infrastructurii pieței financiare sau arhitectura acesteia;

47. monedă electronică - are semnificația prevăzută la art. 4 lit. f) din Legea nr. 127/2011, cu modificările și completările ulterioare;

48. monitorizare - funcție a băncii centrale prin care se urmărește promovarea funcționării sigure și eficiente a infrastructurilor pieței financiare, precum și evitarea riscului sistemic, constând în: (i) obținerea de informații cu privire la arhitectura și funcționarea infrastructurilor pieței financiare prezente sau planificate, emiterea, acceptarea și utilizarea instrumentelor de plată și a monedei electronice, (ii) evaluarea informațiilor obținute și (iii) inducerea de schimbări ori dispunerea unor măsuri de remediere și sancțiuni;

49. operațiune de plată - acțiune inițiată de plătitor sau de o altă persoană în numele și pe seama plătitorului ori de beneficiarul plății cu scopul de a depune, de a transfera sau de a retrage fonduri, indiferent de orice obligații subsecvente între plătitor și beneficiarul plății;

50. ordin de plată - o dispoziție a unui plătitor sau a unui beneficiar al plății către prestatorul său de servicii de plată prin care se solicită executarea unei operațiuni de plată;

51. ordin de transfer - așa cum este definit prin prevederile art. 2 alin. (1) pct. 9 din Legea nr. 253/2004 privind caracterul definitiv al decontării în sistemele de plăți și în sistemele de decontare a operațiunilor cu instrumente financiare, cu modificările și completările ulterioare;

52. participant - entitate care este identificată sau recunoscută de un administrator al unei infrastructuri a pieței financiare și căreia i se permite, direct sau indirect, să trimită ordine de transfer către respectiva infrastructură a pieței financiare și care este capabilă să primească ordine de transfer de la aceasta;

53. participant critic - un participant la o infrastructură a pieței financiare care, datorită volumelor sau valorilor tranzacțiilor sau serviciilor prestate către acea infrastructură a pieței financiare, în cazul unei probleme operaționale majore cu care s-ar confrunta acest participant, poate afecta semnificativ ceilalți participanți sau infrastructura pieței financiare;

54. participant direct - o entitate juridică care are o relație contractuală cu un administrator al unei IPF, are permisiunea să trimită ordine de transfer către acea IPF și este capabilă să primească ordine de transfer de la aceasta;

55. participant indirect - o entitate juridică care nu are acces direct la serviciile unei IPF și ale cărei ordine de transfer sunt compensate, decontate și înregistrate de IPF printr-un participant direct, în baza unei relații contractuale pe care un participant indirect o are cu un participant direct;

56. părți interesate relevante - participanți, alte infrastructuri ale pieței financiare care au impact asupra riscurilor specifice unei infrastructuri a pieței financiare și, de la caz la caz, alți actori afectați de pe piață;

57. plan de lichidare ordonată - plan elaborat de administratorul infrastructurii pieței financiare pentru închiderea ordonată a infrastructurii;

58. plan de redresare - plan elaborat de administratorul infrastructurii pieței financiare pentru restabilirea bunei funcționări a infrastructurii pieței financiare;

59. plătitor - persoana fizică sau juridică care este titularul unui cont de plăți și care autorizează un ordin de plată din acel cont de plăți sau, în cazul în care nu există un cont de plăți, persoana fizică sau juridică care emite un ordin de plată;

60. portabilitate - aspectele operaționale aferente transferurilor pozițiilor contractuale, de fonduri sau de instrumente financiare de la o infrastructură a pieței financiare sau de la un participant la o altă infrastructură a pieței financiare sau participant;

61. prestator de servicii de plată - entitate autorizată să presteze servicii de plată pe teritoriul României, respectiv instituții de credit, instituții de plată și instituții emitente de monedă electronică;

62. punerea în circulație - punerea la dispoziția clienților a unui instrument de plată, în baza unui contract încheiat cu aceștia;

63. reziliența cibernetică - capacitatea unei IPF de a: anticipa amenințările cibernetice, rezista la atacurile cibernetice, limita amploarea consecințelor și relua activitatea după atacuri cibernetice;

64. risc de credit - riscul ca o contraparte, indiferent dacă este participant sau altă entitate, să nu își poată îndeplini în întregime obligațiile financiare atunci când acestea devin scadente sau oricând în viitor;

65. risc de custodie - riscul de a suporta o pierdere a activelor deținute în custodie din cauza insolvenței, neglijenței, fraudei, administrării defectuoase sau evidenței necorespunzătoare ale custodelui;

66. risc de decontare - riscul ca decontarea fondurilor sau a instrumentelor financiare în cadrul unei infrastructuri a pieței financiare să nu aibă loc integral la data preconizată pentru decontare;

67. risc general de afaceri - orice depreciere potențială a situației financiare a administratorului unei infrastructuri a pieței financiare, ca urmare a unui declin al încasărilor sau a unei creșteri a cheltuielilor acestuia, astfel încât cheltuielile depășesc încasările și conduc la o pierdere care trebuie acoperită din capitalul propriu;

68. risc de investiție - riscul de pierdere cu care se confruntă un administrator al unei infrastructuri a pieței financiare sau un participant atunci când administratorul infrastructurii investește resursele proprii sau ale participanților;

69. risc juridic - riscul care rezultă din neaplicarea sau aplicarea defectuoasă a cadrului legal sau de reglementare sau a prevederilor contractuale, de obicei determinând o pierdere;

70. risc de lichiditate - riscul ca o contraparte, participant sau altă entitate să nu dispună de suficiente fonduri care să îi permită să își îndeplinească integral obligațiile asumate la scadență, deși, în viitor, ar putea avea fonduri suficiente în acest sens;

71. risc operațional - riscul ca deficiențele sistemelor de informații sau ale proceselor interne, erorile umane, deficiențele în administrare sau perturbările provocate de evenimente externe sau de servicii externalizate să conducă la reducerea, deteriorarea sau întreruperea serviciilor furnizate de administratorul unei infrastructuri a pieței financiare sau de emitenții/acceptanții instrumentelor de plată;

72. risc de piață - riscul înregistrării de pierderi, în poziții bilanțiere și extrabilanțiere, care rezultă din variația prețurilor de pe piață;

73. risc principal - riscul ca o contraparte să piardă întreaga valoare implicată într-o tranzacție, respectiv riscul ca un vânzător al unui activ financiar să livreze activul în mod irevocabil, dar să nu primească contravaloarea acestuia, sau riscul ca un cumpărător al unui activ financiar să plătească pentru un activ în mod irevocabil și să nu îl primească;

74. risc sistemic - riscul ca neîndeplinirea obligațiilor ce revin unui participant sau administratorului infrastructurii pieței financiare din participarea la o infrastructură să determine alți participanți și/sau administratorul infrastructurii să nu își poată îndeplini obligațiile atunci când acestea devin scadente, generând eventuale efecte de contagiune care ar amenința stabilitatea sau încrederea în sistemul financiar;

75. semnificativ - califică un risc, o dependență și/sau o modificare ce poate afecta capacitatea unei entități de a funcționa sau de a furniza servicii conform așteptărilor;

76. serviciu critic - un serviciu esențial pentru funcționarea unei infrastructuri a pieței financiare sau a unui prestator de servicii de plată, a cărui indisponibilitate sau absență poate determina apariția unei perturbări majore în funcționarea normală și care nu poate fi reprodus sau a cărui reproducere ar presupune costuri care nu sunt rezonabile;

77. siguranță în funcționare - modalitate de gestionare a riscurilor specifice infrastructurii pieței financiare, respectiv a instrumentului de plată, în scopul asigurării funcționării conform nivelurilor de calitate a serviciilor și/sau a orarului de funcționare asumat, fără a afecta în mod negativ încrederea participanților și a publicului;

78. sistem de decontare a operațiunilor cu instrumente financiare (SD) - un aranjament formal între trei sau mai mulți participanți, fără a include posibile bănci de decontare, contrapărți centrale, case de compensare sau participanți indirecți, cu reguli comune și aranjamente standardizate, a cărui activitate constă în executarea ordinelor de transfer de instrumente financiare;

79. sistem de plăți (SP) - un aranjament formal între trei sau mai mulți participanți, fără a include posibile bănci de decontare, contrapărți centrale, case de compensare sau participanți indirecți, cu reguli comune și aranjamente standardizate pentru executarea ordinelor de transfer de fonduri între participanți;

80. sistem de plăți de mare valoare - sistem de plăți care procesează ordine de transfer de mare valoare și/sau urgențe;

81. sistem de plăți de mică valoare - sistem de plăți care procesează ordine de transfer de mică valoare inițiate cu instrumente de plată de tipul transferurilor de credit, cecurilor, cambiilor, biletelor la ordin, cardurilor etc.;

82. situație de urgență - un eveniment, o situație sau o împrejurare care are capacitatea de a determina nefuncționarea sau perturbarea operațiunilor, serviciilor sau funcțiilor unei IPF, inclusiv perturbarea sau împiedicarea decontării finale;

83. societate afiliată - o societate care îl controlează pe participant sau care este controlată de acesta sau care se află sub același control ca participantul. Controlul unei societăți este definit drept: a) deținerea în proprietate, controlul sau deținerea a cel puțin 20 % sau mai mult dintr-o clasă de acțiuni care dau drept de vot în cadrul societății; sau b) consolidarea societății în scopul raportării financiare;

84. teste de stres - cuantificarea expunerilor la riscul de credit și de lichiditate care ar rezulta din evoluția și volatilitatea prețurilor în scenarii extreme, dar plauzibile.

TITLUL II Dispoziții generale

CAPITOLUL I Cerințe generale aplicabile administratorilor infrastructurilor pieței financiare

SECȚIUNEA 1 Cerințele privind siguranța juridică

Art. 3. -

(1) În vederea asigurării unui climat de siguranță din punct de vedere juridic, administratorul IPF evaluează măsura în care legislația aplicabilă în toate sistemele juridice relevante asigură un grad ridicat de certitudine și sprijină fiecare aspect semnificativ al activităților IPF operat de acesta. În acest sens, administratorul IPF stabilește normele și procedurile IPF și încheie contracte care sunt clare și în conformitate cu legislația aplicabilă în toate sistemele juridice relevante.

(2) În aplicarea prevederilor alin. (1) administratorul IPF dispune următoarele măsuri:

a) comunică Băncii Naționale a României, participanților și, dacă este cazul, clienților participanților, într-un mod clar și ușor de înțeles, legislația, normele, procedurile și contractele aplicabile pentru funcționarea IPF;

b) ia măsurile necesare pentru a se asigura că normele, procedurile și contractele sale produc efecte juridice în toate sistemele juridice relevante și depune toate diligențele pentru ca acțiunile pe care le ia în baza acestor norme, proceduri și contracte să nu fie anulate, reversibile sau suspendate;

c) identifică și diminuează riscurile care decurg din orice potențial conflict de legi, în măsura în care își desfășoară activitatea în mai multe sisteme juridice.

SECȚIUNEA a 2-a Cerințele generale privind guvernanța

Art. 4. -

(1) În vederea asigurării unui cadru de administrare responsabil, administratorul IPF stabilește obiective documentate care acordă prioritate ridicată siguranței și eficienței IPF.

(2) Obiectivele stabilite potrivit alin. (1) susțin în mod explicit stabilitatea financiară și alte considerente relevante de interes public, în special piețele financiare eficiente și deschise.

Art. 5. -

(1) Administratorul IPF deține mecanisme de guvernanță documentate și efective, care stabilesc ierarhii clare și directe de responsabilitate și răspundere.

(2) La solicitarea Băncii Naționale a României, a deținătorilor sau a participanților, administratorul IPF pune la dispoziția acestora orice informații cu privire la mecanismele prevăzute la alin. (1).

(3) Administratorul IPF trebuie să facă disponibile public versiuni prescurtate ale informațiilor prevăzute la alin. (1).

Art. 6. -

(1) Administratorul IPF stabilește și definește în mod clar rolul și responsabilitățile și raporturile ierarhice ale consiliului, incluzând în mod cumulativ următoarele elemente:

a) stabilirea unor obiective strategice clare pentru IPF;

b) stabilirea unor proceduri documentate pentru funcționarea IPF, inclusiv proceduri pentru identificarea, abordarea și gestionarea conflictelor de interese ale membrilor acestuia;

c) asigurarea eficacității selectării, monitorizării și, dacă este cazul, a îndepărtării din funcție a membrilor conducerii;

d) stabilirea unor politici de compensare corespunzătoare, în conformitate cu cele mai bune practici și bazate pe realizările pe termen lung;

e) aprobarea emiterii deciziilor care au un impact semnificativ asupra profilului de risc al IPF, precum și asupra documentelor- cheie privind riscul care reglementează operațiunile IPF;

f) aprobarea și reexaminarea anuală a cadrului cuprinzător de gestionare a riscurilor, cadrului privind riscul operațional și planul aferent de continuitate a activității, planul de redresare și lichidare ordonată și planul privind capitalul, cadrele privind riscul de credit și riscul de lichiditate, cadrul privind aranjamentele de garantare care reglementează gestionarea riscurilor, strategia de investiții a IPF, precum și cadrul de reziliență cibernetică.

Art. 7. -

Consiliul își analizează cel puțin anual atât performanța de ansamblu, cât și performanța individuală a membrilor săi.

Art. 8. -

Componența consiliului asigură integritatea și o gamă adecvată de competențe tehnice, cunoștințe și experiență, atât în privința IPF, cât și a pieței financiare în general, permițând consiliului să își îndeplinească rolurile și responsabilitățile. Consiliul include membri neexecutivi și cel puțin un membru independent.

Art. 9. -

(1) Administratorul IPF stabilește și definește în mod clar rolul, responsabilitățile și raporturile ierarhice ale conducerii.

(2) Componența conducerii asigură integritatea și o gamă adecvată de competențe tehnice, cunoștințe și experiență, atât în privința IPF, cât și asupra pieței financiare în general, permițând conducerii să își îndeplinească responsabilitățile privind funcționarea și gestionarea riscurilor administratorului IPF.

(3) Sub coordonarea consiliului, responsabilitățile conducerii implică asigurarea următoarelor:

a) consecvența activităților administratorului IPF cu obiectivele, strategia și toleranța la risc a acestuia;

b) proiectarea, executarea și monitorizarea corespunzătoare a controalelor interne și a procedurilor aferente, pentru promovarea obiectivelor administratorului IPF;

c) evaluarea și testarea periodică a controalelor interne și a procedurilor aferente de către echipe de gestionare a riscului și audit intern bine pregătite și cu personal suficient;

d) implicare activă în procesul de control al riscurilor;

e) alocarea de resurse suficiente cadrului de gestionare a riscurilor IPF.

Art. 10. -

(1) Consiliul stabilește și monitorizează un cadru documentat de gestionare a riscurilor, care:

a) include politica de toleranță la risc a administratorului IPF;

b) atribuie responsabilități și răspunderi pentru deciziile privind riscul;

c) tratează procesul decizional în cursul situațiilor de criză și de urgență;

d) tratează funcțiile de control intern.

(2) Consiliul se asigură că există trei linii de apărare clare și eficace (operațiuni, gestionarea riscurilor și audit intern), care sunt separate una de cealaltă și care beneficiază de suficientă autoritate, independență, resurse și acces la consiliu.

Art. 11. -

(1) Consiliul se asigură că deciziile majore care afectează structura tehnică și funcțională a IPF, regulile și strategia de ansamblu, în special în ceea ce privește alegerea unui mecanism de compensare și decontare, structura de operare, gama de produse compensate sau decontate și utilizarea tehnologiei și procedurilor, protejează în mod corespunzător interesele legitime ale părților interesate relevante ale IPF.

(2) Administratorul IPF consultă părțile interesate relevante și, după caz, orice persoană interesată, într-un interval de timp rezonabil înainte de luarea deciziilor prevăzute la alin. (1).

SECȚIUNEA a 3-a Cerințe privind cadrul pentru gestionarea cuprinzătoare a riscurilor

Art. 12. -

În vederea asigurării și menținerii unui cadru solid de gestionare a riscurilor, administratorul IPF stabilește și menține proceduri și mecanisme adecvate pentru a identifica, măsura, monitoriza și gestiona în mod cuprinzător gama de riscuri care apar în IPF sau sunt suportate de către aceasta.

Art. 13. -

Administratorul IPF trebuie să revizuiască cel puțin anual cadrul de gestionare a riscului, care presupune îndeplinirea următoarelor cerințe:

a) include politica de toleranță la risc a administratorului IPF și instrumente corespunzătoare de gestionare a riscurilor;

b) atribuie responsabilități și răspunderi pentru deciziile privind riscul;

c) include descrierea procesului decizional în situații de urgență legate de o IPF, inclusiv a evoluțiilor de pe piețele financiare care pot avea un efect advers asupra lichidității pieței și asupra stabilității sistemului financiar național.

Art. 14. -

(1) Administratorul IPF oferă stimulente participanților și, dacă este cazul, clienților acestora, pentru a gestiona și limita riscurile pe care le induc IPF și pe care le suportă din partea acestora.

(2) În ceea ce privește participanții, administratorul IPF impune un regim de sancțiuni pecuniare eficace, proporționale și descurajante, acorduri de împărțire a pierderilor sau ambele.

Art. 15. -

Pentru o gestionare adecvată a riscurilor administratorul IPF revizuiește, cel puțin anual, riscurile semnificative pe care IPF le suportă din partea altor entități și cele pe care le induce altor entități, inclusiv IPF, bănci de decontare, furnizori de lichiditate și prestatori de servicii, ca urmare a interdependențelor dintre acestea. Administratorul IPF elaborează instrumente de gestionare a riscurilor care sunt robuste și proporționale cu nivelul identificat de risc.

Art. 16. -

(1) Administratorul IPF definește operațiunile și serviciile critice ale IPF și identifică scenarii specifice care îl pot împiedica să furnizeze aceste operațiuni și servicii critice în mod continuu și evaluează eficacitatea tuturor opțiunilor de redresare sau de lichidare ordonată.

(2) Administratorul IPF reexaminează cel puțin anual operațiunile și serviciile critice ale IPF.

(3) În baza evaluării stabilite la alin. (1), administratorul IPF pregătește un plan viabil de redresare a IPF și de lichidare ordonată.

(4) Planul de redresare și lichidare ordonată cuprinde, fără a se limita la acestea:

a) un rezumat cuprinzător al principalelor strategii de redresare și lichidare ordonată;

b) operațiunile și serviciile critice ale IPF, precum și o descriere a măsurilor necesare pentru a pune în aplicare strategiile-cheie.

(5) Administratorul IPF transmite Băncii Naționale a României informațiile necesare în vederea planificării închiderii ordonate.

SECȚIUNEA a 4-a Cerințe pentru gestionarea riscului de credit

Art. 17. -

(1) Administratorul IPF trebuie să stabilească un cadru robust de măsurare, monitorizare și gestionare a expunerilor sale la riscul de credit față de participanții săi și a expunerilor la riscul de credit între participanți, care decurg din procesele IPF de plată, compensare și decontare, și să identifice toate sursele de risc de credit.

(2) Măsurarea și monitorizarea expunerilor la riscul de credit se efectuează pe întreaga durată a zilei, utilizând informații actualizate și instrumente corespunzătoare de gestionare a riscurilor.

Art. 18. -

(1) Administratorul IPF, în cazul unui sistem de decontare pe bază netă amânată, se asigură că:

a) obligațiile financiare sunt stabilite cel târziu în momentul în care un ordin de transfer este inclus în calcularea pozițiilor de decontare netă accesibile fiecărui participant; și

b) sunt deținute suficiente resurse pentru a acoperi expunerile la riscul de credit rezultate potrivit alin. (2) și (3), cel târziu în momentul menționat la lit. a).

(2) Administratorul IPF, inclusiv cel care operează un sistem de decontare pe bază netă amânată cu garantarea decontării, care în cursul operațiunilor IPF suportă expuneri la riscul de credit față de participanții săi, își acoperă expunerea la riscul de credit față de fiecare participant utilizând garanțiile, fondurile de garantare, capitalul propriu (după deducerea sumei dedicate acoperirii riscului general de afaceri) sau alte resurse financiare echivalente.

(3) Administratorul IPF, inclusiv cel care operează un sistem de decontare pe bază netă amânată fără garantarea decontării, dar în care participanții se confruntă cu expuneri la riscul de credit care rezultă din procesele de plată, compensare și decontare ale IPF, dispune de norme sau de acorduri contractuale cu acești participanți.

(4) Normele sau acordurile contractuale prevăzute la alin. (3) trebuie să asigure că participanții vor furniza suficiente resurse, astfel cum sunt prevăzute la alin. (2), pentru a acoperi expunerile la riscul de credit care rezultă din procesele IPF de plată, compensare și decontare în raport cu cei doi participanți care, împreună cu societățile afiliate, generează în sistem cea mai mare expunere agregată la riscul de credit.

(5) Suplimentar, administratorul IPF stabilește reguli și proceduri:

a) pentru gestionarea pierderilor care rezultă direct din neîndeplinirea obligațiilor unuia sau mai multor participanți la IPF;

b) pentru alocarea pierderilor potențial neacoperite, inclusiv rambursarea oricăror fonduri pe care administratorul IPF le poate împrumuta de la furnizorii de lichiditate;

c) pentru reconstituirea, la nivelul prevăzut la alin. (2) și (4), a oricăror resurse financiare utilizate de IPF în cursul unui eveniment de criză.

Art. 19. -

(1) Administratorul unei CPC trebuie să asigure decontarea obligațiilor financiare.

(2) În sensul alin. (1), administratorul unei CPC trebuie să acopere complet expunerile curente și potențiale viitoare față de fiecare participant cu un grad ridicat de încredere, utilizând marje și alte resurse financiare prefinanțate potrivit secțiunii a 5-a și a 6-a din prezentul capitol.

(3) În situația unei CPC, care este implicată în activități cu un profil de risc mai complex sau care este de importanță sistemică în mai multe jurisdicții, administratorul trebuie să asigure deținerea unor resurse financiare suplimentare pentru a acoperi o gamă largă de scenarii potențiale de stres, care includ, fără a se limita însă la: intrarea în incapacitate de plată a acelor doi participanți și a societăților afiliate, care ar putea produce cea mai mare expunere agregată la riscul de credit pentru CPC, în condiții de piață extreme, dar plauzibile.

(4) Toate CPC trebuie să asigure deținerea unor resurse financiare suplimentare pentru a acoperi o gamă largă de scenarii potențiale de stres, care includ, fără a se limita însă la: intrarea în incapacitate de plată a acelui participant și a societăților afiliate, care ar putea produce cea mai mare expunere agregată la riscul de credit pentru CPC, în condiții de piață extreme, dar plauzibile.

(5) În toate cazurile, administratorul unei CPC documentează justificarea care stă la baza stabilirii valorii resurselor financiare totale pe care le păstrează și trebuie să dispună de aranjamente de guvernanță potrivite referitoare la această valoare.

Art. 20. -

(1) Administratorul CPC determină valoarea și testează cu regularitate, prin teste de stres riguroase, suficiența resurselor financiare totale disponibile în cazul unei intrări sau al unor intrări multiple în incapacitate de plată, în condiții de piață extreme, dar plauzibile.

(2) Administratorul unei CPC dispune de proceduri clare de raportare a rezultatelor testelor sale de stres către organismele de decizie ale CPC, precum și de utilizare a acestor rezultate pentru a evalua caracterul adecvat al resurselor sale financiare totale și pentru a le ajusta.

(3) Testele de stres sunt realizate zilnic, folosind parametri și ipoteze standard și predeterminate.

(4) Cel puțin o dată pe lună, administratorul unei CPC efectuează o analiză cuprinzătoare și amănunțită a scenariilor testelor de stres, a modelelor, a parametrilor și ipotezelor aferente, pentru a se asigura că acestea sunt adecvate pentru a determina nivelul cerut de protecție al CPC împotriva intrării în incapacitate de plată, având în vedere condițiile de piață curente și evoluția lor.

(5) Administratorul unei CPC efectuează analiza testelor de stres mai des atunci când produsele compensate sau piețele deservite sunt caracterizate de volatilitate ridicată, devin mai puțin lichide sau atunci când dimensiunea sau gradul de concentrare a pozițiilor deținute de către participanții la CPC cresc în mod semnificativ.

Art. 21. -

Administratorul unei CPC realizează o validare completă a modelului de administrare a riscului cel puțin o dată pe an.

Art. 22. -

(1) Pentru efectuarea testelor de stres, administratorul unei CPC ia în considerare efectul unei game largi de scenarii relevante de stres, atât în privința pozițiilor participanților intrați în incapacitate de plată, cât și din perspectiva posibilelor modificări de preț în perioadele de lichidare a acestor poziții.

(2) Scenariile de stres includ vârfurile istorice relevante ale volatilității prețurilor, schimbările altor factori ai pieței, precum determinanții prețului sau curbele de randament, intrările multiple în incapacitate de plată pe diverse orizonturi de timp, presiunile simultane în cadrul piețelor de finanțare și de active, precum și un spectru de scenarii de stres prospective, într-o varietate de condiții de piață extreme, dar plauzibile.

SECȚIUNEA a 5-a Cerințe privind aranjamentele de garantare

Art. 23. -

În situația în care administratorul unei IPF stabilește aranjamente de garantare pentru a gestiona riscul de credit la care se expune sau la care sunt expuși participanții, va accepta numai garanții cu risc de credit, de lichiditate și de piață scăzut.

Art. 24. -

(1) Administratorul unei IPF acceptă cu titlu de garanție numai următoarele active:

a) fonduri bănești; și

b) active cu riscuri scăzute de credit, de lichiditate și de piață, respectiv active pentru care administratorul IPF poate demonstra Băncii Naționale a României, în baza unei evaluări interne adecvate, că îndeplinesc toate condițiile următoare:

(i) au fost emise de un emitent cu risc scăzut de credit;

(ii) sunt liber transferabile fără a fi afectate de nicio constrângere juridică sau creanțe ale terților;

(iii) sunt exprimate într-o monedă al cărei risc este gestionat de administratorul IPF;

(iv) au date fiabile privind prețurile, publicate în mod periodic;

(v) nu fac altfel obiectul unor riscuri semnificative de corelare nefavorabilă;

(vi) nu sunt emise de participantul care furnizează garanția sau de o entitate care face parte din același grup cu respectivul participant, cu excepția cazului de obligațiuni garantate și numai atunci când activele din fondul de acoperire sunt separate în mod corespunzător într-un cadru juridic robust și îndeplinesc cerințele prevăzute la pct. (i)-(v).

(2) Administratorul IPF definește, documentează și aplică o metodologie obiectivă cu privire la analiza îndeplinirii condițiilor aferente evaluării interne asupra activelor, prevăzută la alin. (1) lit. b).

Art. 25. -

(1) Administratorul IPF stabilește și pune în aplicare politici și proceduri de monitorizare a calității creditului, a lichidității pieței și a volatilității prețurilor pentru fiecare activ acceptat drept garanție.

(2) Administratorul IPF monitorizează periodic, cel puțin anual, caracterul adecvat al politicilor și procedurilor prevăzute la alin. (1).

(3) Reexaminarea politicilor și procedurilor prevăzute la alin. (1) este realizată de fiecare dată când are loc o schimbare semnificativă ce afectează expunerea la risc a IPF.

(4) Administratorul IPF evaluează garanțiile la prețul pieței, cel puțin zilnic.

Art. 26. -

Administratorul IPF stabilește marje de ajustare a valorii stabile și conservatoare, le testează cel puțin anual și ține seama de condițiile pieței în situație de criză. Procedurile de ajustare a valorii sunt validate, cel puțin anual, de alt personal decât cel care a conceput și aplicat procedurile de ajustare a valorii.

Art. 27. -

Administratorul IPF ia măsuri de evitare a concentrării deținerilor de anumite active, atunci când acest lucru ar afecta semnificativ capacitatea de a lichida rapid aceste active, fără efecte adverse semnificative asupra prețului.

Art. 28. -

Administratorul IPF care acceptă garanții transfrontaliere identifică și diminuează riscurile asociate utilizării acestora și se asigură că respectiva garanție transfrontalieră poate fi utilizată în timp util.

Art. 29. -

Administratorul IPF utilizează un sistem de gestionare a garanțiilor adecvat și flexibil din punct de vedere operațional.

SECȚIUNEA a 6-a Cerințe privind marjele

Art. 30. -

(1) Administratorul unei CPC trebuie să acopere expunerile sale la riscul de credit față de participanți, pentru toate produsele, prin intermediul unui sistem efectiv de marje, determinat pe baza riscurilor și revizuit cu regularitate.

(2) Nivelurile marjelor trebuie să fie proporționale cu riscurile și caracteristicile particulare ale fiecărui produs, portofoliu și piață pe care o deservește.

(3) Administratorul CPC dispune, în timp util, de o sursă sigură de informații referitoare la preț, pentru sistemul său de marje. Administratorul CPC stabilește proceduri și modele solide de evaluare pentru a adresa circumstanțele în care informațiile referitoare la preț nu sunt disponibile rapid sau nu sunt de încredere.

(4) Administratorul CPC adoptă modele și parametri pentru marjele inițiale care să fie bazate pe risc și care generează cerințe de marjă suficiente pentru a-și acoperi expunerile potențiale viitoare față de participanți, în intervalul dintre ultima colectare a marjelor și lichidarea pozițiilor ca urmare a intrării în incapacitate de plată a unui participant.

(5) Marja inițială îndeplinește un interval stabilit de încredere de cel puțin 99 la sută cu privire la distribuția estimată a expunerilor viitoare.

(6) Pentru administratorul unei CPC care calculează marja la nivelul portofoliului, această cerință se aplică pentru distribuțiile expunerilor viitoare ale fiecărui portofoliu.

(7) Pentru administratorul unei CPC care calculează marja la un nivel mai detaliat, precum un subportofoliu sau pe produs, cerința este îndeplinită pentru distribuțiile corespunzătoare ale expunerilor viitoare.

(8) Modelul utilizat pentru determinarea marjelor trebuie:

a) să utilizeze o estimare precaută a orizonturilor de timp necesare pentru hedging sau închiderea pozițiilor pe fiecare tip de produse compensate de către CPC (inclusiv în condiții de piață tensionate);

b) să dispună de o metodă adecvată de evaluare a expunerii la riscul de credit care să acopere factorii de risc relevanți pentru produse și efectele de portofoliu între produse; și

c) în măsura în care este posibil și prudent, să limiteze necesitatea unor modificări prociclice destabilizatoare.

Art. 31. -

Administratorul unei CPC marchează la piață pozițiile participanților și colectează marja de variație cel puțin zilnic, pentru a limita acumularea de expuneri curente.

Art. 32. -

Administratorul unei CPC deține autoritatea și capacitatea operațională de a face, în timpul zilei, apeluri în marjă și plăți către participanți, atât programate, cât și neprogramate.

Art. 33. -

Pentru a calcula cerințele de marjă, administratorul CPC poate permite compensări sau reduceri ale marjei solicitate cu privire la produsele pe care le compensează sau cu privire la produsele compensate de către aceasta și o altă CPC, dacă riscul unui produs este corelat în mod semnificativ și sigur cu riscul celuilalt produs.

Art. 34. -

Acolo unde două sau mai multe CPC sunt autorizate să ofere marje între CPC-uri, acestea trebuie să dețină măsuri de siguranță adecvate și sisteme armonizate de administrare a riscurilor.

Art. 35. -

(1) Administratorul unei CPC analizează și monitorizează performanța modelului său și capacitatea de acoperire a marjelor, prin realizarea de teste zilnice riguroase de tip testare a posteriori și cel puțin lunar sau mai des atunci când este cazul de analize de senzitivitate.

(2) Administratorul unei CPC efectuează, cu regularitate, o evaluare a proprietăților teoretice și empirice ale modelului său de marjă pentru toate produsele pe care le compensează.

(3) Pentru realizarea analizelor de senzitivitate a puterii de acoperire a modelului, prevăzute la alin. (1), administratorul unei CPC ia în considerare o gamă largă de parametri și ipoteze, care să reflecte posibilele condiții de piață, inclusiv cele mai volatile perioade înregistrate de către piețele pe care le deservește, precum și schimbările extreme în corelațiile dintre prețuri.

Art. 36. -

Administratorul CPC revizuiește și validează cu regularitate sistemul său de marje.

SECȚIUNEA a 7-a Cerințe privind gestionarea riscului de lichiditate

Art. 37. -

(1) Administratorul IPF stabilește un cadru cuprinzător de gestionare a riscurilor de lichiditate generate de participanții la IPF, băncile de decontare, agenții nostro, băncile custode, furnizorii de lichiditate și alte entități relevante.

(2) Cadrul de gestionare a riscurilor de lichiditate furnizează participanților instrumente adecvate pentru a-și administra eficient lichiditatea și asigură monitorizarea și facilitarea fluxului normal de lichiditate în sistem.

Art. 38. -

Administratorul IPF stabilește instrumente operaționale și analitice care îi permit să identifice, să măsoare și să monitorizeze fluxurile de decontare și finanțare, inclusiv utilizarea de lichiditate pe parcursul zilei, în mod permanent și în timp util.

Art. 39. -

Administratorul IPF, în cazul unui sistem de decontare pe bază netă amânată, se asigură că:

a) obligațiile financiare sunt stabilite cel târziu în momentul în care un ordin de transfer este inclus în calcularea pozițiilor de decontare netă accesibile fiecărui participant; și

b) sunt deținute suficiente resurse lichide în conformitate cu art. 40 și 41 cel târziu în momentul menționat la lit. a).

Art. 40. -

(1) Administratorul IPF deține sau se asigură că participanții dețin permanent suficiente resurse lichide din momentul stabilirii obligațiilor financiare, în toate monedele în care operează, pentru a efectua decontarea în aceeași zi a obligațiilor de plată într-o gamă largă de potențiale scenarii de criză, inclusiv decontarea pe parcursul zilei sau pe durata mai multor zile, dacă este cazul.

(2) Scenariile de criză includ:

a) o neîndeplinire a obligațiilor, în condiții de piață extreme, dar plauzibile, de către participantul care, împreună cu societățile afiliate, are cea mai mare obligație de plată agregată; și

b) alte scenarii în conformitate cu art. 44.

Art. 41. -

Administratorul IPF care decontează plăți deține sau se asigură că participanții dețin resurse lichide suficiente, în conformitate cu art. 40, pentru efectuarea unei decontări în timp util a obligațiilor financiare în cazul unei neîndepliniri a obligațiilor participantului care, împreună cu societățile afiliate ale acestuia, are cea mai mare obligație financiară agregată, astfel cum se determină la art. 40 alin. (2) lit. a), în oricare dintre modalitățile următoare:

a) în numerar la Banca Națională a României sau la o instituție de credit; sau

b) în garanții eligibile pentru operațiunile de piață efectuate de Banca Națională a României, cu condiția ca administratorul IPF să poată demonstra că o astfel de garanție este imediat disponibilă și convertibilă în numerar în aceeași zi, utilizând acorduri de finanțare prestabilite și foarte sigure, chiar în condițiile pieței în situație de criză.

Art. 42. -

Administratorul IPF nu prezumă că va fi disponibil credit de urgență din partea băncii centrale.

Art. 43. -

Administratorul IPF cu acces la conturile, serviciile de plăți sau serviciile aferente instrumentelor financiare ale Băncii Naționale a României utilizează aceste servicii, acolo unde este practicabil.

Art. 44. -

(1) Administratorul IPF, prin simulări riguroase și testare în scenarii de criză, determină nivelul resurselor lichide și testează în mod periodic dacă dispune de resurse lichide suficiente pentru a îndeplini cerințele de la art. 40 și 41.

(2) La efectuarea simulărilor de testare la stres, administratorul IPF ia în considerare o gamă largă de scenarii relevante, inclusiv una sau mai multe situații de neîndeplinire a obligațiilor de către participanți în aceeași zi și în două sau mai multe zile ulterioare.

(3) Atunci când sunt avute în vedere astfel de scenarii, sunt luate în considerare proiectarea și funcționarea IPF și sunt examinate toate entitățile care ar putea genera riscuri de lichiditate semnificative la adresa IPF, inclusiv bănci de decontare, agenți nostro, bănci custode, furnizori de lichiditate, precum și IPF conectate.

(4) Scenariile acoperă o perioadă de mai multe zile.

Art. 45. -

(1) Administratorul IPF documentează motivele păstrării fondurilor și a altor active menținute de administratorul IPF sau de participanți și are mecanisme de guvernanță corespunzătoare în acest sens.

(2) Administratorul IPF stabilește proceduri clare pentru raportarea către consiliu a rezultatelor testărilor obținute potrivit art. 44.

(3) Administratorul IPF utilizează rezultatele testărilor, obținute potrivit art. 44, pentru a evalua adecvarea cadrului său de gestionare a riscurilor de lichiditate și pentru a efectua ajustări ale acestuia.

Art. 46. -

(1) Administratorul IPF stabilește reguli și proceduri clare care permit IPF să efectueze decontarea în aceeași zi și, dacă este cazul, decontarea în timp util pe parcursul aceleiași zile și pe durata mai multor zile a obligațiilor financiare în urma neîndeplinirii obligațiilor unuia sau mai multor participanți.

(2) Regulile și procedurile stabilite potrivit alin. (1):

a) vor aborda deficite de lichiditate neprevăzute și potențial neacoperite;

b) vor urmări să evite anularea, revocarea sau întârzierea decontării pe parcursul aceleiași zile a obligațiilor financiare;

c) vor indica modul de reconstituire a fondurilor și a altor active utilizate de IPF în cursul unui eveniment de criză, la nivelul prevăzut la art. 40-41.

Art. 47. -

(1) Administratorul unei CPC deține resurse lichide suficiente, în toate monedele relevante, pentru a deconta plăți legate de instrumentele financiare, pentru a face plăți referitoare la marjele de variație solicitate și pentru a îndeplini alte obligații de plată la timp, cu un grad ridicat de încredere, pentru o gamă largă de scenarii potențiale de stres, care ar trebui să includă, fără a se limita la, intrarea în incapacitate de plată a acelui participant și a societăților afiliate care ar genera cea mai mare obligație de plată agregată către CPC, în condiții de piață extreme, dar plauzibile.

(2) Administratorul unei CPC care este implicată în activități cu un profil de risc mai complex sau care este importantă din punct de vedere sistemic în mai multe jurisdicții trebuie să ia în considerare păstrarea unor resurse de lichiditate suplimentare, suficiente pentru a acoperi o gamă mai largă de scenarii potențiale de criză, care ar trebui să includă, fără a se limita la, intrarea în incapacitate de plată a acelor doi participanți și a afiliaților acestora care ar genera cea mai mare obligație de plată agregată pentru CPC, în condiții de piață extreme, dar plauzibile.

SECȚIUNEA a 8-a Cerințe privind decontarea finală

Art. 48. -

(1) Decontarea finală se realizează de către administratorul IPF cel mai târziu la sfârșitul zilei stabilite pentru decontare și, de preferat, în timpul zilei sau în timp real, pentru a reduce riscul de decontare.

(2) Un sistem de plăți de mare valoare sau un sistem de decontare a operațiunilor cu instrumente financiare trebuie să ia în considerare adoptarea unui sistem de decontare pe bază brută în timp real sau procesarea în sesiuni multiple, în cadrul zilei de decontare.

(3) Administratorul IPF stabilește în mod clar momentul la care decontarea este finală.

(4) Administratorul IPF definește în mod clar momentul de la care plățile nedecontate, instrucțiunile de transfer sau alte obligații nu mai pot fi revocate de către un participant.

SECȚIUNEA a 9-a Cerințe privind decontarea fondurilor

Art. 49. -

(1) Administratorul IPF care decontează plăți unilaterale în lei se asigură că decontarea finală se efectuează în banii băncii centrale.

(2) Administratorul IPF care decontează plăți bilaterale sau plăți unilaterale în alte monede decât lei se asigură că decontarea finală se efectuează în banii băncii centrale, dacă acest lucru este practic și disponibil.

Art. 50. -

Administratorul IPF care decontează plăți pentru alte IPF depune eforturi pentru a permite acestora să efectueze decontări chiar în situații de urgență.

Art. 51. -

În cazul în care nu sunt utilizați banii băncii centrale, administratorul IPF se asigură că decontările de fonduri au loc utilizând un activ de decontare cu risc de credit și de lichiditate redus sau care nu presupune risc de credit sau de lichiditate.

Art. 52. -

(1) În cazul în care o decontare se efectuează în banii băncii comerciale, administratorul IPF monitorizează, gestionează și limitează riscurile de credit și de lichiditate care provin de la băncile comerciale de decontare.

(2) Administratorul IPF stabilește criterii stricte pentru băncile sale de decontare și monitorizează respectarea lor, luând în considerare, dar fără a se limita la:

a) reglementarea și supravegherea acestora;

b) solvabilitatea;

c) capitalizarea;

d) accesul la lichiditate; și

e) siguranța operațională.

(3) Administratorul IPF trebuie să monitorizeze și să gestioneze concentrarea expunerilor la riscul de credit și lichiditate față de băncile comerciale de decontare ale IPF.

Art. 53. -

Acordurile juridice ale unui administrator IPF cu orice bănci comerciale de decontare precizează în mod clar:

a) când se anticipează transferuri în conturile băncilor de decontare individuale;

b) că transferurile sunt finale atunci când sunt efectuate;

c) că fondurile primite sunt transferabile imediat ce este posibil, cel târziu până la sfârșitul zilei.

Art. 54. -

În cazul în care un administrator IPF efectuează decontări în bani în propriile registre, acesta își minimizează și controlează strict riscurile de credit și de lichiditate.

SECȚIUNEA a 10-a Cerințe privind livrarea fizică a instrumentelor financiare

Art. 55. -

(1) Administratorul IPF stabilește, în mod clar, în regulile unei IPF obligațiile sale cu privire la livrarea fizică a instrumentelor financiare sau a mărfurilor.

(2) Administratorul IPF identifică, monitorizează și administrează riscurile și costurile asociate depozitării și livrării fizice a instrumentelor financiare sau a mărfurilor.

SECȚIUNEA a 11-a Cerințe aplicabile administratorilor sistemelor de decontare a operațiunilor cu instrumente financiare din cadrul depozitarilor centrali de instrumente financiare (DC)

Art. 56. -

Administratorul unui DC trebuie să stabilească reguli și proceduri pentru a asigura diminuarea și gestionarea riscurilor asociate transferului instrumentelor financiare.

Art. 57. -

(1) Administratorul unui DC păstrează instrumentele financiare într-o formă imobilizată sau dematerializată, pentru transferul acestora prin înregistrări în conturi.

(2) Administratorul unui DC poate asigura stimulente pentru imobilizarea sau dematerializarea instrumentelor financiare, dacă este cazul.

Art. 58. -

Administratorul unui DC identifică, măsoară, monitorizează și administrează riscurile asociate altor activități pe care le-ar putea desfășura, putând fi necesare instrumente suplimentare pentru a gestiona aceste riscuri.

Art. 59. -

(1) Confirmarea tranzacțiilor între participanții direcți are loc cât mai curând posibil după încheierea tranzacției, dar nu mai târziu de data tranzacției.

(2) Atunci când este necesară confirmarea tranzacțiilor de către participanții indirecți aceasta are loc cât mai curând posibil după încheierea tranzacției, dar nu mai târziu de ziua lucrătoare imediat ulterioară datei tranzacției.

(3) Decontarea finală se realizează nu mai târziu de două zile lucrătoare după data tranzacției.

Art. 60. -

În vederea facilitării decontării tranzacțiilor cu instrumente financiare, administratorul unui DC trebuie să analizeze oportunitatea implementării unui mecanism de împrumut de instrumente financiare, inclusiv aranjamente de tip repo.

SECȚIUNEA a 12-a Cerințe aplicabile administratorilor sistemelor de decontare prin schimburi de valoare

Art. 61. -

Administratorul unui sistem de decontare prin schimburi de valoare trebuie să elimine riscul de principal prin reguli care să asigure că decontarea finală a unei obligații are loc dacă și numai dacă are loc decontarea finală a obligației conexe, indiferent dacă acea IPF decontează pe bază brută sau netă și indiferent de momentul realizării finalității decontării.

SECȚIUNEA a 13-a Reguli și proceduri privind neîndeplinirea obligațiilor de către un participant

Art. 62. -

Administratorul IPF stabilește reguli și proceduri prin care definește cel puțin situația de neîndeplinire a obligațiilor unui participant, atunci când acestea devin scadente, ca urmare a unor cauze operaționale, a încălcării acordurilor la care este parte sau deschiderii procedurii de insolvență împotriva respectivului participant.

Art. 63. -

(1) Administratorul IPF definește și distinge între situații automate și discreționare de neîndeplinire a obligațiilor.

(2) În cazul situației discreționare de neîndeplinire a obligațiilor, administratorul IPF precizează entitatea care exercită această putere discreționară.

(3) În situația prevăzută la alin. (2) administratorul IPF reexaminează respectiva definiție cel puțin anual.

Art. 64. -

(1) Administratorul IPF stabilește reguli și proceduri pentru cazurile de neîndeplinire a obligațiilor de către participanți care îi permit să continue să își îndeplinească obligațiile.

(2) Regulile și procedurile prevăzute la alin. (1) vizează reconstituirea resurselor în urma unei neîndepliniri a obligațiilor de către unul sau mai mulți participanți.

(3) Regulile și procedurile definesc cel puțin următoarele aspecte:

a) măsurile pe care le poate lua administratorul IPF atunci când are loc o neîndeplinire a obligațiilor;

b) dacă aceste măsuri se iau automat sau în mod discreționar și mijlocul prin care este exercitată această putere discreționară;

c) modificări potențiale ale practicilor normale de decontare ale unui administrator IPF, pentru asigurarea unei decontări în timp util;

d) gestionarea plăților în diferite etape de prelucrare;

e) secvențialitatea probabilă a acțiunilor;

f) rolurile, obligațiile și responsabilitățile părților relevante, inclusiv ale participanților care nu sunt într-o situație de neîndeplinire a obligațiilor;

g) alte mecanisme care trebuie activate pentru a limita impactul unei neîndepliniri a obligațiilor.

Art. 65. -

Pentru punerea în aplicare a regulilor și procedurilor privind neîndeplinirea obligațiilor, inclusiv orice proceduri discreționare prevăzute în regulile sale, administratorul IPF se asigură că:

a) are capacitatea operațională, inclusiv suficient personal bine pregătit, pentru a pune în aplicare în timp util procedurile descrise la art. 64; și

b) regulile și procedurile IPF abordează nevoile de documentare, informare și comunicare, precum și de coordonare, atunci când sunt implicate mai multe IPF sau autorități.

Art. 66. -

Administratorul IPF face publice aspectele-cheie ale regulilor și procedurilor descrise la art. 64, incluzând cel puțin următoarele aspecte:

a) circumstanțele în care se iau măsuri;

b) cine ia respectivele măsuri;

c) sfera măsurilor care urmează a fi luate;

d) mecanismele care vizează obligațiile unui administrator IPF față de participanții care nu sunt într-o situație de neîndeplinire a obligațiilor.

Art. 67. -

Administratorul IPF testează și reexaminează regulile și procedurile IPF descrise la art. 64 cel puțin anual sau după orice schimbări semnificative ale IPF care afectează aceste reguli și proceduri. Administratorul IPF implică participanții la IPF și părțile interesate relevante la aceste testări și reexaminări.

SECȚIUNEA a 14-a Cerințe privind segregarea și portabilitatea pozițiilor și garanțiilor clienților

Art. 68. -

(1) Administratorul unei CPC trebuie să dispună de reguli și proceduri de segregare și portabilitate care să protejeze, în mod eficace, pozițiile clienților unui participant și garanțiile corespunzătoare în cazul intrării în incapacitate de plată sau de insolvență a respectivului participant.

(2) Dacă administratorul unei CPC oferă protecție suplimentară pentru pozițiile și garanțiile clientului împotriva intrării simultane în incapacitate de plată a participantului și a unui alt client al acestuia, acel administrator al CPC ia măsuri pentru a se asigura că o astfel de protecție este eficace.

Art. 69. -

Administratorul unei CPC utilizează o structură a conturilor care să îi permită să identifice cu promptitudine pozițiile clienților unui participant și să segrege garanțiile corespunzătoare. Administratorul unei CPC menține pozițiile și garanțiile clientului în conturi de clienți individuale sau în conturi de clienți globale.

Art. 70. -

Administratorul unei CPC trebuie să dețină aranjamente de portabilitate structurate, astfel încât să fie accesibilă transferarea pozițiilor și a garanțiilor corespunzătoare ale clienților unui participant intrat în incapacitate de plată, către unul sau mai mulți participanți.

Art. 71. -

(1) Administratorul unei CPC are obligația de a face publice regulile, politicile și procedurile sale referitoare la segregarea și portabilitatea pozițiilor și a garanțiilor corespunzătoare ale clienților unui participant.

(2) Administratorul unei CPC face cunoscut dacă garanțiile clientului sunt protejate pe bază individuală sau pe bază globală.

(3) În plus, administratorul unei CPC face cunoscute orice constrângeri, precum constrângeri legale sau operaționale, care ar putea împiedica capacitatea acesteia de a segrega sau de a transfera pozițiile și garanțiile corespunzătoare ale clienților unui participant.

SECȚIUNEA a 15-a Cerințe privind riscul general de afaceri

Art. 72. -

În vederea evitării unor situații care să genereze riscul general de afaceri, administratorul IPF stabilește sisteme robuste de gestionare și control pentru a identifica, monitoriza și gestiona acest risc, inclusiv pierderile care rezultă din executarea defectuoasă a strategiei de afaceri, fluxuri negative de fonduri sau cheltuieli operaționale neașteptate sau excesiv de mari.

Art. 73. -

În sensul respectării art. 72 administratorul IPF trebuie să dispună de un plan viabil de redresare și lichidare ordonată, în acord cu art. 16.

Art. 74. -

(1) Administratorul IPF determină, pe baza profilului riscului general de afaceri al acestuia și a intervalului de timp necesar pentru a realiza o redresare și/sau o lichidare ordonată a operațiunilor și serviciilor sale critice, valoarea activelor necesare pentru punerea în aplicare a planului prevăzut la art. 73.

(2) Valoarea activelor determinate potrivit alin. (1) nu este mai mică decât cea reprezentată de cheltuielile de exploatare curente pentru cel puțin șase luni.

Art. 75. -

(1) Pentru a acoperi valoarea prevăzută la art. 74, administratorul IPF trebuie să dețină active nete lichide finanțate prin capital propriu, precum acțiuni ordinare, rezerve publicate sau alte rezultate reportate, astfel încât să poată asigura continuitatea operațiunilor și a serviciilor.

(2) Aceste active se adaugă resurselor deținute pentru a acoperi neîndeplinirea obligațiilor participanților sau alte riscuri de credit și lichiditate.

(3) Capitalul propriu deținut în baza unor standarde internaționale de capital în funcție de gradul de risc poate fi inclus pentru a evita duplicarea cerințelor de capital.

Art. 76. -

(1) Activele menționate la art. 75 deținute pentru acoperirea riscului general de afaceri au o lichiditate și o calitate suficient de ridicate pentru a fi disponibile în timp util și sunt separate de activele administratorului IPF utilizate pentru operațiunile zilnice.

(2) Administratorul IPF este capabil să execute activele deținute pentru acoperirea riscului general de afaceri fără efecte adverse sau cu efecte adverse mici asupra prețurilor, astfel încât să poată asigura continuitatea operațiunilor și a serviciilor dacă înregistrează pierderi comerciale generale.

Art. 77. -

Administratorul IPF stabilește un plan viabil privind atragerea de capital suplimentar, în cazul în care capitalul propriu al acestuia se apropie de valoarea prevăzută la art. 74 sau scade sub nivelul acesteia.

SECȚIUNEA a 16-a Cerințe privind riscul de custodie și de investiție

Art. 78. -

(1) Pentru evitarea riscului de custodie, administratorul IPF păstrează activele proprii și ale participanților la entități supravegheate și reglementate, denumite în continuare custozi, care au practici contabile, proceduri de păstrare în siguranță și controale interne care protejează pe deplin aceste active împotriva riscului de pierdere în cazul insolvenței, neglijenței, fraudei, administrării defectuoase sau evidenței necorespunzătoare ale unui custode sau subcustode.

(2) În aplicarea alin. (1), administratorul IPF are acces în timp util la activele sale și la activele furnizate de către participanți.

Art. 79. -

Administratorul IPF evaluează și înțelege expunerile proprii față de băncile custode ale acestuia, ținând seama de întreaga sferă a relațiilor sale cu fiecare dintre acestea.

Art. 80. -

(1) Administratorul IPF stabilește o strategie de investiții care ia în calcul apariția unor factori care pot să genereze posibile riscuri de investiție și care este în conformitate cu strategia generală a acestuia de gestionare a riscului.

(2) Strategia prevăzută la alin. (1) este comunicată în întregime participanților și este revizuită cel puțin anual.

Art. 81. -

Investițiile unui administrator IPF sunt garantate de debitori cu solvabilitate ridicată sau sunt creanțe asupra unor asemenea debitori. Administratorul IPF definește criteriile pentru debitorii de calitate înaltă. Investițiile trebuie să fie în instrumente cu riscuri minime de credit, de piață și de lichiditate.

SECȚIUNEA a 17-a Cerințe privind gestionarea riscului operațional

Art. 82. -

Administratorul IPF stabilește un cadru robust cu sisteme, politici, proceduri și controale adecvate pentru a identifica, monitoriza și gestiona riscul operațional, cu obligația de a le reexamina, audita și testa periodic și după schimbări semnificative.

Art. 83. -

(1) Administratorul IPF stabilește obiectivele privind nivelurile serviciilor prestate participanților și fiabilitatea operațională, precum și politicile destinate să atingă aceste obiective, care vor fi reexaminate cel puțin anual.

(2) Administratorul IPF se asigură că IPF are permanent posibilitatea de a ajusta capacitatea de procesare pentru a face față creșterilor volumelor de operațiuni care apar din cauza evenimentelor de criză și că își poate atinge obiectivele privind nivelurile serviciilor.

Art. 84. -

Administratorul IPF stabilește politici cuprinzătoare de securitate fizică și a informațiilor care identifică, evaluează și gestionează în mod adecvat toate vulnerabilitățile și amenințările potențiale, care vor fi reexaminate cel puțin anual.

Art. 85. -

(1) Administratorul IPF stabilește un plan de continuitate a activității care abordează evenimente care determină un risc semnificativ de perturbare a operațiunilor, care va fi reexaminat și testat cel puțin anual.

(2) Planul stabilit conform alin. (1) include utilizarea unui sediu secundar pentru desfășurarea activității și este proiectat să asigure reluarea operațiunilor critice și funcționarea sistemelor informatice critice în termen de două ore de la producerea acestor evenimente.

(3) Planul de continuitate a activității este conceput astfel încât IPF este întotdeauna capabilă să deconteze toate tranzacțiile scadente până la sfârșitul zilei lucrătoare în care are loc perturbarea.

Art. 86. -

Administratorul IPF identifică participanții critici în special pe baza volumelor, a valorilor plăților și a impactului potențial al acestora asupra altor participanți și asupra IPF în ansamblu, în cazul unei probleme operaționale semnificative cu care s-ar confrunta acești participanți.

Art. 87. -

Administratorul IPF identifică, monitorizează și gestionează riscurile pe care participanții critici, alte IPF, precum și furnizorii de servicii și utilități le-ar putea genera pentru operațiunile IPF.

Art. 88. -

Administratorii IPF trebuie să desemneze anual, până la data de 31 ianuarie, participanții critici, în baza activității acestora din anul anterior și să le comunice acestora calitatea de participanți critici pentru anul curent.

SECȚIUNEA a 18-a Cerințe privind criteriile de acces și participare

Art. 89. -

În vederea asigurării unor condiții echitabile de participare, administratorul IPF stabilește și face publice criterii nediscriminatorii de acces și participare la serviciile IPF pentru participanții direcți și, dacă este cazul, pentru participanții indirecți, precum și pentru alte IPF, care vor fi reexaminate cel puțin anual.

Art. 90. -

(1) Criteriile de acces și participare stabilite potrivit art. 89 sunt justificate în raport cu siguranța și eficiența IPF și a piețelor pe care acesta le deservește și sunt adaptate și proporționale cu riscurile specifice ale IPF.

(2) Pentru asigurarea conformității cu principiul proporționalității, administratorul IPF stabilește cerințele prevăzute la art. 89 astfel încât să limiteze accesul în cea mai mică măsură posibilă.

(3) În cazul în care administratorul IPF refuză accesul unei entități solicitante, motivează în scris acest lucru, în baza unei analize cuprinzătoare a riscului.

Art. 91. -

(1) Administratorul IPF monitorizează în mod permanent conformitatea participanților cu criteriile de acces și participare ale IPF.

(2) Administratorul IPF stabilește și face publice procedurile nediscriminatorii de facilitare a suspendării și încetării ordonate a dreptului de participare al unui participant atunci când participantul nu respectă criteriile de acces și participare și face publice aspectele-cheie relevante ale unor astfel de proceduri.

(3) Procedurile stabilite potrivit alin. (2) vor fi reexaminate cel puțin anual.

SECȚIUNEA a 19-a Cerințe privind acordurile de participare pe niveluri

Art. 92. -

(1) În scopul gestionării adecvate a riscurilor, administratorul IPF se asigură că regulile, procedurile și acordurile contractuale ale IPF îi permit colectarea de informații privind participarea indirectă, pentru a identifica, monitoriza și gestiona orice riscuri semnificative la adresa IPF care decurg din participare.

(2) Informațiile pe care le colectează includ cel puțin următoarele aspecte:

a) activitatea pe care participanții direcți o desfășoară în nume propriu și în numele participanților indirecți ca pondere în activitatea la nivelul sistemului;

b) numărul de participanți indirecți care decontează prin intermediul participanților direcți individuali;

c) volumele și valorile tranzacțiilor din IPF care provin de la fiecare participant indirect;

d) volumele și valorile tranzacțiilor menționate la litera c) ca pondere în cele ale participantului direct prin care participantul indirect accesează IPF.

Art. 93. -

Administratorul IPF identifică dependențele semnificative dintre participanții direcți și indirecți care pot afecta IPF, luând în considerare informațiile prevăzute la art. 92.

Art. 94. -

Administratorul IPF identifică participanții indirecți care generează riscuri semnificative pentru IPF și participanții direcți prin care aceștia accesează IPF, în vederea gestionării acestor riscuri.

Art. 95. -

Administratorul IPF reexaminează cel puțin anual riscurile care rezultă din acordurile de participare pe niveluri și ia măsuri de diminuare atunci când este necesar, pentru a se asigura că riscurile sunt gestionate în mod corespunzător.

SECȚIUNEA a 20-a Cerințe aplicabile conexiunilor între IPF

Art. 96. -

În scopul gestionării adecvate a riscurilor asociate conexiunilor între IPF, administratorul IPF identifică, monitorizează și gestionează aceste riscuri.

Art. 97. -

Înainte de a stabili o conexiune și în mod permanent odată ce conexiunea a fost stabilită, administratorul IPF identifică, monitorizează și administrează toate sursele potențiale de risc care rezultă din aranjamentul de conexiune.

Art. 98. -

Administratorul IPF se asigură că o conexiune dispune de o bază legală solidă, în toate jurisdicțiile relevante, care să sprijine arhitectura sistemului și să ofere o protecție adecvată a IPF implicate în conexiune.

Art. 99. -

(1) Administratorii unor DC conectați măsoară, monitorizează și administrează riscurile de credit și de lichiditate generate de ambele părți.

(2) Orice acordare de credit între DC conectați este supusă unei anumite limite și este acoperită integral de garanții de înaltă calitate.

Art. 100. -

Transferurile provizorii de instrumente financiare între DC conectați sunt interzise.

Art. 101. -

Administratorul unui DC investitor stabilește o legătură cu un DC emitent doar dacă aranjamentul asigură un nivel ridicat de protecție a drepturilor participanților DC investitor.

Art. 102. -

Administratorul unui DC investitor care utilizează un intermediar pentru a opera o legătură cu un DC emitent măsoară, monitorizează și administrează riscurile suplimentare, inclusiv riscurile de custodie, de credit, juridice și operaționale, care decurg din utilizarea intermediarului.

Art. 103. -

(1) Înainte de a stabili o conexiune cu o altă CPC, administratorul CPC identifică și administrează efectele potențiale de contaminare care decurg din intrarea în incapacitate de plată a CPC conectate.

(2) Dacă o conexiune cuprinde trei sau mai multe CPC, administratorul fiecărei CPC identifică, evaluează și administrează riscurile aranjamentului de conexiune colectiv.

Art. 104. -

Fiecare CPC dintr-un aranjament de conexiune între CPC este în măsură să acopere integral, cel puțin zilnic, expunerile sale curente și expunerile potențiale viitoare față de acele CPC cu care este conectată și față de participanții săi, dacă este cazul, cu un grad ridicat de încredere, fără a reduce capacitatea acelei CPC de a-și îndeplini obligațiile, în orice moment, față de propriii participanți.

Art. 105. -

Aranjamentele de conexiune între sisteme de plăți sunt concepute astfel încât fiecare sistem de plăți să fie capabil să respecte cerințele prevăzute în anexa nr. 2.

SECȚIUNEA a 21-a Cerințe privind eficiența și eficacitatea

Art. 106. -

Administratorul IPF trebuie să dispună de mecanisme de identificare și îndeplinire a nevoilor piețelor deservite de IPF, în special cu privire la:

a) alegerea unui mecanism de compensare și decontare;

b) structura de operare;

c) sfera produselor compensate sau decontate;

d) utilizarea tehnologiei și a procedurilor.

Art. 107. -

Administratorul IPF trebuie să aibă scopuri și obiective clar definite care sunt măsurabile și realizabile, cum ar fi cele referitoare la nivelurile minime ale serviciilor, așteptările în privința gestionării riscurilor și prioritățile de afaceri.

Art. 108. -

Administratorul IPF trebuie să dispună de mecanisme pentru reexaminarea periodică, cel puțin anuală, a cerințelor prevăzute la art. 106 și 107.

SECȚIUNEA a 22-a Proceduri și standarde de comunicare

Art. 109. -

(1) În scopul de a facilita plăți, compensări, decontări și înregistrări eficiente, administratorul IPF utilizează proceduri și standarde de comunicare acceptate și relevante la nivel internațional.

(2) În situația în care administratorul IPF nu utilizează proceduri și standarde de comunicare acceptate și relevante la nivel internațional, acesta trebuie să asigure adaptarea propriilor proceduri și standarde de comunicare astfel încât să fie posibilă conversia sau traducerea datelor din standardele internaționale în cele utilizate la nivel intern și viceversa.

SECȚIUNEA a 23-a Comunicarea regulilor, procedurilor esențiale și a datelor de piață

Art. 110. -

(1) Administratorul IPF adoptă reguli și proceduri clare și cuprinzătoare care sunt comunicate în întregime participanților.

(2) Administratorul IPF trebuie să facă disponibile public regulile și procedurile stabilite potrivit alin. (1), care sunt relevante și, respectiv, esențiale.

Art. 111. -

Administratorul IPF comunică descrieri clare ale arhitecturii și operațiunilor sistemului, precum și ale drepturilor și obligațiilor administratorului IPF și ale participanților, astfel încât participanții să poată evalua riscurile pe care le-ar suporta prin participarea la IPF.

Art. 112. -

Administratorul IPF oferă toată documentația și formarea necesare și corespunzătoare pentru a facilita înțelegerea de către participanți a regulilor și procedurilor IPF și a riscurilor cu care aceștia se confruntă prin participarea la IPF.

Art. 113. -

(1) Administratorul IPF face publice comisioanele IPF la nivelul serviciilor individuale pe care le oferă, precum și politicile sale de reduceri.

(2) Administratorul IPF furnizează descrieri clare ale serviciilor tarifate, din rațiuni de comparabilitate.

Art. 114. -

Administratorul IPF comunică public, anual, cel puțin date de bază privind volumele și valorile tranzacțiilor.

SECȚIUNEA a 24-a Cerințe aplicabile administratorilor IPF pentru asigurarea rezilienței cibernetice

Art. 115. -

Administratorul IPF stabilește un cadru eficace de reziliență cibernetică care cuprinde măsuri corespunzătoare de guvernanță pentru gestionarea riscului cibernetic, conform anexei nr. 1.

Art. 116. -

(1) Administratorul IPF își identifică operațiunile și activele conexe critice și ia măsurile corespunzătoare pentru a le proteja de atacuri cibernetice, precum și pentru a detecta astfel de atacuri, a le răspunde și a se redresa în urma acestora.

(2) Măsurile prevăzute la alin. (1) sunt testate în mod periodic.

Art. 117. -

(1) Administratorul IPF se asigură că dispune de un nivel solid de conștientizare a situației în ceea ce privește amenințările cibernetice.

(2) Administratorul IPF asigură existența unui proces de învățare și evoluție continuă care să îi permită să își adapteze, în timp util, oricând este necesar, cadrul de reziliență cibernetică la natura dinamică a riscurilor cibernetice.

CAPITOLUL II Cerințe aplicabile participanților la infrastructurile pieței financiare

Art. 118. -

Participanții la infrastructurile pieței financiare trebuie, în orice moment, să respecte regulile și să îndeplinească cerințele tehnice de funcționare ale infrastructurii respective.

Art. 119. -

(1) Participanții critici la IPF trebuie să ia măsurile necesare și să efectueze teste cel puțin anual, pentru a se asigura că au capacitatea operațională, chiar și în scenarii extreme, dar plauzibile, de a relua activitatea de plăți și/sau decontări în cel mult patru ore de la producerea unui eveniment perturbator.

(2) Participanții critici trebuie să dispună permanent de un sediu secundar operațional, suplimentar față de sediul principal, disponibil cel puțin din punctul de vedere al liniilor de comunicații ce permit conectarea la IPF, care să le permită reluarea activităților de plăți și/sau decontări cu respectarea cerințelor de la alin. (1).

Art. 120. -

Participanții la IPF ce nu sunt desemnați drept critici trebuie să ia măsurile necesare și să efectueze teste cel puțin anual, pentru a se asigura că au capacitatea operațională, chiar și în scenarii extreme, dar plauzibile, de a relua activitatea de plăți și/sau decontări cel târziu a doua zi lucrătoare după producerea unui eveniment perturbator.

CAPITOLUL III Cerințe aplicabile prestatorilor de servicii de plată

Art. 121. -

Prestatorii de servicii de plată care pun în circulație sau acceptă instrumente de plată au următoarele obligații:

a) să adopte proceduri care să asigure efectuarea, în mod eficient și conform unui program stabilit, a operațiunilor de plată care derivă din utilizarea instrumentelor de plată;

b) să asigure, în orice moment, siguranța în funcționare și continuitatea serviciului în condiții de securitate, în scopul asigurării integrității, confidențialității, autenticității și a posibilității de urmărire a operațiunilor de plată și prevenirii utilizării neautorizate a instrumentelor de plată;

c) să documenteze și să implementeze măsuri privind identificarea, clasificarea, evaluarea, prevenirea și limitarea riscurilor asociate operațiunilor de plată, punerii în circulație și utilizării instrumentelor de plată, inclusiv prin analizarea posibilităților de producere a unor acțiuni de natură frauduloasă, în scopul evitării și limitării pierderilor financiare ale utilizatorilor;

d) în cazul nefuncționării unui serviciu de plată, prestatorii de servicii de plată vor informa, prin orice mijloace, în cel mult o oră, clienții utilizatori ai respectivului serviciu de plată cu privire la indisponibilitatea acestuia și termenul preconizat pentru remediere și vor relua activitatea de plăți în cel mult opt ore de la producerea unui eveniment perturbator.

TITLUL III Autorizarea infrastructurilor pieței financiare și notificarea punerii în circulație a instrumentelor de plată

CAPITOLUL I Autorizarea operării infrastructurilor pieței financiare

Art. 122. - Derogări (1)

(1) Persoana juridică care intenționează să opereze o IPF pe teritoriul României va înainta Băncii Naționale a României - Direcția monitorizare a infrastructurilor pieței financiare și a plăților o cerere de autorizare conform modelului prevăzut în anexa nr. 3, însoțită de documentația și informațiile prevăzute în prezentul regulament.

(2) Cererea de autorizare va fi însoțită de o autoevaluare, inclusiv documentația justificativă aferentă, privind îndeplinirea permanentă a cerințelor aplicabile administratorilor IPF, stabilite la capitolul I al titlului I din prezentul regulament.

(3) În cazul în care persoana juridică solicitantă consideră că o cerință nu i se aplică, aceasta trebuie să precizeze, în mod clar, în autoevaluarea sa, cerința în cauză și motivele pentru care consideră că cerința nu i se aplică.

(4) Orice informații, date, documente și declarații transmise de către persoana juridică solicitantă în cursul procesului de autorizare a IPF trebuie să fie însoțite de o scrisoare semnată de un reprezentant legal, care să ateste că documentele transmise sunt exacte și informațiile sunt complete la data transmiterii lor către Banca Națională a României.

Art. 123. -

(1) În termen de 30 de zile lucrătoare de la primirea cererii, Banca Națională a României analizează documentația prezentată conform art. 122 și informează persoana juridică solicitantă dacă documentația prevăzută la art. 122 este completă.

(2) În cazul în care documentația este incompletă, Banca Națională a României stabilește un termen maxim până la care persoana juridică solicitantă trebuie să completeze documentația, perioadă în care termenul prevăzut la alin. (4) se suspendă.

(3) Persoana juridică solicitantă trebuie să transmită, la solicitarea Băncii Naționale a României, orice alte informații, date, documente și declarații necesare în vederea evaluării respectării cerințelor prezentului regulament.

(4) În termen de 6 luni de la depunerea documentației complete aferente cererii de autorizare, respectiv după termenul prevăzut la alin. (2), Banca Națională a României va transmite persoanei juridice solicitante, în scris, o decizie motivată privind acordarea sau refuzul emiterii autorizației de funcționare a IPF.

Art. 124. -

Emiterea autorizației de funcționare nu limitează posibilitatea Băncii Naționale a României de a formula recomandări sau dispune măsuri de remediere și termene de implementare a acestora.

Art. 125. -

Prin derogare de la prevederile art. 122, IPF operate pe teritoriul României de către Eurosistem, Banca Centrală Europeană și Banca Națională a României sunt autorizate prin hotărârea Consiliului de administrație al Băncii Naționale a României privind operaționalizarea acestora.

Art. 126. -

În cazul unei IPF care operează transfrontalier și care procesează ordine de transfer denominate în lei, autorizarea se va realiza de către Banca Națională a României, în cooperare cu alte bănci centrale și autorități naționale competente din statele membre cu atribuții în autorizarea și monitorizarea IPF, după caz.

Art. 127. -

(1) Orice intenție de modificare adusă informațiilor cuprinse în documentația în baza căreia s-a acordat autorizația de funcționare a unei IPF sau a documentelor depuse în acest scop trebuie notificată de către administratorul acesteia Băncii Naționale a României - Direcția monitorizare a infrastructurilor pieței financiare și a plăților în cel mult 5 zile lucrătoare de la luarea deciziei de modificare.

(2) În termen de 30 de zile de la depunerea notificării prevăzute la alin. (1), vizând modificări prevăzute la alin. (3), Banca Națională a României poate stabili un termen până la care administratorul IPF să furnizeze informații și documente suplimentare, urmând ca în termen de 90 de zile de la depunerea documentației complete sau de la data la care expiră termenul stabilit pentru completare, Banca Națională a României să transmită administratorului IPF, în scris, aprobarea sau refuzul modificării solicitate.

(3) Modificările regulilor de sistem sau externalizarea unor servicii și funcții critice vor intra în vigoare numai după primirea aprobării prevăzute la alin. (2).

CAPITOLUL II Notificarea punerii în circulație a instrumentelor de plată electronică

Art. 128. -

(1) Prestatorul de servicii de plată poate pune în circulație instrumente de plată electronică, în termen de 30 de zile lucrătoare de la notificarea Băncii Naționale a României - Direcția monitorizare a infrastructurilor pieței financiare și a plăților și transmiterea tuturor documentelor prevăzute la art. 129.

(2) Banca Națională a României se poate opune, în termenul prevăzut la alin. (1), intenției de punere în circulație a instrumentelor de plată electronică, comunicând în scris prestatorului de servicii de plată opoziția și motivele corespunzătoare.

Art. 129. -

(1) În vederea notificării emiterii instrumentelor de plată electronică, prestatorul de servicii de plată va transmite Băncii Naționale a României următoarele documente:

1. În cazul cardurilor:

a) formularul de notificare conform modelului prevăzut la anexa nr. 4; o imagine a cardului, scala 1 la 1, avers și revers;

b) fișa de produs.

2. În cazul instrumentelor de plată electronică cu acces la distanță:

a) formularul de notificare conform modelului prevăzut la anexa nr. 5;

b) fișa de produs;

c) avizul Ministerului Comunicațiilor și Societății Informaționale sau al altor entități indicate de acesta.

(2) Banca Națională a României poate solicita orice alte informații, date, documente și declarații necesare în vederea evaluării cu privire la punerea în circulație a instrumentului de plată electronică. Prestatorul de servicii de plată trebuie să transmită informațiile solicitate în termen de maximum 30 de zile lucrătoare de la data comunicării solicitării, perioadă în care termenul de evaluare prevăzut la art. 128 alin. (1) se suspendă.

Art. 130. -

Fișa de produs a instrumentului de plată electronică, prevăzută la art. 129, trebuie să conțină cel puțin informații referitoare la:

a) descriere, caracteristicile funcționale și aria de utilizare;

b) producere și distribuire;

c) procesarea și decontarea operațiunilor de plată efectuate prin intermediul său, inclusiv orarul de funcționare;

d) descrierea măsurilor de gestionare a riscurilor operaționale și de securitate referitoare la utilizarea și procesarea operațiunilor de plată.

Art. 131. -

(1) Modificările intervenite cu privire la documentația prevăzută la art. 129 se vor transmite Băncii Naționale a României - Direcția monitorizare a infrastructurilor pieței financiare și a plăților, în termen de 10 zile la luarea deciziei de modificare.

(2) În situația prevăzută la alin. (1), Banca Națională a României se poate opune, în termen de cel mult 30 de zile de la data primirii tuturor documentelor modificate de către Banca Națională a României, intenției de punere în circulație a instrumentelor de plată electronică, comunicând în scris prestatorului de servicii de plată opoziția și motivele corespunzătoare.

Art. 132. -

Prestatorul de servicii de plată care a pus în circulație un instrument de plată electronică are obligația de a notifica Băncii Naționale a României - Direcția monitorizare a infrastructurilor pieței financiare și a plăților decizia de renunțare la punerea în circulație ori de retragere din circulație a instrumentului de plată electronică, în termen de cel mult 30 de zile de la această decizie. În cazul retragerii din circulație va fi precizată în notificare data estimată la care instrumentul nu va mai circula.

CAPITOLUL III Notificarea punerii în circulație a cecurilor barate

Art. 133. -

(1) Instituțiile de credit pot pune în circulație tiraje de cecuri barate, în termen de 30 de zile lucrătoare de la notificarea Băncii Naționale a României - Direcția monitorizare a infrastructurilor pieței financiare și a plăților și transmiterea tuturor documentelor prevăzute la art. 134.

(2) Banca Națională a României se poate opune, în termenul prevăzut la alin. (1), intenției de punere în circulație a tirajului de cecuri barate, comunicând în scris instituției de credit opoziția și motivele corespunzătoare.

Art. 134. -

În vederea notificării punerii în circulație a unui tiraj de cecuri barate, instituțiile de credit trebuie să prezinte Băncii Naționale a României următoarele:

a) formularul de notificare conform modelului prevăzut la anexa nr. 6;

b) specificația tehnică semnată și ștampilată de către tipografia care a tipărit cecurile barate respective, care să ateste tipărirea tirajului de cecuri barate cu menționarea intervalului numerotat, în conformitate cu prevederile reglementărilor legale în vigoare.

TITLUL IV Activitatea de monitorizare a infrastructurilor pieței financiare și a instrumentelor de plată

CAPITOLUL I Obținerea de informații

Art. 135. -

(1) Administratorii IPF și prestatorii de servicii de plată care pun în circulație și/sau acceptă instrumente de plată vor furniza Băncii Naționale a României, oricând la solicitarea acesteia, toate informațiile și documentele necesare pentru a evalua conformitatea cu cerințele stabilite de prezentul regulament.

(2) Banca Națională a României poate efectua inspecții la fața locului pentru obținerea și verificarea informațiilor, poate lua în considerare opinii formulate de experți, cum ar fi consultanți și auditori externi, poate utiliza informații furnizate de alte autorități de reglementare sau supraveghere și poate lua în considerare informații și sesizări primite de la utilizatori de instrumente de plată sau participanți.

(3) Informațiile obținute de Banca Națională a României în desfășurarea activității de monitorizare vor putea fi utilizate de Banca Națională a României în contextul participării la misiuni în cadrul Sistemului european al băncilor centrale.

Art. 136. -

(1) Administratorii IPF și prestatorii de servicii de plată care pun în circulație și/sau acceptă instrumente de plată vor informa de îndată Banca Națională a României - Direcția monitorizare a infrastructurilor pieței financiare și a plăților, prin mijloace de comunicare stabilite de Banca Națională a României, cu privire la apariția oricăror incidente în funcționarea normală a IPF, a serviciilor de plată sau a instrumentelor de plată, conform formularului din anexa nr. 7 - Raport incidente operaționale și/sau de securitate.

(2) Raportarea de către prestatorii de servicii de plată a incidentelor operaționale și/sau de securitate majore se va face potrivit reglementărilor Băncii Naționale a României.

(3) Administratorii IPF și prestatorii de servicii de plată care pun în circulație și/sau acceptă instrumente de plată vor transmite Băncii Naționale a României - Direcția monitorizare a infrastructurilor pieței financiare și a plăților un raport scris cu explicarea cauzelor incidentelor raportate conform alin. (1), precum și a măsurilor de remediere întreprinse sau avute în vedere, în termen de cel mult 30 de zile calendaristice de la data incidentului.

(4) Banca Națională a României poate solicita în orice moment administratorilor IPF și prestatorilor de servicii de plată care pun în circulație și/sau acceptă instrumente de plată, date, informații și rapoarte suplimentare referitoare la incidentele și fraudele apărute.

Art. 137. -

Administratorii IPF trebuie să comunice Băncii Naționale a României, anual, până la data de 31 martie a anului curent, serviciile, funcțiile, participanții și tipurile de instrucțiuni procesate pe care acesta le-a identificat drept critice pentru funcționarea sigură și eficace a IPF.

Art. 138. -

(1) Administratorii IPF și prestatorii de servicii de plată care pun în circulație și/sau acceptă instrumente de plată vor efectua cel puțin anual testări ale rezilienței, inclusiv la atacuri cibernetice, a infrastructurii informatice utilizate pentru procesarea plăților, decontărilor și a instrumentelor de plată.

(2) Entitățile prevăzute la alin. (1) vor remite anual, până la data de 31 martie, pentru anul anterior, prin mijloace de comunicare stabilite de Banca Națională a României următoarele informații:

a) scenariile de test avute în vedere și rezultatele testărilor prevăzute la alin. (1);

b) extrase din rapoartele auditorilor și/sau experților, care să conțină concluziile acestora cu privire la reziliența infrastructurii informatice;

c) modificările semnificative aduse infrastructurii informatice și locațiilor sediilor secundare ce asigură continuitatea activității de procesare a plăților, decontărilor și a instrumentelor de plată.

CAPITOLUL II Evaluarea

Art. 139. -

(1) Banca Națională a României evaluează complet, cel puțin o dată la 3 ani, IPF prin prisma cerințelor prezentului regulament.

(2) Banca Națională a României poate evalua parțial o IPF, ori de câte ori consideră oportun, în scopul gestionării și prevenirii manifestării riscurilor specifice.

TITLUL V Măsuri de remediere și sancțiuni

Art. 140. -

În situația în care Banca Națională a României constată că cerințele prezentului regulament nu sunt respectate, poate dispune măsuri de remediere și termene de implementare.

Art. 141. -

În situația în care Banca Națională a României constată că nu sunt respectate cerințele prezentului regulament și/sau măsurile de remediere nu sunt implementate, în termenele dispuse de Banca Națională a României conform art. 140, Banca Națională a României poate aplica sancțiuni, astfel:

a) administratorilor și participanților la IPF, în conformitate cu prevederile art. 408 din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare;

b) prestatorilor de servicii de plată care pun în circulație și/sau acceptă instrumente de plată, în conformitate cu prevederile art. 57 alin. (1) din Legea nr. 312/2004 privind Statutul Băncii Naționale a României.

Art. 142. -

(1) Sancțiunile stabilite de către Banca Națională a României conform art. 141 lit. a) pot fi contestate în conformitate cu prevederile art. 275 din Ordonanța de urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, aprobată cu modificări și completări prin Legea nr. 227/2007, cu modificările și completările ulterioare.

(2) Sancțiunile stabilite de către Banca Națională a României conform art. 141 lit. b) pot fi contestate în conformitate cu prevederile art. 57 alin. (2) - (4) din Legea nr. 312/2004 privind Statutul Băncii Naționale a României.

TITLUL VI Dispoziții tranzitorii și finale

Art. 143. -

IPF autorizate de către Banca Națională a României la data intrării în vigoare a prezentului regulament nu necesită o nouă autorizare conform prevederilor art. 122. Acestea se vor conforma cerințelor stabilite la capitolul I al titlului I, în termen de 12 luni de la data intrării în vigoare a prezentului regulament.

Art. 144. -

Instrumentele de plată electronică aflate în circulație și notificate Băncii Naționale a României în baza Regulamentului nr. 6/2006 privind emiterea și utilizarea instrumentelor de plată electronică și relațiile dintre participanții la tranzacțiile cu aceste instrumente, cu modificările ulterioare, vor face obiectul procedurii de notificare prevăzute la art. 128, în termen de 6 luni de la data intrării în vigoare a prezentului regulament.

Art. 145. -

Prezentul regulament intră în vigoare la data publicării în Monitorul Oficial al României, Partea I.

Art. 146. -

Anexele nr. 1-7 fac parte integrantă din prezentul regulament.

Art. 147. -

De la data intrării în vigoare a prezentului regulament se abrogă:

a) Regulamentul nr. 9/2007 privind monitorizarea sistemelor de plăți, a sistemelor de decontare a operațiunilor cu instrumente financiare și a instrumentelor de plată, publicat în Monitorul Oficial al României, Partea I, nr. 803 din 26 noiembrie 2007;

b) Regulamentul nr. 1/2005 privind sistemele de plăți care asigură compensarea fondurilor, republicat în Monitorul Oficial al României, Partea I, nr. 596 din 29 august 2007, cu modificările ulterioare;

c) Regulamentul nr. 6/2006 privind emiterea și utilizarea instrumentelor de plată electronică și relațiile dintre participanții la tranzacțiile cu aceste instrumente, publicat în Monitorul Oficial al României, Partea I, nr. 927 din 15 noiembrie 2006, cu modificările ulterioare;

d) Regulamentul nr. 1/1995 privind principiile și organizarea avizării tehnice a sistemelor de plăți și decontări fără numerar, publicat în Monitorul Oficial al României, Partea I, nr. 75 din 26 aprilie 1995, cu modificările ulterioare.

Președintele Consiliului de administrație al Băncii Naționale a României,
Mugur Constantin Isărescu

București, 1 august 2018.

Nr. 3.

ANEXA Nr. 1

Cerințe pentru asigurarea rezilienței cibernetice

1. Guvernanța

Administratorul IPF dispune de aranjamente pentru a defini, implementa și revizui periodic cadrul de gestionare a rezilienței cibernetice. Cadrul de gestionare a rezilienței cibernetice acordă o importanță ridicată siguranței și eficienței operațiunilor unei IPF, susținând stabilitatea financiară. Cadrul de gestionare a rezilienței cibernetice trebuie să fie aprobat de consiliu și include:

a) o strategie privind reziliența cibernetică, care detaliază modul în care sunt determinate obiectivele de reziliență cibernetică, toleranța la riscurile cibernetice și modul în care sunt identificate și administrate riscurile cibernetice, în scopul atingerii obiectivelor stabilite;

b) obiectivele de reziliență cibernetică, riscurile identificate și măsurile de gestionare a acestora;

c) cerințele în ceea ce privește resursele umane, tehnologice și procesele necesare gestionării riscurilor cibernetice;

d) procedurile de comunicare pentru a asigura colaborarea eficace cu toate părțile relevante (cum ar fi autoritățile, alte IPF, participanții și furnizorii de servicii informatice);

e) definirea rolurilor și responsabilităților consiliului și a managementului în domeniul asigurării rezilienței cibernetice, inclusiv în cazuri de urgență;

f) procesul de evaluare periodică a adecvării și eficacității cadrului de gestionare a rezilienței cibernetice;

g) revizuirea periodică a cadrului de gestionare a rezilienței cibernetice, având în vedere noile amenințări, incidentele anterioare și scenarii noi potențiale.

2. Identificarea

Administratorul IPF identifică și clasifică din punctul de vedere al importanței: funcțiile și serviciile furnizate, precum și activele informaționale suport aferente, modalitățile de acces la sistem și dependențele interne și externe. Acestea trebuie protejate, în ordinea priorității, împotriva compromiterii prin atacuri cibernetice. Administratorul IPF identifică riscurile de natură cibernetică pe care le suportă de la sau pe care le induce altor entități.

3. Protecția

Administratorul IPF proiectează sistemele, procesele și serviciile, precum și definește și implementează controale eficiente și eficace, pentru a proteja confidențialitatea, integritatea și disponibilitatea funcțiilor, serviciilor și activelor- suport. Proiectarea și controalele vizează mai multe niveluri de protecție și detecție, în cazul în care măsurile de protecție inițiale eșuează. Criteriile de participare, contractele cu furnizorii externi și conexiunile stabilite sprijină obiectivele de reziliență cibernetică. Măsurile de protecție contra amenințărilor interne includ cel puțin următoarele: înregistrarea și analiza activităților suspecte ale personalului cu acces la sistem, prevenirea pierderii datelor, verificarea personalului la angajare și periodic, inclusiv în cazul modificării responsabilităților, permiterea accesului fizic și informatic la sistem exclusiv personalului autorizat, monitorizat și pregătit.

4. Detectarea

Administratorul IPF implementează proceduri și instrumente de monitorizare în timp real, care permit detectarea unor amenințări, a manifestării unor anomalii sau evenimente ce pot indica un potențial incident de natură cibernetică. Este necesar să fie detectate amenințările cunoscute, precum și cele încă necunoscute, în baza unor criterii de comportament suspect. Detectarea incidentelor se asigură în timp util, pentru a permite aplicarea măsurilor de protecție stabilite în vederea prevenirii și/sau limitării consecințelor incidentului. Procedurile sprijină procesul de investigare ulterioară a incidentelor, prin păstrarea unor jurnale de operare detaliate o perioadă adecvată de timp.

5. Reluarea activităților

Administratorul IPF dispune de planuri de măsuri pentru a investiga în detaliu și a răspunde eficient și eficace la o gamă largă de incidente cibernetice, în vederea limitării impactului incidentului, reluării activității și recuperării activelor și informațiilor afectate. Administratorul IPF proiectează și testează sistemele și procesele pentru a realiza reluarea în siguranță, cu menținerea integrității datelor, a operațiunilor și serviciilor sale critice, în maximum două ore de la momentul apariției unei perturbări, și să asigure decontarea până la sfârșitul zilei în care s-a manifestat perturbarea, inclusiv în situații extreme, dar plauzibile. Planurile de măsuri au în vedere și situația în care obiectivul de reluare a activității nu este atins, prevăzând sisteme sau proceduri alternative, cum ar fi procesarea manuală, în scopul de a procesa cel puțin instrucțiunile critice. Planurile de măsuri includ păstrarea în siguranță a unor copii de rezervă a datelor și aplicațiilor, reconcilierea periodică și recuperarea datelor și aplicațiilor.

6. Testarea

6.1. Cadrul de administrare a rezilienței cibernetice este testat riguros, cel puțin anual, pentru a determina eficacitatea acestuia. Testele trebuie:

a) să utilizeze informații actualizate privind amenințările cibernetice, luând în considerare scenarii extreme, dar plauzibile și capacități avansate ale atacatorilor;

b) să identifice și să evalueze vulnerabilități care pot afecta atingerea obiectivelor de reziliență cibernetică;

c) să ofere informații utile și credibile pentru gestionarea riscurilor cibernetice.

6.2. Tipurile de teste efectuate includ:

a) exerciții de identificare și evaluare de vulnerabilități, inclusiv prin operarea periodică pe mediul de producție de la sediul secundar;

b) testări pe bază de scenarii, inclusiv indisponibilitatea totală a sediului principal în cursul zilei de operare;

c) teste de penetrare a sistemelor și rețelelor, în special a celor conectate la internet;

d) teste efectuate de echipe independente față de funcția testată (red teams), care să simuleze atacuri reale și care să vizeze sistemele, rețelele, personalul și procesele.

6.3. Periodic, IPF trebuie să organizeze exerciții de testare a rezilienței cibernetice care să implice cel puțin toți participanții critici, furnizorii critici și IPF conectate. IPF trebuie să participe la exerciții de continuitate a activității organizate de autorități.

7. Conștientizarea amenințărilor

Administratorul IPF monitorizează proactiv amenințările cibernetice curente, pentru a obține și utiliza informații pertinente în vederea prevenirii incidentelor cibernetice și a tratării rapide și eficiente a acestora.

Administratorul IPF stabilește un proces de colectare, analiză și diseminare a informațiilor referitoare la amenințările cibernetice. Cadrul de administrare a rezilienței cibernetice este revizuit continuu în baza acestor informații.

8. Învățarea și dezvoltarea

Administratorul IPF evaluează incidentele cibernetice care au avut loc, mai ales atacurile reușite, monitorizează dezvoltările tehnologice și adoptă măsuri pentru detectarea și contracararea unor posibile amenințări viitoare, prin analiza deviațiilor de la nivelul normal al activităților din sistem și al comportamentelor personalului.

ANEXA Nr. 2

Cerințe aplicabile conexiunilor între sistemele de plăți

1. Generale

a) Administratorul sistemului de plăți identifică și evaluează toate sursele potențiale de risc care rezultă din stabilirea unei conexiuni, atât înainte de a încheia acordul aferent conexiunii, cât și în mod permanent, după stabilirea acesteia.

b) Administratorul sistemului de plăți implicat într-o conexiune îndeplinește, întocmai și la timp, toate obligațiile față de sistemele de plăți cu care este conectat și față de participanții săi.

c) Administratorul sistemului de plăți, care stabilește conexiuni multiple, asigură că riscurile generate într-o conexiune nu se propagă și nu afectează siguranța altor conexiuni și a altor sisteme de plăți.

d) O conexiune este concepută astfel încât fiecare administrator de sistem de plăți să fie capabil să continue să respecte alte cerințe de monitorizare aplicabile.

2. Siguranța juridică

a) Cadrul legal aplicabil atât sistemelor de plăți implicate într-o conexiune, cât și cel aplicabil conexiunii în cauză oferă un grad ridicat de certitudine pentru fiecare aspect al funcționării conexiunii, în toate jurisdicțiile relevante.

b) Regulile, procedurile și contractele care guvernează conexiunea sunt clare, ușor de înțeles și în conformitate cu legile și alte reglementări relevante. Acestea sunt ușor accesibile pentru fiecare parte care are un interes legitim.

c) Regulile, procedurile și contractele care guvernează conexiunea sunt complete, valabile și aplicabile în toate jurisdicțiile relevante. Există un nivel ridicat de certitudine că măsurile dispuse în conformitate cu aceste reguli și proceduri nu pot fi suspendate, anulate sau reversibile.

d) Administratorii sistemelor de plăți implicați într-o conexiune identifică și atenuează riscurile care decurg din orice potențial conflict de legi între jurisdicții.

e) Administratorii sistemelor de plăți implicați într-o conexiune respectă cadrele de reglementare aplicabile.

3. Riscul operațional

a) Obiectivele administratorului sistemului de plăți privind cerințele și politica de securitate a informației acoperă și aranjamentul aferent conexiunii.

b) Nivelul de calitate a serviciilor furnizate prin intermediul conexiunii este aprobat de administratorii sistemelor de plăți implicate într-o conexiune și comunicat tuturor părților relevante.

c) Administratorii sistemelor de plăți asigură că aranjamentele de gestionare a riscurilor și capacitatea de procesare sunt dimensionate corespunzător și sunt sigure pentru a opera conexiunea pentru volumele maxime curente și viitoare proiectate ale activității desfășurate prin intermediul conexiunii.

d) Funcționarea conexiunii este testată și monitorizată, în mod corespunzător, și incidentele sunt înregistrate și urmărite. Administratorii sistemelor de plăți conectate și toate părțile implicate convin asupra aranjamentelor privind continuitatea activității desfășurate prin intermediul conexiunii.

4. Riscul financiar

a) Administratorii sistemelor de plăți au o înțelegere clară a impactului pe care conexiunea îl are asupra fiecărui risc la care acestea se expun.

b) Regulile și procedurile sistemului de plăți permit participanților să aibă o înțelegere clară a impactului pe care conexiunea îl are asupra fiecărui risc la care aceștia se expun.

c) Activele utilizate pentru decontare prin intermediul conexiunilor comportă riscuri de credit sau de lichiditate scăzute sau inexistente.

d) Plățile prin intermediul conexiunii sunt decontate prompt, de preferință în cadrul aceleiași zile de operare.

e) Acordul privind stabilirea conexiunii asigură măsuri adecvate pentru gestionarea și minimizarea riscurilor asociate incapacității unui participant de a-și îndeplini prompt obligațiile sale, în special în cazul în care are loc un proces de compensare.

5. Criteriile de acces

a) Criteriile de acces sunt clare, obiective și nediscriminatorii. Aceste criterii sunt publice.

b) Criteriile de acces sunt justificate din perspectiva siguranței și eficienței sistemului de plăți și a piețelor financiare pe care le deservește.

c) Criteriile de acces sunt adaptate în funcție de tipul conexiunii, ținând cont de riscurile la care sunt expuși administratorii sistemelor interconectate și participanții, în cazul fiecărui tip de conexiune.

d) Administratorul sistemului de plăți care refuză stabilirea unei conexiuni trebuie să motiveze solicitantului refuzul, în scris.

e) Administratorul sistemului de plăți implicat într-o conexiune se asigură că prețurile se stabilesc nediscriminatoriu și transparent.

f) Regulile și procedurile de încetare a accesului sunt definite.

6. Eficiența

a) Administratorul sistemului de plăți dispune de scopuri și obiective clar definite, măsurabile și realizabile în legătură cu funcționarea conexiunii, cum ar fi, dar fără a se limita la, nivelul minim de calitate a serviciilor prestate, gestionarea riscurilor și prioritățile de afaceri. Administratorul sistemului de plăți deține mecanisme de revizuire regulată a eficienței și eficacității fiecărei conexiuni.

b) O conexiune este concepută astfel încât să satisfacă nevoile actuale și viitoare ale participanților și ale piețelor pe care le deservește.

c) Stabilirea de conexiuni nu afectează echilibrul dintre eficiență și gestionarea riscului în cadrul sistemelor de plăți.

7. Guvernanța

a) Conducerea administratorului sistemului de plăți implicat într-o conexiune dispune de o strategie clară privind stabilirea de conexiuni, care este adusă la cunoștința proprietarilor sistemului, autorităților relevante, utilizatorilor și, la un nivel mai general, altor sisteme de plăți.

b) Administratorul sistemului de plăți are obiective care evidențiază prioritatea siguranței și eficienței conexiunii și care sprijină, în mod explicit, interesul public.

c) Aranjamentele de guvernanță asigură că o decizie de a stabili o conexiune reflectă corespunzător obiectivele și interesele părților implicate și modul cum se realizează această reflectare.

d) Administratorul sistemului de plăți implicat într-o conexiune trebuie să implementeze mecanisme formalizate pentru schimbul de informații relevante cu părțile implicate relevante și să le consulte atunci când este nevoie.

8. Conexiunile indirecte și conexiunile releu

a) Înainte de stabilirea unei conexiuni indirecte sau releu, administratorul sistemului de plăți analizează toate riscurile aferente intermedierii schimbului de ordine de plată.

b) Administratorul sistemului de plăți care utilizează un intermediar pentru a opera o conexiune cu un alt sistem de plăți cuantifică, monitorizează și gestionează riscul juridic suplimentar, care decurge din utilizarea unui intermediar.

c) Administratorii sistemelor de plăți identifică și atenuează adecvat riscul operațional indus de către intermediar.

d) Administratorul sistemului de plăți implicat într-o conexiune indirectă sau releu monitorizează adecvat rolul și soliditatea financiară a oricărui intermediar.

e) Administratorii sistemelor de plăți implicate într-o conexiune indirectă sau releu se asigură că intermediarul nu restricționează în mod nejustificat utilizarea conexiunii de către orice participant.

f) Eficiența și eficacitatea conexiunilor indirecte și releu sunt periodic evaluate și comparate cu canalele alternative de transmitere a ordinelor de transfer, de exemplu, prin conexiuni directe.

ANEXA Nr. 3

Cerere de autorizare a infrastructurii pieței financiare (IPF)

Informații generale

Data cererii
Denumirea persoanei juridice solicitante
Sediul social
Tipul infrastructurii pieței financiare
Numele persoanei care își asumă responsabilitatea pentru cerere
Datele de contact ale persoanei care își asumă responsabilitatea pentru cerere
Numele persoanei responsabile pentru conformitatea IPF
Datele de contact ale persoanei responsabile pentru conformitatea IPF
Datele de identificare ale societății-mamă (dacă este cazul)

Referințele documentelor

Cerința din titlul III capitolul I Autorizarea operării infrastructurilor pieței financiare Numărul de referință unic al documentului Titlul documentului Capitolul, secțiunea ori pagina documentului unde sunt furnizate informațiile sau motivul pentru care nu sunt furnizate informațiile
Art. xx
Anexa x, pct. y

ANEXA Nr. 4

Formular de notificare carduri

. . . . . . . . . . (numele instituției emitente), înmatriculată la oficiul registrului comerțului cu nr. . . . . . . . . . ., având cod unic de înregistrare nr. . . . . . . . . . ., având sediul în țara/județul . . . . . . . . . ., localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poștal . . . . . . . . . ., prin . . . . . . . . . ., în calitate de reprezentant legal, notificăm emiterea și punerea în circulație a instrumentului de plată electronică de tip card - . . . . . . . . . ., în următoarele condiții:

a) cont/conturi atașate (monedă națională, valute sau monedă electronică) . . . . . . . . . .;

b) funcționalitate card - . . . . . . . . . .;

c) circulație națională/internațională . . . . . . . . . .;

d) card cu bandă magnetică/chip/dual . . . . . . . . . .;

e) executarea plasticului se va face de către societatea . . . . . . . . . ., înmatriculată la oficiul registrului comerțului cu nr. . . . . . . . . . ., având cod unic de înregistrare . . . . . . . . . ., cu sediul în localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poștal . . . . . . . . . .;

f) personalizarea cardurilor se va face de către societatea . . . . . . . . . ., înmatriculată la oficiul registrului comerțului cu nr. . . . . . . . . . . cu sediul în localitatea, str. . . . . . . . . . . nr. . . . . . . . . . ., cod poștal . . . . . . . . . .;

g) procesarea tranzacțiilor cu carduri se va face de către societatea . . . . . . . . . ., înmatriculată la oficiul registrului comerțului cu nr. . . . . . . . . . ., având cod unic de înregistrare . . . . . . . . . ., cu sediul în localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poștal . . . . . . . . . . .

Semnătura autorizată a solicitantului,
S.S./L.S.

ANEXA Nr. 5

Formular de notificare instrumente de plată electronică cu acces la distanță

. . . . . . . . . . (numele instituției emitente), înmatriculată la oficiul registrului comerțului sub nr. . . . . . . . . . ./ . . . . . . . . . ., având cod unic de înregistrare nr. . . . . . . . . . ., având sediul în țara/județul . . . . . . . . . ., localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poștal . . . . . . . . . ., prin . . . . . . . . . ., în calitate de reprezentant legal, notificăm emiterea și punerea în circulație a instrumentului de plată electronică cu acces la distanță de tip . . . . . . . . . ., în următoarele condiții:

a) denumire produs . . . . . . . . . .;

b) operațiuni efectuate prin intermediul instrumentului

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .;

c) producătorul programului informatic este societatea . . . . . . . . . ., înmatriculată la oficiul registrului comerțului sub nr. . . . . . . . . . ., având cod unic de înregistrare . . . . . . . . . ., cu sediul în localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poștal . . . . . . . . . . .

Semnătura autorizată a solicitantului,
S.S./L.S.

ANEXA Nr. 6

Formular de notificare tiraj de cecuri barate

. . . . . . . . . . (numele instituției de credit), înmatriculată la oficiul registrului comerțului cu nr. . . . . . . . . . ., având cod unic de înregistrare nr. . . . . . . . . . ., având sediul în țara/județul . . . . . . . . . ., localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poștal . . . . . . . . . ., prin . . . . . . . . . ., în calitate de reprezentant legal, notificăm punerea în circulație a tirajului de cecuri barate cu seria de la . . . . . . . . . . până la . . . . . . . . . . .

Tipărirea tirajului de cecuri barate s-a realizat de către societatea . . . . . . . . . ., înmatriculată la oficiul registrului comerțului cu nr. . . . . . . . . . ., având cod unic de înregistrare . . . . . . . . . ., cu sediul în localitatea . . . . . . . . . ., str. . . . . . . . . . . nr. . . . . . . . . . ., cod poștal . . . . . . . . . . .

Semnătura autorizată a solicitantului,
S.S./L.S.

ANEXA Nr. 7

Model raport incident operațional sau de securitate

1. Administrator IPF/Prestator de servicii de plată

2. Numele, funcția și datele de contact ale persoanei care raportează incidentul

3. Data și momentul apariției incidentului

4. Data și momentul constatării incidentului

5. Data și momentul finalizării incidentului

6. Tip incident operațional/de securitate (echipament, soft, uman, social, procedură, cauză naturală, altele)

7. Cauza incidentului

8. Descrierea detaliată a incidentului

9. Măsurile luate pentru limitarea consecințelor incidentului

10. Măsurile luate pentru prevenirea unor incidente similare

11. Numele, funcția și datele de contact ale persoanei/persoanelor care pot furniza informații suplimentare legate de incidentul raportat

Acest document poate avea modificări ulterioare. Cumpărați documentul în formă actualizată sau alegeți un abonament Lege5 care permite accesul la orice formă actualizată.

;
se încarcă...