La EBA emite el informe final sobre las directrices para la notificación de incidentes graves en PSD 2
15-06-2021 — AR/2021/082
Las directrices buscan aclarar cuestiones relacionadas con la obligación de notificar a la autoridad competente los incidentes operativos o de seguridad graves que afecten a los proveedores de servicios de pago. Abarca indicaciones para estos y también para las autoridades competentes.
- Compartir
- Correo electrónico
La Autoridad Bancaria Europea (EBA, en siglas inglesas) ha emitido, el 10-6-2021, su informe final sobre la revisión de las directrices para notificar los incidentes graves relacionados con la PSD 2.1
En esta nueva versión, las directrices:
- buscan aclarar cuestiones sobre la notificación a la autoridad nacional competente (ANC) de los incidentes operativos o de seguridad graves que afecten a los proveedores de servicios de pago, y
- especifican el formato y procedimientos para comunicar esos incidentes.
Comentamos los principales aspectos de esta revisión, diferenciando entre las dirigidas a los proveedores de servicios de pago (PSP) y a la ANC.
Directrices dirigidas a los proveedores de servicios de pago
Clasificación como incidente mayor
Los PSP deben evaluar un incidente de seguridad u operacional en función de:
- las transacciones afectadas;
- los usuarios de servicios de pago afectados;
- la violación de la seguridad de la red o sistemas de información;
- el tiempo de inactividad del servicio;
- las consecuencias económicas y reputacionales;
- la información o no a la alta dirección (se haya informado o se vaya a informar), y
- las implicaciones sistemáticas que podría tener el incidente para extenderse más allá del PSP.
Las directrices incluyen, para cada uno de estos criterios, una tabla con los umbrales para determinar si el nivel de impacto es alto o bajo.
Si concurren uno o más criterios con nivel alto, o tres o más de nivel bajo, se considerará que el incidente es grave.
Proceso de notificación
Los PSP han de recopilar toda la información pertinente y elaborar un informe de incidentes, tomando como modelo las plantillas adjuntas a las directrices y enviarlo a las ANC.
En el proceso de notificación, se prevén tres informes durante la vida del incidente, para los que se proporcionan tres plantillas distintas:
- Informe inicial
- Es el primer informe, después de que un incidente de seguridad u operacional se haya clasificado como grave.
- Este informe se enviará a la ANC en un plazo de cuatro horas desde que se le haya asignado la calificación de grave.
- Informe intermedio
- Se presentará cuando se hayan recuperado las actividades habituales y el negocio haya vuelto a la normalidad.
- Si no se han recuperado las actividades habituales, los PSP deben presentar este informe dentro de los tres días hábiles siguientes a la presentación del informe inicial.
- No obstante, si se hubiera vuelto a la normalidad antes de las cuatro horas desde la clasificación del incidente, se enviará este informe simultáneamente con el inicial.
- Informe final
- Se debe presentar cuando se haya analizado la causa del incidente, en un plazo máximo de veinte días hábiles después de que la operativa haya vuelto a la normalidad.
Informes delegados y consolidados
- Informes delegados
- Cuando los PSP deleguen las obligaciones de información a un tercero, se notificará esta circunstancia a la ANC y se garantizará el cumplimiento de las siguientes condiciones:
- La existencia de un contrato formal en el que se asigne inequívocamente esta obligación y se indique que el PSP seguirá siendo plenamente responsable.
- El cumplimiento de la delegación con los requisitos para la subcontratación de funciones operativas importantes, en virtud del artículo 19.6 de la PSD 2.2
- La presentación de la información a la ANC en los plazos y con los procedimientos establecidos por ésta.
- La garantía de la confidencialidad de los datos sensibles y la calidad, coherencia, integridad y fiabilidad de la información.
- Cuando los PSP deleguen las obligaciones de información a un tercero, se notificará esta circunstancia a la ANC y se garantizará el cumplimiento de las siguientes condiciones:
- Informes consolidados
- Se refiere a un informe único que hace referencia a varios PSP afectados por el mismo incidente.
- En los casos en los que los PSP permitan al tercero presentar informes consolidados, deberán informar a la ANC de dicha circunstancia.
- Para la presentación de informes consolidados, se exige que:
- esté incluida esta circunstancia en el contrato que sustenta el informe delegado;
- se condicione el informe consolidado a que el incidente sea causado por una interrupción en los servicios prestados por el tercero;
- se limite la información consolidada a los PSP establecidos en un mismo Estado miembro;
- incluya la lista de todos los PSP afectados por el incidente;
- se asegure que el tercero evalúa la materialidad del incidente para cada PSP y que solo incluya en el informe consolidado los PSP para los que el incidente ha sido clasificado como grave.
- se rellenen para cada PSP los campos de la plantilla que no tengan una respuesta común;
- el tercero mantenga informado al PSP en todo momento.
Política de operativa y de seguridad
Los PSP deben asegurarse de que su política general de operativa y de seguridad defina claramente todas las responsabilidades sobre la notificación de incidentes y los procesos implementados para cumplir los requisitos de las directrices.
Directrices dirigidas a las ANC
En relación con otras autoridades nacionales
Las ANC han de evaluar la relevancia de un incidente grave operativo o de seguridad para otras autoridades nacionales, tomando como base su opinión propia y los siguientes indicadores:
- El ámbito de competencia, es decir, si las causas del incidente están dentro del ámbito normativo de otra autoridad nacional.
- Las consecuencias del incidente y si tienen efecto en los objetivos de otra autoridad nacional.
- Si el incidente afecta, o podría afectar, a usuarios de servicios de pago a gran escala.
En la documentación que la ANC ha de compartir con otras autoridades nacionales, se omitirá cualquier información que pueda estar sujeta a restricciones de confidencialidad o propiedad intelectual.
En relación con la Autoridad Bancaria Europea y el Banco Central Europeo
Las ANC proporcionarán a estos dos organismos todos los informes recibidos de los PSP, o en su nombre, aunque preservarán en todo momento la confidencialidad e integridad de la información almacenada e intercambiada.
Entrada en vigor
Las Directrices entran en vigor el 1-1-2022 y derogan las Directrices EBA/GL/2017/10.
Iniciativas relacionadas
Alertas Relacionadas
-
La EBA publica una consulta para revisar las directrices sobre la notificación de incidentes graves con la PSD 2
21-10-2020—AR/2020/162 -
El Banco de España somete a consulta pública el desarrollo de las obligaciones de los proveedores de servicios de pago sobre los riesgos operativos y de seguridad
11-12-2019—AR/2019/071