Autoritatea de Supraveghere Financiară a emis Norma nr. 26 din 18 decembrie 2025, prin care aplică noul Ghid ESMA privind externalizarea către furnizorii de servicii cloud. Actul nu este despre tehnologie în sine, ci despre control, responsabilitate și risc. Dacă reprezinți un depozitar FIA sau OPCVM și folosești sau plănuiești să folosești cloudul, regula te privește direct.
Norma se adresează entităților supravegheate de ASF care nu intră sub incidența Regulamentului DORA. Concret, vorbim despre depozitarii fondurilor de investiții alternative și ai organismelor de plasament colectiv. Dacă ești în această categorie și externalizezi sisteme IT, aplicații sau date către un furnizor cloud, chiar și parțial, intri automat sub regulile acestui ghid.
Ce se schimbă practic este nivelul de responsabilitate. Orice funcție externalizată trebuie evaluată clar: este critică sau nu? Dacă acea funcție susține operațiuni esențiale, date sensibile sau continuitatea activității, riscurile nu mai pot fi ignorate. De exemplu, mutarea sistemului de evidență a activelor în cloud nu mai este o simplă decizie tehnică, ci una de guvernanță și conformare.
Apare și o obligație strictă de notificare. Dacă planifici externalizarea în cloud a unei funcții critice sau importante, trebuie să informezi ASF în maximum 5 zile de la momentul planificării. Dacă o funcție considerată inițial necritică devine ulterior critică, notificarea se face tot în 5 zile de la semnarea contractului. Dacă sari acest pas, riști sancțiuni conform legislației pieței de capital și fondurilor de investiții.
Riscul major este pierderea controlului. Ghidul cere registre clare ale tuturor contractelor cloud, evaluări periodice de risc, audit, drepturi de acces și planuri reale de ieșire. Dacă furnizorul cloud are o problemă, tu trebuie să poți muta datele rapid, fără blocaje și fără a afecta clienții. Lipsa unei strategii de ieșire nu este doar o vulnerabilitate operațională, ci o încălcare directă a normei.
Ce trebuie să faci concret acum este clar. Verifică toate contractele de cloud existente și vezi dacă susțin funcții critice sau importante. Creează sau actualizează registrul de externalizare și documentează deciziile. Asigură-te că notificările către ASF sunt făcute la timp și semnate electronic calificat. Dacă nu ai un plan de ieșire testat, acesta trebuie elaborat urgent.
Această normă nu interzice cloudul, dar îl pune sub control strict. Dacă tratezi externalizarea ca pe o simplă soluție IT, riști sancțiuni și blocaje operaționale. Dacă o tratezi ca pe o decizie de management al riscului, rămâi conform și protejat.