Los proveedores de TIC y una amplia gama de proveedores de servicios en el espacio financiero están compitiendo para determinar si sus operaciones se ven afectadas por las nuevas normas de la UE y, de ser así, cómo. Las definiciones son bastante amplias, por lo que, si su organización aún no ha analizado DORA, la Ley de Resiliencia Operacional Digital, ahora podría ser el momento adecuado.
Las Autoridades Europeas de Supervisión (AES) (EBA, EIOPA y ESMA) han presentado el conjunto final de proyectos de normas técnicas en el marco de DORA, que estará en pleno funcionamiento en enero de 2025. Las normas tienen como objetivo fortalecer la resiliencia cibernética de las instituciones financieras de la UE. sector privado reforzando la gestión de riesgos de terceros y las TIC, junto con la introducción de marcos mejorados para la notificación de incidentes.
Los proyectos de normas conjuntos publicados recientemente abarcan normas técnicas reglamentarias (RTS) sobre gestión de riesgos de TIC, criterios para la clasificación de incidentes y políticas sobre servicios de TIC proporcionados por proveedores de servicios externos.
Estos estándares, alineados con las regulaciones de DORA, tienen como objetivo proporcionar un enfoque unificado para la gestión de riesgos de TIC en todo el sector financiero. En una era de riesgos de ciberseguridad muy elevados, la introducción de reglas que se aplican más allá de los límites de las empresas de servicios financieros y en las empresas de tecnología y servicios de las que dependen es claramente una tendencia global.
La actualización incluye Normas Técnicas de Implementación (ITS), que definen la información que las entidades financieras deberán mantener con respecto a los acuerdos con terceros proveedores de TIC. Estos se incorporarán a un registro de información, fundamental para la supervisión del cumplimiento de DORA.
La Comisión Europea está examinando el proyecto final de normas técnicas y se espera su adopción en los próximos meses.
Las ESA publican el primer conjunto de reglas bajo DORA para la gestión de riesgos de TIC y de terceros y la clasificación de incidentes
Las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA, las AES) publicaron hoy el primer conjunto de proyectos finales de normas técnicas en el marco de DORA destinados a mejorar la resiliencia operativa digital del sector financiero de la UE mediante el fortalecimiento de las tecnologías de la información y la comunicación de las entidades financieras. (TIC) y marcos de gestión de riesgos y notificación de incidentes de terceros.
El proyecto final conjunto de normas técnicas incluye:
- Normas Técnicas Regulatorias (RTS) sobre el marco de gestión de riesgos de TIC y sobre el marco simplificado de gestión de riesgos de TIC;
- RTS sobre criterios para la clasificación de incidentes relacionados con las TIC;
- RTS especificará la política sobre servicios de TIC que respaldan funciones críticas o importantes proporcionadas por proveedores externos de servicios de TIC (TPP); y
- Implementación de Normas Técnicas (ITS) para establecer las plantillas para el registro de información.
RTS sobre el marco de gestión de riesgos de TIC y sobre el marco simplificado de gestión de riesgos de TIC
El borrador de RTS sobre el marco de gestión de riesgos de TIC identifica otros elementos relacionados con la gestión de riesgos de TIC con miras a armonizar herramientas, métodos, procesos y políticas. Estos elementos son complementarios a los identificados en DORA. Los RTS identifican los elementos clave que deberían tener las entidades financieras sujetas al régimen simplificado y de menor escala, riesgo, tamaño y complejidad, estableciendo un marco simplificado de gestión de riesgos TIC. Los RTS garantizan que los requisitos de gestión de riesgos de TIC estén armonizados entre los diferentes sectores financieros.
RTS sobre criterios para la clasificación de incidentes relacionados con las TIC
Estas RTS especifican los criterios para la clasificación de incidentes importantes relacionados con las TIC, el enfoque para la clasificación de incidentes importantes, los umbrales de materialidad de cada criterio de clasificación, los criterios y umbrales de materialidad para determinar las amenazas cibernéticas significativas, los criterios para que las autoridades competentes evalúen la relevancia de los incidentes para las autoridades competentes de otros Estados miembros y los detalles de los incidentes que se compartirán a este respecto. Los RTS garantizan un proceso armonizado y sencillo de clasificación de informes de incidentes en todo el sector financiero.
RTS sobre la política del TPP de TIC
Estos RTS especifican partes de los acuerdos de gobernanza, gestión de riesgos y marco de control interno que las entidades financieras deben tener en vigor con respecto al uso de proveedores externos de servicios de TIC. Su objetivo es garantizar que las entidades financieras mantengan el control de sus riesgos operativos, la seguridad de la información y la continuidad del negocio durante todo el ciclo de vida de los acuerdos contractuales con dichos proveedores externos de servicios de TIC.
ITS en el registro de información.
Finalmente, el ITS establece las plantillas que las entidades financieras deben mantener y actualizar en relación con sus acuerdos contractuales con terceros proveedores de servicios de TIC. El registro de información desempeñará un papel crucial en el marco de gestión de riesgos de terceros de TIC de las entidades financieras y será utilizado por las autoridades competentes y las ESA en el contexto de la supervisión del cumplimiento de DORA por parte de las entidades financieras y para designar terceros de TIC críticos. proveedores de servicios que estarán sujetos al régimen de supervisión de DORA.
Base jurídica y antecedentes
Estos proyectos finales de normas técnicas se han desarrollado de conformidad con los artículos 15, 16(3), 18(3), 28(9) y 28(10) de DORA (Reglamento (UE) 2022/2554). La consulta pública sobre los proyectos de normas técnicas tuvo lugar del 19 de junio al 11 de septiembre de 2023. Las ESA recibieron más de 420 respuestas de los participantes del mercado, incluida una respuesta conjunta de los grupos de partes interesadas de las ESA. Los comentarios de la consulta pública dieron lugar a cambios específicos en las normas técnicas, entre ellos garantizar la simplificación y racionalización de los requisitos, una mayor proporcionalidad y abordar preocupaciones específicas del sector.
Próximos pasos
El proyecto final de normas técnicas se ha presentado a la Comisión Europea, que ahora comenzará a trabajar en su revisión con el objetivo de adoptar estas primeras normas en los próximos meses.