Banka e Shqipërisë ka përgatitur një projekt-rregullore “Për qëndrueshmërinë operacionale digjitale”, që ka si qëllim përcaktimin e kërkesave të unifikuara në lidhje me sigurinë e rrjetit dhe sistemeve të informacionit, që mbështesin veprimtarinë e subjekteve financiare.
Subjekte të rregullores do të jenë bankat, të gjitha institucionet financiare jobanka të huadhënies, parasë elektronike dhe pagesave, por edhe emetuesit e tokenave të aseteve, sipas parashikimeve të legjislacionit për tregjet e kripto-aseteve dhe ofruesit e shërbimeve të palëve të treta të teknologjisë së informacionit dhe komunikimit (TIK).
Projekt-rregullorja kërkon që subjektet financiare të krijojnë sistemin e brendshëm të qeverisjes dhe të kontrollit, që siguron një administrim efektiv dhe të kujdesshëm të të gjitha rreziqeve të TIK.
Drafti i BSS kërkon që subjektet financiare të krijojnë një sistem të shëndoshë, gjithëpërfshirës dhe të mirëdokumentuar të administrimit të rrezikut të TIK, si pjesë të sistemit të përgjithshëm të administrimit të rrezikut të subjektit, i cili iu mundëson administrimin e rrezikut të TIK, në mënyrë të shpejtë, efikase dhe gjithëpërfshirëse, si dhe sigurimin e një niveli të lartë të qëndrueshmërisë operacionale digjitale.
Ky sistemi duhet të përfshijë strategjitë, politikat, procedurat, protokollet e TIK dhe mekanizmat e nevojshme, për të mbrojtur në mënyrën e duhur dhe në mënyrë efektive të gjithë asetet e informacionit dhe asetet e TIK, duke përfshirë programet dhe pajisjet kompjuterike, serverët, si dhe për të mbrojtur të gjithë komponentët dhe infrastrukturat fizike përkatëse, të tilla si: ambientet, qendrat e të dhënave dhe zonat e caktuara të ndjeshme (sensitive), për të siguruar që të gjithë asetet e informacionit dhe asetet e TIK janë të mbrojtur në mënyrë të përshtatshme nga rreziqet, duke përfshirë edhe nga dëmtimi dhe aksesi ose përdorimi i paautorizuar.
Subjektet financiare duhet të sigurojnë ndarjen e duhur dhe pavarësinë midis funksioneve të administrimit të TIK, funksioneve të kontrollit dhe funksioneve të kontrollit të brendshëm, sipas modelit të tre linjave të mbrojtjes.
Subjektet financiare, për të adresuar dhe administruar rrezikun e TIK, përdorin dhe mbajnë sisteme, protokolle dhe mekanizma të përditësuara të TIK, të cilat janë të përshtatshme për madhësinë e operacioneve që mbështesin zhvillimin e veprimtarisë të tyre, që janë të besueshme dhe që kanë kapacitet të mjaftueshëm për të përpunuar me saktësi të dhënat e nevojshme për kryerjen e aktiviteteve dhe ofrimin e shërbimeve në kohë, dhe për t’u marrë me urdhrat, mesazhet ose vëllimet e transaksioneve gjatë kohës së pikut, sipas nevojës, përfshirë edhe rastet e prezantimit të teknologjive të reja.
Gjithashtu, sistemet duhet të jenë teknologjikisht fleksibël, për t’u përballur në mënyrë të përshtatshme me nevojat shtesë të përpunimit të informacionit, siç kërkohet në kushte të stresuara të tregut ose në situata të tjera të pafavorshme.
