Objetivos
Como medida para mejorar la resiliencia operativa digital general del sector financiero de la UE, el 27 de diciembre de 2022 se publicó en el Diario Oficial de la Unión Europea la Ley de Resiliencia Operativa Digital (DORA).y entró en vigor el 16 de enero de 2023. DORA se aplicará a partir del 17 de enero de 2025.
Desde la perspectiva de la supervisión, DORA tiene como objetivo aumentar la conciencia supervisora sobre los riesgos cibernéticosy los incidentes relacionados con las TIC que enfrentan las Entidades Financieras y mejorar la cooperación entre las autoridades competentes en el sector financiero, pero también entre las autoridades de diferentes sectores y jurisdicciones en relación con las TIC y Gestión de riesgos cibernéticos.
El DORA también introduce un marco para supervisar los riesgos sistémicos y de concentración que plantea la dependencia del sector financiero de terceros proveedores de servicios de TIC y un marco de supervisión a nivel de la UE para los proveedores de servicios de TIC críticos cuyo objetivo es garantizar que los riesgos de TIC planteados por estos proveedores críticos para entidades financieras se gestionan adecuadamente.
Para hacer operativa la aplicación, las Autoridades Europeas de Supervisión (AES) están preparando de forma conjunta, a través del Comité Conjunto (JC), varios paquetes de normas técnicas con dos fechas objetivo:
- El 17 de enero de 2024 se han publicado los textos definitivos de 4 normas.
- Para 17 de julio de 2024 debe haberse publicado los textos definitivos de 7 normas, que actualmente están en fase de consulta pública en formato borrador.
En esta sesión analizaremos el contenido y las implicaciones de estas Normas Técnicas Regulatorias que deben estar implementadas en un plazo de 11 meses, junto con el propio Reglamento DORA.
Programa
1. Marco de riesgos de las TIC (Capítulo II).
Textos finales
- Norma Técnica Regulatoria para especificar el contenido detallado de la política en relación con los acuerdos contractuales sobre el uso de servicios de TIC que respaldan funciones críticas o importantes proporcionadas por terceros proveedores de servicios de TIC. (JC 2023 84).
- Norma Técnica Regulatoria para armonizar aún más las herramientas, métodos, procesos y políticas de gestión de riesgos de TIC según lo dispuesto en los artículos 15 y 16. (JC 2023 86)
Borrador en consulta pública
- Directrices conjuntas sobre la estimación de los costos y pérdidas anuales agregados causados por incidentes importantes relacionados con las TIC (artículo 11, apartado 1). (JC 2023 68).
2. Incidente relacionado con las TIC. Clasificación y presentación de informes de gestión (Capítulo III).
Textos finales
- Norma Técnica Regulatoria que especifica los criterios para la clasificación de incidentes relacionados con las TIC, umbrales de materialidad para incidentes mayores y ciberamenazas significativas. (JC 2023 83)
Borrador en consulta pública
- Proyecto de Norma Técnica Regulatoria sobre el contenido de la notificación y los informes sobre incidentes graves y ciberamenazas importantes y sobre la determinación de los plazos para informar de incidentes graves (artículo 20). (JC 2023 70).
- Proyecto de norma técnica de implementación sobre los formularios, plantillas y procedimientos normalizados para que las entidades financieras informen de un incidente importante y notifiquen una ciberamenaza significativa. (JC 2023 70).
3. Pruebas de resiliencia Operacional Digital (Capítulo IV).
Borrador en consulta pública
- Proyecto de norma técnica regulatoria que especifica elementos relacionados con las pruebas de penetración dirigidas por amenazas (Art.26) (JC 2023 72).
4. Gestión de riesgos de terceros (Capítulo VI)
Textos finales
- Norma Técnica Regulatoria sobre las plantillas estándar a efectos del registro de información en relación con todos los acuerdos contractuales sobre el uso de servicios de TIC proporcionados por terceros proveedores de servicios de TIC de conformidad con el artículo 28, apartado 9. (JC 2023 85).
Borrador en consulta pública
- Proyecto de Norma Técnica Regulatoria para especificar los elementos que una entidad financiera debe determinar y evaluar cuando subcontrata servicios de TIC que respaldan funciones críticas o importantes según lo dispuesto en el Artículo 30. (JC 2023 67).
5. Marco de supervisión (Capítulo V.II)
Borrador en consulta pública
- Proyecto de directrices conjuntas sobre la cooperación en materia de supervisión y el intercambio de información entre las AES y las autoridades competentes (artículo 32, apartado 7). (JC 2023 71).
- Proyecto de norma técnica de regulación sobre la armonización de las condiciones que permiten la realización de las actividades de supervisión previstas en el artículo 41, apartado 1, letras a), b) y d). (JC 2023 69).
