Regulamentul DORA în România: ce aduce nou OUG nr. 14/2026 pentru bănci și procesatorii de plăți

Sectorul financiar se bazează tot mai mult pe tehnologie, de la aplicații bancare la sisteme complexe de tranzacționare. Această dependență digitală aduce eficiență, dar și riscuri cibernetice majore. Pentru a standardiza protecția la nivel european, a fost creat Regulamentul (UE) 2022/2.554, cunoscut ca DORA (Digital Operational Resilience Act). Recent, România a făcut pasul decisiv pentru aplicarea acestuia prin Ordonanța de Urgență nr. 14/2026, care stabilește cine supraveghează, ce obligații există și, mai ales, ce sancțiuni se aplică. Iată cele mai importante noutăți.

1. BNR și ASF sunt autoritățile desemnate pentru supravegherea DORA

O întrebare esențială a primit un răspuns clar: cine va veghea la respectarea DORA în România? Ordonanța împarte această responsabilitate între cele două mari autorități de supraveghere financiară, în funcție de tipul entității.

Banca Națională a României (BNR) va supraveghea:

• Instituțiile de credit (băncile).
• Instituțiile de plată și cele emitente de monedă electronică.
• Băncile de dezvoltare.
• Anumiți depozitari centrali și administratori de indici de referință critici.

Autoritatea de Supraveghere Financiară (ASF) va avea în arie de competență:

• Societățile de servicii de investiții financiare (SSIF).
• Societățile de asigurare și reasigurare.
• Administratorii de fonduri de investiții și de pensii ocupaționale.
• Intermediarii de asigurări.
• Furnizorii de servicii de finanțare participativă (crowdfunding).

Pentru prestatorii de servicii de criptoactive, competența va fi stabilită conform legislației specifice viitoare (Regulamentul MiCA), dar BNR va supraveghea entitățile care sunt deja în aria sa de competență, precum băncile care oferă astfel de servicii.

2. BNR devine coordonatorul național pentru testele avansate de securitate (TLPT)

Una dintre cele mai interesante prevederi ale ordonanței este desemnarea BNR ca autoritate publică unică responsabilă la nivel național de coordonarea testelor de penetrare bazate pe amenințări (Threat-Led Penetration Testing sau TLPT). Acestea sunt simulări avansate de atacuri cibernetice, menite să verifice în mod realist capacitatea de apărare a unei entități financiare.

Chiar dacă o firmă de investiții sau o companie de asigurări este supravegheată de ASF, atunci când vine vorba de efectuarea acestor teste complexe, coordonarea se va face prin BNR. La finalul testării, BNR va emite un act care atestă că procedura s-a desfășurat conform cerințelor europene, document ce va fi apoi transmis către ASF de către entitățile din sfera sa de competență. Această centralizare asigură o abordare unitară și un standard ridicat de calitate pentru testele de securitate în întregul sector financiar românesc.

3. Sancțiuni severe pentru nerespectarea regulilor: amenzi de până la 10% din cifra de afaceri

Ordonanța stabilește un regim sancționator robust pentru a descuraja nerespectarea obligațiilor DORA. Atât ASF, cât și BNR primesc instrumente puternice pentru a impune conformitatea.

Sancțiunile aplicate de ASF

Pentru entitățile din aria sa de competență, ASF poate aplica amenzi considerabile:

• Pentru persoane juridice: amendă de la 10.000 lei până la 10.000.000 lei sau 5% din cifra de afaceri anuală totală.
• Pentru persoane fizice (din conducere): amendă de la 5.000 lei la 1.000.000 lei.

Pe lângă amenzi, ASF poate dispune măsuri complementare, precum retragerea sau suspendarea autorizației sau interdicția temporară (până la 5 ani) pentru persoanele din conducere de a mai exercita funcții similare.

Sancțiunile aplicate de BNR

BNR are la dispoziție un set similar, dar cu plafoane diferite:

• Pentru persoane juridice: amendă de până la 10% din cifra de afaceri anuală totală sau până la 23.000.000 lei.
• Pentru persoane fizice (din conducere): amendă între 10.000 lei și 23.000.000 lei.

La fel ca ASF, BNR poate retrage aprobarea acordată membrilor conducerii, poate suspenda autorizația entității sau poate interzice temporar exercitarea unor funcții de conducere.

4. O nouă categorie de entități intră sub radarul BNR: entitățile de prelucrare

O noutate importantă este introducerea unei obligații de notificare pentru entitățile de prelucrare a operațiunilor de plată. Acestea sunt companiile care furnizează servicii tehnice din spatele plăților electronice, cum ar fi administrarea bazelor de date pentru autorizarea tranzacțiilor sau procesarea efectivă a acestora.

prelucrare - prestarea serviciilor tehnice de prelucrare a operațiunilor de plată, prin efectuarea acțiunilor tehnice care permit realizarea de plăți electronice, precum: administrarea bazelor de date în vederea furnizării de servicii de autorizare a tranzacțiilor, procesarea tranzacțiilor, furnizarea de soluții de securitate pentru prestatorii de servicii de plată;

Conform Articolului 4, aceste entități, indiferent dacă sunt românești sau străine dar active în România, trebuie să notifice BNR în termen de 30 de zile de la începerea activității. Notificarea trebuie să includă detalii despre serviciile prestate, infrastructura tehnică, cadrul de gestionare a riscurilor TIC și planurile de continuitate a activității. Astfel, BNR capătă vizibilitate și poate emite recomandări pentru a asigura securitatea și eficiența unui segment vital, dar până acum mai puțin reglementat, al ecosistemului de plăți.

Când intră în vigoare noile reguli?

Ordonanța de Urgență nr. 14/2026 a intrat în vigoare la data publicării în Monitorul Oficial, respectiv pe 11 martie 2026.

Adoptarea acestei ordonanțe marchează un moment important pentru sectorul financiar din România. Regulile DORA nu mai sunt doar un concept european, ci o realitate locală, cu autorități de supraveghere desemnate și cu un regim de sancțiuni menit să asigure o reziliență digitală reală. Pentru bănci, asigurători, firme de investiții și toți ceilalți actori vizați, adaptarea la noile cerințe devine o prioritate imediată.

Publicat în Monitorul Oficial, Partea I, nr. 188 din 11 martie 2026.