Pentru multe instituții financiare, securitatea IT a fost tratată ani la rând ca o problemă tehnică internă. De acum, devine o chestiune care poate atrage sancțiuni serioase și controale directe din partea autorităților de supraveghere.
Prin Ordonanța de urgență nr. 14 din 5 martie 2026, Guvernul stabilește modul în care România aplică Regulamentul (UE) 2022/2554 privind reziliența operațională digitală a sectorului financiar. Practic, statul introduce mecanisme concrete prin care verifică dacă instituțiile financiare pot rezista unor atacuri informatice sau unor incidente tehnologice majore.
Una dintre cele mai importante noutăți este introducerea testelor de penetrare bazate pe amenințări. Acestea simulează atacuri reale asupra sistemelor informatice pentru a vedea dacă infrastructura digitală rezistă și dacă echipele interne pot reacționa corect. Coordonarea acestor teste la nivel național va fi realizată de Banca Națională a României, în timp ce Autoritatea de Supraveghere Financiară aplică regulile pentru entitățile din domeniul pieței de capital și al asigurărilor.
Impactul nu se limitează la bănci. Reglementarea vizează și instituții de plată, firme de investiții, administratori de fonduri, societăți de asigurări sau furnizori de servicii de criptoactive. Pentru aceste organizații, infrastructura IT și modul în care gestionează incidentele cibernetice devin elemente evaluate direct de autorități.
Dacă o instituție nu poate demonstra că își gestionează corect riscurile digitale, consecințele pot fi serioase. Amenzile pot ajunge la 10% din cifra de afaceri anuală sau până la 23 de milioane de lei. În anumite situații, autoritățile pot dispune chiar suspendarea unor activități sau retragerea autorizației.
Pentru multe organizații din sectorul financiar, schimbarea înseamnă că securitatea IT trebuie tratată la nivel strategic, nu doar tehnic. Controalele pot analiza modul în care sunt monitorizate sistemele informatice, cum sunt gestionate incidentele și dacă există planuri reale de continuitate a activității.