La EBA publica una consulta para revisar las directrices sobre la notificación de incidentes graves con la PSD 2

21-10-2020 — AR/2020/162

La EBA ha emitido una consulta pública para revisar sus directrices sobre la notificación de incidentes graves bajo la PSD 2, tras evaluar los informes de incidentes recibidos en 2018 y 2019, y los procedimientos de notificación seguidos por los proveedores de servicios de pago y las autoridades nacionales competentes durante ese período. El resultado de la evaluación mostró que las directrices debían modificarse.

El artículo 96 de la PSD 21 exige a los proveedores de servicios de pago (PSP) que establezcan un marco para mantener procedimientos eficaces de gestión de incidentes, en particular para la detección y la clasificación de los principales incidentes operativos o de seguridad.

En este sentido, los PSP deben comunicar los incidentes operativos o de seguridad graves a la autoridad nacional competente (ANC) de su Estado miembro de origen sin demora injustificada.

Además, la PSD 2 también exige que la ANC, tras evaluar la pertinencia del incidente, lo notifique a otras ANC.

Consulta pública

La EBA ha emitido, el 14-10-20, una consulta pública a fin de revisar las directrices para la notificación de incidentes graves bajo la PSD 2.

El periodo de consulta finaliza el 14-12-2020.

Modificaciones más relevantes planteadas

A continuación se citan algunas de las propuestas más relevantes del documento de la EBA:

  1. Aumentar los umbrales del criterio de clasificación de incidentes de «operaciones afectadas».
  2. Introducir cambios en el cálculo de los criterios de «operaciones afectadas» y «usuarios de servicios de pago afectados» en el «nivel de impacto inferior».
  3. Añadir un nuevo criterio de clasificación de incidentes de «violación de las medidas de seguridad» destinado a  los que esa violación afecta a la disponibilidad, integridad, confidencialidad o autenticidad de los datos, procesos o sistemas relacionados con los servicios de pago.
  4. Utilizar un archivo común estandarizado para informar sobre los principales incidentes a las ANC, a fin de mejorar la calidad de los informes y simplificar el proceso de notificación para los PSP.
  5. Eliminar el requisito de los PSP de proporcionar actualizaciones periódicas a las ANC en el informe intermedio, para ampliar el plazo de presentación del informe final y reducir los campos en la plantilla de informes.
  6. Alinear la taxonomía de las causas de los incidentes graves con la de otras notificaciones de incidentes desarrolladas por la Agencia de la Unión Europea para la Ciberseguridad y el Mecanismo Único de Supervisión, y desglosar algunas causas de incidentes.

 

Se espera que las directrices revisadas sean aplicables en el cuarto trimestre de 2021 y que permanezcan en vigor al menos hasta que entren en vigor los requisitos del marco regulatorio sobre la resiliencia de las operaciones digitales (regulatory framework on digital operational resilience o DORA).


1 Directiva 2015/2366, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior.