Resiliencia operativa digital del sector financiero

PUNTOS CLAVE

Ámbito de aplicación

El Reglamento abarca:

• entidades de crédito, de pago, de dinero electrónico y de pensiones de jubilación;
• proveedores de servicios de información sobre cuentas, criptoactivos, notificación de datos, financiación participativa y terceros de TIC;
• empresas de inversión, fondos de inversión alternativos, sociedades gestoras, agencias de calificación crediticia y administradores de índices de referencia cruciales;
• registros de operaciones y titulizaciones, depositarios centrales de valores, contrapartes centrales y centros de negociación;
• seguros, intermediarios de seguros y reaseguros.

Gestión de riesgos relacionados con las TIC

Las entidades financieras, que no sean microempresas, deben:

• disponer de medidas internas de gobernanza y control que garanticen una gestión eficaz y prudente del riesgo de las TIC;
• asegurarse de que su órgano de dirección define, aprueba, supervisa y es responsable de todas las disposiciones pertinentes;
• contar con un marco de gestión de riesgos en TIC sólido, completo y bien documentado con las estrategias, políticas, procedimientos, protocolos y herramientas necesarios para responder con rapidez y eficacia;
• utilizar y mantener sistemas, protocolos y herramientas actualizados en el ámbito de las TIC que sean adecuados, fiables y tecnológicamente resistentes y que tengan capacidad suficiente;
• identificar, clasificar y documentar adecuadamente todas las funciones, roles y responsabilidades empresariales apoyadas por las TIC, y revisar los escenarios de riesgo;
• supervisar de forma continua la seguridad y el funcionamiento de los sistemas y herramientas de TIC para minimizar las repercusiones de cualquier riesgo de TIC;
• detectar rápidamente las anomalías e identificar posibles puntos de fallo;
• establecer una política global de continuidad empresarial de las actividades de TIC con planes, procedimientos y mecanismos adecuados;
• desarrollar y documentar políticas de copias de seguridad y procedimientos de restauración y recuperación;
• desplegar recursos y personal para evaluar las vulnerabilidades, las ciberamenazas y los incidentes relacionados con las TIC, especialmente los ciberataques, y analizar su posible impacto en la resiliencia operativa digital de la entidad;
• diseñar planes de comunicación de crisis para divulgar al menos los incidentes o vulnerabilidades más importantes relacionados con las TIC a clientes, homólogos y ciudadanos.

Gestión, clasificación e informes relacionados con las TIC

Las entidades financieras deben:

• definir, establecer y aplicar medidas para detectar, gestionar, registrar y notificar incidentes relacionados con las TIC;
• clasificar incidentes y determinar su impacto mediante criterios como el número de clientes y homólogos afectados, la duración, la extensión geográfica y las pérdidas de datos;
• notificar los incidentes importantes relacionados con las TIC a su autoridad competente designada, que los transmitirá a un organismo superior, como el Banco Central Europeo o la Autoridad Bancaria Europea.

Pruebas de resiliencia operativa digital

Las entidades financieras, que no sean microempresas, deben:

• establecer, mantener y revisar un programa sólido y completo de pruebas operativas digitales equipado con las evaluaciones, pruebas, metodologías, prácticas y herramientas necesarias;
• llevar a cabo, al menos cada tres años, pruebas de penetración en el nivel de amenaza basadas en su perfil de riesgo y teniendo en cuenta las circunstancias operativas y únicamente utilizar evaluadores que estén certificados, posean la experiencia e idoneidad necesarias y tengan un seguro de responsabilidad profesional.

Gestión del riesgo relacionado con las TIC derivado de terceros

Las entidades financieras deben:

• gestionar el riesgo de terceros como parte integrante de su riesgo global de TIC;
• disponer de acuerdos contractuales para que los servicios de TIC ejecuten sus operaciones empresariales respetando plenamente la legislación pertinente;
• tener en cuenta la naturaleza, la escala, la complejidad y la importancia de las dependencias relacionadas con las TIC y cualquier riesgo potencial;
• sopesar las ventajas y los costes de las soluciones alternativas a la hora de identificar y evaluar los riesgos existentes;
• incluir en el contrato los derechos y las obligaciones de cada parte y el acuerdo de servicios.

Marco de supervisión de los proveedores terceros esenciales de servicios de TIC

El marco:

• encomienda a las Autoridades Europeas de Supervisión (AES) que:
• • designen, sobre la base de criterios claros, a los proveedores terceros de servicios de TIC considerados esenciales para las entidades financieras,
  • designen, como supervisor principal para cada proveedor tercero esencial de servicios, la Autoridad Europea de Supervisión responsable de la entidad financiera de que se trate;
• establece un Foro de Supervisión para:
• • debatir las novedades pertinentes en materia de riesgos y vulnerabilidades de las TIC y promover un enfoque coherente de seguimiento en la UE;
  • evaluar anualmente las actividades de supervisión, promover medidas para aumentar la resiliencia operativa digital y fomentar las mejores prácticas;
  • presentar índices de referencia exhaustivos para los proveedores terceros esenciales de servicios de TIC;
• encarga al supervisor principal que:
• • sea el principal punto de contacto para los proveedores terceros esenciales de servicios de TIC,
  • evalúe si cada proveedor esencial dispone de normas, procedimientos, mecanismos y disposiciones completos, sólidos y eficaces,
  • solicite toda la información y documentación pertinentes, lleve a cabo investigaciones e inspecciones (incluso en terceros países), especifique medidas correctoras y emita recomendaciones;
• permite a la Autoridad Bancaria Europea, la Autoridad Europea de Seguros y Pensiones de Jubilación y la Autoridad Europea de Valores y Mercados trabajar con autoridades reguladoras y de supervisión de las TIC no pertenecientes a la UE sobre el riesgo relacionado con las TIC derivado de terceros;
• exige que las Autoridades Europeas de Supervisión presenten cada cinco años un informe confidencial al Parlamento Europeo, al Consejo de la Unión Europea y a la Comisión Europea sobre sus relaciones con autoridades no pertenecientes a la UE.

Criterios para la designación de proveedores esenciales

En virtud del Reglamento Delegado (UE) 2024/1502, los proveedores terceros de servicios de TIC podrán ser designados como esenciales y quedar sometidos a la supervisión directa de las AES tras una evaluación en dos fases.

• Fase 1: criterios cuantitativos

El proveedor debe cumplir umbrales cuantificables, tales como:

• el número de entidades financieras, o el porcentaje de sus activos totales, que dependen de los servicios del proveedor;
• si presta servicios a entidades sistémicas [entidades de importancia sistémica mundial (EISM) u otras entidades de importancia sistémica (OEIS)];
• si sus servicios pueden sustituirse o si cambiar a otro proveedor resultaría difícil o costoso.

• Fase 2: criterios cualitativos

Los proveedores que cumplen los requisitos de la fase 1 se evalúan en función de consideraciones más amplias, entre las que se incluyen:

• el impacto sistémico potencial en caso de interrupción de sus servicios;
• el grado de interdependencia entre las entidades financieras que utilicen el mismo proveedor;
• el carácter esencial de las funciones respaldadas;
• la dependencia de subcontratistas comunes.

Un proveedor solo se designa como esencial cuando cumple los criterios de ambas fases.

Acuerdos de intercambio de información

Las entidades financieras podrán intercambiar información e inteligencia sobre ciberamenazas, siempre que ello:

• tenga como objetivo reforzar su resiliencia operativa digital;
• se produzca dentro de sus comunidades de confianza;
• proteja la confidencialidad de las empresas y los datos personales, y respete las normas relativas a la política de competencia.

Sanciones y medidas correctoras

Las autoridades competentes:

• disponen de todas las competencias de supervisión, investigación y sanción necesarias para el ejercicio de sus funciones;
• imponen, y publican en sus sitios web, las sanciones administrativas y medidas correctoras determinadas por el Derecho nacional.

Las Autoridades Europeas de Supervisión elaboran normas técnicas de regulación para las herramientas de gestión de riesgos de las TIC, la clasificación y notificación de incidentes relacionados con las TIC y la realización de actividades de supervisión.

La Comisión:

• tiene la facultad de adoptar actos delegados;
• presentará al Parlamento y al Consejo, a más tardar el 17 de enero de 2028, una revisión del Reglamento, previa consulta a las Autoridades Europeas de Supervisión y a la Junta Europea de Riesgo Sistémico.

El Reglamento modifica el Reglamento (CE) n.º 1060/2009, los Reglamentos (UE) n.os 648/2012, 909/2014 y 600/2014, y el Reglamento (UE) 2016/1011.