Resumen del Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero

Este reglamento europeo tiene como objetivo principal fortalecer la resiliencia digital del sector financiero ante las crecientes ciberamenazas y la dependencia de las tecnologías de la información y la comunicación (TIC).

Principales conceptos:

• Resiliencia operativa digital: Capacidad de las entidades financieras para asegurar la continuidad y calidad de sus servicios, incluso ante perturbaciones en sus sistemas TIC.

• Riesgo relacionado con las TIC: Cualquier circunstancia que pueda comprometer la seguridad de las redes y sistemas de información, con efectos adversos en el entorno digital o físico.

• Incidente relacionado con las TIC: Suceso que pone en peligro la seguridad de las redes y sistemas de información, con repercusiones negativas en la disponibilidad, autenticidad, integridad o confidencialidad de los datos.

• Incidente grave relacionado con las TIC: Incidente con graves repercusiones negativas en las funciones esenciales o importantes de la entidad financiera.

• Proveedor tercero de servicios de TIC: Empresa que presta servicios de TIC a entidades financieras.

• Proveedor tercero esencial de servicios de TIC: Proveedor de servicios de TIC designado como esencial por su impacto sistémico en el sector financiero.

Entidades obligadas:

El reglamento se aplica a una amplia gama de entidades financieras, incluyendo:

• Entidades de crédito

• Entidades de pago

• Proveedores de servicios de información sobre cuentas

• Entidades de dinero electrónico

• Empresas de servicios de inversión

• Depositarios centrales de valores

• Entidades de contrapartida central

• Centros de negociación

• Empresas de seguros y reaseguros

• Fondos de pensiones de empleo

• Agencias de calificación crediticia

Implicaciones operativas:

Las entidades financieras deberán implementar una serie de medidas para cumplir con el reglamento, incluyendo:

• Marco de gestión del riesgo relacionado con las TIC: Implementar un marco sólido y completo para identificar, proteger, detectar, responder y recuperarse de incidentes relacionados con las TIC.

• Notificación de incidentes: Informar a las autoridades competentes sobre incidentes graves relacionados con las TIC y, de forma voluntaria, sobre ciberamenazas importantes.

• Pruebas de resiliencia operativa digital: Realizar pruebas periódicas para evaluar la efectividad de sus sistemas y controles de seguridad.

• Gestión del riesgo relacionado con las TIC derivado de terceros: Implementar medidas para gestionar los riesgos asociados a la contratación de proveedores terceros de servicios de TIC.

Marco de supervisión:

El reglamento establece un marco de supervisión para los proveedores terceros esenciales de servicios de TIC, que incluye:

• Designación: Las Autoridades Europeas de Supervisión designarán a los proveedores esenciales en función de su impacto sistémico en el sector financiero.

• Supervisor principal: Se nombrará un supervisor principal para cada proveedor esencial, que será responsable de su supervisión.

• Facultades del supervisor principal: El supervisor principal tendrá la facultad de solicitar información, realizar investigaciones e inspecciones, y formular recomendaciones.

• Tasas de supervisión: Los proveedores esenciales deberán pagar tasas para cubrir los costes de la supervisión.

En resumen, este reglamento europeo busca mejorar la seguridad y la resiliencia del sector financiero ante las ciberamenazas, estableciendo un marco común para la gestión del riesgo relacionado con las TIC y la supervisión de los proveedores de servicios de TIC.