Las autoridades europeas de supervisión emiten el segundo paquete de normas técnicas del reglamento DORA

Las autoridades europeas de supervisión (ESA, en siglas inglesas, que agrupan a la Autoridad Bancaria Europea, la Autoridad Europea de Seguros y Pensiones de Jubilación y la Autoridad Europea de Valores y Mercados) han publicado, el 17-7-2024, el segundo conjunto de normas técnicas de regulación y de ejecución, que desarrolla el Reglamento (UE) 2022/2554,¹ sobre resiliencia operativa digital del sector financiero (conocido por las siglas inglesas DORA).

Este conjunto de normas estuvo en consulta entre el 8-12-2023 y el 4-3-2024, y de ella dimos cuenta en la alerta asociada al margen, en la que puede verse más detalle.

 Segundo lote de desarrollo

Lo componen, como se ha dicho, normas técnicas de regulación y de ejecución, y directrices, que resumimos a continuación.

Normas técnicas de regulación

Se refieren a los siguientes aspectos:

1. Notificación de los incidentes graves relacionados con las tecnologías de la información y de la comunicación (TIC), para la que recoge:
   • el contenido de los informes sobre estos incidentes,
   • los plazos para presentar la notificación inicial y los informes intermedios y finales (4 horas, 72 horas y un mes, respectivamente), y
   • el contenido de la notificación voluntaria para las ciberamenazas significativas.
2. Pruebas de penetración basadas en amenazas: con el detalle de cómo han de realizar las pruebas las entidades financieras obligadas.
3. Información de los proveedores de servicios de TIC:
   • en la solicitud de petición voluntaria para ser designado como crítico;
   • para el detalle de la evaluación por las autoridades competentes de las medidas tomadas por los proveedores de servicios críticos de TIC, basándose en las recomendaciones del supervisor principal, y
   • plantillas para describir los acuerdos de subcontratación.
4. Los criterios para determinar la composición del equipo conjunto de examen (JET), para lograr:
   • una participación equilibrada de miembros del personal de las ESA y de las autoridades competentes pertinentes,
   • su designación, y
   • las tareas y las modalidades de trabajo.

Normas técnicas de ejecución

Se refieren a:

1. Incidentes graves relacionados con las TIC, que recogen los formularios, las plantillas y los procedimientos normalizados para informar de estos incidentes.

Directrices

Se refieren a los siguientes aspectos:

1. Costes y pérdidas derivados de incidentes importantes relacionados con las TIC: recogidos en unas tablas de estimaciones, introducen un mecanismo para informar de los costes y pérdidas brutos, las recuperaciones financieras y los costes y pérdidas netos por estos incidentes.
2. Cooperación entre las autoridades europeas de supervisión y las autoridades nacionales competentes, para supervisar el cumplimiento del reglamento DORA. Abarcan:
   • las condiciones generales,
   • la designación de proveedores de servicios de TIC críticos y el intercambio de información entre supervisores y autoridades,
   • las actividades de supervisión,
   • el seguimiento de recomendaciones de las autoridades competentes para rescindir los contratos con proveedores de servicios TIC críticos.

Pasos siguientes

Las ESA no han publicado la norma técnica de regulación sobre la  subcontratación, que sigue pendiente.

La Comisión Europea, receptora de estos informes finales de las ESA, ha de revisarlos en los próximos meses y decidir su promulgación.