Banka e Shqipërisë ka përgatitur një projekt-rregullore “Për qëndrueshmërinë operacionale digjitale”, që ka si qëllim përcaktimin e kërkesave të unifikuara në lidhje me sigurinë e rrjetit dhe sistemeve të informacionit, që mbështesin veprimtarinë e subjekteve financiare.
Subjekte të rregullores do të jenë bankat, të gjitha institucionet financiare jobanka të huadhënies, parasë elektronike dhe pagesave, por edhe emetuesit e tokenave të aseteve, sipas parashikimeve të legjislacionit për tregjet e kripto-aseteve dhe ofruesit e shërbimeve të palëve të treta të teknologjisë së informacionit dhe komunikimit (TIK).
Projekt-rregullorja kërkon që subjektet financiare të krijojnë sistemin e brendshëm të qeverisjes dhe të kontrollit, që siguron një administrim efektiv dhe të kujdesshëm të të gjitha rreziqeve të TIK.
Drafti i BSS kërkon që subjektet financiare të krijojnë një sistem të shëndoshë, gjithëpërfshirës dhe të mirëdokumentuar të administrimit të rrezikut të TIK, si pjesë të sistemit të përgjithshëm të administrimit të rrezikut të subjektit, i cili iu mundëson administrimin e rrezikut të TIK, në mënyrë të shpejtë, efikase dhe gjithëpërfshirëse, si dhe sigurimin e një niveli të lartë të qëndrueshmërisë operacionale digjitale.
Ky sistemi duhet të përfshijë strategjitë, politikat, procedurat, protokollet e TIK dhe mekanizmat e nevojshme, për të mbrojtur në mënyrën e duhur dhe në mënyrë efektive të gjithë asetet e informacionit dhe asetet e TIK, duke përfshirë programet dhe pajisjet kompjuterike, serverët, si dhe për të mbrojtur të gjithë komponentët dhe infrastrukturat fizike përkatëse, të tilla si: ambientet, qendrat e të dhënave dhe zonat e caktuara të ndjeshme (sensitive), për të siguruar që të gjithë asetet e informacionit dhe asetet e TIK janë të mbrojtur në mënyrë të përshtatshme nga rreziqet, duke përfshirë edhe nga dëmtimi dhe aksesi ose përdorimi i paautorizuar.
Subjektet financiare duhet të sigurojnë ndarjen e duhur dhe pavarësinë midis funksioneve të administrimit të TIK, funksioneve të kontrollit dhe funksioneve të kontrollit të brendshëm, sipas modelit të tre linjave të mbrojtjes.
Subjektet financiare, për të adresuar dhe administruar rrezikun e TIK, përdorin dhe mbajnë sisteme, protokolle dhe mekanizma të përditësuara të TIK, të cilat janë të përshtatshme për madhësinë e operacioneve që mbështesin zhvillimin e veprimtarisë të tyre, që janë të besueshme dhe që kanë kapacitet të mjaftueshëm për të përpunuar me saktësi të dhënat e nevojshme për kryerjen e aktiviteteve dhe ofrimin e shërbimeve në kohë, dhe për t’u marrë me urdhrat, mesazhet ose vëllimet e transaksioneve gjatë kohës së pikut, sipas nevojës, përfshirë edhe rastet e prezantimit të teknologjive të reja.
Gjithashtu, sistemet duhet të jenë teknologjikisht fleksibël, për t’u përballur në mënyrë të përshtatshme me nevojat shtesë të përpunimit të informacionit, siç kërkohet në kushte të stresuara të tregut ose në situata të tjera të pafavorshme.
Për qëllime të mbrojtjes së përshtatshme të sistemeve të TIK dhe të organizimit të masave të reagimit, subjektet financiare duhet të monitorojnë dhe kontrollojnë vazhdimisht sigurinë dhe funksionimin e sistemeve dhe mekanizmave të TIK.
Subjektet financiare duhet të përdorin teknologjinë (zgjidhjet) dhe proceset e TIK që garantojnë sigurinë e mjeteve të transferimit të informacionit; minimizojnë rrezikun e korruptimit ose humbjes së të dhënave, aksesit të paautorizuar dhe të defekteve teknike që mund të pengojnë aktivitetin e biznesit; parandalojnë mungesën e disponueshmërisë, dëmtimin e autenticitetit dhe integritetit, shkeljet e konfidencialitetit dhe humbjen e të dhënave; sigurojnë që të dhënat mbrohen nga rreziqet që lidhen me administrimin e informacionit, përfshirë administrimin e dobët, rreziqet që lidhen me përpunimin e të dhënave dhe gabimet njerëzore.
Pritet që rregullorja e re të hyjë në fuqi në 1 korrik 2027, por që nga momenti i miratimit të saj institucionet financiare që janë subjekt i kësaj rregulloreje duhet të fillojnë të marrin masa për plotësimin e kërkesave të rregullores dhe të raportojnë në Bankën e Shqipërisë çdo 3 muaj.
Monitor
