Las autoridades europeas de supervisión ponen a consulta el segundo paquete de normas técnicas sobre el reglamento DORA

22-12-2023 — AR/2023/143

Este segundo paquete de desarrollo del reglamento sobre la resiliencia operativa digital se compone de cuatro proyectos de normas técnicas de regulación, uno de normas técnicas de ejecución y dos de directrices.

Las autoridades europeas de supervisión1 (AES o ESA, por sus siglas inglesas) han puesto a consulta, el 8-12-2023, el segundo paquete de normas técnicas de regulación y de ejecución (RTS e ITS, en siglas inglesas) y directrices que desarrollan el Reglamento (UE) 2022/2554,2 sobre resiliencia operativa digital del sector financiero (conocido por las siglas inglesas DORA).

Las normas técnicas se refieren a:

  • la notificación de incidentes graves relacionados con las tecnologías de información y comunicaciones (TIC),
  • las pruebas de resistencia operativa digital,
  • la gestión de «riesgos de terceros» en las TIC, y
  • la supervisión de los proveedores de TIC críticos.

El reglamento sobre resiliencia operativa digital, que entró en vigor el 16-1-2023 y se aplicará desde el 17-1-2025, recoge que las ESA lo desarrollarán en dos lotes:

  • el primero se puso a consulta el 19-6-2023 y lo remitirán a la Comisión Europea el 17-1-2024,
  • el segundo, que resumimos en esta alerta, se ha puesto a consulta desde el 8-12-2023 al 4-3-2024.

Normas técnicas a consulta

Este segundo lote lo componen las normas que presentarán a la Comisión Europea el 17-7-2024, referidas a las siguientes materias.

Normas técnicas de regulación 

  1. Notificación de los incidentes graves relacionados con las TIC (artículo 20.a del reglamento): describe:
    • el contenido de los informes de estos incidentes,
    • los plazos de presentación de la notificación inicial y de los informes intermedios y finales (4 horas, 72 horas y un mes, respectivamente), y
    • el contenido de la notificación voluntaria para las ciberamenazas significativas.
  2. Pruebas de penetración basadas en amenazas (artículo 11.c): con el detalle de cómo han de realizar las pruebas las entidades financieras obligadas.
  3. Subcontratación de servicios TIC con funciones esenciales o importantes (artículo 30.5): sobre los elementos para evaluar y determinar esta subcontratación.
  4. Supervisión de proveedores de servicios TIC (artículo 41): recoge las condiciones para la supervisión, referidas al  contenido, la estructura y el formato de la información que estos proveedores deben presentar, divulgar o comunicar al supervisor.

Normas técnicas de ejecución 

  1. Incidentes graves relacionados con las TIC (artículo 20.b): que recogen los formularios, las plantillas y los procedimientos normalizados para informar de uno de estos incidentes.

Directrices

Se refieren a los siguientes aspectos:

  1. Costes y pérdidas derivados de incidentes importantes relacionados con las TIC (artículo 11.11): recogidos en unas tablas de estimaciones, introducen un mecanismo para informar de los costes y pérdidas brutos, las recuperaciones financieras y los costes y pérdidas netos por estos incidentes.
  2. Cooperación con las autoridades competentes (artículo 32.7): entre las autoridades europeas de supervisión y las autoridades nacionales competentes, para la supervisión sobre el reglamento DORA. Estas directrices abarcan:
    • las condiciones generales,
    • la designación de proveedores de servicios TIC críticos y el intercambio de información entre supervisores y autoridades,
    • las actividades de supervisión,
    • el seguimiento de recomendaciones de las autoridades competentes para rescindir los contratos con proveedores de servicios TIC críticos.

Participación en la consulta

Para presentar los documentos de consulta y su justificación, las autoridades europeas han organizado una audiencia pública en forma de seminario web el 23-1-2024, de 9.00 a 18.00 h, en el que tratarán los contenidos de la consulta.


Son, añadiendo las siglas españolas e inglesas por las que se conocen: Autoridad Bancaria Europea (ABE o EBA), Autoridad Europea de Valores y Mercados (AEVM o ESMA) y Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ o EIOPA).
2 Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011.