Habida cuenta del riesgo cada vez mayor de ciberataques, la UE está reforzando la seguridad informática de las entidades financieras como los bancos, las compañías de seguros y las empresas de inversión.
En este sentido, el pasado 28 de noviembre el Consejo de la Unión Europea ha aprobado la redacción definitiva del Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) 1060/2009 (LA LEY 20148/2009), (UE) 648/2012 (LA LEY 13237/2012), (UE) 600/2014 (LA LEY 9344/2014), (UE) 909/2014 (LA LEY 13355/2014) y (UE) 2016/1011 (Reglamento DORA). Esta adopción constituye el último paso del proceso legislativo, por lo que el Reglamento queda solo pendiente de publicación en el Diario Oficial de la Unión Europea.
El principal objetivo de la nueva norma es prevenir y mitigar las ciberamenazas y, para ello, el Reglamento DORA crea un marco regulador sobre la resiliencia operativa digital conforme al cual todas las empresas incluidas en su ámbito de aplicación deben asegurarse de que pueden resistir y responder a cualquier tipo de perturbación y amenaza relacionada con las TIC y recuperarse de ellas. Estos requisitos son homogéneos en todos los Estados miembros de la UE.
El Reglamento DORA establece requisitos uniformes para la seguridad de las redes y sistemas de información de las empresas y organizaciones que operan en el sector financiero, así como de terceros esenciales que les presten servicios relacionados con las tecnologías de la información y la comunicación, como las plataformas en la nube o los servicios de análisis de datos, a fin de asegurar que el sector financiero en Europa siga funcionando de forma resiliente en caso de grave perturbación operativa.
El Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea y será aplicable veinticuatro meses después de la fecha de entrada en vigor.
Una vez adoptado formalmente, los aspectos que requieren una transposición nacional serán convertidos en ley por cada Estado miembro de la UE. Al mismo tiempo, las Autoridades Europeas de Supervisión (AES) pertinentes, como la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Valores y Mercados (ESMA) y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ), elaborarán normas técnicas que deberán cumplir todas las entidades de servicios financieros, desde la banca hasta las aseguradoras y los gestores de activos. Las respectivas autoridades nacionales competentes supervisarán el cumplimiento y la aplicación del Reglamento cuando sea necesario.
ESTRUCTURA Y CONTENIDO DEL REGLAMENTO DORA
El Reglamento consta de 64 artículos, estructurados en nueve capítulos y precedidos de 106 Considerandos. Sintéticamente, sus principales contenidos son los siguientes:
Objeto y ámbito de aplicación
Según se establece en su artículo 1, a fin de lograr un elevado nivel común de resiliencia operativa digital, el Reglamento establece requisitos uniformes relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de las entidades financieras (entendidas como tales las reguladas por el Reglamento (UE) 575/2013, de 26 de junio de 2013 (LA LEY 10371/2013)), en relación con la gestión del riesgo en el ámbito de las tecnologías de la información y la comunicación (TIC).
Igualmente, establece requisitos en relación con los acuerdos contractuales celebrados entre proveedores terceros de servicios de TIC y entidades financieras; normas para el establecimiento y aplicación del marco de supervisión de los proveedores terceros esenciales de servicios de TIC cuando presten servicios a entidades financieras; normas sobre cooperación entre autoridades competentes y normas sobre control y ejecución por parte de las autoridades competentes en relación con todos los asuntos cubiertos por el presente Reglamento.
En concreto, este Reglamento se aplica, entre otras a las siguientes entidades: a) entidades de crédito; b) entidades de pago; c) proveedores de servicios de información sobre cuentas; d) entidades de dinero electrónico; e) empresas de servicios de inversión; f) proveedores de servicios de criptoactivos autorizados y emisores de fichas referenciadas a activos; g) depositarios centrales de valores; h) entidades de contrapartida central; i) centros de negociación; j) registros de operaciones; k) gestores de fondos de inversión alternativos; l) sociedades de gestión; m) proveedores de servicios de suministro de datos; n) empresas de seguros y de reaseguros; o) intermediarios de seguros, intermediarios de reaseguros e intermediarios de seguros complementarios; p) fondos de pensiones de empleo; q) agencias de calificación crediticia; r) administradores de índices de referencia cruciales; s) proveedores de servicios de financiación participativa; t) registros de titulizaciones y, u) proveedores terceros de servicios de TIC.
Por el contrario, el Reglamento no se aplicará a: El presente Reglamento no se aplicará a: a) los gestores de fondos de inversión alternativos; b) las empresas de seguros y de reaseguros tal como se contemplan en el artículo 4 de la Directiva 2009/138/CE (LA LEY 22352/2009); c) los fondos de pensiones de empleo que gestionen planes de pensiones que, en conjunto, no tengan más de quince partícipes en total; d) las personas físicas o jurídicas exentas en virtud de los artículos 2 (LA LEY 9348/2014) y 3 de la Directiva 2014/65/UE (LA LEY 9348/2014); e) los intermediarios de seguros, los intermediarios de reaseguros y los intermediariosde seguros complementarios que sean microempresas o pequeñas o medianas empresas y, f) las oficinas de cheques postales.
Noción de Resiliencia operativa digital
Según su artículo 3 (1), a los efectos de este Reglamento se define como «Resiliencia operativa digital» la capacidad de una entidad financiera para construir, asegurar y revisar su integridad y fiabilidad operativas asegurando, directa o indirectamente mediante el uso de servicios prestados por proveedores terceros de servicios de TIC, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la seguridad de las redes y los sistemas de información que utiliza una entidad financiera y que sustentan la prestación continuada de servicios financieros y su calidad, incluso en caso de perturbaciones.
En relación con este concepto se encuentra el de «riesgo relacionado con las TIC», que se define como cualquier circunstancia razonablemente identificable en relación con el uso de redes y sistemas de información que, si se materializa, puede comprometer la seguridad de las redes y sistemas de información, de cualquier herramienta o proceso dependiente de la tecnología, de las operaciones y los procesos o de la prestación de servicios, al provocar efectos adversos en el entorno digital o físico.
Gestión del riesgo relacionado con las TIC
Tal como se establece en el Capítulo II, a fin lograr un nivel elevado de resiliencia operativa digital, las entidades financieras dispondrán de un marco interno de gobernanza y control que garantice una gestión efectiva y prudente del riesgo relacionado con las TIC, de conformidad con lo dispuesto en su artículo 6, apartado 4.
Sin embargo, las exigencias establecidas para dichas entidades no se aplicarán a las empresas de servicios de inversión pequeñas y no interconectadas ni a las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366 (LA LEY 20018/2015); ni a las entidades exentas en virtud de la Directiva 2013/36/UE (LA LEY 10339/2013) respecto de las cuales los Estados miembros hayan decidido no aplicar la opción a que se refiere el artículo 2, apartado 4, del Reglamento, ni a las entidades de dinero electrónico exentas.
El órgano de dirección de la entidad financiera definirá, aprobará y supervisará todas las disposiciones relacionadas con el marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, y será responsable de su aplicación.
Las entidades financieras contarán con un marco de gestión del riesgo relacionado con las TIC sólido, completo y bien documentado como parte de su sistema global de gestión de riesgos, que les permita hacer frente al riesgo relacionado con las TIC de forma rápida, eficiente y exhaustiva y asegurar un alto nivel de resiliencia operativa digital.
Ese marco de gestión del riesgo relacionado con las TIC incluirá al menos las estrategias, las políticas, los procedimientos, y los protocolos y herramientas de TIC que sean necesarios para proteger debida y adecuadamente todos los activos de información y activos de TIC, incluidos el software, el hardware y los servidores, así como para proteger todos los componentes e infraestructuras físicos pertinentes, como locales, centros de datos y zonas sensibles designadas, a fin de garantizar que todos los activos de información y activos de TIC estén adecuadamente protegidos de los riesgos, incluidos los daños y el acceso o uso no autorizados.
Como parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, las entidades financieras identificarán, clasificarán y documentarán adecuadamente todas las funciones, cometidos y responsabilidades empresariales sustentados por las TIC, los activos de información y activos de TIC que sustenten dichas funciones, y sus cometidos y dependencias en relación con el riesgo relacionado con las TIC.
Con el fin de proteger adecuadamente los sistemas de TIC y con vistas a organizar medidas de respuesta, las entidades financieras realizarán un seguimiento y un control permanentes de la seguridad y el funcionamiento de los sistemas y herramientas de TIC y minimizarán las repercusiones en dichos sistemas del riesgo relacionado con las TIC mediante el despliegue de herramientas, políticas y procedimientos adecuados en materia de seguridad de las TIC.
Las entidades financieras dispondrán de mecanismos para detectar rápidamente las actividades anómalas, de conformidad con el artículo 17, incluidos los problemas de rendimiento de las redes de TIC y los incidentes relacionados con las TIC, y para identificar los posibles puntos únicos de fallo significativos.
Las entidades financieras aplicarán la política de continuidad de la actividad en materia de TIC mediante disposiciones, planes, procedimientos y mecanismos específicos, adecuados y documentados destinados a: a) garantizar la continuidad de las funciones esenciales o importantes de la entidad financiera.
Las entidades financieras dispondrán de capacidades y de personal para recopilar información sobre vulnerabilidades, ciberamenazas e incidentes relacionados con las TIC, en particular ciberataques, y para analizar las repercusiones que es probable que tengan en su resiliencia operativa digital.
Gestión, clasificación y notificación de incidentes relacionados con las TIC
Según se establece en su Capítulo III, las entidades financieras definirán, establecerán y aplicarán un proceso de gestión de incidentes relacionados con las TIC para detectar, gestionar y notificar dichos incidentes.
A estos efectos, las entidades financieras registrarán todos los incidentes relacionados con las TIC y las ciberamenazas importantes, clasificándolos y determinando su repercusión con arreglo a unos criterios que se detallan en el artículo 18: número y/o pertinencia de los clientes o las contrapartes financieras afectados y, cuando proceda, la cantidad o el número de transacciones afectadas por el incidente relacionado con las TIC, y si dicho incidente ha repercutido en la reputación; duración del incidente relacionado con las TIC, incluida la duración de la interrupción del servicio; extensión geográfica de las zonas afectadas por el incidente relacionado con las TIC, en especial si afecta a más de dos Estados miembros; pérdidas de datos que el incidente relacionado con las TIC acarree, en relación con la disponibilidad, la autenticidad, la integridad o la confidencialidad de los datos; carácter esencial de los servicios afectados, incluidas las transacciones y operaciones de la entidad financiera; las consecuencias económicas, en particular los costes y las pérdidas directos e indirectos, del incidente relacionado con las TIC, tanto en términos absolutos como relativos.
Los requisitos establecidos en este capítulo se aplicarán también a los incidentes operativos o de seguridad, graves o no, relacionados con los pagos cuando atañan a entidades de crédito, entidades de pago, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico.
Las entidades financieras notificarán los incidentes graves relacionados con las TIC a la autoridad competente pertinente. Las entidades financieras podrán externalizar, de conformidad con el Derecho sectorial de la Unión y nacional, las obligaciones de información establecidas en el presente artículo a un proveedor tercero de servicios.
Pruebas de resiliencia operativa digital
En el Capítulo IV se establece que, a fin de evaluar el estado de preparación para gestionar incidentes relacionados con las TIC, o de detectar debilidades, deficiencias y carencias en materia de resiliencia operativa digital y de aplicar sin demora medidas correctoras, las entidades financieras que no sean microempresas establecerán, mantendrán y revisarán, un programa de pruebas de resiliencia operativa digital sólido y completo que forme parte del marco de gestión del riesgo relacionado con las TIC.
Al llevar a cabo el programa de pruebas de resiliencia operativa digital, las entidades financieras que no sean microempresas seguirán un enfoque basado en el riesgo, considerando debidamente el panorama cambiante del riesgo relacionado con las TIC, todo riesgo específico al que la entidad financiera de que se trate esté o pueda estar expuesta, el carácter esencial de los activos de información y de los servicios prestados, así como cualquier otro factor que la entidad financiera considere apropiado.
El programa de pruebas de resiliencia operativa digital dispondrá, de conformidad con los criterios establecidos en el artículo 4, apartado 2, la ejecución de las pruebas adecuadas, como evaluaciones y exploraciones de vulnerabilidad, análisis del software de código abierto, evaluaciones de seguridad de la red, análisis de carencias, exámenes de la seguridad física, cuestionarios y soluciones de software de detección, revisiones del código fuente cuando sea posible, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento, pruebas de extremo a extremo y pruebas de penetración.
Las entidades financieras distintas de las contempladas en el artículo 16, apartado 1, párrafo primero [empresas de servicios de inversión pequeñas y no interconectadas ni a las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366 (LA LEY 20018/2015); ni a las entidades exentas en virtud de la Directiva 2013/36/UE (LA LEY 10339/2013) respecto de las cuales los Estados miembros hayan decidido no aplicar la opción a que se refiere el artículo 2, apartado 4, del presente Reglamento, ni a las entidades de dinero electrónico exentas en virtud de la Directiva 2009/110/CE (LA LEY 17948/2009); ni a los fondos de pensiones de empleo pequeños ], y distintas de microempresas, determinadas de conformidad con el apartado 8, párrafo tercero, del presente artículo, llevarán a cabo al menos cada tres años pruebas avanzadas consistentes en pruebas de penetración basadas en amenazas.
Para la realización de pruebas de penetración basadas en amenazas, las entidades financieras solo recurrirán a probadores que: a) tengan el más alto grado de idoneidad y prestigio; b) posean capacidades técnicas y organizativas y demuestren conocimientos especializados en inteligencia sobre amenazas, pruebas de penetración y pruebas de equipo rojo; c) estén acreditados por un órgano de certificación de un Estado miembro o se adhieran a códigos de conducta o marcos éticos oficiales; d) proporcionen una garantía independiente o un informe de auditoría, etc.
Gestión del riesgo relacionado con las TIC derivado de terceros
Regula la Sección I del Capítulo V los principios fundamentales de una buena gestión del riesgo relacionado con las TIC derivado de terceros.
A estos efectos se establece que las entidades financieras gestionarán el riesgo relacionado con las TIC derivado de terceros como un elemento integrante del riesgo relacionado con las TIC dentro de su marco de gestión del riesgo relacionado con las TIC.
Para ello, los derechos y obligaciones de la entidad financiera y del proveedor tercero de servicios de TIC estarán claramente asignados y establecidos por escrito. El contrato completo incluirá los acuerdos de nivel de servicio y se formalizará en un documento escrito que estará a disposición de las partes en papel, o en un documento en otro formato descargable, duradero y accesible (+ cláusulas contractuales básicas).
Seguidamente, la Sección II de este mismo Capítulo V establece el marco de supervisión de los proveedores terceros esenciales de servicios de TIC.
En particular, las Autoridades Europeas de Supervisión, a través del Comité Mixto y por recomendación del Foro de Supervisión establecido en virtud del artículo 32, apartado 1, deberán: a) designar a los proveedores terceros de servicios de TIC que sean esenciales para las entidades financieras, tras una evaluación que tenga en cuenta los criterios especificados en el apartado 2; b) nombrar como supervisor principal para cada proveedor tercero esencial de servicios de TIC a la Autoridad Europea de Supervisión que sea responsable.
Acuerdos de intercambio de información
Prevé el Capítulo VI que las entidades financieras podrán intercambiar entre sí información e inteligencia sobre ciberamenazas, incluidos indicadores de compromiso, tácticas, técnicas y procedimientos, alertas de ciberseguridad y herramientas de configuración, en la medida en que dicho intercambio de información e inteligencia: a) tenga por objeto mejorar la resiliencia operativa digital de las entidades financieras, en particular mediante la concienciación en relación con las ciberamenazas, la limitación o la desactivación de la capacidad de propagación de las ciberamenazas, el apoyo a las capacidades defensivas, las técnicas de detección de amenazas, las estrategias de mitigación o las fases de respuesta y recuperación; b) tenga lugar dentro de comunidades de entidades financieras de confianza y, c) se realice mediante acuerdos de intercambio de información que protejan el carácter potencialmente sensible de la información compartida y se rijan por normas de conducta que respeten plenamente el secreto comercial, la protección de los datos personales de conformidad con el Reglamento (UE) 2016/679 (LA LEY 6637/2016) y las directrices sobre política de competencia.
Autoridades competentes
En el Capítulo VII se prevé que el cumplimiento del presente Reglamento será garantizado por las siguientes autoridades competentes de conformidad con las facultades otorgadas por los respectivos actos jurídicos: a) en lo que respecta a las entidades de crédito y a las entidades exentas en virtud de la Directiva 2013/36/UE (LA LEY 10339/2013), la autoridad competente designada de conformidad con el artículo 4 de dicha Directiva, y en lo que respecta a las entidades de crédito consideradas como significativas de conformidad con el artículo 6, apartado 4, del Reglamento (UE) n.º 1024/2013 (LA LEY 17217/2013), el BCE de conformidad con las competencias y funciones conferidas por dicho Reglamento; b) en lo que respecta a las entidades de pago, también las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366 (LA LEY 20018/2015), las entidades de dinero electrónico, también las exentas en virtud de la Directiva 2009/110/CE (LA LEY 17948/2009) y los proveedores de servicios de información sobre cuentas a que se refiere el artículo 33, apartado 1, de la Directiva (UE) 2015/2366 (LA LEY 20018/2015), la autoridad competente designada de conformidad con el artículo 22 de la Directiva (UE) 2015/2366 (LA LEY 20018/2015); c) en lo que respecta a las empresas de servicios de inversión, la autoridad competente designada de conformidad con el artículo 4 de la Directiva (UE) 2019/2034 (LA LEY 18619/2019) del Parlamento Europeo y del Consejo1 ; d) en lo que respecta a los proveedores de servicios de criptoactivos autorizados en virtud del Reglamento relativo a los mercados de criptoactivos y los emisores de fichas referenciadas a activos, la autoridad competente designada de conformidad con las disposiciones pertinentes de dicho Reglamento; e) en lo que respecta a los depositarios centrales de valores, la autoridad competente designada de conformidad con el artículo 11 del Reglamento (UE) n.º 909/2014 (LA LEY 13355/2014); y f) en lo que respecta a las entidades de contrapartida central, la autoridad competente designada de conformidad con el artículo 22 del Reglamento (UE) n.º 648/2012 (LA LEY 13237/2012).
Las autoridades competentes dispondrán de todas las facultades de supervisión, investigación y sanción necesarias para cumplir sus obligaciones con arreglo al presente Reglamento.
Además, y sin perjuicio del derecho de los Estados miembros a imponer sanciones penales, los Estados miembros establecerán normas que prevean sanciones administrativas y medidas correctoras adecuadas en caso de infracción del presente Reglamento y garantizarán su aplicación efectiva. Dichas sanciones y medidas serán eficaces, proporcionadas y disuasorias.
Al determinar el tipo y el nivel de una sanción administrativa o medida correctora impuesta de conformidad con el artículo 50, las autoridades competentes tendrán en cuenta si la infracción es intencionada o es consecuencia de una negligencia y cualesquiera otras circunstancias pertinentes.
Sin embargo, los Estados miembros podrán decidir no establecer normas que prevean sanciones administrativas o medidas correctoras para las infracciones que estén sujetas a sanciones penales con arreglo a su Derecho nacional.
Las autoridades competentes cooperarán estrechamente entre ellas y, cuando proceda, con el supervisor principal. Toda información confidencial recibida, intercambiada o transmitida en virtud del presente Reglamento estará sujeta a las condiciones de secreto profesional establecidas en el artículo 55.
Las autoridades competentes publicarán en sus sitios web oficiales, sin demora indebida, toda decisión por la que se imponga una sanción administrativa contra la que no haya lugar a recurso tras la notificación de dicha decisión al destinatario de la sanción.
Según el Capítulo VIII, se otorgan a la Comisión los poderes para adoptar actos delegados, en las condiciones que se establecen.
Finalmente, el Capítulo IX introduce diversas modificaciones en los Reglamentos (CE) 1060/2009 (LA LEY 20148/2009), sobre las agencias de calificación crediticia; Reglamento (UE) n.º 648/2012 (LA LEY 13237/2012), relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (artículos 26 (LA LEY 13355/2014); 34 (LA LEY 13355/2014); 56, apartado 3 (LA LEY 13355/2014); 79, apartados 1 y 2 y 80); Reglamento (UE) n.º 909/2014 (LA LEY 13355/2014), sobre la mejora de la liquidación de valores en la Unión Europea y los depositarios centrales de valores (art. 45); Reglamento (UE) n.º 600/2014 (LA LEY 9344/2014), relativo a los mercados de instrumentos financieros (arts. 27 octies; 27 nonies y 27 decies) y Reglamento (UE) 2016/1011 (LA LEY 10581/2016), sobre los índices utilizados como referencia en los instrumentos financieros y en los contratos financieros o para medir la rentabilidad de los fondos de inversión (art. 6).
Paquete de finanzas digitales de la Unión Europea
La Comisión presentó la propuesta de Reglamento DORA el 24 de septiembre de 2020. Formaba parte de un paquete de finanzas digitales más amplio, cuyo objetivo es elaborar un planteamiento europeo que fomente el desarrollo tecnológico y garantice la estabilidad financiera y la protección de los consumidores. Además de la propuesta de Reglamento DORA, el paquete constaba de una estrategia de finanzas digitales, una propuesta sobre los mercados de criptoactivos y una propuesta sobre la tecnología de registro descentralizado.
El Consejo adoptó su mandato de negociación sobre el Reglamento DORA el 24 de noviembre de 2021. Los diálogos tripartitos entre los colegisladores comenzaron el 25 de enero de 2022 y finalizaron con un acuerdo provisional alcanzado el 10 de mayo de 2022.
La nueva norma colma una laguna que había en la legislación vigente de la UE al garantizar que el marco jurídico actual no plantee obstáculos al uso de nuevos instrumentos financieros digitales y, al mismo tiempo, garantice que estas nuevas tecnologías y productos entren en el ámbito de aplicación de los mecanismos de reglamentación del sector financiero y de gestión de riesgos operativos de las empresas que están activas en la UE. Así pues, el objeto del paquete de medidas es apoyar la innovación y la adopción de nuevas tecnologías financieras, proporcionando al mismo tiempo un nivel adecuado de protección de los consumidores y los inversores.