Resiliencia operativa digital del sector financiero

SÍNTESIS DEL DOCUMENTO:

Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero

¿CUÁL ES EL OBJETIVO DE ESTE REGLAMENTO?

Establece normas uniformes relativas a la seguridad de las redes y los sistemas de información de las entidades financieras, como bancos, empresas de seguros y empresas de inversión.

Abarca una amplia gama de entidades financieras reguladas de la Unión Europea (UE) que les obligan a hacer frente, responder y recuperarse de cualquier perturbación o amenaza que implique tecnologías de la información y la comunicación (TIC).

PUNTOS CLAVE

Ámbito de aplicación

El Reglamento abarca:

• entidades de crédito, de pago, de dinero electrónico y de pensiones de jubilación;
• proveedores de servicios de información sobre cuentas, criptoactivos, notificación de datos, financiación participativa y terceros de TIC;
• empresas de inversión, fondos de inversión alternativos, sociedades gestoras, agencias de calificación crediticia y administradores de índices de referencia cruciales;
• registros de operaciones y titulizaciones, depositarios centrales de valores, contrapartes centrales y centros de negociación;
• seguros, intermediarios de seguros y reaseguros.

Gestión de riesgos relacionados con las TIC

Las entidades financieras, que no sean microempresas, deben:

• disponer de medidas internas de gobernanza y control que garanticen una gestión eficaz y prudente del riesgo de las TIC;
• asegurarse de que su órgano de dirección define, aprueba, supervisa y es responsable de todas las disposiciones pertinentes;
• contar con un marco de gestión de riesgos en TIC sólido, completo y bien documentado con las estrategias, políticas, procedimientos, protocolos y herramientas necesarios para responder con rapidez y eficacia;
• utilizar y mantener sistemas, protocolos y herramientas actualizados en el ámbito de las TIC que sean adecuados, fiables, tecnológicamente resistentes y tengan capacidad suficiente;
• identificar, clasificar y documentar adecuadamente todas las funciones, roles y responsabilidades empresariales apoyadas por las TIC, y revisar los escenarios de riesgo;
• supervisar de forma continua la seguridad y el funcionamiento de los sistemas y herramientas de TIC para minimizar las repercusiones de cualquier riesgo de TIC;
• detectar rápidamente las anomalías e identificar posibles puntos de fallo;
• establecer una política global de continuidad empresarial de las actividades de TIC con planes, procedimientos y mecanismos adecuados;
• desarrollar y documentar políticas de copias de seguridad y procedimientos de restauración y recuperación;
• desplegar recursos y personal para evaluar las vulnerabilidades y las ciberamenazas, los incidentes relacionados con las TIC, especialmente los ciberataques, y analizar su posible impacto en la resiliencia operativa digital de la entidad;
• diseñar planes de comunicación de crisis para divulgar al menos los incidentes o vulnerabilidades más importantes relacionados con las TIC a clientes, homólogos y ciudadanos.

Gestión, clasificación e informes relacionados con las TIC

Las entidades financieras deben:

• definir, establecer y aplicar medidas para detectar, gestionar, registrar y notificar incidentes relacionados con las TIC;
• clasificar incidentes y determinar su impacto mediante criterios como el número de clientes y homólogos afectados, la duración, la extensión geográfica y las pérdidas de datos;
• notificar los incidentes importantes relacionados con las TIC a su autoridad competente designada, que los transmitirá a un organismo superior, como el Banco Central Europeo o la Autoridad Bancaria Europea.

Pruebas de resiliencia operativa digital

Las entidades financieras, que no sean microempresas, deben:

• establecer, mantener y revisar un programa sólido y completo de pruebas operativas digitales equipado con las evaluaciones, pruebas, metodologías, prácticas y herramientas necesarias;
• llevar a cabo, al menos cada tres años, pruebas de penetración en el nivel de amenaza basadas en su perfil de riesgo y teniendo en cuenta las circunstancias operativas y únicamente utilizar evaluadores que estén certificados, posean la experiencia e idoneidad necesarias y tengan un seguro de responsabilidad profesional.

Gestión del riesgo relacionado con las TIC derivado de terceros

Las entidades financieras deben:

• gestionar el riesgo de terceros como parte integrante de su riesgo global de TIC;
• disponer de acuerdos contractuales para que los servicios de TIC ejecuten sus operaciones empresariales respetando plenamente la legislación pertinente;
• tener en cuenta la naturaleza, la escala, la complejidad y la importancia de las dependencias relacionadas con las TIC y cualquier riesgo potencial;
• sopesar las ventajas y los costes de las soluciones alternativas a la hora de identificar y evaluar los riesgos existentes;
• incluir en el contrato los derechos y las obligaciones de cada parte y el acuerdo de servicios.

Marco de supervisión de los proveedores terceros esenciales de servicios de TIC

El marco:

• encomienda a las Autoridades Europeas de Supervisión (AES) que:
  • designen, sobre la base de criterios claros, a los proveedores terceros de servicios de TIC considerados esenciales para las entidades financieras,
  • designen, como supervisor principal para cada proveedor tercero esencial de servicios, la Autoridad Europea de Supervisión responsable de la entidad financiera de que se trate;
• establece un Foro de Supervisión para:
  • debatir las novedades pertinentes en materia de riesgos y vulnerabilidades de las TIC y promover un enfoque coherente de seguimiento en la UE;
  • evaluar anualmente las actividades de supervisión, promover medidas para aumentar la resiliencia operativa digital y fomentar las mejores prácticas;
  • presentar índices de referencia exhaustivos para los proveedores terceros esenciales de servicios de TIC;
• encarga al supervisor principal que:
  • sea el principal punto de contacto para los proveedores terceros esenciales de servicios de TIC,
  • evalúe si cada proveedor esencial dispone de normas, procedimientos, mecanismos y disposiciones completos, sólidos y eficaces,
  • solicite toda la información y documentación pertinentes, lleve a cabo investigaciones e inspecciones (incluso en terceros países), especifique medidas correctoras y emita recomendaciones;
• permite a la Autoridad Bancaria Europea, la Autoridad Europea de Seguros y Pensiones de Jubilación y la Autoridad Europea de Valores y Mercados trabajar con autoridades reguladoras y de supervisión de las TIC no pertenecientes a la UE sobre el riesgo relacionado con las TIC derivado de terceros;
• exige que las Autoridades Europeas de Supervisión presenten cada cinco años un informe confidencial al Parlamento Europeo, al Consejo de la Unión Europea y a la Comisión Europea sobre sus relaciones con autoridades no pertenecientes a la UE.

Acuerdos de intercambio de información

Las entidades financieras podrán intercambiar información e inteligencia sobre ciberamenazas, siempre que ello:

• tenga como objetivo reforzar su resiliencia operativa digital;
• se produzca dentro de sus comunidades de confianza;
• proteja la confidencialidad de las empresas y los datos personales, y respete las normas relativas a la política de competencia.

Sanciones y medidas correctoras

Las autoridades competentes:

• disponen de todas las competencias de supervisión, investigación y sanción necesarias para el ejercicio de sus funciones;
• imponen, y publican en sus sitios web, las sanciones administrativas y medidas correctoras determinadas por el Derecho nacional.

Las Autoridades Europeas de Supervisión elaboran normas técnicas de regulación para las herramientas de gestión de riesgos de las TIC, la clasificación y notificación de incidentes relacionados con las TIC y la realización de actividades de supervisión.

La Comisión:

• tiene la facultad de adoptar actos delegados;
• presenta al Parlamento y al Consejo, a más tardar el 17 de enero de 2028, una revisión del Reglamento, previa consulta a las Autoridades Europeas de Supervisión y a la Junta Europea de Riesgo Sistémico.

El Reglamento modifica los Reglamentos (CE) n.^o 1060/2009, (UE) n.^o 648/2012,, (UE) n.^o 909/2014, (UE) n.^o 600/2014 y (UE) 2016/1011.

¿DESDE CUÁNDO ESTÁ EN VIGOR EL REGLAMENTO?

Está en vigor desde el 17 de enero de 2025.

ANTECEDENTES

Las reformas que siguieron a la crisis financiera de 2008 reforzaron principalmente la estabilidad financiera del sector. Los riesgos relacionados con las TIC solo se abordaron indirectamente en algunos ámbitos y siguieron planteando un reto para la resiliencia, el rendimiento y la estabilidad operativas del sistema financiero de la UE.

El Reglamento, conocido como DORA, forma parte de un paquete más amplio de medidas sobre finanzas digitales cuyo objetivo es fomentar el desarrollo tecnológico y garantizar la estabilidad financiera y la protección de los consumidores. Sus otros elementos abarcan una estrategia de financiación digital, los mercados de criptoactivos y la tecnología de libro mayor distribuido.

Para más información, véase:

• Paquete de finanzas digitales (Comisión Europea).

DOCUMENTO PRINCIPAL

Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.^o 1060/2009, (UE) n.^o 648/2012, (UE) n.^o 600/2014, (UE) n.^o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, pp. 1-79).

DOCUMENTOS CONEXOS

Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones sobre una Estrategia de Finanzas Digitales para la UE [COM (2020) 591 final de 24.9.2020].

Reglamento (UE) 2016/1011 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, sobre los índices utilizados como referencia en los instrumentos financieros y en los contratos financieros o para medir la rentabilidad de los fondos de inversión, y por el que se modifican las Directivas 2008/48/CE y 2014/17/UE y el Reglamento (UE) n.^o 596/2014 (DO L 171 de 29.6.2016, pp. 1-65).

Las modificaciones sucesivas del Reglamento (UE) 2016/1011 se han incorporado al texto original. Esta versión consolidada solo tiene valor documental.

Reglamento (UE) n.^o 909/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, sobre la mejora de la liquidación de valores en la Unión Europea y los depositarios centrales de valores y por el que se modifican las Directivas 98/26/CE y 2014/65/UE y el Reglamento (UE) n.^o 236/2012 (DO L 257 de 28.8.2014, pp. 1-72).

Véase la versión consolidada.

Reglamento (UE) n.^o 600/2014 del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los mercados de instrumentos financieros y por el que se modifica el Reglamento (UE) n.^o 648/2012 (DO L 173 de 12.6.2014, pp. 84-148).

Véase la versión consolidada.

Reglamento (UE) n.^o 648/2012 del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (DO L 201 de 27.7.2012, pp. 1-59).

Véase la versión consolidada.

Reglamento (CE) n.^o 1060/2009 del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, sobre las agencias de calificación crediticia (DO L 302 de 17.11.2009, pp. 1-31).

Véase la versión consolidada.

última actualización 10.01.2024