La Comisión Europea ha promulgado los reglamentos delegados que componen el primer paquete de normas técnicas de regulación que desarrollan el Reglamento (UE) 2022/2254, sobre resiliencia operativa digital en el sector financiero, más conocido como DORA, por sus siglas inglesas. Es cierto que las autoridades europeas de supervisión adelantaron el contenido de estas normas en enero de este año, pero según los expertos de finReg360, «con este primer paquete, las autoridades europeas de supervisión cumplen en parte la misión que el reglamento DORA les asignó sobre la preparación de las normas técnicas de regulación necesarias, mientras continúa el trámite del segundo lote».
El reglamento DORA recoge en su articulado que las autoridades europeas de supervisión (AES o ESA, en siglas inglesas) han de desarrollar estas normas en dos lotes, el primero se acaba de promulgar y el segundo sigue su trámite legislativo. Según indican desde finReg360, los reglamentos delegados promulgados del primer paquete son los siguientes, publicados en el Diario Oficial de la Unión Europea el 25-6-2024:
- Reglamento Delegado (UE) 2024/1772 de la Comisión, de 13 de marzo de 2024, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo mediante normas técnicas de regulación que especifican los criterios para la clasificación de los incidentes relacionados con las TIC y las ciberamenazas, establecen umbrales de importancia relativa y especifican la información detallada de las notificaciones de incidentes graves.
- Reglamento Delegado (UE) 2024/1773 de la Comisión, de 13 de marzo de 2024, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo mediante normas técnicas de regulación que especifican el contenido detallado de la política relativa a los acuerdos contractuales sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes prestados por proveedores terceros de servicios de TIC.
- Reglamento Delegado (UE) 2024/1774 de la Comisión, de 13 de marzo de 2024, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican las herramientas, métodos, procesos y políticas de gestión del riesgo relacionado con las TIC y el marco simplificado de gestión del riesgo relacionado con las TIC.
«Estos reglamentos entrarán en vigor a los 20 días de su publicación ya que el reglamento DORA entró en vigor el 16-1-2024 y su periodo de aplicación comenzará el 17-1-2025. El segundo paquete de normas de desarrollo sigue su trámite y está previsto que se publique el 17-7-2024. Este segundo lote de normas se refiere a las siguientes materias, notificación de los incidentes graves relacionados con las tecnologías de la información y las comunicaciones (TIC), pruebas de penetración basadas en amenazas, subcontratación de servicios de TIC con funciones esenciales o importantes, supervisión de proveedores de servicios TIC e Incidentes graves relacionados con las TIC», explican.
Por Funds Society, Madrid
