INFORME sobre la propuesta de Directiva del Parlamento Europeo y del Consejo por la que se modifican las Directivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341

7.12.2021 - (COM(2020)0596 – C9-0303/2020 – 2020/0268(COD)) - ***I

Comisión de Asuntos Económicos y Monetarios
Ponente: Mikuláš Peksa


Procedimiento : 2020/0268(COD)
Ciclo de vida en sesión
Ciclo relativo al documento :  
A9-0340/2021
Textos presentados :
A9-0340/2021
Textos aprobados :

PROYECTO DE RESOLUCIÓN LEGISLATIVA DEL PARLAMENTO EUROPEO

sobre la propuesta de Directiva del Parlamento Europeo y del Consejo por la que se modifican las Directivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341

(COM(2020)0596 – C9-0303/2020 – 2020/0268(COD))

(Procedimiento legislativo ordinario: primera lectura)

El Parlamento Europeo,

 Vista la propuesta de la Comisión al Parlamento Europeo y al Consejo (COM(2020)0596),

 Vistos el artículo 294, apartado 2, el artículo 53, apartado 1, y el artículo 114 del Tratado de Funcionamiento de la Unión Europea, conforme a los cuales la Comisión le ha presentado su propuesta (C9-0303/2020),

 Visto el artículo 294, apartado 3, del Tratado de Funcionamiento de la Unión Europea,

 Visto el dictamen del Banco Central Europeo, de 4 de junio de 2021[1],

 Visto el dictamen del Comité Económico y Social Europeo, de 24 de febrero de 2021[2],

 Visto el artículo 59 de su Reglamento interno,

 Vista la opinión de la Comisión de Asuntos Jurídicos,

 Visto el informe de la Comisión de Asuntos Económicos y Monetarios (A9-0340/2021),

1. Aprueba la Posición en primera lectura que figura a continuación;

2. Sugiere que se cite el acto como la «Directiva DORA»;

3. Pide a la Comisión que le consulte de nuevo si sustituye su propuesta, la modifica sustancialmente o se propone modificarla sustancialmente;

4. Encarga a su presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Parlamentos nacionales.


Enmienda  1

ENMIENDAS DEL PARLAMENTO EUROPEO[*]

a la propuesta de la Comisión

---------------------------------------------------------

2020/0268(COD)

DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO

por la que se modifican las Directivas 2006/43/CE, 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/849, (UE) 2015/2366 y (UE) 2016/2341

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 53, apartado 1, y su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Banco Central Europeo[1],

Visto el dictamen del Comité Económico y Social Europeo[2],

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1) La Unión debe afrontar adecuada y exhaustivamente los riesgos digitales que se derivan para todas las entidades financieras de un mayor uso de las tecnologías de la información y la comunicación (TIC) en la prestación y el consumo de servicios financieros, garantizando así que se proporciona un mayor apoyo al potencial de las finanzas digitales en términos de innovación y competencia.

(2) Los operadores del sector financiero dependen en gran medida del uso de las tecnologías digitales en sus actividades cotidianas, por lo que es de suma importancia garantizar la resiliencia operativa de sus operaciones digitales frente a los riesgos de las TIC. Esta necesidad se ha vuelto aún más acuciante con el crecimiento del mercado de las tecnologías de vanguardia, que permiten, en particular, transferir o almacenar electrónicamente representaciones digitales de valor o derechos utilizando tecnología de registro descentralizado o tecnologías similares («criptoactivos»), así como del mercado de servicios relacionados con dichos activos.

(3) En la Unión, los requisitos relacionados con los riesgos que plantean las TIC para el sector financiero se encuentran actualmente diseminados en las Directivas 2006/43/CE,[3] 2009/65/CE,[4] 2009/138/CE,[5] 2011/61/UE,[6] 2013/36/UE,[7] 2014/65/UE,[8] (UE) 2015/2366,[9] y (UE) 2016/2341[10] del Parlamento Europeo y del Consejo, son diversos y, en ocasiones, están incompletos. Las disposiciones vigentes del Derecho de la Unión no están plenamente armonizadas y es necesario evitar el exceso de regulación y garantizar la adecuación de esas disposiciones a la realidad sobre el terreno de este ámbito, que está en constante evolución. En algunos casos, el riesgo de las TIC solo se ha abordado implícitamente dentro del riesgo operativo, y en otros no se ha abordado en absoluto. Esta situación debe subsanarse mediante la armonización entre el Reglamento (UE) xx/20xx del Parlamento Europeo y del Consejo[11] [DORA] y los citados actos. La presente Directiva plantea una serie de modificaciones que resultan necesarias para aportar claridad jurídica y coherencia en relación con la aplicación, por parte de las entidades financieras autorizadas y supervisadas de conformidad con dichas Directivas, de diversos requisitos de resiliencia operativa digital que son indispensables en el ejercicio de sus actividades, garantizando así el buen funcionamiento del mercado interior e incentivando al mismo tiempo la proporcionalidad, en particular por lo que respecta a las pymes, otras entidades financieras pequeñas, y otras microempresas, con el objetivo de reducir los costes de cumplimiento.

(4) En el ámbito de los servicios bancarios, la Directiva 2013/36/UE, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, solo establece actualmente normas generales de gobernanza interna y disposiciones sobre el riesgo operativo que requieren la elaboración de planes de emergencia y de continuidad de la actividad que sirven implícitamente de base para la gestión de riesgos de las TIC. No obstante, para garantizar que el riesgo de las TIC se tenga expresamente en cuenta y ofrecer claridad jurídica, deben modificarse los requisitos en materia de planes de emergencia y de continuidad de la actividad de forma proporcionada para incluir planes de continuidad de la actividad y de recuperación en caso de catástrofe referidos también al riesgo de las TIC, de conformidad con los requisitos establecidos en el Reglamento (UE) 2021/xx [DORA]. Además, el riesgo de las TIC solo se incluye implícitamente en el proceso de revisión y evaluación supervisora (PRES) realizado por autoridades competentes como parte de la gestión del riesgo operativo y los criterios para su evaluación se definen actualmente en las directrices de la Autoridad Europea de Supervisión (Autoridad Bancaria Europea) (ABE), establecida en virtud del Reglamento (UE) n.º 1093/2010 del Parlamento Europeo y del Consejo[12]. A fin de aportar claridad jurídica y garantizar que los supervisores bancarios detecten y vigilen eficazmente los riesgos de las TIC en consonancia con el nuevo marco sobre la resiliencia operativa digital, debe modificarse el ámbito de aplicación del PRES para incluir explícitamente los requisitos establecidos en el Reglamento (UE) 2021/xx [DORA] y abarcar, en particular, los riesgos que han puesto de manifiesto los informes de incidentes graves relacionados con las TIC y los resultados de las pruebas de resiliencia operativa digital realizadas por las entidades de conformidad con dicho Reglamento.

(4 bis) La resiliencia operativa digital es una condición clave de cara a preservar las funciones esenciales y las ramas de actividad principales de una institución en caso de que se produzca su resolución y evitar así perturbaciones en la economía real y en el sistema financiero. Los incidentes operativos graves pueden obstaculizar la capacidad de una entidad para seguir operando y poner en peligro los objetivos de resolución. Los contratos de servicios de TIC pertinentes son también clave de cara a garantizar la continuidad operativa y proporcionar los datos necesarios en caso de resolución. A fin de que se ajuste a los objetivos del marco de la Unión para la resiliencia operativa, la Directiva 2014/59/UE debe modificarse en consonancia, con vistas a asegurar que la información relacionada con la resiliencia operativa se tenga en cuenta en el contexto de la planificación de la resolución y la evaluación de la resolubilidad de las entidades.

(4 ter) Establecer y mantener infraestructuras adecuadas de redes y sistemas de información es también una condición previa fundamental para que la agregación de datos sobre riesgos y las prácticas de presentación de la información sobre riesgos sean eficaces, las cuales son, a su vez, un requisito esencial para una gestión de riesgos y unos procesos de toma de decisiones en las entidades de crédito sólidos y sostenibles. A nivel internacional, el Comité de Supervisión Bancaria de Basilea (CSBB) publicó en 2013 un conjunto de principios para una eficaz agregación de datos sobre riesgos y presentación de informes de riesgos (CSBB 239) basados en dos principios generales de gobernanza e infraestructura de TI. Se exigió a los bancos de importancia sistémica mundial que cumpliesen esos principios desde el inicio de 2016. Sin embargo, el informe del Banco Central Europeo (BCE), de mayo de 2018, sobre la revisión temática de la eficaz agregación de datos sobre riesgos y presentación de informes de riesgos, y el informe de situación del CSBB, de abril de 2020, hallaron que los avances en la aplicación por parte de los bancos de importancia sistémica mundial eran insatisfactorios y un motivo de preocupación. A fin de facilitar el cumplimiento y la armonización con las normas internacionales, la Comisión, en estrecha colaboración con el BCE y previa consulta a la ABE y a la Junta Europea de Riesgo Sistémico (JERS), debe elaborar un informe para evaluar cómo interactúan los principios CSBB 239 con las disposiciones del Reglamento (UE) 2021/xx [DORA] y, en su caso, cómo deben incorporarse esos principios al Derecho de la Unión.

(5) La Directiva 2014/65/UE, relativa a los mercados de instrumentos financieros, establece normas más estrictas en materia de TIC para las empresas de servicios de inversión y los centros de negociación únicamente cuando realizan una negociación algorítmica. Se imponen requisitos menos detallados a los servicios de suministro de datos y a los registros de operaciones. Asimismo, solo hace referencia de forma limitada a los mecanismos de control y salvaguardia de los sistemas informáticos y a la utilización de sistemas, recursos y procedimientos adecuados para garantizar la continuidad y regularidad de los servicios empresariales. Dicha Directiva debe armonizarse con el Reglamento (UE) 2021/xx [DORA] en lo que se refiere a la continuidad y regularidad en la prestación de los servicios y la realización de las actividades de inversión, la resiliencia operativa, la capacidad de los sistemas de negociación, y la eficacia de los mecanismos de continuidad de la actividad y la gestión de riesgos.

(6) En la actualidad, la definición de «instrumento financiero» de la Directiva 2014/65/UE no incluye explícitamente los instrumentos financieros emitidos mediante una clase de tecnologías que permiten el registro descentralizado de datos cifrados (tecnología de registro descentralizado o TRD). A fin de garantizar que aquellos criptoactivos que se consideren instrumentos financieros estén cubiertos por la legislación vigente de la Unión en materia de servicios financieros y que estén sujetos a los mismos requisitos aplicables a los instrumentos financieros tradicionales, con independencia de la tecnología utilizada para su emisión o transferencia, la definición de la Directiva 2014/65/UE debe modificarse para incluirlos.

(7) 

(8) 

(9) La Directiva (UE) 2015/2366, sobre servicios de pago, establece normas específicas sobre las medidas de control de la seguridad y mitigación de los riesgos de las TIC a efectos de la autorización para prestar servicios de pago. Dichas normas de autorización deben modificarse para adaptarlas al Reglamento (UE) 2021/xx [DORA]. Por otra parte, con el fin de reducir la carga administrativa y evitar la complejidad y la duplicación de los requisitos de presentación de información, las normas de notificación de incidentes de dicha Directiva deben dejar de aplicarse a los proveedores de servicios de pago que entren en el ámbito de aplicación del capítulo III del Reglamento (UE) 2021/xx [DORA], creando así un mecanismo único y plenamente armonizado de notificación de incidentes para los proveedores de servicios de pago en relación con todos los incidentes operativos y de seguridad, estén relacionados o no con pagos.

(10) La Directiva 2009/138/CE, sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio, y la Directiva (UE) 2016/2341, relativa a las actividades y la supervisión de los fondos de pensiones de empleo, tienen parcialmente en cuenta el riesgo de las TIC en sus disposiciones generales sobre gobernanza y gestión de riesgos, dejando que determinados requisitos se especifiquen mediante reglamentos delegados, con o sin referencias específicas al riesgo de las TIC. Menos específicas aún son las disposiciones que regulan los auditores legales y las sociedades de auditoría, puesto que la Directiva 2014/56/UE del Parlamento Europeo y del Consejo[13] solo contiene disposiciones generales sobre la organización interna. Del mismo modo, los gestores de fondos de inversión alternativos y las sociedades de gestión regulados por las Directivas 2011/61/UE y 2009/65/CE solo están sujetos a normas muy generales. Por consiguiente, estas Directivas deben adaptarse a los requisitos establecidos en el Reglamento (UE) 2021/xx [DORA] en lo que respecta a la gestión de los sistemas y herramientas de TIC.

(10 bis) Garantizar la resiliencia operativa es crucial de cara a reforzar la capacidad de las entidades financieras de luchar contra el blanqueo de capitales y la financiación del terrorismo, especialmente a la luz de los riesgos crecientes y emergentes que surgen en el entorno posterior a la COVID, en el que resulta más fácil para los delincuentes aprovechar las deficiencias y lagunas en los sistemas y controles de las instituciones. A fin de garantizar que la dimensión de la resiliencia operativa digital se aborda adecuadamente en el contexto de la lucha contra el blanqueo de capitales y la financiación del terrorismo, la Directiva (UE) 2015/849 debe modificarse para incluir explícitamente, respecto a las entidades obligadas que entran en el ámbito de aplicación del Reglamento (UE) 2021/xx [DORA], los requisitos de resiliencia operativa digital como parte de las políticas, los controles y los procedimientos puestos en marcha por esas entidades obligadas con el fin de mitigar y gestionar eficazmente los riesgos del blanqueo de capitales y financiación del terrorismo.

(11) En muchos casos, ya se han establecido requisitos adicionales en materia de TIC en actos delegados y de ejecución, que se han adoptado a partir de los proyectos de normas técnicas de regulación y ejecución elaborados por la AES competente. A fin de aportar claridad jurídica sobre el hecho de que, en lo sucesivo, la base jurídica para las disposiciones relativas al riesgo de las TIC vendrá determinada exclusivamente por el Reglamento (UE) 2021/xx [DORA], resulta oportuno modificar las habilitaciones contenidas en las citadas Directivas, indicando que las disposiciones relativas al riesgo de las TIC quedan fuera del ámbito de dichas habilitaciones.

(12) Para garantizar una aplicación coherente y simultánea del Reglamento xx/20xx [DORA] y de la presente Directiva, que constituyen conjuntamente el nuevo marco para la resiliencia operativa digital del sector financiero, los Estados miembros deben aplicar las disposiciones de Derecho nacional por las que se transponga la presente Directiva a partir de la fecha de aplicación de dicho Reglamento.

(13) Las Directivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341 fueron adoptadas sobre la base del artículo 53, apartado 1, y el artículo 114 del Tratado de Funcionamiento de la Unión Europea. Las modificaciones contenidas en la presente Directiva han de incluirse en un único acto, ya que su objeto y las finalidades que persiguen están interconectados, y este acto único debe adoptarse sobre la base, tanto del artículo 53, apartado 1, como del artículo 114 del Tratado de Funcionamiento de la Unión Europea.

(14) Dado que los objetivos de la presente Directiva no pueden ser alcanzados de manera suficiente por los Estados miembros, al implicar una armonización a través de actualizaciones y modificaciones de requisitos ya contenidos en otras Directivas, sino que, debido al alcance y los efectos de la acción, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos.

(15) De conformidad con la Declaración política conjunta, de 28 de septiembre de 2011, de los Estados miembros y de la Comisión sobre los documentos explicativos[14], los Estados miembros se han comprometido a adjuntar a la notificación de las medidas de transposición, cuando esté justificado, uno o varios documentos que expliquen la relación entre los elementos de una directiva y las partes correspondientes de los instrumentos nacionales de transposición. Por lo que respecta a la presente Directiva, el legislador considera que la transmisión de tales documentos está justificada.

 

HAN ADOPTADO LA PRESENTE DIRECTIVA:

 

Artículo 1

Modificaciones de la Directiva 2006/43/CE

En el artículo 24 bis, apartado 1, de la Directiva 2006/43/CE, se inserta la letra siguiente:

«b bis) Los auditores legales y las sociedades de auditoría que no sean microempresas ni pymes, salvo si auditan entidades enumeradas en el artículo 2 del Reglamento (UE) 2021/xx [DORA], dispondrán de procedimientos administrativos y contables sólidos, de mecanismos internos de control de calidad, de procedimientos de valoración del riesgo eficaces y de mecanismos de control y salvaguardia eficaces para gestionar sus sistemas y herramientas de TIC de conformidad con el artículo 6 del Reglamento (UE) 2021/xx [DORA] del Parlamento Europeo y del Consejo*.

______________

* [título completo] (DO L [...] de [...], p. [...]).».

 

Artículo 2

Modificaciones de la Directiva 2009/65/CE

El artículo 12 de la Directiva 2009/65/CE se modifica como sigue:

1) En el apartado 1, párrafo segundo, la letra a) se sustituye por el texto siguiente:

«a) cuente con una buena organización administrativa y contable, y con mecanismos de control y seguridad para el tratamiento electrónico de datos, incluidos redes y sistemas de tecnología de la información y la comunicación establecidos y gestionados de conformidad con el ▌Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA], así como con procedimientos de control interno adecuados, incluidas normas que regulen las transacciones personales de sus empleados o la tenencia y gestión de inversiones en instrumentos financieros con objeto de invertir por cuenta propia, a fin de garantizar, como mínimo, que cada transacción relacionada con el OICVM pueda reconstruirse con arreglo a su origen, las partes que intervengan, su naturaleza y el momento y lugar en que se haya realizado, y que los activos de los OICVM gestionados por la sociedad de gestión se inviertan con arreglo al reglamento del fondo o los documentos constitutivos y a las disposiciones legales vigentes;

________________________________

* [título completo] (DO L [...] de [...], p. [...].).».

2) El apartado 3 se sustituye por el texto siguiente:

«3. Sin perjuicio del artículo 116, la Comisión adoptará, mediante actos delegados de conformidad con el artículo 112 bis, medidas que especifiquen lo siguiente:

a) los procedimientos y mecanismos a que se refiere el apartado 1, párrafo segundo, letra a), distintos de los relacionados con la gestión de riesgos de las tecnologías de la información y la comunicación;

b)  las estructuras y los requisitos organizativos para minimizar los conflictos de intereses a que se refiere el apartado 1, párrafo segundo, letra b).».

 

Artículo 3

Modificaciones de la Directiva 2009/138/CE

La Directiva 2009/138/CE se modifica como sigue:

1) En el artículo 41, el apartado 4 se sustituye por el texto siguiente: 

«4. Las empresas de seguros y de reaseguros adoptarán medidas razonables para garantizar la continuidad y la regularidad en la ejecución de sus actividades, incluida la elaboración de planes de emergencia. A tal fin, las empresas emplearán sistemas, recursos y procedimientos adecuados y proporcionados, en particular redes y sistemas de ▌información ▌que gestionarán de conformidad con el capítulo II del Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA].

____________________________

* [título completo] (DO L [...] de [...], p. [...]).».

 

2) En el artículo 50, apartado 1, las letras a) y b) se sustituyen por el texto siguiente:

«a) los elementos de los sistemas a que se refieren los artículos 41, 44, 46 y 47, distintos de los elementos relativos a la gestión de riesgos de las tecnologías de la información y la comunicación, y las áreas enumeradas en el artículo 44, apartado 2;

b) las funciones a que se refieren los artículos 44, 46, 47 y 48, distintas de las relacionadas con la gestión de riesgos de las tecnologías de la información y la comunicación.».

 

Artículo 4

Modificaciones de la Directiva 2011/61/UE

La Directiva 2011/61/UE se modifica como sigue:

-1) En el artículo 6, apartado 4, letra b), se añade el inciso siguiente:

«iv) cualquier otro servicio auxiliar, siempre que este represente una continuación de los servicios ya efectuados por el GFIA, o bien un uso de competencias internas, y no cree conflictos de intereses que no puedan gestionarse mediante normas adicionales.».

1) El artículo 18 de la Directiva 2011/61/UE se sustituye por el texto siguiente: 

«Artículo 18

Principios generales

1. Los Estados miembros exigirán que los GFIA empleen en todo momento los recursos humanos y técnicos adecuados y oportunos que precise la correcta gestión de los FIA.

En particular, las autoridades competentes del Estado miembro de origen de cada GFIA exigirán a este, teniendo en cuenta también la naturaleza de los FIA que gestione, que cuente con procedimientos administrativos y contables adecuados, con mecanismos de control y seguridad para gestionar las redes y los sistemas de ▌información de conformidad con el [Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA]], así como con procedimientos de control interno adecuados, incluidas, en especial, normas que rijan las transacciones personales de sus empleados o la tenencia o gestión de inversiones con objeto de invertir por cuenta propia, a fin de garantizar, como mínimo, que cada transacción relacionada con el FIA pueda reconstruirse por lo que respecta a su origen, los participantes, su naturaleza y el momento y lugar en que se haya realizado, y que los activos de los FIA gestionados por el GFIA se inviertan con arreglo al reglamento o los documentos constitutivos del FIA y a las disposiciones legales vigentes.

2. La Comisión adoptará, mediante actos delegados de conformidad con el artículo 56 y observando las condiciones establecidas en los artículos 57 y 58, medidas que especifiquen los procedimientos y mecanismos a que se refiere el apartado 1, salvo los relacionados con los sistemas de tecnología de la información y la comunicación.

_________________________________

* [título completo] (DO L [...] de [...], p. [...]).

 

Artículo 5

Modificaciones de la Directiva 2013/36/UE

La Directiva 2013/36/UE se modifica como sigue:

-1) En el artículo 65, apartado 3, letra a), el inciso vi) se sustituye por el texto siguiente:

«vi) terceros a los que las entidades contempladas en los incisos i) a iv) hayan subcontratado funciones o actividades, incluidos los proveedores terceros de servicios de TIC a que se refiere el capítulo V del Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo [DORA]*;».

-1 bis) En el artículo 74, apartado 1, el párrafo primero se sustituye por el texto siguiente:

«Las entidades se dotarán de sólidos mecanismos de gobierno corporativo, incluida una estructura organizativa clara con líneas de responsabilidad bien definidas, transparentes y coherentes, procedimientos eficaces de identificación, gestión, control y notificación de los riesgos a los que estén expuestas o puedan estarlo, mecanismos adecuados de control interno, incluidos procedimientos administrativos y contables correctos, redes y sistemas de información establecidos y gestionados de conformidad con el Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo [DORA], y políticas y prácticas de remuneración que sean compatibles con una gestión de riesgos adecuada y eficaz y la promuevan.».

-1 ter) En el artículo 85, el apartado 1 se sustituye por el texto siguiente:

«1. Las autoridades competentes velarán por que las entidades apliquen políticas y procedimientos de identificación, control y gestión de la exposición al riesgo operativo, incluidos los riesgos derivados de la externalización y la subexternalización de funciones y el riesgo de terceros relacionado con las TIC tal como se definen en el Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo [DORA], de modelización del riesgo y de cobertura de los eventos poco frecuentes generadores de pérdidas muy elevadas. Las entidades determinarán las principales fuentes de riesgo operativo a efectos de dichas políticas y procedimientos.».

1) En el artículo 85 de la Directiva 2013/36/UE, el apartado 2 se sustituye por el texto siguiente:

«2. Las autoridades competentes velarán por que las entidades dispongan de planes de emergencia y de continuidad de la actividad adecuados, incluidos la política de continuidad de la actividad de las TIC y los planes de recuperación en caso de catástrofe ▌que se hayan establecido, gestionado y probado de conformidad con el ▌Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo [DORA]*, de modo que mantengan su actividad en caso de perturbaciones graves en el negocio y limiten las pérdidas en que incurran como consecuencia de dichas perturbaciones.

 

* [título completo] (DO L [...] de [...], p. [...].).».

1 bis) El artículo 97 se modifica como sigue:

1) En el apartado 1 se inserta la letra siguiente:

«b) los riesgos que se hayan puesto de manifiesto en las pruebas de resiliencia operativa digital de conformidad con el capítulo IV del Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo [DORA];».

2) El apartado 2 se sustituye por el texto siguiente:

«2. El ámbito de la revisión y la evaluación contempladas en el apartado 1 abarcará todos los requisitos de la presente Directiva y del Reglamento (UE) n.º 575/2013, así como los requisitos establecidos en el Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA].».

 

Artículo 5 bis

Modificaciones de la Directiva 2014/59/UE

 

La Directiva 2014/59/UE se modifica como sigue:

1) El artículo 10 se modifica como sigue:

a) En el apartado 7, la letra c) se sustituye por el texto siguiente:

«c) una demostración de cómo las funciones esenciales y las ramas de actividad principales podrían separarse jurídica y económicamente de otras funciones, en la medida en que sea necesario, para asegurar la continuidad y la resiliencia operativa digital en caso de inviabilidad de la entidad;».

b) En el apartado 7, la letra q) se sustituye por el texto siguiente:

«q) una descripción de las operaciones y sistemas esenciales para mantener el funcionamiento continuado de los procesos operativos de la entidad, incluyendo las redes y los sistemas de información establecidos de conformidad con el Reglamento (UE) (2021/xx [DORA];».

c) En el apartado 9, se añade el párrafo siguiente:

«La ABE, de conformidad con lo dispuesto en el artículo 10 del Reglamento (UE) n.º 1093/2010, examinará las normas técnicas de regulación y, si ha lugar, las actualizará a fin de tener en cuenta, entre otros aspectos, las disposiciones del capítulo II del Reglamento (UE) 2021/xx [DORA].».

2) El anexo se modifica como sigue:

a) En la sección A, el punto 16 se sustituye por el texto siguiente:

«16) disposiciones y medidas necesarias para mantener el funcionamiento continuado de los procesos operativos de la entidad, incluyendo las redes y los sistemas de información que se hayan establecido y gestionado de conformidad con el Reglamento (UE) (2021/xx [DORA];».

b) En la sección B, el punto 14 se sustituye por el texto siguiente:

«14) la identificación de los propietarios de los sistemas a que se hace referencia en el punto 13, de los acuerdos de nivel de servicio relacionados y de cualquier sistema informático o licencia, incluida la asignación a las personas jurídicas, las operaciones esenciales y las ramas de actividad principales de la entidad, así como la identificación de proveedores terceros esenciales de servicios de TIC;».

c) En la sección B se inserta el punto siguiente:

«14 bis) los informes de incidentes graves relacionados con las TIC de las entidades y los resultados de las pruebas de resiliencia operativa digital con arreglo al Reglamento XX [DORA];».

d) En la sección C, el punto 4 se sustituye por el texto siguiente:

«4) el grado en que los acuerdos de servicio, incluidos los contratos de servicios de las TIC, que la entidad mantiene son sólidos y plenamente ejecutables en caso de resolución de la entidad;».

e) En la sección C, se inserta el punto siguiente:

«4 bis) el grado en que la entidad es capaz de restablecer y mantener las redes y los sistemas de información que respaldan las funciones esenciales y las ramas de actividad principales de la entidad, teniendo en cuenta los informes de incidentes graves relacionados con las TIC y los resultados de las pruebas de resiliencia operativa digital con arreglo al Reglamento XX [DORA].».

Artículo 6

Modificaciones de la Directiva 2014/65/UE

La Directiva 2014/65/UE se modifica como sigue: 

1) En el artículo 4, apartado 1, el punto 15 se sustituye por el texto siguiente:

«“instrumento financiero”: los instrumentos especificados en el anexo I, sección C, incluidos aquellos que se hayan emitido mediante tecnología de registro descentralizado;».

 

2) El artículo 16 se modifica como sigue:

a) El apartado 4 se sustituye por el texto siguiente:

«4. Toda empresa de servicios de inversión adoptará medidas razonables para garantizar la continuidad y la regularidad de la realización de los servicios y actividades de inversión. A tal fin, la empresa de servicios de inversión empleará sistemas adecuados y proporcionados, incluidos sistemas de tecnologías de la información y de las comunicaciones (TIC) establecidos y gestionados de conformidad con el artículo 6 del Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA], así como recursos y procedimientos adecuados y proporcionados.».

b) En el apartado 5, los párrafos segundo y tercero se sustituyen por el texto siguiente:

«Toda empresa de servicios de inversión dispondrá de procedimientos administrativos y contables adecuados, mecanismos de control interno y técnicas eficaces de valoración del riesgo.

Sin perjuicio de la facultad de las autoridades competentes para exigir acceso a las comunicaciones de conformidad con lo dispuesto en la presente Directiva y en el Reglamento (UE) n.º 600/2014, la empresa de servicios de inversión deberá contar con mecanismos de seguridad sólidos para garantizar, de conformidad con los requisitos establecidos en el Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA], la seguridad y autenticación de los medios de transmisión de la información, reducir al mínimo el riesgo de corrupción de datos y de acceso no autorizado, y evitar fugas de información, manteniendo en todo momento la confidencialidad de los datos.».

3) El artículo 17 se modifica como sigue:

a) El apartado 1 se sustituye por el texto siguiente:

«1. La empresa de servicios de inversión que se dedique a la negociación algorítmica deberá implantar sistemas y controles de riesgo adecuados para sus actividades y efectivos para garantizar que sus sistemas de negociación sean resistentes y tengan suficiente capacidad de conformidad con los requisitos establecidos en el capítulo II del Reglamento (UE) 2021/xx [DORA], se ajusten a los umbrales y límites apropiados, y limiten o impidan el envío de órdenes erróneas o la posibilidad de que los sistemas funcionen de un modo que pueda crear o propiciar anomalías en las condiciones de negociación.

Tal empresa deberá además implantar sistemas y controles de riesgo efectivos para garantizar que los sistemas de negociación no puedan usarse con ningún fin contrario al Reglamento (UE) n.º 596/2014 o a las normas del centro de negociación al que está vinculada.

Deberá implantar unos mecanismos efectivos que garanticen la continuidad de las actividades en caso de disfunción de sus sistemas de negociación, incluidos planes de continuidad de la actividad y de recuperación en caso de catástrofe en relación con la tecnología de la información y las comunicaciones establecidos de conformidad con el artículo 6 del Reglamento (UE) 2021/xx [DORA], y se asegurará de que sus sistemas sean íntegramente probados y convenientemente supervisados para garantizar que cumplen los requisitos generales establecidos en el presente apartado y cualesquiera requisitos específicos establecidos en los capítulos II y IV del Reglamento (UE) 2021/xx [DORA].».

b)  En el apartado 7, la letra a) se sustituye por el texto siguiente:

«a) los detalles de los requisitos de organización a que se refieren los apartados 1 a 6, salvo los relacionados con la gestión de riesgos de las TIC, que se exigirán a las empresas de servicios de inversión que presten distintos servicios de inversión, actividades de inversión, servicios auxiliares o combinaciones de los mismos, estableciendo las indicaciones relativas a los requisitos de organización estipulados en el apartado 5 de tal modo los requisitos específicos para el acceso directo al mercado y para el acceso patrocinado que se garantice que los controles aplicados al acceso patrocinado sean como mínimo equivalentes a los aplicados al acceso directo;».

4) 

5) En el artículo 47, el apartado 1 se modifica como sigue:

a)  La letra b) se sustituye por el texto siguiente:

«b) esté adecuadamente equipado para gestionar los riesgos a los que está expuesto, y gestionar igualmente los riesgos ▌de TIC de conformidad con el capítulo II del Reglamento (UE) 2021/xx* [DORA], aplicar mecanismos y sistemas que le permitan identificar todos los riesgos significativos que comprometan su funcionamiento y establecer medidas eficaces para atenuar esos riesgos;».

b)  Se suprime la letra c).

6) El artículo 48 se modifica como sigue:

a) El apartado 1 se sustituye por el texto siguiente:

«1. Los Estados miembros exigirán que los mercados regulados forjen su resiliencia operativa de conformidad con los requisitos establecidos en el capítulo II del Reglamento (UE) 2021/xx [DORA], a fin de garantizar que sus sistemas de negociación sean resistentes, tengan capacidad suficiente para tramitar los volúmenes de órdenes y mensajes correspondientes a los momentos de máxima actividad, puedan asegurar la negociación ordenada en condiciones de fuerte tensión del mercado, se hayan probado íntegramente para garantizar el cumplimiento de esas condiciones y estén sujetos a mecanismos efectivos de continuidad de la actividad, que incluirán políticas de continuidad de la actividad de las TIC y planes de recuperación en caso de catástrofe establecidos de conformidad con lo dispuesto en el Reglamento (UE) 2021/xx (DORA), para asegurar el mantenimiento de sus servicios en caso de disfunción de sus sistemas de negociación.».

b) El apartado 6 se sustituye por el texto siguiente:

«6. Los Estados miembros exigirán que los mercados regulados implanten sistemas, procedimientos y mecanismos efectivos, incluso pidiendo a los miembros o participantes que realicen pruebas adecuadas de algoritmos y proporcionen los entornos que faciliten dichas pruebas de conformidad con los requisitos establecidos en los capítulos II y IV del Reglamento (UE) 2021/xx [DORA], para garantizar que los sistemas de negociación algorítmica no puedan generar anomalías en las condiciones de negociación en el mercado, ni contribuir a tales anomalías, y gestionar anomalías en las condiciones de negociación que puedan surgir de tales sistemas de negociación algorítmica, incluidos sistemas que permitan limitar la proporción de órdenes de operaciones no ejecutadas que un miembro o participante podrá introducir en el sistema, ralentizar el flujo de órdenes ante el riesgo de que se alcance el límite de capacidad del sistema y restringir el valor mínimo de variación del precio que podrá ejecutarse en el mercado, así como velar por su respeto.».

c) El apartado 12 se modifica como sigue:

i) La letra a) se sustituye por el texto siguiente:

«a) los requisitos que garanticen que los sistemas de negociación de los mercados regulados sean resistentes y tengan una capacidad adecuada, salvo los requisitos relacionados con la resiliencia operativa digital;».

ii) La letra g) se sustituye por el texto siguiente:

«g) los requisitos que garanticen que haya pruebas adecuadas de algoritmos, distintas de las pruebas de resiliencia operativa digital, a fin de asegurarse de que los sistemas de negociación algorítmica, incluidos los de alta frecuencia, no puedan ocasionar anomalías en las condiciones de negociación en el mercado, ni contribuir a tales anomalías.».

 

Artículo 6 bis (nuevo)

Modificaciones de la Directiva (UE) 2015/849

La Directiva (UE) 2015/849 se modifica como sigue:

1) En el artículo 7, apartado 4, se añade la letra siguiente:

«h) adoptará las medidas adecuadas para apoyar los procedimientos con arreglo al capítulo II del Reglamento (UE) 2021/xx [DORA] con respecto a la mitigación de los riesgos relacionados con las TIC, si procede.».

2) En el artículo 8, apartado 4, se añade la letra siguiente:

c) en su caso, los requisitos relativos a la seguridad de las redes y los sistemas de información que respaldan las políticas, los controles y los procedimientos a que se refiere la letra a) del presente apartado, que estén establecidos y gestionados de conformidad con los requisitos establecidos en el capítulo II del Reglamento (UE) 2021/xx [DORA].».

 

 

Artículo 7

Modificaciones de la Directiva (UE) 2015/2366

La Directiva (UE) 2015/2366 se modifica como sigue:

-1 bis) En el artículo 5, apartado 1, el párrafo primero se modifica como sigue:

a) La letra e) se sustituye por el texto siguiente:

«e) una descripción de los métodos de gobierno empresarial y de los mecanismos de control interno del solicitante, incluidos procedimientos administrativos, de gestión del riesgo y contables, así como mecanismos para la utilización de los servicios de TIC de conformidad con el Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA], que demuestre que dichos métodos de gobierno empresarial, mecanismos de control y procedimientos son proporcionados, apropiados, sólidos y adecuados;».

b) La letra f) se sustituye por el texto siguiente:

«f) una descripción del procedimiento establecido para la supervisión, la tramitación y el seguimiento de los incidentes de seguridad y las reclamaciones de los consumidores al respecto, incluido un mecanismo de notificación de incidentes que atienda a las obligaciones de notificación de la entidad de pago establecidas en el capítulo III del Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA];».

c) La letra h) se sustituye por el texto siguiente:

«h) una descripción de los mecanismos que garanticen la continuidad de la actividad, en particular una delimitación clara de las operaciones esenciales, políticas de continuidad de la actividad de las TIC efectivas y planes de recuperación en caso de catástrofe, así como un procedimiento para poner a prueba y revisar periódicamente la adecuación y eficiencia de dichos planes de conformidad con el Reglamento (UE) 2021/xx [DORA];».

1) En el artículo 5, apartado 1, párrafo tercero, la primera frase se sustituye por el texto siguiente:

«Las medidas de control de la seguridad y mitigación de los riesgos a que se refiere la letra j) del párrafo primero deberán indicar de qué manera garantizan un elevado nivel de seguridad técnica y protección de datos, incluso en lo que respecta a los soportes lógicos y los sistemas informáticos utilizados por el solicitante o por las empresas a las que externalice la totalidad o parte de sus operaciones, de conformidad con el capítulo II del Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA].Dichas medidas comprenderán asimismo las medidas de seguridad establecidas en el artículo 95, apartado 1, y atenderán a las directrices sobre medidas de seguridad formuladas por la ABE a que se refiere el artículo 95, apartado 3, cuando se adopten. ____________________________

* [título completo] (DO L [...] de [...], p. [...].’).».

1 bis) En el artículo 20, el apartado 1 se sustituye por el texto siguiente:

«1. Los Estados miembros velarán por que, cuando las entidades de pago recurran a terceros para la realización de funciones operativas o actividades, dichas entidades adopten medidas razonables para garantizar el cumplimiento de los requisitos establecidos en la presente Directiva y en el capítulo V del Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA].».

1 ter) En el artículo 22, el apartado 1 se sustituye por el texto siguiente:

«1. Los Estados miembros designarán como autoridades competentes responsables de la autorización y supervisión prudencial de las entidades de pago que tengan que llevar a cabo las funciones establecidas a tenor del presente título de conformidad con el Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo [DORA] a autoridades públicas o a organismos reconocidos por el derecho nacional o por autoridades públicas expresamente facultadas a tal fin en virtud del derecho nacional, incluidos los bancos centrales nacionales.».

 

2) El artículo 95 se modifica como sigue:

a) El apartado 1 se sustituye por el texto siguiente:

«1. Los Estados miembros velarán por que los proveedores de servicios de pago establezcan un marco con medidas paliativas y mecanismos de control adecuados para gestionar los riesgos operativos y de seguridad relacionados con los servicios de pago que prestan y, como parte de ese marco, establezcan y mantengan procedimientos eficaces de gestión de incidentes, en particular para la detección y la clasificación de los incidentes operativos y de seguridad de carácter grave, subsanando al mismo tiempo los riesgos que se planteen para la tecnología de la información y la comunicación, cuando proceda, de conformidad con el capítulo II del Reglamento (UE) 2021/xx [DORA].».

b) Se suprime el apartado 4.

c) El apartado 5 se sustituye por el texto siguiente:

«5.  La ABE promoverá la cooperación, con inclusión del intercambio de información, en relación con los riesgos operativos asociados a los servicios de pago entre las autoridades competentes, y entre las autoridades competentes, la ENISA y el BCE.».

3) El artículo 96 se modifica como sigue:

a) 

a bis) Se inserta el apartado siguiente:

«2 bis) Los apartados 1 y 2 del presente artículo no se aplicarán a los proveedores de servicios de pago a que se refiere el artículo 1, apartado 1, letras a), b) y d), sujetos a las obligaciones de notificación del capítulo III del Reglamento (UE) 2021/xx [DORA].».

b) Se suprime el apartado 5.

4) En el artículo 98, el apartado 5 se sustituye por el texto siguiente:

«5. La ABE, de conformidad con lo dispuesto en el artículo 10 del Reglamento (UE) n.º 1093/2010, examinará periódicamente las normas técnicas de regulación y, si ha lugar, las actualizará a fin de tener en cuenta, entre otros aspectos, las innovaciones y la evolución tecnológica, así como las disposiciones del capítulo II del Reglamento (UE) 2021/xx [DORA].».

 

 

Artículo 8

Modificaciones de la Directiva (UE) 2016/2341

En el artículo 21, apartado 5, la segunda frase se sustituye por el texto siguiente: 

«A tal fin, los FPE emplearán sistemas, recursos y procedimientos adecuados y proporcionados, en particular redes y sistemas de información, y los gestionarán de conformidad con el artículo 6 del Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA], cuando proceda.

_________________________________

* [título completo] (DO L [...] de [...], p. [...].).».

 

Artículo 9

Transposición

 

1. Los Estados miembros adoptarán y publicarán, a más tardar el [un año después de la adopción], las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones.

Aplicarán dichas disposiciones a partir del [fecha de entrada en vigor del DORA o su fecha de aplicación, si fuera diferente].

Cuando los Estados miembros adopten dichas disposiciones, estas incluirán una referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

2. Los Estados miembros comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 10

Entrada en vigor

 

La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Artículo 11

Destinatarios

 

Los destinatarios de la presente Directiva son los Estados miembros.

Hecho en Bruselas, el ...

Por el Parlamento Europeo Por el Consejo

El Presidente / La Presidenta El Presidente / La Presidenta

 

 


OPINIÓN DE LA COMISIÓN DE ASUNTOS JURÍDICOS (6.7.2021)

para la Comisión de Asuntos Económicos y Monetarios

sobre la propuesta de Directiva del Parlamento Europeo y del Consejo por la que se modifican las Directivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341

(COM(2020)0596 – C9-0303/2020 – 2020/0268(COD))

Ponente de opinión (*): Mislav Kolakušić

 

(*) Comisión asociada – artículo 57 del Reglamento interno

 

 

BREVE JUSTIFICACIÓN

La propuesta legislativa de la Comisión forma parte de un paquete de medidas que respaldan simultáneamente el potencial de las finanzas digitales en el contexto de la innovación y de la competencia, mitigando al mismo tiempo los riesgos. Está en consonancia con las prioridades de la Comisión de preparar a Europa para la era digital y crear una economía lista para afrontar los retos del futuro y forma parte de las actividades más amplias efectuadas a nivel europeo e internacional con vistas a reforzar la ciberseguridad en el ámbito de los servicios financieros y eliminar los riesgos operativos, al tiempo que introduce un marco jurídico claro, proporcionado y propicio para los proveedores de servicios de criptoactivos.

La Unión Europea debe dar una respuesta global a los riesgos digitales a que están expuestas las entidades financieras, riesgos derivados del rápido crecimiento en la utilización de tecnologías de la información y la comunicación (TIC) para la prestación y la utilización de servicios financieros. En la actualidad, el sector financiero depende en gran medida de las tecnologías digitales, una dependencia de los productos de tecnología digital que será cada vez más acusada, por lo que es de vital importancia asegurarse de que se garantice la resiliencia operativa de sus operaciones digitales ante los riesgos de las TIC. La resiliencia operativa también se está convirtiendo en un factor clave debido al crecimiento del mercado de tecnologías avanzadas, fundamentalmente basado en la posibilidad de transmitir y almacenar por medios electrónicos representaciones digitales de valores o derechos utilizando tecnología de registros descentralizados o tecnología similar («criptoactivos») y servicios relacionados con dichos activos.

Punto de vista del ponente de opinión

La propuesta de la Comisión daría lugar a una limitación de las obligaciones de los auditores legales y de las sociedades de auditoría, ya que en el futuro esas obligaciones se referirían exclusivamente a las TIC y no a los procedimientos y a la organización en general del auditor legal o las sociedades de auditoría. En consecuencia, se ha propuesto un nuevo punto que indica sin ningún género de duda que las obligaciones existentes de las sociedades de auditoría siguen en vigor y que se añaden las nuevas relativas a las TIC.

 

La conformidad con el artículo 6 del Reglamento (UE) 2021/xx [DORA] del Parlamento Europeo y del Consejo no es posible debido a que ese Reglamento no está en vigor y no tiene existencia legal. Una solución de este tipo, que incorpora a la propuesta de Directiva solo el texto del artículo mencionado por la Comisión, solo es jurídicamente posible, al tiempo que logra la finalidad y el objetivo de la propuesta de la Comisión Europea, en la medida en que los efectos son idénticos a los de la Comisión.

 

Dado que el Reglamento DORA aún se encuentra en la fase de propuesta y no ha sido adoptado por el Parlamento Europeo y el Consejo, existe un problema jurídico de armonización de las Directivas en cuestión con las disposiciones del Reglamento, que no tiene vigencia jurídica ni efectiva. Como el contenido final y las normas establecidas por dicho Reglamento no se conocerán hasta su entrada en vigor, no se sostiene jurídicamente la armonización de las Directivas con un Reglamento que en este momento no tiene existencia jurídica ni efectiva.

 

 

ENMIENDAS

La Comisión de Asuntos Jurídicos pide a la Comisión de Asuntos Económicos y Monetarios, competente para el fondo, que tome en consideración las siguientes enmiendas:

Enmienda  1

Propuesta de Directiva

Considerando 1

 

Texto de la Comisión

Enmienda

1) La Unión debe afrontar adecuada y exhaustivamente los riesgos digitales que se derivan para todas las entidades financieras de un mayor uso de las tecnologías de la información y la comunicación (TIC) en la prestación y el consumo de servicios financieros.

1) La Unión debe afrontar adecuada y exhaustivamente los riesgos digitales que se derivan para todas las entidades financieras de un mayor uso de las tecnologías de la información y la comunicación (TIC) en la prestación y el consumo de servicios financieros, garantizando que se presta un mayor apoyo al potencial de las finanzas digitales en términos de innovación y competencia.

Enmienda  2

Propuesta de Directiva

Considerando 3

 

Texto de la Comisión

Enmienda

3) En la Unión, los requisitos relacionados con los riesgos que plantean las TIC para el sector financiero se encuentran actualmente diseminados en las Directivas 2006/43/CE18, 2009/66/CE19, 2009/138/CE20, 2011/61/UE21, 2013/36/UE22, 2014/65/UE23, (UE) 2015/236624 y (UE) 2016/234125 del Parlamento Europeo y del Consejo, son diversos y, en ocasiones, están incompletos. En algunos casos, el riesgo de las TIC solo se ha abordado implícitamente dentro del riesgo operativo, y en otros no se ha abordado en absoluto. Esta situación debe subsanarse mediante la armonización entre el Reglamento (UE) xx/20xx del Parlamento Europeo y del Consejo26 [DORA] y los citados actos. La presente Directiva plantea una serie de modificaciones que resultan necesarias para aportar claridad jurídica y coherencia en relación con la aplicación, por parte de las entidades financieras autorizadas y supervisadas de conformidad con dichas Directivas, de diversos requisitos de resiliencia operativa digital que son indispensables en el ejercicio de sus actividades, garantizando así el buen funcionamiento del mercado interior.

3) En la Unión, los requisitos relacionados con los riesgos que plantean las TIC para el sector financiero se encuentran actualmente diseminados en las Directivas 2006/43/CE18, 2009/66/CE19, 2009/138/CE20, 2011/61/UE21, 2013/36/UE22, 2014/65/UE23, (UE) 2015/236624 y (UE) 2016/234125 del Parlamento Europeo y del Consejo, son diversos y, en ocasiones, están incompletos. Las disposiciones existentes no están plenamente armonizadas y es necesario evitar el exceso de regulación y garantizar la adecuación de las disposiciones a la realidad de este ámbito, que está en constante evolución. En algunos casos, el riesgo de las TIC solo se ha abordado implícitamente dentro del riesgo operativo, y en otros no se ha abordado en absoluto. Esta situación debe subsanarse mediante la armonización entre el Reglamento (UE) xx/20xx del Parlamento Europeo y del Consejo26 [DORA] y los citados actos. La presente Directiva plantea una serie de modificaciones que resultan necesarias para aportar claridad jurídica y coherencia en relación con la aplicación, por parte de las entidades financieras autorizadas y supervisadas de conformidad con dichas Directivas, de diversos requisitos de resiliencia operativa digital que son indispensables en el ejercicio de sus actividades, garantizando así el buen funcionamiento del mercado interior.

_________________

_________________

18 Directiva 2006/43/CE del Parlamento Europeo y del Consejo, de 17 de mayo de 2006, relativa a la auditoría legal de las cuentas anuales y de las cuentas consolidadas, por la que se modifican las Directivas 78/660/CEE y 83/349/CEE del Consejo y se deroga la Directiva 84/253/CEE del Consejo (DO L 157 de 9.6.2006, p. 87).

18 Directiva 2006/43/CE del Parlamento Europeo y del Consejo, de 17 de mayo de 2006, relativa a la auditoría legal de las cuentas anuales y de las cuentas consolidadas, por la que se modifican las Directivas 78/660/CEE y 83/349/CEE del Consejo y se deroga la Directiva 84/253/CEE del Consejo (DO L 157 de 9.6.2006, p. 87).

19 Directiva 2009/65/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, por la que se coordinan las disposiciones legales, reglamentarias y administrativas sobre determinados organismos de inversión colectiva en valores mobiliarios (OICVM) (DO L 302 de 17.11.2009, p. 32).

19 Directiva 2009/65/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, por la que se coordinan las disposiciones legales, reglamentarias y administrativas sobre determinados organismos de inversión colectiva en valores mobiliarios (OICVM) (DO L 302 de 17.11.2009, p. 32).

20 Directiva 2009/138/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II) (DO L 335 de 17.12.2009, p. 1).

20 Directiva 2009/138/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II) (DO L 335 de 17.12.2009, p. 1).

21 Directiva 2011/61/UE del Parlamento Europeo y del Consejo, de 8 de junio de 2011, relativa a los gestores de fondos de inversión alternativos y por la que se modifican las Directivas 2003/41/CE y 2009/65/CE y los Reglamentos (CE) n.° 1060/2009 y (UE) n.° 1095/2010 (DO L 174 de 1.7.2011, p. 1).

21 Directiva 2011/61/UE del Parlamento Europeo y del Consejo, de 8 de junio de 2011, relativa a los gestores de fondos de inversión alternativos y por la que se modifican las Directivas 2003/41/CE y 2009/65/CE y los Reglamentos (CE) n.° 1060/2009 y (UE) n.° 1095/2010 (DO L 174 de 1.7.2011, p. 1).

22 Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).

22 Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).

23 Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).

23 Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).

24 Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 y se deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35).

24 Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 y se deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35).

25 Directiva (UE) 2016/2341 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2016, relativa a las actividades y la supervisión de los fondos de pensiones de empleo (FPE) (DO L 354 de 23.12.2016, p. 37).

25 Directiva (UE) 2016/2341 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2016, relativa a las actividades y la supervisión de los fondos de pensiones de empleo (FPE) (DO L 354 de 23.12.2016, p. 37).

26 DO L […] de […], p. […].

26 DO L […] de […], p. […].

Enmienda  3

Propuesta de Directiva

Considerando 6

 

Texto de la Comisión

Enmienda

6) En la actualidad, la definición de «instrumento financiero» de la Directiva 2014/65/UE no incluye explícitamente los instrumentos financieros emitidos mediante una clase de tecnologías que permiten el registro descentralizado de datos cifrados (tecnología de registro descentralizado o TRD). A fin de garantizar que dichos instrumentos financieros puedan negociarse en el mercado con arreglo al marco jurídico vigente, la definición de la Directiva 2014/65/UE debe modificarse para incluirlos.

6) En la actualidad, la definición de «instrumento financiero» de la Directiva 2014/65/UE no incluye explícitamente los instrumentos financieros emitidos mediante una clase de tecnologías que permiten el registro descentralizado de datos cifrados (tecnología de registro descentralizado o TRD) y, por consiguiente, no refleja la realidad del mercado. A fin de garantizar que dichos instrumentos financieros puedan negociarse en el mercado con arreglo al marco jurídico vigente y evitar cualquier riesgo potencial derivado de la no regulación, la definición de la Directiva 2014/65/UE debe modificarse para incluirlos.

Enmienda  4

Propuesta de Directiva

Considerando 7

 

Texto de la Comisión

Enmienda

7) En particular, a fin de permitir el desarrollo de los criptoactivos que puedan considerarse instrumentos financieros y de la TRD, preservando al mismo tiempo un elevado nivel de estabilidad financiera, integridad del mercado, transparencia y protección de los inversores, sería beneficioso crear un régimen temporal para las infraestructuras del mercado basadas en la TRD. Este marco jurídico temporal ha de permitir a las autoridades competentes autorizar temporalmente que las infraestructuras del mercado basadas en la TRD operen con arreglo a un conjunto de requisitos alternativos en lo que respecta al acceso a las mismas, frente a los que se aplican habitualmente en virtud de la legislación de la Unión sobre servicios financieros y que podrían impedirles desarrollar soluciones para la negociación y liquidación de las operaciones con criptoactivos que puedan considerarse instrumentos financieros. Este marco jurídico debe ser temporal a fin de que las Autoridades Europeas de Supervisión (AES) y las autoridades nacionales competentes puedan adquirir experiencia en cuanto a las oportunidades y los riesgos específicos que suponen los criptoactivos negociados en dichas infraestructuras. Por consiguiente, la presente Directiva acompaña al Reglamento [sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado], sustentando este nuevo marco regulador de la Unión relativo a las infraestructuras del mercado basadas en la TRD mediante una exención específica de determinadas disposiciones de la legislación de la Unión en materia de servicios financieros aplicables a las actividades y los servicios relacionados con instrumentos financieros, tal como se definen en el artículo 4, apartado 1, punto 15, de la Directiva 2014/65/UE, ya que, de no ser así, estas disposiciones no ofrecerían toda la flexibilidad que requiere el despliegue de soluciones en las fases de negociación y posnegociación de las operaciones con criptoactivos.

7) En particular, a fin de permitir el desarrollo de los criptoactivos que puedan considerarse instrumentos financieros y de la TRD, preservando al mismo tiempo un elevado nivel de estabilidad financiera, integridad del mercado, transparencia y protección de los inversores y consumidores, sería beneficioso crear un régimen temporal para las infraestructuras del mercado basadas en la TRD. Este marco jurídico temporal ha de permitir a las autoridades competentes autorizar temporalmente que las infraestructuras del mercado basadas en la TRD operen con arreglo a un conjunto de requisitos alternativos en lo que respecta al acceso a las mismas, frente a los que se aplican habitualmente en virtud de la legislación de la Unión sobre servicios financieros y que podrían impedirles desarrollar soluciones para la negociación y liquidación de las operaciones con criptoactivos que puedan considerarse instrumentos financieros. Este marco jurídico debe ser temporal a fin de que las Autoridades Europeas de Supervisión (AES) y las autoridades nacionales competentes puedan adquirir experiencia en cuanto a las oportunidades y los riesgos específicos que suponen los criptoactivos negociados en dichas infraestructuras. Por consiguiente, la presente Directiva acompaña al Reglamento [sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado], sustentando este nuevo marco regulador de la Unión relativo a las infraestructuras del mercado basadas en la TRD mediante una exención específica de determinadas disposiciones de la legislación de la Unión en materia de servicios financieros aplicables a las actividades y los servicios relacionados con instrumentos financieros, tal como se definen en el artículo 4, apartado 1, punto 15, de la Directiva 2014/65/UE, ya que, de no ser así, estas disposiciones no ofrecerían toda la flexibilidad que requiere el despliegue de soluciones en las fases de negociación y posnegociación de las operaciones con criptoactivos.

Enmienda  5

Propuesta de Directiva

Considerando 13 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(13 bis) El proceso regulador debe perseguir un equilibrio adecuado entre, por una parte, la gestión eficaz de la limitación de riesgos y, por otra, la garantía de una competencia leal en lo que respecta al fomento del desarrollo de la innovación en el mercado y la protección de todos los agentes implicados.

Enmienda  6

Propuesta de Directiva

Artículo 1 – párrafo 1

Directiva 2006/43/CE

Artículo 24 bis – apartado 1 – letra b)

 

Texto de la Comisión

Enmienda

En el artículo 24 bis, apartado 1, de la Directiva 2006/43/CE, la letra b) se sustituye por el texto siguiente:

suprimido

«b) Los auditores legales y las sociedades de auditoría dispondrán de procedimientos administrativos y contables sólidos, de mecanismos internos de control de calidad, de procedimientos de valoración del riesgo eficaces y de mecanismos de control y salvaguardia eficaces para gestionar sus sistemas y herramientas de TIC de conformidad con el artículo 6 del Reglamento (UE) 2021/xx [DORA] del Parlamento Europeo y del Consejo*.

 

________________________

 

*[título completo] (DO L [...] de [...], p. [...].’).».

 

Enmienda  7

Propuesta de Directiva

Artículo 1 – párrafo 1

Directiva 2006/43/CE

Artículo 24 bis – apartado 1 – letra b bis) (nueva)

 

Texto de la Comisión

Enmienda

 

En el artículo 24 bis, apartado 1, de la Directiva 2006/43/CE, se inserta la letra siguiente:

 

«b bis) Los auditores legales y las sociedades de auditoría que no sean microempresas ni pymes, salvo si auditan entidades enumeradas en el artículo 2 del Reglamento (UE) 2021/xx [DORA], dispondrán de procedimientos administrativos y contables sólidos, de mecanismos internos de control de calidad, de procedimientos de valoración del riesgo eficaces y de mecanismos de control y salvaguardia eficaces para gestionar sus sistemas y herramientas de TIC de conformidad con el artículo 6 del Reglamento (UE) 2021/xx [DORA] del Parlamento Europeo y del Consejo*.

 

______________

 

*[título completo] (DO L [...] de [...], p. [...].’).».

Enmienda  8

Propuesta de Directiva

Artículo 2 – párrafo 1 – punto 1

Directiva 2009/65/CE

Artículo 12 – apartado 1 – párrafo 2 – letra a)

 

Texto de la Comisión

Enmienda

«a) cuente con una buena organización administrativa y contable, y con mecanismos de control y seguridad para el tratamiento electrónico de datos, incluidos sistemas de tecnología de la información y la comunicación establecidos y gestionados de conformidad con el artículo 6 del Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA], así como con procedimientos de control interno adecuados, incluidas normas que regulen las transacciones personales de sus empleados o la tenencia y gestión de inversiones en instrumentos financieros con objeto de invertir por cuenta propia, a fin de garantizar, como mínimo, que cada transacción relacionada con el OICVM pueda reconstruirse con arreglo a su origen, las partes que intervengan, su naturaleza y el momento y lugar en que se haya realizado, y que los activos de los OICVM gestionados por la sociedad de gestión se inviertan con arreglo al reglamento del fondo o los documentos constitutivos y a las disposiciones legales vigentes;

«a) cuente con una buena organización administrativa, operativa y contable, y con mecanismos de control y seguridad para el tratamiento electrónico de datos, incluidos sistemas de tecnología de la información y la comunicación establecidos y gestionados de conformidad con el artículo 6 del Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA], así como con procedimientos de control interno adecuados, incluidas normas que regulen las transacciones personales de sus empleados o la tenencia y gestión de inversiones en instrumentos financieros con objeto de invertir por cuenta propia, a fin de garantizar, como mínimo, que cada transacción relacionada con el OICVM pueda reconstruirse con arreglo a su origen, las partes que intervengan, su naturaleza y el momento y lugar en que se haya realizado, y que los activos de los OICVM gestionados por la sociedad de gestión se inviertan con arreglo al reglamento del fondo o los documentos constitutivos y a las disposiciones legales vigentes;

_______

_________

*[título completo] (DO L [...] de [...], p. [...].’).».

*[título completo] (DO L [...] de [...], p. [...].’).».

 


PROCEDIMIENTO DE LA COMISIÓN COMPETENTE PARA EMITIR OPINIÓN

Título

Modificación de las Directivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341

Referencias

(COM(2020)0596 – C9-0303/2020 – 2020/0268(COD))

Comisión competente para el fondo

 Fecha del anuncio en el Pleno

ECON

17.12.2020

 

 

 

Opinión emitida por

 Fecha del anuncio en el Pleno

JURI

17.12.2020

Comisiones asociadas - fecha del anuncio en el Pleno

11.2.2021

Ponente de opinión

 Fecha de designación

Mislav Kolakušić

10.5.2021

Examen en comisión

27.5.2021

 

 

 

Fecha de aprobación

1.7.2021

 

 

 

Resultado de la votación final

+:

–:

0:

23

0

2

Miembros presentes en la votación final

Pascal Arimont, Manon Aubry, Gunnar Beck, Geoffroy Didier, Pascal Durand, Angel Dzhambazki, Ibán García Del Blanco, Jean-Paul Garraud, Esteban González Pons, Mislav Kolakušić, Sergey Lagodinsky, Gilles Lebreton, Karen Melchior, Jiří Pospíšil, Franco Roberti, Marcos Ros Sempere, Stéphane Séjourné, Raffaele Stancanelli, Marie Toussaint, Axel Voss, Marion Walsmann, Tiemo Wölken, Lara Wolters, Javier Zarzalejos

Suplentes presentes en la votación final

Magdalena Adamowicz, Caterina Chinnici, Heidi Hautala, Emmanuel Maurel, Emil Radev, Yana Toom

 


 

VOTACIÓN FINAL NOMINAL
EN LA COMISIÓN COMPETENTE PARA EMITIR OPINIÓN

23

+

PPE

Pascal Arimont, Geoffroy Didier, Esteban González Pons, Jiří Pospíšil, Axel Voss, Marion Walsmann, Javier Zarzalejos

S&D

Ibán García Del Blanco, Franco Roberti, Marcos Ros Sempere, Tiemo Wölken, Lara Wolters

Renew

Pascal Durand, Karen Melchior, Stéphane Séjourné, Yana Toom

ID

Jean-Paul Garraud, Gilles Lebreton

Verts/ALE

Heidi Hautala, Marie Toussaint

ECR

Angel Dzhambazki, Raffaele Stancanelli

The Left

Emmanuel Maurel

 

0

-

 

 

 

2

0

ID

Gunnar Beck

NI

Mislav Kolakušić

 

Explicación de los signos utilizados

+ : a favor

- : en contra

0 : abstenciones

 


 

PROCEDIMIENTO DE LA COMISIÓN COMPETENTE PARA EL FONDO

Título

Modificación de las Directivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341

Referencias

COM(2020)0596 – C9-0303/2020 – 2020/0268(COD)

Fecha de la presentación al PE

24.9.2020

 

 

 

Comisión competente para el fondo
  Fecha del anuncio en el Pleno

ECON

17.12.2020

 

 

 

Comisiones competentes para emitir opinión

  Fecha del anuncio en el Pleno

ITRE

17.12.2020

IMCO

17.12.2020

JURI

17.12.2020

 

Opiniones no emitidas

  Fecha de la decisión

ITRE

15.10.2020

IMCO

27.10.2020

 

 

Comisiones asociadas
  Fecha del anuncio en el Pleno

JURI

11.2.2021

 

 

 

Ponentes
  Fecha de designación

Mikuláš Peksa

15.10.2020

 

 

 

Examen en comisión

14.4.2021

14.6.2021

 

 

Fecha de aprobación

1.12.2021

 

 

 

Resultado de la votación final

+:

–:

0:

44

5

5

Miembros presentes en la votación final

Gerolf Annemans, Gunnar Beck, Marek Belka, Isabel Benjumea Benjumea, Stefan Berger, Gilles Boyer, Engin Eroglu, Markus Ferber, Jonás Fernández, Raffaele Fitto, Frances Fitzgerald, Luis Garicano, Sven Giegold, Valentino Grant, Claude Gruffat, José Gusmão, Enikő Győri, Eero Heinäluoma, Danuta Maria Hübner, Stasys Jakeliūnas, France Jamet, Billy Kelleher, Ondřej Kovařík, Georgios Kyrtsos, Aurore Lalucq, Philippe Lamberts, Aušra Maldeikienė, Pedro Marques, Costas Mavrides, Jörg Meuthen, Csaba Molnár, Siegfried Mureşan, Caroline Nagtegaal, Luděk Niedermayer, Lefteris Nikolaou-Alavanos, Lídia Pereira, Kira Marie Peter-Hansen, Sirpa Pietikäinen, Evelyn Regner, Antonio Maria Rinaldi, Alfred Sant, Martin Schirdewan, Joachim Schuster, Ralf Seekatz, Pedro Silva Pereira, Paul Tang, Irene Tinagli, Ernest Urtasun, Inese Vaidere, Johan Van Overtveldt, Stéphanie Yon-Courtin, Marco Zanni, Roberts Zīle

Suplentes presentes en la votación final

Lefteris Christoforou

Fecha de presentación

7.12.2021

 

 


 

VOTACIÓN FINAL NOMINAL EN LA COMISIÓN COMPETENTE PARA EL FONDO

44

+

ECR

Raffaele Fitto, Johan Van Overtveldt, Roberts Zīle

NI

Enikő Győri

PPE

Isabel Benjumea Benjumea, Stefan Berger, Lefteris Christoforou, Markus Ferber, Frances Fitzgerald, Danuta Maria Hübner, Georgios Kyrtsos, Aušra Maldeikienė, Siegfried Mureşan, Luděk Niedermayer, Lídia Pereira, Sirpa Pietikäinen, Ralf Seekatz, Inese Vaidere

Renew

Gilles Boyer, Engin Eroglu, Luis Garicano, Billy Kelleher, Ondřej Kovařík, Caroline Nagtegaal, Stéphanie Yon-Courtin

S&D

Marek Belka, Jonás Fernández, Eero Heinäluoma, Aurore Lalucq, Pedro Marques, Costas Mavrides, Csaba Molnár, Evelyn Regner, Alfred Sant, Joachim Schuster, Pedro Silva Pereira, Paul Tang, Irene Tinagli

Verts/ALE

Sven Giegold, Claude Gruffat, Stasys Jakeliūnas, Philippe Lamberts, Kira Marie Peter-Hansen, Ernest Urtasun

 

5

-

ID

Gerolf Annemans, Gunnar Beck, France Jamet, Jörg Meuthen

NI

Lefteris Nikolaou-Alavanos

 

5

0

ID

Valentino Grant, Antonio Maria Rinaldi, Marco Zanni

The Left

José Gusmão, Martin Schirdewan

 

Explicación de los signos utilizados

+ : a favor

- : en contra

0 : abstenciones

 

 

 

 

Última actualización: 9 de diciembre de 2021
Aviso jurídico - Política de privacidad