Las Autoridades Europeas de Supervisión (AES) se están preparando para la siguiente fase de implementación de la Ley de Resiliencia Operacional Digital (DORA) iniciando un ejercicio de prueba voluntario en mayo. Este ejercicio tiene como objetivo ayudar a las entidades financieras a prepararse para el próximo requisito de mantener registros de información sobre su uso de proveedores de servicios de TIC externos a partir de 2025. Los reguladores de todo el mundo están lidiando con preguntas sobre la preparación en materia de ciberseguridad y la resiliencia operativa, con apenas un día. pasar sin que un ciberataque importante afecte a industrias e infraestructuras clave.
Durante este ensayo de DORA, una de las respuestas políticas clave de la UE, se pedirá a las entidades financieras que proporcionen información sobre sus acuerdos contractuales con proveedores externos de TIC a través de sus autoridades competentes. Los datos recopilados ayudarán a familiarizar a las entidades con el proceso y los requisitos de compilación y presentación de esta información según DORA.
Las entidades financieras participantes recibirán apoyo de las ESA para crear sus registros de información, probar el proceso de presentación de informes, abordar problemas de calidad de los datos y mejorar los procesos internos. Se proporcionará retroalimentación sobre la calidad de los datos y talleres ayudarán a las entidades durante todo el ejercicio.
Dado que el alcance y el impacto exactos de DORA aún no se comprenden completamente, cuanto más rápido las ESA comiencen a adquirir datos, mejor.
Las ESA realizarán un ejercicio de prueba voluntario para preparar a la industria para la siguiente etapa de implementación de DORA
Las Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA – las AES) anunciaron hoy que lanzarán en mayo el ejercicio voluntario para la recopilación de registros de información de acuerdos contractuales sobre el uso de terceros proveedores de servicios TIC por parte de las entidades financieras. Según la Ley de Resiliencia de Operación Digital (DORA) y a partir de 2025, las entidades financieras deberán mantener registros de información sobre su uso de proveedores externos de TIC. En este ejercicio de prueba, esta información se recopilará de las entidades financieras a través de sus autoridades competentes y servirá como preparación para la implementación y presentación de registros de información bajo DORA.
Las ESA y las autoridades competentes están introduciendo este ejercicio voluntario para ayudar a las entidades financieras a prepararse para establecer su registro de información, recopilando la información relevante especificada en el proyecto final de Normas de Implementación de las ESA sobre los registros de información y reportando sus registros de información a sus respectivas autoridades competentes, quienes, a su vez, los facilitarán a las AES.
Las entidades financieras que participen en el simulacro recibirán apoyo de las ESA para: (1) crear su registro de información en un formato lo más cercano posible al de los informes de estado estacionario a partir de 2025, (2) probar el proceso de presentación de informes, (3) abordar problemas de calidad de datos, y (4) mejorar los procesos internos y la calidad de sus registros de información.
Como parte del ejercicio, las ESA proporcionarán retroalimentación sobre la calidad de los datos a las entidades financieras participantes, devolverán archivos limpios con su registro de información, organizarán talleres y responderán preguntas frecuentes.
Se espera que la recopilación de datos ad hoc se inicie en mayo de 2024 y las entidades financieras esperan presentar sus registros de información a las ESA a través de sus autoridades competentes entre el 1 de julio y el 30 de agosto.
Hoja informativa: «Simulacro» para prepararse para DORA
PUNTOS CLAVE
• El DORA exige a las entidades financieras que, a partir del 17 de enero de 2025, dispongan de un registro de información de todos sus acuerdos contractuales con terceros proveedores de TIC.
• Para ayudar a las entidades financieras a estar preparadas para sus preparativos, las AES y las autoridades competentes llevarán a cabo un ensayo sobre la base de la medida de lo posible a mediados de 2024.
• En el segundo semestre de 2024, las AES proporcionarán información individual y general a las entidades financieras sobre sus registros de información.
¿POR QUÉ?
El DORA entrará en vigor el 17 de enero de 2025. Esto significa que, a partir de esa fecha, todas las entidades financieras incluidas en su ámbito de aplicación deberán disponer de un registro exhaustivo de sus acuerdos contractuales con proveedores terceros de servicios de TIC a nivel de entidad, subconsolidado y consolidado (artículo 28, apartado 3, del DORA). Las entidades financieras deben estar preparadas para comunicar sus registros de información a sus respectivas autoridades competentes, quienes, a su vez, los facilitarán a las Autoridades Europeas de Supervisión (ABE, AESPJ y AEVM, en lo sucesivo, «AES»).
Los registros servirán para que 1) las entidades financieras supervisen su riesgo de terceros relacionado con las TIC, 2) las autoridades competentes de la UE supervisen la gestión de los riesgos de TIC y terceros en las entidades financieras y 3) las AES designen los proveedores esenciales de servicios de terceros de TIC que estarán sujetos a una supervisión a escala de la UE.
El contenido de estos registros de información se especifica en un proyecto de STI elaborado por las AES que está en proceso de adopción por la Comisión Europea.
A fin de ayudar a las entidades financieras a estar preparadas con sus registros de información a más tardar en enero de 2025, las AES y las autoridades competentes llevarán a cabo un ensayo sobre la base de la mejor medida de esfuerzos en 2024.
¿QUÉ?
Las entidades financieras que participen en el ejercicio están obligadas a presentar sus registros de información a su autoridad competente, de conformidad con el informe final de las AES sobre los proyectos de STI sobre los registros de información, sobre la base de la medida de lo posible.
Los registros deben facilitarse de forma individual para una entidad que no pertenezca a ningún grupo de entidades financieras. En el caso de los grupos de entidades financieras, los registros deben facilitarse en el nivel más alto de la consolidación en la UE, en función de las responsabilidades de supervisión de la autoridad competente que solicite la información, por ejemplo, en el caso de los grupos bancarios o de seguros que faciliten a las autoridades competentes bancarias o de seguros en base consolidada un registro de información que abarque todas las entidades incluidas en el ámbito de consolidación del grupo bancario o grupo de seguros pertinente. Si no es posible consolidar los registros de varias entidades de un mismo grupo bajo la responsabilidad de varias autoridades competentes, los registros deben facilitarse de forma individual como si las entidades financieras no formaran parte de un grupo.
El registro debe facilitarse en un formato CSV simple utilizando un proyecto de modelo de puntos de datos (DPM) que serán facilitados por las AES a finales de mayo de 2024.
Las entidades financieras participantes recibirán apoyo de las AES para (1) construir su registro de información en un formato lo más parecido posible a la presentación de informes en estado estacionario a partir de 2025, (2) probar el proceso de notificación, (3) abordar los problemas de calidad de los datos y (4) mejorar los procesos internos y la calidad de sus registros de información.
¿CÓMO?
Las AES proporcionarán a las entidades financieras participantes un borrador de DPM, especificaciones CSV, instrucciones, una plantilla basada en Excel basada en el borrador de DPM y una herramienta para la conversión de las plantillas de Excel en archivos CSV.
Las entidades financieras participantes prepararán los expedientes de acuerdo con las especificaciones de las AES, los remitirán a sus autoridades competentes pertinentes a través de los canales especificados por estas últimas, que a su vez remitirán los expedientes a las AES, repitiendo así el flujo de DORA previsto.
Si bien algunas de estas herramientas pueden estar sujetas a posibles cambios en la presentación de informes en estado estacionario que comenzarán en 2025, las AES se esforzarán por garantizar que el simulacro sea lo más cercano posible a la futura presentación de informes, de modo que las entidades financieras participantes obtengan los máximos beneficios del ejercicio.
¿CUÁNDO?
El ejercicio se llevará a cabo en el segundo semestre de 2024, lo que permitirá a las entidades financieras preparar e identificar cuestiones antes de la primera presentación oficial a principios de 2025:
• 30 de abril – taller introductorio para entidades financieras
• 31 de mayo – lanzamiento: materiales, especificaciones y herramientas puestas a disposición de los participantes;
• Junio-julio: talleres de las AES con las FE participantes y las autoridades competentes, apoyo a las preguntas frecuentes;
• Del 1 de julio al 30 de agosto: registros de la información recopilada (no se prevén reenvíos) de las entidades financieras participantes a través de sus autoridades competentes (que pueden establecer plazos específicos dentro de este plazo);
• 31 de octubre – fin de la limpieza de datos y controles de calidad. Comentarios y archivos depurados proporcionados a las entidades financieras a través de sus autoridades competentes;
• Noviembre: taller de «lecciones aprendidas» de la ESA sobre la calidad de los datos, abierto a toda la industria;
• Principios de diciembre: publicación de informes agregados sobre la calidad de los datos.
¿QUÉ GANA LAS ENTIDADES FINANCIERAS?
Las entidades financieras participantes recibirán información a través de su autoridad competente, que incluirá: (1) una evaluación de la calidad de sus datos, (2) un conjunto de datos de registro de información depurado. Las AES también publicarán un informe con observaciones de alto nivel sobre la calidad de los datos y también organizarán un taller para compartir sus conclusiones y observaciones generales con la industria.
PASOS SIGUIENTES
Se invita a las entidades financieras a que se pongan en contacto con sus autoridades competentes para declarar su participación en el ensayo a más tardar el 31 de mayo. Las autoridades competentes también podrán ponerse en contacto directamente con las entidades financieras e invitarlas a participar en el ejercicio. Las autoridades competentes compartirán la lista de entidades financieras con las AES. Los flujos de datos y la comunicación pasarán por las autoridades competentes, como también se prevé para la presentación de informes en estado estacionario.