Las autoridades europeas de supervisión (ESA, en siglas inglesas, que agrupan a la Autoridad Bancaria Europea, la Autoridad Europea de Seguros y Pensiones de Jubilación y la Autoridad Europea de Valores y Mercados) han publicado el segundo conjunto de normas técnicas de regulación y de ejecución, que desarrolla el Reglamento (UE) 2022/2554, sobre resiliencia operativa digital del sector financiero (conocido por las siglas inglesas DORA).
Según explican los analistas de finReg360, este conjunto de normas, que estuvo en consulta entre el diciembre de 2023 y marzo 2024, lo componen normas técnicas de regulación y de ejecución, y directrices. En concreto, las normas técnicas hacen referencia a la notificación de los incidentes graves relacionados con las tecnologías de la información y de la comunicación (TIC), para la que recoge el contenido de los informes sobre estos incidentes, los plazos para presentar la notificación inicial y los informes intermedios y finales (4 horas, 72 horas y un mes, respectivamente), y el contenido de la notificación voluntaria para las ciberamenazas significativas.
«También contempla pruebas de penetración basadas en amenazas: con el detalle de cómo han de realizar las pruebas las entidades financieras obligadas. Información de los proveedores de servicios de TIC, en la solicitud de petición voluntaria para ser designado como crítico; para el detalle de la evaluación por las autoridades competentes de las medidas tomadas por los proveedores de servicios críticos de TIC, basándose en las recomendaciones del supervisor principal, y plantillas para describir los acuerdos de subcontratación. Y criterios para determinar la composición del equipo conjunto de examen (JET), para lograr una participación equilibrada de miembros del personal de las ESA y de las autoridades competentes pertinentes, su designación, y las tareas y las modalidades de trabajo», explican desde finReg360.
Sober las temáticas de ejecución, los expertos de la consultora explican que se refieren a incidentes graves relacionados con las TIC, que recogen los formularios, las plantillas y los procedimientos normalizados para informar de estos incidentes.
Por último, añaden: «Las directrices se refieren a dos pasos. El primero, costes y pérdidas derivados de incidentes importantes relacionados con las TIC. Donde quedan recogidos en unas tablas de estimaciones, introducen un mecanismo para informar de los costes y pérdidas brutos, las recuperaciones financieras y los costes y pérdidas netos por estos incidentes. Y, en segundo lugar, la cooperación entre las autoridades europeas de supervisión y las autoridades nacionales competentes, para supervisar el cumplimiento del reglamento DORA».
Esta última abarca las condiciones generales, la designación de proveedores de servicios de TIC críticos y el intercambio de información entre supervisores y autoridades, las actividades de supervisión y el seguimiento de recomendaciones de las autoridades competentes para rescindir los contratos con proveedores de servicios TIC críticos.
«Las ESA no han publicado la norma técnica de regulación sobre la subcontratación, que sigue pendiente. La Comisión Europea, receptora de estos informes finales de las ESA, ha de revisarlos en los próximos meses y decidir su promulgación», concluyen desde finReg360.
Por Funds Society, Madrid
Por Antonio Sandoval