Las autoridades europeas de supervisión ponen a consulta el segundo paquete de normas técnicas sobre el reglamento DORA
22-12-2023 — AR/2023/143
Este segundo paquete de desarrollo del reglamento sobre la resiliencia operativa digital se compone de cuatro proyectos de normas técnicas de regulación, uno de normas técnicas de ejecución y dos de directrices.
- Compartir
- Correo electrónico
Las autoridades europeas de supervisión1 (AES o ESA, por sus siglas inglesas) han puesto a consulta, el 8-12-2023, el segundo paquete de normas técnicas de regulación y de ejecución (RTS e ITS, en siglas inglesas) y directrices que desarrollan el Reglamento (UE) 2022/2554,2 sobre resiliencia operativa digital del sector financiero (conocido por las siglas inglesas DORA).
Las normas técnicas se refieren a:
- la notificación de incidentes graves relacionados con las tecnologías de información y comunicaciones (TIC),
- las pruebas de resistencia operativa digital,
- la gestión de «riesgos de terceros» en las TIC, y
- la supervisión de los proveedores de TIC críticos.
El reglamento sobre resiliencia operativa digital, que entró en vigor el 16-1-2023 y se aplicará desde el 17-1-2025, recoge que las ESA lo desarrollarán en dos lotes:
- el primero se puso a consulta el 19-6-2023 y lo remitirán a la Comisión Europea el 17-1-2024,
- el segundo, que resumimos en esta alerta, se ha puesto a consulta desde el 8-12-2023 al 4-3-2024.
Normas técnicas a consulta
Este segundo lote lo componen las normas que presentarán a la Comisión Europea el 17-7-2024, referidas a las siguientes materias.
Normas técnicas de regulación
- Notificación de los incidentes graves relacionados con las TIC (artículo 20.a del reglamento): describe:
- el contenido de los informes de estos incidentes,
- los plazos de presentación de la notificación inicial y de los informes intermedios y finales (4 horas, 72 horas y un mes, respectivamente), y
- el contenido de la notificación voluntaria para las ciberamenazas significativas.
- Pruebas de penetración basadas en amenazas (artículo 11.c): con el detalle de cómo han de realizar las pruebas las entidades financieras obligadas.
- Subcontratación de servicios TIC con funciones esenciales o importantes (artículo 30.5): sobre los elementos para evaluar y determinar esta subcontratación.
- Supervisión de proveedores de servicios TIC (artículo 41): recoge las condiciones para la supervisión, referidas al contenido, la estructura y el formato de la información que estos proveedores deben presentar, divulgar o comunicar al supervisor.
Normas técnicas de ejecución
- Incidentes graves relacionados con las TIC (artículo 20.b): que recogen los formularios, las plantillas y los procedimientos normalizados para informar de uno de estos incidentes.
Directrices
Se refieren a los siguientes aspectos:
- Costes y pérdidas derivados de incidentes importantes relacionados con las TIC (artículo 11.11): recogidos en unas tablas de estimaciones, introducen un mecanismo para informar de los costes y pérdidas brutos, las recuperaciones financieras y los costes y pérdidas netos por estos incidentes.
- Cooperación con las autoridades competentes (artículo 32.7): entre las autoridades europeas de supervisión y las autoridades nacionales competentes, para la supervisión sobre el reglamento DORA. Estas directrices abarcan:
- las condiciones generales,
- la designación de proveedores de servicios TIC críticos y el intercambio de información entre supervisores y autoridades,
- las actividades de supervisión,
- el seguimiento de recomendaciones de las autoridades competentes para rescindir los contratos con proveedores de servicios TIC críticos.
Participación en la consulta
Para presentar los documentos de consulta y su justificación, las autoridades europeas han organizado una audiencia pública en forma de seminario web el 23-1-2024, de 9.00 a 18.00 h, en el que tratarán los contenidos de la consulta.