El pasado 17 de julio de 2024, las Autoridades Europeas de Supervisión (en adelante, “AES”) publicaron el segundo bloque de normas técnicas complementarias al Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero (en adelante, “DORA”), a excepción de los RTS sobre subcontratación de funciones críticas o importantes, que será publicado próximamente.
DORA, aplicable desde el 17 de enero de 2025 a entidades financieras (como dicho término se define en DORA) y proveedores de servicios de tecnologías de la información y comunicación (en adelante, “TIC”), establece un marco regulatorio armonizado que garantiza la estabilidad y seguridad del sector financiero frente a incidentes y amenazas. Para implementarlo, las AES han preparado dos bloques de Normas Técnicas de Regulación (en adelante, “RTS”), Normas Técnicas de Implementación (en adelante, “ITS”) y Directrices complementarias. El primero se publicó el 17 de enero de 2024 y versaba sobre la clasificación de incidentes, la gestión de riesgos TIC y de riesgos derivados de la externalización de servicios TIC. El segundo bloque publicado esta semana versa sobre las siguientes materias:
- RTS e ITS sobre el contenido, los plazos y las plantillas para la notificación de incidentes
- Directrices sobre costes y pérdidas agregados derivados de incidentes graves
- RTS sobre subcontratación de funciones críticas o importantes (texto definitivo pendiente de publicación)
- RTS sobre pruebas de penetración basadas en amenazas (threat-led penetration testing o “TLPT”)
- RTS sobre armonización de la supervisión
- Directrices sobre cooperación en materia de supervisión entre las AES y las autoridades competentes
A continuación, describimos brevemente aquellos estándares que complementan los capítulos II, III, IV y V de DORA, y que contienen las normas que deberán implementar las entidades financieras.
RTS e ITS sobre el contenido, los plazos y las plantillas para la notificación de incidentes (artículos 19 y 20 dora)
En virtud de su artículo decimonoveno, DORA obliga a las entidades financieras a notificar incidentes graves relacionados con las TIC, y para ello faculta a las AES, conforme al artículo vigésimo, a desarrollar normas técnicas con el fin de establecer el contenido de los informes y los plazos de presentación de los mismos.
Las RTS e ITS deben ser valorados positivamente dado que dan respuesta a las preocupaciones expresadas en el sector financiero en conexión con la carga regulatoria que dicha obligación podría suponer para las entidades financieras y, en particular, sobre el hecho de que los requisitos de las notificaciones pudieran resultar perjudiciales para la gestión eficaz de los incidentes. Las RTS e ITS establecen pautas claras en cuanto al contenido y los plazos de estas notificaciones e introducen formularios normalizados para informar de los incidentes y amenazas cibernéticas importantes, eliminando la carga que podría suponer para las entidades financieras la elaboración de plantillas internas de notificación.
Directrices sobre costes agregados y pérdidas derivadas de incidentes graves (artículo 11.11 DORA)
El cálculo de los costes y pérdidas provocados por incidentes graves es esencial para diversos propósitos, como clasificar incidentes o completar el informe final de las notificaciones. Además, estos costes se declararán tanto al notificar un incidente grave como recurrentemente al final de cada ejercicio. Sin embargo, hasta ahora no se habían establecido pautas concretas sobre su cálculo.
Conforme a las Directrices, las entidades financieras deben calcular individualmente los costes y perdidas de cada incidente grave relacionado con las TIC mediante la estimación de los costes y pérdidas brutos, las recuperaciones financieras y los costes y perdidas netos.
RTS sobre subcontratación de funciones críticas o importantes (artículo 30.5 DORA)
Una de las grandes preocupaciones suscitadas por DORA es la subcontratación o externalización de funciones vinculadas con las TIC. Los proyectos de RTS especifican con más detalle los elementos a que se refiere el artículo 30, apartado 2, letra a), que una entidad financiera debe determinar y evaluar al subcontratar servicios TIC que respalden funciones críticas o importantes o partes materiales de las mismas.
Está previsto que las RTS cubran requisitos relacionados con la evaluación de riesgos antes de permitir que se subcontraten servicios TIC que respaldan funciones críticas o importantes; requisitos sobre los acuerdos contractuales; sobre el seguimiento de los acuerdos de subcontratación; sobre información de cambios materiales; y sobre derechos de salida y terminación.
En todo caso, el principio rector seguiría siendo que las entidades financieras son las últimas responsables del cumplimiento regulatorio y la correcta ejecución de funciones críticas, aunque tendremos que esperar a la publicación del texto definitivo de las RTS.
RTS sobre pruebas de penetración basadas en amenazas (TLPT) (artículo 26.11 DORA)
En mayo de 2018 el Banco Central Europeo publicó el TIBER-EU, un marco común de adopción voluntaria, desarrollado para mejorar la resiliencia de las entidades financieras ante ataques cibernéticos mediante la realización de pruebas (red teaming) de simulación de ciberataques. En 2022, España adoptó el TIBER-UE, denominándolo TIBER-ES.
DORA ha incorporado la gran mayoría de las previsiones del marco TIBER-EU, aunque con algunas diferencias. Concretamente, DORA permite utilizar probadores internos para realizar las pruebas (siempre que se contrate a probadores externos cada tres pruebas) y prevé como obligatorio el “purple teaming”, que en TIBER-EU era opcional. No obstante, DORA permite a los Estados que implementaron TIBER-EU continuar aplicando su marco nacional, incorporando las novedades de DORA.
Una de las preocupaciones del sector venía siendo el alcance potencialmente amplio de dichas pruebas TLPT de penetración dirigidas por amenazas o “threat-led penetration testing” y la participación de terceros proveedores en el alcance de las TLPT. El texto definitivo de los RTS sobre pruebas de penetración basadas en amenazas (TLPL) establece los criterios para identificar a las entidades financieras obligadas a realizar el TLPT basándose en el principio de proporcionalidad, especifica la metodología de las pruebas y los participantes principales que deben intervenir y sus responsabilidades conforme al marco TIBER-EU, destaca la importancia de conocer los riesgos inherentes a las pruebas TLPT así como de mitigarlos, y detalla los requisitos aplicables a los probadores externos e internos y a los proveedores de servicios de inteligencia sobre amenazas.
El objetivo de las RTS, ITS y Directrices complementarias es facilitar la interpretación e implementación de DORA. Si bien es cierto que mediante estos bloques normativos complementarios se han definido de manera más precisa los criterios, obligaciones y umbrales de DORA, cumpliendo en gran medida a nuestro modo de ver su finalidad clarificadora y solventando muchas de las preocupaciones de las entidades respecto a DORA, todavía hay cuestiones que permanecen sin resolver y que generan cierta incertidumbre para las entidades financieras de cara a la aplicación definitiva de DORA a principios de 2025.
No cabe duda de que el exceso de regulación y la cantidad de obligaciones de cumplimiento recurrente que se imponen a las entidades financieras y otros proveedores de servicios TIC suponen una enorme inversión de recursos para poder, en primer lugar, comprender todas ellas y, en segundo lugar, cumplirlas adecuadamente. Asimismo, las constantes referencias a conceptos subjetivos como el principio de proporcionalidad, sin que se defina claramente su alcance en cada caso, traslada una labor de análisis compleja para las entidades, que deberán emplear tiempo y esfuerzo en determinar con precisión qué requisitos reglamentarios les son de aplicación.
Tribuna elaborada por Fernando Gutierrez y José Luis Lorente, socios de Finance & Financial Regulation de Bird & Bird
Por Funds Society, Madrid
