str. Matei Milo nr. 6 +40 31 432 6170

Raportarea costurilor incidentelor IT

Raportarea costurilor incidentelor IT

Raportarea costurilor incidentelor IT

Prin Instrucțiunea ASF nr. 1/2026, publicată în Monitorul Oficial nr. 474 din 5 iunie 2026, se introduc reguli detaliate pentru calcularea și raportarea către ASF a impactului financiar al incidentelor cibernetice majore, în aplicarea directă a Regulamentului DORA.

Ce prevede?

Instrucțiunea stabilește o obligație nouă pentru entitățile financiare de a estima și, la cererea Autorității de Supraveghere Financiară (ASF), de a raporta costurile și pierderile anuale agregate generate de incidentele majore legate de Tehnologia Informației și a Comunicațiilor (TIC). Raportarea nu este periodică, ci se realizează doar la solicitarea expresă a ASF pentru un anumit an de referință (exercițiu financiar încheiat).

Metodologia de calcul este precis definită și se bazează pe datele reflectate în situațiile financiare ale companiei (contul de profit și pierdere). Procesul implică trei etape secvențiale: 1) estimarea costurilor și pierderilor brute pentru fiecare incident major în parte; 2) estimarea recuperărilor financiare pentru fiecare incident (ex: despăgubiri din polițe de asigurare); 3) agregarea tuturor costurilor, pierderilor și recuperărilor la nivelul anului de referință. Entitățile trebuie să includă în calcul și provizioanele contabile aferente acestor incidente.

În calculul agregat pentru un an de referință se includ toate incidentele majore pentru care s-a depus un raport final către autorități în anul respectiv. Suplimentar, se vor include și costurile și pierderile înregistrate în anul de referință care provin de la incidente majore petrecute în anii anteriori, dar care continuă să genereze un impact economic. Acest mecanism asigură o imagine completă a consecințelor financiare pe termen lung ale unui incident.

Raportul către ASF trebuie să respecte un format standard, prevăzut în anexa instrucțiunii. Acesta va conține o defalcare a costurilor, pierderilor și recuperărilor pentru fiecare incident major în parte. Este obligatoriu ca fiecare incident listat în acest raport financiar să utilizeze același cod de referință ca cel din raportul tehnic inițial, transmis conform obligațiilor din Regulamentul DORA.

Cui se aplică?

Obligațiile se aplică exclusiv entităților financiare reglementate și supravegheate de ASF. Printre acestea se numără:

  • Societățile de asigurare și/sau reasigurare;
  • Intermediarii de asigurări și/sau reasigurări (brokeri, agenți);
  • Administratorii de fonduri de pensii private;
  • Societățile de servicii de investiții financiare (SSIF);
  • Administratorii de fonduri de investiții alternative (AFIA) și organisme de plasament colectiv (OPCVM);
  • Operatorii de piață și depozitarii centrali (ex: Bursa de Valori București, Depozitarul Central).

Ce trebuie să faci?

  • Implementează o metodologie internă de calcul. Stabilește o procedură clară, care să implice departamentele Financiar și IT, pentru a cuantifica impactul financiar al incidentelor TIC conform regulilor ASF (costuri brute, recuperări, provizioane) și pentru a asigura trasabilitatea acestora în evidențele contabile.
  • Asigură colectarea granulară a datelor. Pentru fiecare incident clasificat ca fiind major, trebuie să colectezi și să documentezi separat toate costurile, pierderile și eventualele recuperări financiare. Nu este suficient un calcul agregat la final de an; datele trebuie să fie disponibile per incident.
  • Pregătește formatul de raportare. Familiarizează echipa responsabilă cu formularul standard din anexa instrucțiunii. Asigură-te că sistemele interne pot genera rapid un raport conform acestui model, la solicitarea ASF.
  • Corelează raportarea financiară cu cea tehnică. Verifică fluxul intern pentru a garanta că fiecare incident din raportul financiar către ASF folosește același cod de referință unic utilizat în raportarea tehnică inițială depusă în baza Regulamentului DORA.

Sursa: Monitorul Oficial, Partea I, nr. 474 din 5 iunie 2026.

Notă: Prezentul material are un caracter strict informativ și nu reprezintă consultanță juridică, fiscală sau de afaceri. Deoarece interpretarea și aplicarea dispozițiilor legale pot varia semnificativ în funcție de circumstanțele specifice fiecărei entități, vă recomandăm să solicitați asistență juridică de specialitate înainte de a adopta orice decizii operaționale bazate pe aceste modificări.

BACK