Close Menu
Ekofin
  • Kreu
  • Aktualitet
  • Ekonomi
  • Biznes
  • Tregje
  • Turizëm
  • Green
  • Të tjera
  • Blog
  • English

Kategorizimi i strukturave akomoduese, adresa në QKB duhet të përputhet me objektin

15:49 - Korrik 10, 2026

Qeveria vendos gjurmim elektronik për armët dhe municionet ushtarake

15:44 - Korrik 10, 2026

Bankat dhe institucionet financiare do të raportojnë incidentet madhore kibernetike brenda 4 orëve, testim vjetor për sistemet kritike

15:15 - Korrik 10, 2026
Facebook X (Twitter) Instagram
Facebook Instagram X (Twitter) LinkedIn
EkofinEkofin
Subscribe
  • Kreu
  • Aktualitet
  • Ekonomi
  • Biznes
  • Tregje
  • Turizëm
  • Green
  • Të tjera
  • Blog
  • English
Ekofin

Bankat dhe institucionet financiare do të raportojnë incidentet madhore kibernetike brenda 4 orëve, testim vjetor për sistemet kritike

15:15 - Korrik 10, 2026 Kryesore
Shpërndaje
Facebook Twitter Pinterest Email WhatsApp

Bankat dhe institucionet e tjera financiare në vend do të përballen me kërkesa më të forta për mbrojtjen e sistemeve digjitale, raportimin e sulmeve kibernetike dhe garantimin e vazhdimësisë së shërbimeve për klientët.

Këshilli Mbikëqyrës i Bankës së Shqipërisë ka miratuar rregulloren e re “Për qëndrueshmërinë operacionale digjitale”, e cila përafron kuadrin vendas me rregulloren e Bashkimit Evropian DORA për sigurinë digjitale të sektorit financiar.

Rregullorja përfshin bankat, institucionet e pagesave, institucionet e parasë elektronike, ofruesit e shërbimit të informimit të llogarisë, emetuesit e tokenave të aseteve dhe të parasë elektronike, si dhe kompanitë e jashtme që u ofrojnë këtyre subjekteve shërbime teknologjike.

Qëllimi është që institucionet financiare të jenë në gjendje të vazhdojnë shërbimet e tyre edhe gjatë sulmeve kibernetike, ndërprerjeve teknologjike, defekteve të sistemeve ose problemeve që vijnë nga kompanitë e jashtme të teknologjisë.

Incidentet madhore do të raportohen brenda 4 orëve

Një nga ndryshimet kryesore lidhet me afatet e raportimit të incidenteve të rënda teknologjike.

Institucionet financiare duhet të dërgojnë në Bankën e Shqipërisë njoftimin fillestar sa më shpejt të jetë e mundur, por jo më vonë se katër orë nga momenti kur incidenti klasifikohet si madhor. Në çdo rast, njoftimi nuk mund të bëhet më vonë se 24 orë nga momenti kur institucioni ka marrë dijeni për incidentin.

Raporti i ndërmjetëm duhet të paraqitet jo më vonë se 72 orë pas njoftimit fillestar, edhe kur situata ose mënyra e trajtimit të incidentit nuk ka ndryshuar. Një raport i përditësuar kërkohet sapo të jetë rikthyer veprimtaria e zakonshme e institucionit.

Raporti përfundimtar duhet të dërgohet jo më vonë se një muaj pas raportit të ndërmjetëm ose pas përditësimit të fundit të tij. Në të duhet të përfshihet analiza e shkakut të incidentit, ndikimi real dhe masat e marra.

Kur një incident madhor prek interesat financiarë të klientëve, banka ose institucioni financiar duhet t’i informojë ata menjëherë dhe pa vonesa të panevojshme. Klientëve duhet t’u bëhen të ditura edhe masat e marra për kufizimin e pasojave.

Kur një incident konsiderohet madhor

Rregullorja përcakton disa kufij konkretë për klasifikimin e incidenteve. Një incident mund të konsiderohet madhor kur prek shërbime kritike dhe plotëson kriteret e përcaktuara për numrin e klientëve, kohëzgjatjen, humbjen e të dhënave ose ndikimin financiar.

Kufiri për klientët arrihet kur incidenti prek më shumë se 10% të klientëve që përdorin shërbimin përkatës ose më shumë se 100 mijë klientë.

Incidenti mund të konsiderohet material edhe kur prek më shumë se 30% të kundërpartive financiare të lidhura me shërbimin, ose kur numri apo vlera e transaksioneve të prekura kalon 10% të mesatares ditore.

Për kohëzgjatjen, kufiri arrihet kur incidenti vazhdon më shumë se 24 orë ose kur një shërbim teknologjik që mbështet një funksion kritik ndërpritet për më shumë se dy orë.

Kriter tjetër është shtrirja në të paktën dy shtete, humbja ose cenimi i të dhënave, si dhe ndikimi ekonomik. Për këtë të fundit, pragu është vendosur në ekuivalentin në lekë të 100 mijë eurove.

Edhe incidentet më të vogla mund të klasifikohen së bashku si madhore kur ndodhin të paktën dy herë brenda gjashtë muajve, kanë të njëjtin shkak të dukshëm dhe, të marra së bashku, plotësojnë kufijtë e klasifikimit.

Institucionet financiare duhet të kontrollojnë çdo muaj nëse kanë pasur incidente të tilla të përsëritura.

Përgjegjësia kalon te bordet drejtuese

Rregullorja nuk e trajton sigurinë kibernetike vetëm si përgjegjësi të departamenteve të teknologjisë. Përgjegjësia përfundimtare për administrimin e rrezikut teknologjik u ngarkohet organeve drejtuese të bankave dhe institucioneve financiare.

Bordet duhet të miratojnë strategjinë e qëndrueshmërisë operacionale digjitale, nivelin e tolerancës ndaj rrezikut, politikat e vazhdimësisë së biznesit, planet e rimëkëmbjes pas incidenteve dhe buxhetin e nevojshëm për sigurinë e sistemeve.

Ato duhet të miratojnë dhe rishikojnë edhe marrëveshjet me kompanitë e jashtme të teknologjisë, planet e auditimit dhe programet e trajnimit për punonjësit.

Anëtarët e organeve drejtuese do të duhet të trajnohen rregullisht, në mënyrë që të kuptojnë rreziqet teknologjike dhe ndikimin që një incident mund të ketë në aktivitetin e institucionit.

Sistemi i administrimit të rrezikut teknologjik duhet të dokumentohet dhe të rishikohet të paktën një herë në vit. Ai duhet të rishikohet edhe pas çdo incidenti madhor, testimi të sistemeve ose rekomandimi të Bankës së Shqipërisë.

Për institucionet që nuk klasifikohen si mikrondërmarrje, sistemi do t’i nënshtrohet rregullisht auditimit të brendshëm. Institucionet duhet të ndajnë funksionet e administrimit të rrezikut, kontrollit dhe auditimit sipas modelit të tri linjave të mbrojtjes.

Testim çdo vit për sistemet kritike

Bankat dhe subjektet e tjera financiare, me përjashtim të mikrondërmarrjeve, duhet të krijojnë një program të plotë për testimin e qëndrueshmërisë së tyre digjitale.

Të gjitha sistemet dhe aplikacionet që mbështesin funksione kritike ose të rëndësishme duhet të testohen të paktën një herë në vit.

Testimet mund të përfshijnë skanime për dobësitë, kontrolle të sigurisë së rrjetit, analiza të mangësive, rishikime të kodit burimor, testime të performancës, simulime të skenarëve të sulmeve dhe teste depërtimi në sisteme.

Për institucionet e përcaktuara nga Banka e Shqipërisë do të kërkohet, të paktën një herë në tre vjet, një testim më i avancuar i udhëhequr nga kërcënimi, i njohur si TLPT.

Ky testim simulon taktikat dhe teknikat e përdorura nga sulmues realë dhe duhet të kryhet në sistemet aktive të prodhimit që mbështesin funksione kritike. Banka e Shqipërisë mund të kërkojë që testimi të kryhet më shpesh ose më rrallë, në varësi të profilit të rrezikut të institucionit.

Kur sistemet kritike administrohen nga kompani të jashtme, edhe këto kompani duhet të përfshihen në testim. Megjithatë, përgjegjësia për respektimin e rregullave mbetet te banka ose institucioni financiar.

Plane për vazhdimin e shërbimeve pas sulmeve

Institucionet financiare duhet të hartojnë plane të posaçme për vazhdimësinë e biznesit dhe rimëkëmbjen pas fatkeqësive teknologjike.

Planet duhet të përcaktojnë mënyrën se si do të vijojnë shërbimet kritike, si do të kufizohen dëmet, kur do të aktivizohen sistemet rezervë dhe si do të rikthehet aktiviteti normal.

Testimi i planeve të vazhdimësisë dhe rimëkëmbjes duhet të kryhet të paktën çdo vit dhe pas ndryshimeve të rëndësishme në sistemet teknologjike.

Testet duhet të përfshijnë skenarë sulmesh kibernetike, kalimin nga infrastruktura kryesore në sistemet rezervë, rikthimin e kopjeve të sigurisë dhe funksionimin e qendrave dytësore të të dhënave.

Subjektet që nuk janë mikrondërmarrje duhet të krijojnë edhe një funksion të posaçëm për menaxhimin e krizave dhe procedura për komunikimin me punonjësit, klientët, autoritetet dhe palët e tjera të përfshira.

Bankat do të duhet të mbajnë të dhëna për veprimet e kryera para dhe gjatë ndërprerjeve, ndërsa Banka e Shqipërisë mund t’u kërkojë një vlerësim të të gjitha kostove dhe humbjeve të shkaktuara nga incidentet madhore.

Në llogaritjen e humbjeve përfshihen fondet e vjedhura, kostot për zëvendësimin e pajisjeve dhe programeve, shpenzimet shtesë për personelin, kompensimi i klientëve, të ardhurat e munguara, kostot ligjore, komunikimi dhe shërbimet e konsulencës.

Kontratat me kompanitë teknologjike nën kontroll më të fortë

Një pjesë e rëndësishme e rregullores lidhet me varësinë e sektorit financiar nga kompanitë e jashtme që ofrojnë shërbime teknologjike, përfshirë ruajtjen dhe përpunimin e të dhënave, infrastrukturën kompjuterike dhe shërbimet cloud.

Përpara lidhjes së një kontrate, institucionet financiare duhet të vlerësojnë rreziqet, standardet e sigurisë së kompanisë, mundësinë e nënkontraktimit dhe vendet ku do të përpunohen ose ruhen të dhënat.

Kontratat duhet të përcaktojnë qartë vendndodhjen e të dhënave, mënyrën e rikuperimit dhe kthimit të tyre në rast falimentimi ose ndërprerjeje të shërbimit, nivelin e shërbimit dhe ndihmën që ofruesi duhet të japë gjatë një incidenti.

Banka e Shqipërisë dhe institucioni financiar duhet të kenë të drejtë të pakufizuar për akses, inspektim dhe auditim të ofruesve që mbështesin funksione kritike. Këta ofrues duhet të bashkëpunojnë edhe në testet e avancuara të sigurisë.

Bankat duhet të hartojnë gjithashtu strategji daljeje, në mënyrë që të mund ta ndërpresin kontratën dhe të kalojnë te një ofrues tjetër ose te një sistem i brendshëm pa ndërprerë shërbimet për klientët.

Marrëveshjet duhet të ndërpriten kur ofruesi kryen shkelje të rënda, ka dobësi serioze sigurie, përkeqëson cilësinë e shërbimit ose pengon Bankën e Shqipërisë të ushtrojë mbikëqyrjen.

Edhe kur shërbimet teknologjike kontraktohen jashtë, institucioni financiar vazhdon të mbajë përgjegjësi të plotë për sigurinë dhe funksionimin e tyre.

Rregullorja përafron standardet evropiane

Rregullorja e re përafron aktin evropian DORA dhe disa standarde të tjera teknike të Bashkimit Evropian për klasifikimin dhe raportimin e incidenteve, kontrollin e ofruesve të jashtëm dhe vlerësimin e humbjeve të shkaktuara nga sulmet ose defektet teknologjike.

Zbatimi do të ndiqet nga Departamenti i Mbikëqyrjes në Bankën e Shqipërisë.

Me hyrjen në fuqi të rregullores shfuqizohet udhëzimi i vitit 2024 “Për raportimin e incidenteve madhore”. Vendimi i ri është botuar sot në Fletore Zyrtare dhe hyn në fuqi pas 15 ditësh. /ekofin.al

Ekofin Media
Ekofin Media
banka e shqipërisë rregullat rreziku teknologjik sulmet kibernetike
Shpërndaje. Facebook Twitter Pinterest LinkedIn Tumblr Email

Të ngjashme

Kategorizimi i strukturave akomoduese, adresa në QKB duhet të përputhet me objektin

15:49 - Korrik 10, 2026

Qeveria vendos gjurmim elektronik për armët dhe municionet ushtarake

15:44 - Korrik 10, 2026

Qeveria rrit pagesat për zjarrfikësit, deri në 50% shtesë për punën gjatë natës

14:20 - Korrik 10, 2026
Komento
Leave A Reply Cancel Reply

Ekofin Media
Ekofin Media
Ekofin Media
Ekofin Media
Ekofin Media

Kategorizimi i strukturave akomoduese, adresa në QKB duhet të përputhet me objektin

gazetar_215:49 - Korrik 10, 20260

Bizneset që kërkojnë certifikatën e kategorizimit për hotele, bujtina, resorte, hostele, apartamente, vila dhe struktura…

Qeveria vendos gjurmim elektronik për armët dhe municionet ushtarake

15:44 - Korrik 10, 2026

Bankat dhe institucionet financiare do të raportojnë incidentet madhore kibernetike brenda 4 orëve, testim vjetor për sistemet kritike

15:15 - Korrik 10, 2026

Qeveria rrit pagesat për zjarrfikësit, deri në 50% shtesë për punën gjatë natës

14:20 - Korrik 10, 2026
Na Ndiqni
  • Facebook
  • Twitter
  • Instagram
Ekofin Media
Rreth nesh
Rreth nesh

Informacione, analiza, të dhëna rreth zhvillimeve ekonomike dhe financiare. Qytetarët në fokus. Gjithçka për transparencën. Ekofin Albania.

15:49 - Korrik 10, 2026

Kategorizimi i strukturave akomoduese, adresa në QKB duhet të përputhet me objektin

15:44 - Korrik 10, 2026

Qeveria vendos gjurmim elektronik për armët dhe municionet ushtarake

15:15 - Korrik 10, 2026

Bankat dhe institucionet financiare do të raportojnë incidentet madhore kibernetike brenda 4 orëve, testim vjetor për sistemet kritike

Kategorizimi i strukturave akomoduese, adresa në QKB duhet të përputhet me objektin

15:49 - Korrik 10, 2026

Qeveria vendos gjurmim elektronik për armët dhe municionet ushtarake

15:44 - Korrik 10, 2026

Bankat dhe institucionet financiare do të raportojnë incidentet madhore kibernetike brenda 4 orëve, testim vjetor për sistemet kritike

15:15 - Korrik 10, 2026
© 2026 Ekofin. Crafted with love by BeeTech Solutions.

Shkruani togfjalëshin dhe shtypni Enter