Publicado el 15 de junio de 2024 por Editor
Las Autoridades Europeas de Supervisión (ESA) anunciaron recientemente que han firmado un Memorando de Entendimiento (MoU) multilateral con la Agencia de Ciberseguridad de la Unión Europea (ENISA). Este acuerdo tiene como objetivo mejorar la cooperación y el intercambio de información a la luz de la Directiva NIS2 y la Ley de Resiliencia Operacional Digital (DORA).
El MoU establece un marco formal para la colaboración en la implementación de políticas, notificación de incidentes y supervisión de proveedores externos de TIC críticos. Está diseñado para promover la convergencia regulatoria, facilitar el aprendizaje intersectorial y apoyar el intercambio de información sobre tecnologías emergentes. Verena Ross, presidenta del Comité Conjunto de las ESA y presidenta de ESMA, destacó que este acuerdo fortalece el compromiso conjunto para salvaguardar el sistema financiero de los riesgos de ciberseguridad, reconociendo la importancia de la colaboración en un mundo interconectado.
Juhan Lepassaar, director ejecutivo de ENISA, enfatizó el enfoque integral de la ciberseguridad tanto a nivel sectorial como horizontal, particularmente en la implementación y armonización de las disposiciones NIS2 y DORA. Esta colaboración tiene como objetivo crear un mecanismo sólido para la ciberseguridad en los sistemas TIC financieros.
La Directiva NIS2 proporciona medidas legales en toda la UE para mejorar la ciberseguridad, mientras que DORA establece un marco regulatorio armonizado para la resiliencia operativa digital en las entidades financieras de la UE, incluida la supervisión de los proveedores de TIC externos críticos (CTPP).
La asociación entre las ESA y ENISA es un paso hacia un enfoque unificado y resiliente de la ciberseguridad, crucial para mantener la estabilidad y la seguridad del sistema financiero en Europa.
Para obtener más detalles sobre el MoU y sus implicaciones, visite el sitio web de la EBA .
CIBERSEGURIDAD DORA ENISA ESAS
Las ESA y ENISA firman un Memorando de Entendimiento para fortalecer la cooperación y el intercambio de información
Las Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA – las ESA) anunciaron hoy que han concluido un Memorando de Entendimiento (MoU) multilateral para fortalecer la cooperación y el intercambio de información con la Agencia de Ciberseguridad de la Unión Europea (ENISA).
Este MoU multilateral formaliza las discusiones en curso entre las ESA y ENISA para fortalecer su ya estrecha cooperación, como resultado de la Directiva sobre medidas para un alto nivel común de ciberseguridad (Directiva NIS2) y la Ley de Resiliencia Operacional Digital (DORA).
Este MoU establece el marco para la cooperación y el intercambio de información sobre tareas de interés mutuo, incluida la implementación de políticas, la notificación de incidentes y la supervisión de proveedores externos críticos de tecnologías de la información y la comunicación (TIC). También promoverá la convergencia regulatoria, facilitará el aprendizaje intersectorial y el desarrollo de capacidades en áreas de interés mutuo, y el intercambio de información sobre tecnologías emergentes.
Verena Ross, presidenta del Comité Conjunto de las ESA y presidenta de la ESMA, dijo:
Este nuevo acuerdo de cooperación que firmamos hoy reforzará la colaboración entre las ESA y ENISA. Al reunir a las ESA que trabajan en riesgos de ciberseguridad en el sector financiero y a ENISA como agencia de ciberseguridad de la UE, estamos fortaleciendo aún más nuestro compromiso de salvaguardar el sistema financiero de los riesgos de seguridad de la información.
En un mundo interconectado, el riesgo de las TIC no se limita a un área geográfica o sectorial, lo que hace que la cooperación en este campo sea crucial. Al facilitar la colaboración y el intercambio de recursos, continuamos mejorando nuestra capacidad para detectar y responder a las amenazas a la ciberseguridad.
Juhan Lepassaar, director ejecutivo de la Agencia de Ciberseguridad de la Unión Europea (ENISA), destacó:
El MoU firmado hoy muestra nuestra voluntad de avanzar con un enfoque común e integral en ciberseguridad tanto a nivel sectorial como horizontal. Nuestros esfuerzos por implementar y armonizar las disposiciones de NIS2 y DORA, como las relativas a la notificación de incidentes, están allanando el camino para intensificar nuestros esfuerzos por crear un mecanismo sólido para la ciberseguridad en los sistemas de TIC financieros.
Notas para los editores
La Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión (Directiva NIS2) es la legislación de la UE sobre ciberseguridad que proporciona medidas legales para impulsar el nivel general de ciberseguridad en la UE.
La Ley de Resiliencia Operacional Digital (DORA) establece un marco regulatorio armonizado e integral sobre la resiliencia operativa digital para las entidades financieras de la UE e introduce la supervisión de los Proveedores Terceros de TIC Críticos (CTPP).
Acerca de ENISA
La Agencia de Ciberseguridad de la Unión Europea, ENISA, es la agencia de la Unión dedicada a lograr un alto nivel común de ciberseguridad en toda Europa. Creada en 2004 y reforzada por la Ley de Ciberseguridad de la UE, ENISA contribuye a la política cibernética de la UE, mejora la confiabilidad de los productos, servicios y procesos de TIC con esquemas de certificación de ciberseguridad, coopera con los Estados miembros y los organismos de la UE y ayuda a Europa a prepararse para los desafíos cibernéticos. de mañana. A través del intercambio de conocimientos, el desarrollo de capacidades y la sensibilización, la Agencia trabaja junto con sus partes interesadas clave para fortalecer la confianza en la economía conectada, impulsar la resiliencia de la infraestructura de la Unión y, en última instancia, mantener digitalmente seguros a la sociedad y a los ciudadanos de Europa.
Acerca de las ESA
Las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) tienen el objetivo de proteger el interés público contribuyendo a la estabilidad y eficacia a corto, medio y largo plazo del sistema financiero, para la economía de la Unión, sus ciudadanos y negocios. Las AES tienen la tarea de desarrollar e implementar un marco regulatorio común y una práctica de supervisión convergente en toda la UE. Si bien la mayor parte de la supervisión actual de las instituciones financieras todavía recae en las autoridades nacionales de supervisión, las ESA también llevan a cabo una supervisión micro prudencial de los mercados financieros de la UE junto con las autoridades nacionales de supervisión de los Estados miembros, así como la supervisión directa de algunos actores del mercado.
A través del Comité Conjunto, las tres AES coordinan de forma regular y estrecha sus actividades de supervisión en el ámbito de sus respectivas responsabilidades y garantizan la coherencia de sus prácticas. El Comité Mixto de las tres AES está presidido alternativamente cada año por una de las autoridades. En 2024 el foro estará presidido por la ESMA.
Detalles
Fecha de publicación: 5 de junio de 2024
Memorándum de Acuerdo sobre cooperación entre la Autoridad Bancaria Europea, la Autoridad Europea de Seguros y Pensiones de Jubilación, la Autoridad Europea de Valores y Mercados y la Agencia de la Unión Europea para la Ciberseguridad
Visto el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) No. 1060/2009, (UE) No. 648/2012, (UE) No. 600/2014, (UE) No. 909/2014 y (UE) 2016/1011 (DORA), y
Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión, por la que se modifican el Reglamento (UE) No. 910/2014 y la Directiva (UE) 2018/1972 y se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2)2;
Las Autoridades Europeas de Supervisión (AES), incluidas la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ), la Autoridad Europea de Valores y Mercados (AEVM) y la Agencia de la Unión Europea para la Ciberseguridad (ENISA), y que colectivamente se conocen como las partes;
HAN LLEGADO AL SIGUIENTE ENTENDIMIENTO:
Artículo 1
Propósito
El objetivo del presente Memorándum de Entendimiento es establecer el marco para la cooperación y el intercambio de información entre las AES y ENISA en los ámbitos cubiertos por la Directiva SRI 2, el DORA y otros ámbitos de interés mutuo.
Artículo 2
Cooperación estratégica
(1) Las Partes cooperarán para llevar a cabo las tareas de interés común derivadas de la Directiva SRI 2 y del DORA, en particular la notificación de incidentes graves relacionados con las TIC, la elaboración de proyectos de normas técnicas, el establecimiento de mecanismos para compartir prácticas eficaces entre sectores, o la prestación de asesoramiento técnico y el intercambio de experiencias prácticas sobre actividades de supervisión.
(2) ENISA facilitará la participación y el compromiso activo de las AES en las actividades del Grupo de Cooperación SRI, cuando proceda.
(3) Las AES facilitarán la participación y el compromiso activo de ENISA en el Foro de Supervisión y, en caso necesario, en la Red Común de Supervisión.
(4) Las partes colaborarán en la aplicación de procesos eficientes de notificación de incidentes para el sector financiero de la UE, en consonancia con la Directiva SRI 2 y los actos de ejecución de notificación de incidentes DORA.
(5) ENISA apoyará a las AES en la aplicación de una herramienta informática para la notificación de incidentes basada en la herramienta del Sistema de Ciberataques, Notificación y Análisis (CIRAS) de ENISA.
(6) Las partes colaborarán en el desarrollo del marco paneuropeo de coordinación sistémica de ciber incidentes (EU-SCICF)3.
(7) Las partes colaborarán y se coordinarán en aspectos de ciberseguridad y fortalecerán capacidades, conocimientos y habilidades en áreas de interés mutuo.
(8) Las partes intercambiarán información y puntos de vista durante la preparación del plan de trabajo y otros documentos que sean pertinentes para los ámbitos de cooperación identificados en el presente Memorándum de Entendimiento.
(9) Las Partes intercambiarán información sobre las próximas actividades sobre tecnologías emergentes de interés mutuo e intercambiarán puntos de vista sobre los próximos dictámenes y orientaciones de interés estratégico común, según lo consideren pertinente las Partes.
(10) Las partes se invitarán mutuamente a las reuniones de expertos pertinentes y colaborarán en la investigación y otras actividades conexas, cuando proceda.
Artículo 3
Punto de contacto único
1) Las partes establecerán un punto de contacto único, integrado por miembros del personal de las partes, designados por las partes, tal como se indica en el anexo del presente Memorándum de Entendimiento.
2) El SCP se encargará de coordinar la cooperación de las partes y de actualizar periódicamente el presente Memorando de Entendimiento y el plan de trabajo.
3) El SCP se reunirá al menos una vez al año para:
a. debatir y examinar las cuestiones relacionadas con el plan de trabajo establecido en el artículo 4,
b. identificar nuevas áreas de cooperación, y
c. Intercambiar puntos de vista sobre los principales retos actuales y futuros de la ciberseguridad, incluidos los análisis de las tecnologías emergentes y las amenazas.
Artículo 4
Plan de trabajo
1) El SCP tratará de acordar un plan de trabajo al menos una vez al año, sobre la base de los programas de trabajo anuales y plurianuales de cada una de las Partes.
(2) Este plan especificará las iniciativas y acciones (por ejemplo, talleres, capacitaciones y foros de discusión) e incluirá la distribución de tareas entre las partes para la implementación de este Memorando de Entendimiento.
Artículo 5
Confidencialidad
(1) Las partes no podrán revelar a terceros la información confidencial intercambiada en el marco del presente Memorando de Entendimiento sin el consentimiento previo por escrito de la parte originadora. Esto no impide que las partes compartan información de conformidad con el DORA, la Directiva SRI 2 y cualquier otro acto jurídico de la Unión aplicable.
(2) Las partes están obligadas por el régimen de secreto profesional establecido en sus respectivos ordenamientos jurídicos.
(3) Las partes podrán compartir entre sí ideas y datos, con el fin de:
a. mejorar la supervisión y la coordinación,
b. responder a las amenazas cibernéticas y a las interrupciones operativas, y
c. reforzar la resiliencia global del ecosistema digital en la UE.
(4) Toda información confidencial intercambiada por las partes en virtud del presente Memorándum de Entendimiento se utilizará únicamente en la medida y el nivel de detalle necesarios para el ejercicio por las partes de sus respectivas tareas y obligaciones atribuidas en virtud de los actos jurídicos de la Unión aplicables.
Artículo 6
Aplicación, duración y revisión
(1) Este Memorando de Entendimiento establece una declaración de intenciones y no crea ningún derecho directa o indirectamente exigible u obligaciones legalmente vinculantes para las partes o cualquier tercero. Las partes harán todo lo posible para llegar a una solución amistosa de cualquier desacuerdo relacionado con la interpretación o aplicación del presente Memorándum de Entendimiento.
(2) Las partes podrán acordar establecer acuerdos de nivel de servicio (SLA) conjuntos o bilaterales sobre notificación de incidentes, auditorías de ciberseguridad, formación u otros temas dentro de sus ámbitos de competencia.
(3) El presente Memorando de Entendimiento entrará en vigor el día siguiente a la fecha de su firma por todas las partes (la última Parte firmante).
(4) Este Memorando de Entendimiento es válido por tres años y se renovará automáticamente por períodos adicionales de tres años, a menos que una de las partes proporcione un aviso previo por escrito de terminación, al menos dos semanas antes de la fecha de la renovación automática.
(5) Las modificaciones del presente Memorándum de Entendimiento podrán realizarse de mutuo acuerdo en cualquier momento, excepto en el caso de las modificaciones del anexo, que serán notificadas por la parte modificativa a las demás partes. Dichas modificaciones, suplementos o rescisiones se harán por escrito.
Firmas
Por la Autoridad Bancaria Europea (ABE),
José Manuel Campa,
Presidente
[FIRMADO]
Por la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ),
Petra Hielkema, Información
[FIRMADO]
Por la Autoridad Europea de Valores y Mercados (AEVM),
Verena Ross, presidenta
[FIRMADO]
Por la Agencia de la Unión Europea para la Ciberseguridad (ENISA),
Johan Lepacher, Director Ejecutivo
[FIRMADO]
Publicado originalmente: https://www.xbrl.org/news/esas-and-enisa-strengthen-cybersecurity-cooperation/