La Comisión Europea promulga el primer paquete de desarrollo del reglamento DORA

26-06-2024 — AR/2024/056

Con este primer paquete, las autoridades europeas de supervisión cumplen en parte la misión que el reglamento DORA les asignó sobre la preparación de las normas técnicas de regulación necesarias, mientras continúa el trámite del segundo lote.

La Comisión Europea ha promulgado los reglamentos delegados que componen el primer paquete de normas técnicas de regulación que desarrollan el Reglamento (UE) 2022/2254,1 sobre resiliencia operativa digital en el sector financiero, más conocido como DORA, por sus siglas inglesas, el 25-6-2024.

Las autoridades europeas de supervisión adelantaron el contenido de estas normas el 17-1-2024, como dimos cuenta en la alerta asociada al margen.

Recordamos a continuación estas normas y las que siguen en trámite legislativo.

Normas técnicas de desarrollo

El reglamento DORA recoge en su articulado que las autoridades europeas de supervisión2 (AES o ESA, en siglas inglesas) han de desarrollar estas normas en dos lotes:

  • el primero se acaba de promulgar, como recogemos en el apartado siguiente;
  • el segundo sigue su trámite legislativo, como también apuntamos más abajo.

Primer paquete: reglamentos delegados promulgados

Son los siguientes, publicados en el Diario Oficial de la Unión Europea el 25-6-2024:

  1. Reglamento Delegado (UE) 2024/1772 de la Comisión, de 13 de marzo de 2024, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo mediante normas técnicas de regulación que especifican los criterios para la clasificación de los incidentes relacionados con las TIC y las ciberamenazas, establecen umbrales de importancia relativa y especifican la información detallada de las notificaciones de incidentes graves.
  2. Reglamento Delegado (UE) 2024/1773 de la Comisión, de 13 de marzo de 2024, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo mediante normas técnicas de regulación que especifican el contenido detallado de la política relativa a los acuerdos contractuales sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes prestados por proveedores terceros de servicios de TIC.
  3. Reglamento Delegado (UE) 2024/1774 de la Comisión, de 13 de marzo de 2024, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican las herramientas, métodos, procesos y políticas de gestión del riesgo relacionado con las TIC y el marco simplificado de gestión del riesgo relacionado con las TIC.

Estos reglamentos entrarán en vigor a los 20 días de su publicación (recordamos que el reglamento DORA entró en vigor el 16-1-2024 y su período de aplicación comenzará el 17-1-2025).

Segundo paquete: situación

El segundo paquete de normas de desarrollo sigue su trámite y está previsto que se publique el 17-7-2024 (puede verse más detalle en alerta vinculada al margen).

Este segundo lote de normas se refiere a las siguientes materias:

  1. Notificación de los incidentes graves relacionados con las tecnologías de la información y las comunicaciones (TIC).
  2. Pruebas de penetración basadas en amenazas.
  3. Subcontratación de servicios de TIC con funciones esenciales o importantes.
  4. Supervisión de proveedores de servicios TIC.
  5. Incidentes graves relacionados con las TIC.
1 Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011.
2 Son, añadiendo las siglas españolas e inglesas por las que se conocen: Autoridad Bancaria Europea (ABE o EBA), Autoridad Europea de Valores y Mercados (AEVM o ESMA) y Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ o EIOPA).
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información