Las autoridades europeas de supervisión ponen a consulta el segundo paquete de normas técnicas sobre el reglamento DORA

Las autoridades europeas de supervisión¹ (AES o ESA, por sus siglas inglesas) han puesto a consulta, el 8-12-2023, el segundo paquete de normas técnicas de regulación y de ejecución (RTS e ITS, en siglas inglesas) y directrices que desarrollan el Reglamento (UE) 2022/2554,² sobre resiliencia operativa digital del sector financiero (conocido por las siglas inglesas DORA).

Las normas técnicas se refieren a:

• la notificación de incidentes graves relacionados con las tecnologías de información y comunicaciones (TIC),
• las pruebas de resistencia operativa digital,
• la gestión de «riesgos de terceros» en las TIC, y
• la supervisión de los proveedores de TIC críticos.

El reglamento sobre resiliencia operativa digital, que entró en vigor el 16-1-2023 y se aplicará desde el 17-1-2025, recoge que las ESA lo desarrollarán en dos lotes:

• el primero se puso a consulta el 19-6-2023 y lo remitirán a la Comisión Europea el 17-1-2024,
• el segundo, que resumimos en esta alerta, se ha puesto a consulta desde el 8-12-2023 al 4-3-2024.

Normas técnicas a consulta

Este segundo lote lo componen las normas que presentarán a la Comisión Europea el 17-7-2024, referidas a las siguientes materias.

Normas técnicas de regulación 

20. Notificación de los incidentes graves relacionados con las TIC (artículo 20.a del reglamento): describe:
    • el contenido de los informes de estos incidentes,
    • los plazos de presentación de la notificación inicial y de los informes intermedios y finales (4 horas, 72 horas y un mes, respectivamente), y
    • el contenido de la notificación voluntaria para las ciberamenazas significativas.
21. Pruebas de penetración basadas en amenazas (artículo 11.c): con el detalle de cómo han de realizar las pruebas las entidades financieras obligadas.
22. Subcontratación de servicios TIC con funciones esenciales o importantes (artículo 30.5): sobre los elementos para evaluar y determinar esta subcontratación.
23. Supervisión de proveedores de servicios TIC (artículo 41): recoge las condiciones para la supervisión, referidas al  contenido, la estructura y el formato de la información que estos proveedores deben presentar, divulgar o comunicar al supervisor.

Normas técnicas de ejecución 

20. Incidentes graves relacionados con las TIC (artículo 20.b): que recogen los formularios, las plantillas y los procedimientos normalizados para informar de uno de estos incidentes.

Directrices

Se refieren a los siguientes aspectos:

11. Costes y pérdidas derivados de incidentes importantes relacionados con las TIC (artículo 11.11): recogidos en unas tablas de estimaciones, introducen un mecanismo para informar de los costes y pérdidas brutos, las recuperaciones financieras y los costes y pérdidas netos por estos incidentes.
12. Cooperación con las autoridades competentes (artículo 32.7): entre las autoridades europeas de supervisión y las autoridades nacionales competentes, para la supervisión sobre el reglamento DORA. Estas directrices abarcan:
    • las condiciones generales,
    • la designación de proveedores de servicios TIC críticos y el intercambio de información entre supervisores y autoridades,
    • las actividades de supervisión,
    • el seguimiento de recomendaciones de las autoridades competentes para rescindir los contratos con proveedores de servicios TIC críticos.

Participación en la consulta

Para presentar los documentos de consulta y su justificación, las autoridades europeas han organizado una audiencia pública en forma de seminario web el 23-1-2024, de 9.00 a 18.00 h, en el que tratarán los contenidos de la consulta.