El ciberataque a la EBA recuerda que todo el sector financiero estará obligado a invertir más en seguridad 

10-03-2021 — AR/2021/032

La Autoridad Bancaria Europea (EBA, en siglas inglesas) ha sufrido un ciberataque en sus sistemas de correo electrónico, que la ha obligado a informar públicamente del problema y a desconectarlos por precaución. Este hecho va a contribuir a agilizar la aprobación de un nuevo reglamento sobre resiliencia digital.

Los ciberataques constituyen una preocupación capital de la Unión Europea.

Inicialmente, la directiva sobre medidas para mantener un elevado nivel común de seguridad de las redes y sistemas de información de la Unión (conocida como directiva NIS, por sus siglas en inglés) obligó solo a las entidades que operan servicios esenciales a invertir en sistemas de garantía de continuidad de su actividad económica en caso de quiebras de seguridad.

Sin embargo, debido a la creciente digitalización en el entorno pos-COVID, se extenderá está obligación de contar con sistemas de seguridad a otros actores financieros.

Propuesta de nuevo reglamento

En efecto, está en trámites la aprobación el reglamento sobre la resiliencia operativa digital del sector financiero (conocido como DORA, de Digital Operational Resilience Act),1 que obligará a tomar estas medidas a todo el sector financiero.

Una vez se apruebe la DORA, todas las entidades financieras —entre ellas, las entidades de pago, de dinero electrónico, de servicios de inversión, las sociedades de gestión e incluso los proveedores terceros de servicios de tecnologías de la información y comunicaciones (TIC)— estarán obligadas a implantar el conjunto de medidas técnicas de gestión de riesgos de seguridad, de supervisión y de auditoría continua que define la norma, bajo la supervisión de la autoridad de control de su actividad.

Aspectos relevantes

Requisitos de seguridad

La DORA fijará requisitos uniformes sobre la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de las entidades financieras, y marcará un nivel común elevado de resiliencia operativa digital.

Los requisitos que comprende son:

  1. La gestión de riesgos en el ámbito de las TIC.
  2. La notificación de incidentes graves a las autoridades competentes.
  3. La pruebas de resiliencia operativa digital.
  4. El intercambio de información y conocimiento sobre las ciberamenazas y las vulnerabilidades cibernéticas.
  5. La adopción de las medidas precisas para asegurar una buena gestión en las entidades financieras del riesgo de terceros relacionados con las TIC.

Responsabilidad de las medidas

El proyecto de reglamento atribuye al órgano de dirección de la entidad financiera la responsabilidad de definir, aprobar y supervisar estas medidas de gestión de riesgos.

Además, recoge los requisitos aplicables a los contratos con proveedores de servicios de TIC y el marco de supervisión de estos proveedores cuando presten servicios a entidades financieras.

Anotaciones finales

En definitiva, el futuro reglamento:

  • va a generar nuevas obligaciones y responsabilidades reguladas para las entidades financieras,
  • que exigirán de estas un esfuerzo enorme de inversión y de organización interna para lograr ese nivel elevado de resiliencia operativa digital que marca como objetivo, y
  • el órgano de dirección de la entidad financiera será el responsable de la suficiencia y eficacia del sistema de medidas establecido.

Para costear los gastos de supervisión que se provocarán producto del futuro reglamento, la DORA fija unas tasas anuales a cargo de los proveedores de servicios de TIC supervisados.

En caso de infracción de las obligaciones, el futuro reglamento atribuye a los Estados miembros la decisión de fijar condenas penales o sanciones económicas proporcionales a las infracciones cometidas.


1 Propuesta de Reglamento del Parlamento Europeo y del Consejo, sobre la resiliencia operativa digital del sector financiero, y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014.