INFORME sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014
7.12.2021 - (COM(2020)0595 – C9-0304/2020 – 2020/0266(COD)) - ***I
Comisión de Asuntos Económicos y Monetarios
Ponente: Billy Kelleher
PROYECTO DE RESOLUCIÓN LEGISLATIVA DEL PARLAMENTO EUROPEO
sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014
(COM(2020)0595 – C9-0304/2020 – 2020/0266(COD))
(Procedimiento legislativo ordinario: primera lectura)
El Parlamento Europeo,
– Vista la propuesta de la Comisión al Parlamento Europeo y al Consejo (COM(2020)0595),
– Vistos el artículo 294, apartado 2, y el artículo 114 del Tratado de Funcionamiento de la Unión Europea, conforme a los cuales la Comisión le ha presentado su propuesta (C9-0304/2020),
– Vistos el artículo 294, apartado 3, del Tratado de Funcionamiento de la Unión Europea,
– Visto el dictamen del Comité Económico y Social Europeo de 24 de febrero de 2021[1],
– Visto el artículo 59 de su Reglamento interno,
– Visto el informe de la Comisión de Asuntos Económicos y Monetarios (A9-0341/2021),
1. Aprueba la Posición en primera lectura que figura a continuación;
2. Pide a la Comisión que le consulte de nuevo si sustituye su propuesta, la modifica sustancialmente o se propone modificarla sustancialmente;
2. Encarga a su presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Parlamentos nacionales.
Enmienda 1
ENMIENDAS DEL PARLAMENTO EUROPEO[*]
a la propuesta de la Comisión
---------------------------------------------------------
Propuesta de
REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO
sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014
(Texto pertinente a efectos del EEE)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 114,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Banco Central Europeo[2],
Visto el dictamen del Comité Económico y Social Europeo[3],
De conformidad con el procedimiento legislativo ordinario,
Considerando lo siguiente:
(1) En la era digital, las tecnologías de la información y la comunicación (TIC) sustentan sistemas complejos utilizados en actividades cotidianas de la sociedad. Mantienen el funcionamiento de sectores clave de nuestras economías, incluidas las finanzas, y mejoran el funcionamiento del mercado único. El aumento de la digitalización y la interconexión también amplifica los riesgos de las TIC, haciendo que la sociedad en su conjunto —y el sistema financiero en particular— sea más vulnerable a las ciberamenazas o a las perturbaciones de las TIC. Si bien el uso ubicuo de los sistemas de TIC y la alta digitalización y conectividad son hoy en día características fundamentales de todas las actividades de las entidades financieras de la Unión, la resiliencia digital aún tiene que estar suficientemente integrada en sus marcos operativos.
(2) El uso de las TIC ha adquirido en las últimas décadas un papel fundamental en las finanzas, asumiendo hoy una importancia crítica en el desarrollo de las funciones cotidianas típicas de todas las entidades financieras. La digitalización abarca, por ejemplo, los pagos, que han pasado cada vez más de la utilización de efectivo y métodos basados en papel al uso de soluciones digitales, así como la compensación y liquidación de valores, la negociación electrónica y algorítmica, las operaciones de préstamo y financiación, la financiación entre particulares, la calificación crediticia, ▌la gestión de siniestros y las operaciones administrativas. El sector de los seguros también se ha visto transformado por el uso de las TIC, desde el surgimiento de los intermediarios de seguros digitales que desarrollan su actividad con la tecnología aplicada al sector de los seguros, a la suscripción de seguros y la distribución de contratos por medios digitales. No solo se ha digitalizado en gran medida todo el sector financiero, sino que la digitalización también ha profundizado las interconexiones y dependencias, tanto dentro de este, como con proveedores terceros de infraestructuras y servicios.
(3) La Junta Europea de Riesgo Sistémico (JERS) ha reafirmado en un informe de 2020 sobre el ciberriesgo sistémico[4] que el elevado nivel actual de interconexión entre entidades financieras, mercados financieros e infraestructuras de los mercados financieros, y en particular las interdependencias de sus sistemas de TIC, puede constituir una vulnerabilidad sistémica, ya que los ciberincidentes localizados podrían propagarse rápidamente desde cualquiera de las aproximadamente 22 000 entidades financieras de la Unión[5] a todo el sistema financiero, sin que los límites geográficos supongan un obstáculo. Los fallos de TIC graves en las finanzas no afectan únicamente a las entidades financieras de forma aislada. También allanan el camino para la propagación de vulnerabilidades localizadas a través de los canales de transmisión financieros y pueden provocar consecuencias adversas para la estabilidad del sistema financiero de la Unión, generando un pánico de liquidez y una pérdida general de confianza en los mercados financieros.
(4) En los últimos años, los riesgos de TIC han atraído la atención de los responsables políticos, reguladores y organismos de normalización nacionales, europeos e internacionales en un intento de aumentar la resiliencia, establecer normas y coordinar el trabajo de regulación o supervisión. A nivel internacional, el Comité de Supervisión Bancaria de Basilea, el Comité de Pagos e Infraestructuras del Mercado, el Consejo de Estabilidad Financiera, el Instituto de Estabilidad Financiera y los grupos de países del G-7 y el G-20 tienen por objeto proporcionar herramientas que refuercen la resiliencia de sus sistemas financieros a las autoridades competentes y a los operadores del mercado de diferentes países o territorios. En consecuencia, es necesario considerar el riesgo de TIC en el contexto de un sistema financiero mundial altamente interconectado en el que deben priorizarse la coherencia de la regulación internacional y la cooperación entre las autoridades competentes.
(5) A pesar de las iniciativas estratégicas y legislativas específicas nacionales y europeas, los riesgos de TIC siguen planteando un reto para la resiliencia operativa, el funcionamiento y la estabilidad del sistema financiero de la Unión. La reforma que siguió a la crisis financiera de 2008 reforzó principalmente la resiliencia financiera del sector financiero de la Unión y tenía por objeto salvaguardar la competitividad y la estabilidad de la Unión desde las perspectivas económica, prudencial y de conducta de mercado. Aunque la resiliencia digital y la seguridad de las TIC forman parte del riesgo operativo, el programa regulador posterior a la crisis se ha centrado menos en estas y solo se han desarrollado en algunos ámbitos de la política de servicios financieros y del panorama regulador de la Unión, o solo en unos pocos Estados miembros.
(6) El Plan de Acción en materia de Tecnología Financiera de 2018 de la Comisión[6] puso de relieve la importancia capital de hacer que el sector financiero de la Unión sea más resiliente también desde una perspectiva operativa para garantizar su seguridad tecnológica y su buen funcionamiento, así como su rápida recuperación de los incidentes y los fallos de los sistemas de TIC, permitiendo en última instancia que los servicios financieros se presten de manera eficaz y fluida en toda la Unión, incluso en situaciones de tensión, preservando al mismo tiempo la confianza de los consumidores y del mercado.
(7) En abril de 2019, la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Valores y Mercados (AEVM) y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ) (denominadas conjuntamente «Autoridades Europeas de Supervisión» o «AES») emitieron conjuntamente dos dictámenes técnicos pidiendo un enfoque coherente del riesgo de TIC en las finanzas y recomendando reforzar, de manera proporcionada, la resiliencia operativa digital del sector de los servicios financieros a través de una iniciativa sectorial de la Unión.
(8) El sector financiero de la Unión está regulado por un código normativo único armonizado y cubierto por un sistema europeo de supervisión financiera. No obstante, las disposiciones que abordan la resiliencia operativa digital y la seguridad de las TIC aún no están plena o coherentemente armonizadas, a pesar de que la resiliencia operativa digital es vital para garantizar la estabilidad financiera y la integridad del mercado en la era digital, y no menos importante que, por ejemplo, las normas comunes prudenciales o de conducta de mercado. Por consiguiente, deben desarrollarse el código normativo único y el sistema de supervisión para abarcar también este componente, reforzando los mandatos de los supervisores financieros para gestionar los riesgos de TIC en el sector financiero, proteger la integridad y la eficiencia del mercado único y facilitar su funcionamiento ordenado.
(9) Las disparidades legislativas y los enfoques reguladores o de supervisión nacionales desiguales del riesgo de TIC obstaculizan el mercado único de los servicios financieros, impidiendo el correcto ejercicio de la libertad de establecimiento y la prestación de servicios para las entidades financieras con presencia transfronteriza. La competencia entre el mismo tipo de entidades financieras que operan en diferentes Estados miembros también puede verse falseada. En particular, en ámbitos en los que la armonización de la Unión ha sido muy limitada (como las pruebas de resiliencia operativa digital) o inexistente (como el seguimiento del riesgo de terceros relacionado con las TIC), las disparidades derivadas de la evolución prevista a nivel nacional podrían generar nuevos obstáculos al funcionamiento del mercado único en detrimento de los participantes en el mercado y la estabilidad financiera.
(10) La forma parcial en que las disposiciones relacionadas con el riesgo de TIC se han abordado hasta ahora a escala de la Unión pone de manifiesto lagunas o solapamientos en ámbitos importantes, como la notificación de incidentes relacionados con las TIC y las pruebas de resiliencia operativa digital, y genera incoherencias debido a la aparición de normas nacionales divergentes o a la aplicación ineficaz en costes de normas que se solapan. Esto es especialmente perjudicial para los usuarios intensivos de las TIC, como el sector financiero, ya que los riesgos tecnológicos no tienen fronteras y el sector financiero despliega sus servicios a escala transfronteriza dentro y fuera de la Unión.
Las entidades financieras individuales que operan a escala transfronteriza o que poseen varias autorizaciones (por ejemplo, una entidad financiera puede tener sendas licencias de entidad bancaria, empresa de servicios de inversión y entidad de pago, cada una de ellas expedida por una autoridad competente diferente en uno o varios Estados miembros) se enfrentan a retos operativos a la hora de abordar los riesgos de TIC y mitigar los efectos adversos de los incidentes de TIC por sí mismas y de manera coherente y eficaz en términos de costes.
(10 bis) Establecer y mantener infraestructuras adecuadas de redes y sistemas de información es también una condición previa fundamental para que la agregación de datos sobre riesgos y las prácticas de información sobre riesgos sean eficaces, que son, a su vez, un requisito esencial para la solidez y sostenibilidad de la gestión de riesgos y para los procesos de toma de decisiones de las entidades de crédito. En 2013, el Comité de Supervisión Bancaria de Basilea (CSBB) publicó un conjunto de principios para procurar que la agregación de datos sobre riesgos y la notificación de riesgos sean eficaces («CSBB 239»), con arreglo a dos principios generales de gobernanza e infraestructura de TI, que debía aplicarse, a más tardar, a principios de 2016. De conformidad con el informe del Banco Central Europeo (BCE), de mayo de 2018, sobre la revisión temática de la eficaz agregación de datos sobre riesgos y presentación de informes de riesgos, de mayo de 2018, y el informe de situación del CSBB, de abril de 2020, los avances en la aplicación por parte de los bancos de importancia sistémica mundial eran insatisfactorios y un motivo de preocupación. A fin de facilitar el cumplimiento y la alineación con las normas internacionales, la Comisión, en estrecha colaboración con el BCE y previa consulta a la ABE y a la JERS, debería realizar un informe para evaluar cómo interactúan los principios CSBB 239 con las disposiciones de este Reglamento y, en su caso, cómo deberían incorporarse esos principios al Derecho de la Unión.
(11) Dado que el código normativo único no ha ido acompañado de un marco global del riesgo operativo o de TIC, es necesaria una mayor armonización de los requisitos clave de resiliencia operativa digital para todas las entidades financieras. Las capacidades y la resiliencia general que las entidades financieras, sobre la base de estos requisitos clave, desarrollarían con vistas a hacer frente a las interrupciones operativas, contribuirían a preservar la estabilidad e integridad de los mercados financieros de la Unión y, de este modo, a garantizar un elevado nivel de protección de los inversores y consumidores de la Unión. Puesto que el objetivo del presente Reglamento es contribuir al buen funcionamiento del mercado único, debe basarse en las disposiciones del artículo 114 del TFUE, interpretado de conformidad con la jurisprudencia reiterada del Tribunal de Justicia de la Unión Europea.
(12) El presente Reglamento tiene por objeto, en primer lugar, consolidar y actualizar los requisitos relativos al riesgo de TIC abordados por separado hasta ahora en los diferentes Reglamentos y Directivas. Aunque esos actos jurídicos de la Unión cubrían las principales categorías de riesgo financiero (por ejemplo, riesgo de crédito, riesgo de mercado, riesgo de contraparte y riesgo de liquidez, riesgo de conducta de mercado), no pudieron abordar de manera exhaustiva, en el momento de su adopción, todos los componentes de la resiliencia operativa. Los requisitos en materia de riesgo operativo, cuando se desarrollaron más en estos actos jurídicos de la Unión, a menudo favorecieron un enfoque cuantitativo tradicional para abordar el riesgo (a saber, establecer un requisito de capital para cubrir los riesgos de TIC) en lugar de consagrar requisitos cualitativos específicos para impulsar las capacidades mediante requisitos orientados a las capacidades de protección, detección, contención, recuperación y reparación frente a incidentes relacionados con las TIC o mediante el establecimiento de capacidades de notificación y pruebas digitales. El objetivo principal de dichas Directivas y Reglamentos era recoger normas esenciales sobre supervisión prudencial, conducta o integridad del mercado.
Mediante este ejercicio, que consolida y actualiza las normas sobre el riesgo de TIC, todas las disposiciones que abordan el riesgo digital en las finanzas se reunirían por primera vez de manera coherente en un único acto legislativo. Así pues, esta iniciativa debe colmar las lagunas o subsanar incoherencias en algunos de esos actos jurídicos, también en relación con la terminología utilizada en ellos, y debe hacer referencia explícita al riesgo de TIC a través de normas específicas sobre las capacidades de gestión del riesgo de TIC, la presentación de informes, las pruebas y el seguimiento de los riesgos de terceros. Esta iniciativa también se propone sensibilizar respecto a los riesgos de TIC, y reconoce que los incidentes asociados a las TIC y la falta de resiliencia operativa podrían poner en peligro la solidez financiera de las entidades financieras.
(13) Las entidades financieras deben seguir el mismo enfoque y las mismas normas basadas en principios a la hora de abordar el riesgo de TIC, con arreglo a su tamaño, naturaleza, complejidad y perfil de riesgo. La coherencia contribuye a aumentar la confianza en el sistema financiero y a preservar su estabilidad, especialmente en tiempos de una elevada dependencia de los sistemas, plataformas e infraestructuras de TIC, lo que conlleva un mayor riesgo digital.
El respeto de una ciberhigiene básica también debería evitar imponer costes elevados a la economía minimizando el impacto y los costes de las perturbaciones de las TIC.
(14) Utilizar un reglamento contribuye a reducir la complejidad normativa, fomenta la convergencia en materia de supervisión, aumenta la seguridad jurídica, al mismo tiempo que contribuye a limitar los costes de cumplimiento, especialmente para las entidades financieras que operan a escala transfronteriza, y a reducir los falseamientos de la competencia. La elección de un reglamento para el establecimiento de un marco común para la resiliencia operativa digital de las entidades financieras parece, por tanto, la manera más adecuada de garantizar una aplicación homogénea y coherente de todos los componentes de la gestión del riesgo de TIC por parte de los sectores financieros de la Unión.
(14 bis) No obstante, la aplicación del presente Reglamento no debe obstaculizar la innovación en lo que respecta a la manera en que las entidades financieras abordan las cuestiones de resiliencia operativa digital, cumpliendo al mismo tiempo sus disposiciones, ni en lo que respecta a los servicios que ofrecen o a los servicios ofrecidos por proveedores terceros de servicios de TIC.
(15) Además de la legislación sobre servicios financieros, la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo[7] es el marco general actual de ciberseguridad a escala de la Unión. Entre los siete sectores críticos, dicha Directiva se aplica también a tres tipos de entidades financieras, a saber, las entidades de crédito, los centros de negociación y las entidades de contrapartida central. Sin embargo, dado que la Directiva (UE) 2016/1148 establece un mecanismo de identificación a nivel nacional de los operadores de servicios esenciales, solo determinadas entidades de crédito, centros de negociación y entidades de contrapartida central determinadas por los Estados miembros entran en su ámbito de aplicación y, por tanto, deben cumplir los requisitos de seguridad de TIC y notificación de incidentes establecidos en la misma.
(16) Dado que el presente Reglamento eleva el nivel de armonización de los componentes de resiliencia digital mediante la introducción de requisitos más estrictos en materia de gestión de riesgos de TIC y notificación de incidentes relacionados con las TIC con respecto a los establecidos en la legislación vigente de la Unión en materia de servicios financieros, ello constituye una mayor armonización también en comparación con los requisitos establecidos en la Directiva (UE) 2016/1148. Por consiguiente, para las entidades financieras, el presente Reglamento constituye una lex specialis con respecto a la Directiva (UE) 2016/1148.
Es fundamental mantener una estrecha relación entre el sector financiero y el marco horizontal de ciberseguridad de la Unión, garantizando la coherencia con las estrategias de ciberseguridad ya adoptadas por los Estados miembros y permitiendo que los supervisores financieros tengan conocimiento de los ciberincidentes que afecten a otros sectores cubiertos por la Directiva (UE) 2016/1148.
(17) Para permitir un proceso de aprendizaje intersectorial y aprovechar eficazmente las experiencias de otros sectores a la hora de hacer frente a las ciberamenazas, las entidades financieras a que se refiere la Directiva (UE) 2016/1148 deben seguir formando parte del «ecosistema» de dicha Directiva (por ejemplo, el Grupo de Cooperación SRI y los CSIRT).
Las AES y las autoridades nacionales competentes deben poder participar en los debates estratégicos y en los trabajos técnicos, respectivamente, del Grupo de Cooperación SRI intercambiar información y seguir cooperando con los puntos de contacto únicos designados en virtud de la Directiva (UE) 2016/1148. El órgano de supervisión conjunta, los supervisores principales y las autoridades competentes en virtud del presente Reglamento también deben consultar y cooperar con los CSIRT nacionales designados de conformidad con el artículo 9 de la Directiva (UE) 2016/1148.
Además, el presente Reglamento debe garantizar que la red de CSIRT establecida por la Directiva (UE) 2016/1148 recibe información pormenorizada de los incidentes graves relacionados con las TIC.
(18) También es importante asegurar la coherencia tanto con la Directiva sobre infraestructuras críticas europeas (ICE), que se está revisando actualmente para mejorar la protección y la resiliencia de las infraestructuras críticas frente a las amenazas no cibernéticas como con la Directiva relativa a la resiliencia de las entidades críticas, lo cual puede tener repercusiones en el sector financiero[8].
(19) Los proveedores de servicios de computación en nube son una categoría de proveedores de servicios digitales cubiertos por la Directiva (UE) 2016/1148. Como tales, están sujetos a una supervisión ex post llevada a cabo por las autoridades nacionales designadas con arreglo a dicha Directiva, que se limita a los requisitos de seguridad de TIC y notificación de incidentes establecidos en dicho acto. Dado que el marco de supervisión establecido por el presente Reglamento se aplica a todos los proveedores terceros esenciales de servicios de TIC, incluidos los proveedores de servicios de computación en nube, cuando presten servicios de TIC a entidades financieras, debe considerarse complementario de la supervisión que se está llevando a cabo en virtud de la Directiva (UE) 2016/1148, y los requisitos tanto sustantivos como procedimentales aplicables a los proveedores terceros esenciales de servicios de TIC conforme al presente Reglamento deben ser coherentes y compatibles con los aplicables con arreglo a dicha Directiva. Además, el marco de supervisión establecido por el presente Reglamento debe abarcar a los proveedores de servicios de computación en nube en ausencia de un marco horizontal de la Unión aplicable a todos los sectores que establezca una autoridad de supervisión digital.
(20) Para mantener el pleno control de los riesgos de TIC, las entidades financieras necesitan disponer de capacidades globales que permitan una gestión de riesgos de TIC sólida y eficaz, junto con mecanismos y políticas específicos para la notificación de incidentes relacionados con las TIC, pruebas de sistemas, controles y procesos de TIC, así como para gestionar el riesgo de terceros y de su mismo grupo relacionado con las TIC. Debe elevarse el umbral de resiliencia operativa digital para el sistema financiero, permitiendo al mismo tiempo una aplicación proporcionada de los requisitos, teniendo en cuenta asimismo su naturaleza, escala, complejidad y perfil de riesgo global.
(21) Los umbrales de notificación y las taxonomías de incidentes relacionados con las TIC varían considerablemente a nivel nacional. Si bien es cierto que se puede alcanzar una base común mediante la labor pertinente emprendida por la Agencia de la Unión Europea para la Ciberseguridad (ENISA)[9] y el Grupo de Cooperación en materia de SRI para las entidades financieras contempladas en la Directiva (UE) 2016/1148, todavía existen o pueden surgir enfoques divergentes sobre umbrales y taxonomías para el resto de entidades financieras. Esto implica múltiples requisitos a los que deben atenerse las entidades financieras, especialmente cuando operan en varios países de la Unión y cuando forman parte de un grupo financiero. Además, estas divergencias pueden obstaculizar la creación de nuevos mecanismos uniformes o centralizados de la Unión que aceleren el proceso de notificación y apoyen un intercambio rápido y fluido de información entre las autoridades competentes, lo cual es crucial para hacer frente a los riesgos de TIC en caso de ataques a gran escala con posibles consecuencias sistémicas.
(21 bis) Con el fin de reducir la carga administrativa y evitar la complejidad y los requisitos de notificación redundantes a los proveedores de servicios de pago que se hallan en el ámbito de aplicación del presente Reglamento, los requisitos de notificación de incidentes previstos en la Directiva (UE) 2015/2366 deben dejar de aplicarse. En este sentido, las entidades de crédito, las entidades de dinero electrónico y las entidades de pago deberán notificar, con arreglo al presente Reglamento, todos los incidentes operativos o de seguridad relacionados con pagos e impagos que se notificaban previamente de conformidad con la Directiva (UE) 2015/2366, con independencia de que los incidentes estén relacionados o no con las TIC.
(22) Para que las autoridades competentes puedan desempeñar sus funciones de supervisión obteniendo una visión completa de la naturaleza, frecuencia, importancia e impacto de los incidentes relacionados con las TIC y a fin de mejorar el intercambio de información entre las autoridades públicas pertinentes, incluidas las autoridades policiales y judiciales y las autoridades de resolución, es necesario establecer normas para lograr un sólido régimen de notificación de incidentes relacionados con las TIC con los requisitos que aborden las lagunas existentes en la legislación de los servicios financieros sectoriales y eliminar los solapamientos y duplicaciones existentes para reducir los costes. Por lo tanto, es esencial armonizar el régimen de notificación de incidentes relacionados con las TIC, exigiendo a todas las entidades financieras que informen a sus autoridades competentes a través de un marco único simplificado según se dispone en el presente Reglamento. Además, las AES deben estar facultadas para especificar en mayor medida los elementos de la notificación de incidentes relacionados con las TIC, como la taxonomía, los plazos, los conjuntos de datos, las plantillas y los umbrales aplicables.
(23) Los requisitos de las pruebas de resiliencia operativa digital se han desarrollado en algunos subsectores financieros dentro de varios marcos nacionales a veces no coordinados que abordan los mismos problemas de manera diferente. Esto da lugar a la duplicación de costes para las entidades financieras transfronterizas y podría dificultar el reconocimiento mutuo de los resultados. Por lo tanto, las pruebas no coordinadas pueden segmentar el mercado único.
(24) Además, cuando no se requieren pruebas, no se detectan las vulnerabilidades, lo que supone un mayor riesgo para la entidad financiera y, en última instancia, para la estabilidad y la integridad del sector financiero. Sin la intervención de la Unión, las pruebas de resiliencia operativa digital seguirían siendo desiguales y no habría un reconocimiento mutuo de los resultados de las pruebas en diferentes países. Asimismo, dado que es poco probable que otros subsectores financieros adopten tales sistemas a una escala significativa, desaprovecharían las ventajas potenciales, como revelar vulnerabilidades y riesgos, poner a prueba las capacidades de defensa y la continuidad de las actividades, y aumentar la confianza de los clientes, los proveedores y los socios comerciales. Para poner remedio a tales solapamientos, divergencias y lagunas, es necesario establecer normas destinadas a que las entidades financieras y las autoridades competentes realicen pruebas coordinadas, facilitando así el reconocimiento mutuo de pruebas avanzadas para las entidades financieras significativas.
(25) La dependencia de los servicios de TIC por parte de las entidades financieras se debe en parte a su necesidad de adaptarse a una economía mundial digital competitiva emergente, de aumentar su eficiencia empresarial y de satisfacer la demanda de los consumidores. La naturaleza y el alcance de dicha dependencia han evolucionado continuamente en los últimos años, impulsando la reducción de costes en la intermediación financiera, permitiendo la expansión empresarial y la escalabilidad en el despliegue de actividades financieras, y ofreciendo al mismo tiempo una amplia gama de herramientas TIC para gestionar procesos internos complejos.
(26) Este amplio uso de los servicios de TIC se pone de manifiesto en acuerdos contractuales complejos, en los que las entidades financieras a menudo encuentran dificultades a la hora de negociar condiciones contractuales adaptadas a las normas prudenciales u otros requisitos reglamentarios a los que están sujetas, o a la hora de hacer valer derechos específicos, como los derechos de acceso o auditoría, cuando estos últimos están consagrados en los acuerdos. Además, muchos de estos contratos no ofrecen suficientes salvaguardias que permitan un control completo de los procesos de subcontratación, privando así a la entidad financiera de su capacidad para evaluar estos riesgos asociados. Además, dado que los proveedores terceros de servicios de TIC a menudo prestan servicios normalizados a distintos tipos de clientes, tales contratos pueden no siempre satisfacer adecuadamente las necesidades individuales o específicas de los agentes del sector financiero.
(27) Aunque hay algunas normas generales sobre externalización en algunos actos legislativos de la Unión en materia de servicios financieros, el seguimiento de la dimensión contractual no está plenamente establecido en la legislación de la Unión. A falta de normas claras y específicas de la Unión aplicables a los acuerdos contractuales celebrados con los proveedores terceros de servicios de TIC, no se aborda de manera exhaustiva la fuente externa de riesgo de TIC. Por consiguiente, es necesario establecer determinados principios clave para orientar la gestión por parte de las entidades financieras del riesgo de terceros relacionado con las TIC, junto con un conjunto de derechos contractuales básicos en relación con varios elementos de la ejecución y rescisión de contratos, con vistas a consagrar determinadas salvaguardias mínimas que sustenten la capacidad de las entidades financieras de supervisar eficazmente todos los riesgos que se deriven de proveedores terceros de TIC.
(28) Hay una carencia de homogeneidad y convergencia en cuanto al riesgo de terceros relacionado con las TIC y a las dependencias de terceros en el sector de las TIC. A pesar de algunos esfuerzos para abordar el ámbito específico de la externalización, como las recomendaciones de 2017 sobre la externalización a proveedores de servicios en la nube[10], la cuestión del riesgo sistémico que puede desencadenar la exposición del sector financiero a un número limitado de proveedores terceros esenciales de servicios de TIC apenas se aborda en la legislación de la Unión. Esta carencia a nivel de la Unión se ve agravada por la ausencia de mandatos e instrumentos específicos que permitan a los supervisores nacionales adquirir una buena comprensión de las dependencias de terceros en el ámbito de las TIC y hacer un seguimiento adecuado de los riesgos derivados de la concentración de dichas dependencias de terceros en el ámbito de las TIC.
(29) Teniendo en cuenta los posibles riesgos sistémicos derivados del aumento de las prácticas de externalización y de la concentración de terceros en el sector de las TIC, y asimismo la insuficiencia de los mecanismos nacionales que permiten a los supervisores financieros cuantificar, calificar y corregir las consecuencias de los riesgos de TIC que se producen en proveedores terceros esenciales de servicios de TIC, es necesario establecer un marco de supervisión de la Unión adecuado que permita un seguimiento continuo de las actividades de los proveedores terceros de servicios de TIC que sean proveedores esenciales para las entidades financieras. Dado que la prestación en un mismo grupo de servicios de TIC no conlleva los mismos riesgos, los proveedores de servicios que formen parte del mismo grupo o sistema institucional de protección no deberán definirse como proveedores terceros esenciales de servicios de TIC.
(30) Dado que las amenazas relacionadas con las TIC son cada vez más complejas y sofisticadas, las buenas medidas de detección y prevención dependen sustancialmente del intercambio periódico de información sobre amenazas y vulnerabilidades entre las entidades financieras. El intercambio de información contribuye a una mayor concienciación sobre las ciberamenazas, lo que, a su vez, mejora la capacidad de las entidades financieras para evitar que las amenazas se materialicen en incidentes reales y permite a las entidades financieras contener mejor los efectos de los incidentes relacionados con las TIC y recuperarse de manera más eficiente. A falta de orientaciones a escala de la Unión, varios factores parecen haber impedido este intercambio de información, en particular la incertidumbre sobre la compatibilidad con las normas de protección de datos, de defensa de la competencia y de responsabilidad. Por tanto, es importante reforzar los mecanismos de cooperación y el intercambio de informes entre las entidades financieras y las autoridades competentes, así como la provisión de información al público en general, con vistas a desarrollar un marco abierto de puesta en común de información de inteligencia y un enfoque de «seguridad integrada en el diseño», que son esenciales para elevar la resiliencia operativa y la preparación del sector financiero en lo que atañe a las ciberamenazas. Los acuerdos de intercambio de información siempre deben tener debidamente en cuenta los posibles riesgos relacionados con la ciberseguridad, la protección de datos o la confidencialidad comercial.
(31) Además, las dudas sobre el tipo de información que puede compartirse con otros participantes en el mercado o con autoridades no supervisoras (como la ENISA, para información analítica, o Europol, con fines policiales) hacen que no se comparta información útil. El alcance y la calidad del intercambio de información sigue siendo limitado y fragmentado, ya que los intercambios pertinentes se realizan principalmente a nivel local (a través de iniciativas nacionales) y no existen mecanismos coherentes de intercambio de información a escala de la Unión adaptados a las necesidades de un sector financiero integrado. Por lo tanto, es importante reforzar esos canales de comunicación y contar con aportaciones de autoridades no supervisoras, cuando sea necesario y pertinente, a lo largo de todo el ciclo de supervisión.
(32) Por consiguiente, debe también alentarse a las entidades financieras a aprovechar colectivamente sus conocimientos individuales y su experiencia práctica a nivel estratégico, táctico y operativo, con el fin de mejorar sus capacidades para evaluar y supervisar las ciberamenazas, defenderse de ellas y responder a las mismas, todo ello de forma adecuada. Por lo tanto, es necesario permitir la aparición a escala de la Unión de mecanismos de intercambio voluntario de información que, cuando se apliquen en entornos de confianza, ayuden a la comunidad financiera a prevenir y responder colectivamente a las amenazas, limitando rápidamente la propagación de los riesgos de TIC e impidiendo el posible contagio a través de los canales financieros. Estos mecanismos deben utilizarse respetando plenamente las normas de competencia de la Unión aplicables[11], así como de manera que se garantice el pleno respeto de las normas de la Unión en materia de protección de datos, principalmente el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo[12], en particular en el contexto del tratamiento de datos personales necesario para la satisfacción de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, tal como se contempla en el artículo 6, apartado 1, letra f), de dicho Reglamento.
(33) Sin perjuicio de la amplia cobertura prevista en el presente Reglamento, la aplicación de las normas de resiliencia operativa digital, incluidos los requisitos del marco de gestión del riesgo, debe tener en cuenta las diferencias significativas entre entidades financieras en términos de tamaño, naturaleza, complejidad y perfil de riesgo. Como principio general, al destinar recursos y capacidades a la aplicación del marco de gestión de riesgos de TIC, las entidades financieras deben equilibrar debidamente sus necesidades relacionadas con las TIC con su tamaño, naturaleza, complejidad, perfil empresarial y perfil de riesgo relativo, mientras que las autoridades competentes deben seguir evaluando y revisando el enfoque de dicha distribución.
(34) Dado que las entidades financieras de mayor tamaño pueden disponer de recursos más amplios y podrían movilizar rápidamente fondos para desarrollar estructuras de gobernanza y establecer diversas estrategias empresariales, solo las entidades financieras que no sean microempresas en el sentido del presente Reglamento deben estar obligadas a establecer mecanismos de gobernanza más complejos. Estas entidades están mejor equipadas, en particular, para establecer funciones de gestión específicas encaminadas a supervisar los acuerdos con proveedores terceros de servicios de TIC o a abordar la gestión de crisis, para organizar su gestión de riesgos de TIC con arreglo a las tres líneas del modelo de defensa, o para adoptar un documento de recursos humanos que explique exhaustivamente las políticas de derechos de acceso.
Del mismo modo, solo estas entidades financieras deben estar obligadas a llevar a cabo evaluaciones exhaustivas tras cambios importantes en los procesos y las infraestructuras de la red y los sistemas de información, a realizar periódicamente análisis de riesgos sobre los sistemas de TIC heredados, o a ampliar las pruebas efectuadas sobre los planes de continuidad de la actividad y de respuesta y recuperación para reflejar los escenarios de conmutación entre la infraestructura primaria de TIC y las instalaciones redundantes.
(35) Además, dado que solo las entidades financieras consideradas significativas a efectos de las pruebas avanzadas de resiliencia digital deben estar obligadas a llevar a cabo pruebas de penetración guiadas por amenazas, los procesos administrativos y los costes financieros derivados de la realización de dichas pruebas recaerían, en principio, en un pequeño porcentaje de entidades financieras. Por último, con el fin de aligerar la carga normativa, debe pedirse únicamente a las entidades financieras que no sean microempresas que informen periódicamente a las autoridades competentes de todos los costes y pérdidas estimados causados por las perturbaciones significativas de las TIC, los incidentes graves relacionados con las TIC y de los resultados de las revisiones posteriores a los incidentes después de esas perturbaciones significativas de las TIC.
(36) Para garantizar la plena armonización y la coherencia general entre las estrategias empresariales de las entidades financieras, por una parte, y la gestión de riesgos de TIC, por otra, debe exigirse al órgano de dirección que desempeñe un papel central y activo en la dirección y adaptación del marco de gestión de riesgos de TIC y la estrategia global de resiliencia digital. El enfoque que adopte el órgano de dirección no solo debe centrarse en los medios para garantizar la resiliencia de los sistemas de TIC, sino que también debe abarcar a las personas y los procesos a través de un conjunto de políticas que promuevan, en cada nivel corporativo y para todo el personal, una fuerte concienciación sobre los riesgos cibernéticos y el compromiso de respetar una estricta ciberhigiene a todos los niveles.
La responsabilidad última del órgano de dirección en la gestión de los riesgos de TIC de una entidad financiera debe ser un principio fundamental de ese enfoque global, que se traducirá además en la implicación continua del órgano de dirección en el control del seguimiento de la gestión del riesgo de TIC.
(37) Además, la obligación del órgano de dirección de rendir plenamente cuentas va acompañada de la de garantizar un nivel de inversiones en TIC y un presupuesto global para que la entidad financiera pueda alcanzar su nivel de referencia en cuanto a la resiliencia operativa digital.
(38) Inspirándose en las pertinentes normas, directrices, recomendaciones o enfoques internacionales, nacionales y sectoriales en relación con la gestión del riesgo cibernético[13], el presente Reglamento promueve una serie de funciones que facilitan la estructuración general de la gestión del riesgo de TIC. Mientras las principales capacidades establecidas por las entidades financieras respondan a las necesidades de los objetivos previstos por las funciones (identificación, protección y prevención, detección, respuesta y recuperación, aprendizaje y evolución y comunicación) establecidas en el presente Reglamento, las entidades financieras seguirán teniendo libertad para utilizar modelos de gestión de riesgos de TIC que se enmarquen o categoricen de manera diferente.
(39) Para poder seguir haciendo frente a la naturaleza cambiante de las ciberamenazas, las entidades financieras deben mantener sistemas de TIC actualizados que sean fiables y estén dotados de la capacidad suficiente no solo para garantizar el tratamiento de datos necesario para la prestación de sus servicios, sino también para asegurar la resiliencia tecnológica que permita a las entidades financieras satisfacer adecuadamente las necesidades de tratamiento adicionales que un tensionamiento del mercado u otras situaciones adversas puedan generar. Aunque el presente Reglamento no implica ninguna normalización de sistemas, herramientas o tecnologías de TIC específicos, se basa en el uso adecuado por parte de las entidades financieras de las normas técnicas europeas e internacionalmente reconocidas (por ejemplo, ISO) o de las buenas prácticas del sector, en la medida en que dicho uso se ajuste plenamente a las instrucciones específicas de supervisión sobre el uso y la incorporación de normas internacionales.
(40) Se requieren planes eficientes de continuidad y recuperación de las actividades para que las entidades financieras puedan resolver pronta y rápidamente los incidentes relacionados con las TIC, en particular los ciberataques, limitando los daños y dando prioridad a la reanudación de las actividades y a las acciones de recuperación, teniendo en cuenta si se trata de una función esencial o importante. No obstante, si bien los sistemas de copia de seguridad deben comenzar el tratamiento sin demoras indebidas, dicho inicio no debe en modo alguno poner en peligro la integridad y la seguridad de las redes y los sistemas de información ni la confidencialidad de los datos.
(41) Si bien el presente Reglamento permite a las entidades financieras determinar los objetivos de tiempo de recuperación de manera flexible y, por tanto, fijar tales objetivos teniendo plenamente en cuenta la naturaleza y el carácter esencial de la función pertinente y las necesidades comerciales específicas, al determinar dichos objetivos también debe exigirse una evaluación del posible impacto global en la eficiencia del mercado.
(42) Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un ámbito que corre mucho más riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras físicas de TIC sufran daños, debe mejorarse significativamente la notificación de incidentes graves relacionados con las TIC por parte de las entidades financieras.
La notificación de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigiéndoles que informen únicamente a sus autoridades competentes. Aunque todas las entidades financieras estarían sujetas a esta notificación, no todas ellas deberían verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar únicamente los incidentes graves relacionados con las TIC. La notificación directa permitiría a los supervisores financieros acceder a información sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta información a las autoridades públicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protección de datos y autoridades policiales o judiciales en caso de incidentes de carácter delictivo). La información sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva más amplia.
(43) Debe preverse una mayor reflexión sobre la posible centralización de los informes de incidentes relacionados con las TIC a través de un único centro neurálgico de la UE para los incidentes graves relacionados con las TIC que, bien reciba directamente los informes pertinentes y los notifique automáticamente a las autoridades nacionales competentes, bien centralice simplemente los informes transmitidos por las autoridades nacionales competentes y desempeñe una función de coordinación. Debe exigirse a las AES que, consultando con el BCE y la ENISA y antes de una fecha determinada, elaboren un informe conjunto en el que se estudie la viabilidad de crear dicho centro neurálgico de la UE.
(44) Con el fin de lograr una sólida resiliencia operativa digital, y en consonancia con las normas internacionales (por ejemplo, los Elementos Fundamentales del G7 para las pruebas de penetración guiadas por amenazas), las entidades financieras, excluidas las microempresas, deben probar periódicamente su personal y sus sistemas de TIC con respecto a la efectividad de sus capacidades de prevención, detección, respuesta y recuperación, a fin de descubrir y abordar posibles vulnerabilidades de TIC. Para responder a las diferencias entre los subsectores financieros y dentro de ellos en relación con la preparación de las entidades financieras en materia de ciberseguridad, las pruebas deben incluir una amplia variedad de herramientas y acciones, que van desde una evaluación de los requisitos básicos (por ejemplo, evaluaciones y exploraciones de vulnerabilidad, análisis del código abierto, evaluaciones de la seguridad de la red, análisis de carencias, revisiones de seguridad física, cuestionarios y soluciones de software de exploración, revisiones del código fuente cuando sea posible, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento o pruebas de extremo a extremo) hasta pruebas más avanzadas (por ejemplo, pruebas de penetración guiadas por amenazas en el caso de las entidades financieras suficientemente maduras desde la perspectiva de las TIC para realizar estas pruebas). Las pruebas de resiliencia operativa digital deberían, por tanto, ser más exigentes para las entidades financieras significativas (como grandes entidades de crédito, bolsas de valores, depositarios centrales de valores, entidades de contrapartida central, etc.). Al mismo tiempo, las pruebas de resiliencia operativa digital también deberían ser más relevantes para algunos subsectores que desempeñan un papel sistémico fundamental (por ejemplo, pagos, banca, compensación y liquidación) y menos relevantes para otros subsectores (por ejemplo, gestores de activos, agencias de calificación crediticia, etc.). Las entidades financieras transfronterizas que ejerzan su libertad de establecimiento o prestación de servicios en la Unión deben cumplir un único conjunto de requisitos de pruebas avanzadas (por ejemplo, pruebas de penetración guiadas por amenazas) en su Estado miembro de origen, y dicha prueba debe incluir las infraestructuras de TIC en todos los países o territorios en los que el grupo transfronterizo opere dentro de la Unión, permitiendo así que los grupos transfronterizos solo incurran en costes de pruebas en un país. Por otra parte, para reforzar la cooperación con países terceros de confianza en el ámbito de la resiliencia de las entidades financieras, la Comisión y las autoridades competentes deben procurar el establecimiento de un marco para el reconocimiento mutuo de los resultados de las TLPT.
Los Estados miembros deben designar una única autoridad pública responsable de las TLPT en el sector financiero a nivel nacional. La autoridad pública única podría ser, entre otras, una autoridad nacional competente o una autoridad pública designada de conformidad con el artículo 8 de la Directiva (UE) 2016/1148 (SRI). La autoridad pública única debe ser responsable de expedir las certificaciones de que las TLPT se han llevado a cabo de conformidad con los requisitos. Dichas certificaciones deben facilitar el reconocimiento mutuo de los ensayos entre las autoridades competentes.
Algunas entidades financieras tienen la capacidad de realizar pruebas internas avanzadas, mientras que otras contratarán a verificadores externos de dentro de la Unión o de un tercer país. Como tal, es importante que todos los testadores estén sujetos a los mismos requisitos claros. A fin de garantizar la independencia de los testadores internos, su uso debe estar sujeto a la aprobación de la autoridad competente.
No debe imponerse la metodología de las TLPT, sino que debe considerarse que el marco TIBER-EU existente se adapta a los requisitos de los TLPT tal como prevé este Reglamento.
Hasta la entrada en vigor del presente Reglamento y el desarrollo y adopción por parte de las AES de las normas técnicas de regulación de conformidad con las TLPT, las entidades financieras se atendrán a las directrices y marcos pertinentes en la Unión que se apliquen a las pruebas de penetración basadas en inteligencia, ya que seguirán siendo aplicables cuando el presente Reglamento entre en vigor.
(44 bis) La responsabilidad de llevar a cabo TLPT —y de gestionar de la ciberseguridad en general y prevenir el ciberataque— debe seguir recayendo plenamente en la entidad financiera, y las certificaciones facilitadas por las autoridades deben tener únicamente por objeto el reconocimiento mutuo y no deben impedir ninguna acción de seguimiento sobre el nivel de riesgo de TIC al que está expuesta la entidad financiera, ni considerarse un refrendo de sus capacidades de gestión y mitigación del riesgo de TIC.
(45) Para garantizar un seguimiento sólido del riesgo de terceros relacionado con las TIC, es necesario establecer un conjunto de normas basadas en principios para orientar el seguimiento por parte de las entidades financieras de los riesgos que surgen en el contexto de las funciones externalizadas a proveedores terceros de servicios de TIC, en particular, en lo que atañe a la provisión de funciones esenciales o importantes por tales proveedores y, de manera más general, en el contexto de las dependencias de terceros relacionadas con las TIC.
(46) Una entidad financiera debe seguir siendo en todo momento plenamente responsable del cumplimiento de las obligaciones derivadas del presente Reglamento. Debe organizarse un seguimiento proporcionado de los riesgos que surjan a nivel del proveedor tercero de servicios de TIC teniendo debidamente en cuenta la naturaleza, escala, complejidad e importancia de las dependencias relacionadas con las TIC, el carácter esencial o la importancia de los servicios, procesos o funciones sujetos a los acuerdos contractuales y, en última instancia, sobre la base de una evaluación cuidadosa de cualquier posible impacto en la continuidad y calidad de los servicios financieros a nivel individual y de grupo, según proceda, así como si los servicios de TIC son prestados por proveedores terceros de servicios o de su mismo grupo.
(47) La realización de dicho seguimiento debe seguir un enfoque estratégico para el riesgo de terceros relacionado con las TIC formalizado mediante la adopción por parte del órgano de dirección de la entidad financiera de una estrategia específica, basada en un examen continuo de todas esas dependencias de terceros relacionadas con las TIC. Para aumentar la sensibilización en de los supervisores sobre las dependencias de terceros en el sector de las TIC, y con vistas a apoyar en mayor medida el marco de supervisión establecido por el presente Reglamento, los supervisores financieros deben recibir periódicamente información esencial de los registros y deben poder solicitar extractos de la misma sobre una base ad hoc.
(48) Un análisis exhaustivo previo a la contratación debe sustentar y preceder a la celebración formal de acuerdos contractuales, mientras que las medidas correctoras y de subsanación, entre las que puede figurar la rescisión total o parcial de los contratos, deben adoptarse en el caso de que se produzcan, como mínimo, una serie de circunstancias que pongan de manifiesto graves deficiencias en el proveedor tercero de servicios de TIC.
(49) Para abordar el impacto sistémico del riesgo de concentración de terceros en el ámbito de las TIC, debe promoverse una solución equilibrada mediante un enfoque flexible y gradual, ya que unos techos rígidos o unas limitaciones estrictas pueden obstaculizar la conducta empresarial y la libertad contractual. Las entidades financieras deben evaluar exhaustivamente los acuerdos contractuales para determinar la probabilidad de que aparezca dicho riesgo, incluso mediante análisis en profundidad de los acuerdos de subexternalización▐. En esta fase, y con el fin de lograr un equilibrio justo entre el imperativo de preservar la libertad contractual y el de garantizar la estabilidad financiera, no se considera apropiado establecer techos y límites estrictos a las exposiciones frente a terceros en el ámbito de las TIC. El órgano de supervisión conjunta que efectúe la supervisión de cada proveedor tercero esencial de TIC y la AES designada para llevar cabo la supervisión diaria («el supervisor principal») debe prestar especial atención a comprender plenamente la magnitud de las interdependencias y descubrir los casos específicos en los que un alto grado de concentración de proveedores terceros esenciales de servicios de TIC en la Unión pueda poner bajo presión la estabilidad e integridad del sistema financiero de la Unión, y debe, en su lugar, facilitar un diálogo con los proveedores terceros esenciales de servicios de TIC cuando se detecte ese riesgo[14].
(50) Para poder evaluar y controlar periódicamente la capacidad del proveedor tercero de servicios de TIC para prestar servicios de forma segura a la entidad financiera sin que ello afecte negativamente a la capacidad de resiliencia de esta, debe existir una armonización de los elementos contractuales clave a lo largo de la ejecución de los contratos con proveedores terceros de TIC. Estos elementos solo cubren aspectos contractuales mínimos que se consideran cruciales para permitir un seguimiento completo por parte de la entidad financiera con vistas a garantizar su resiliencia digital, que depende de la estabilidad y la seguridad del servicio de TIC.
(51) Los acuerdos contractuales deben prever, en particular, descripciones completas de las funciones y servicios, de los lugares en los que se prestan tales funciones y en los que se procesan los datos, así como descripciones completas del nivel de servicio, acompañadas de objetivos de rendimiento cuantitativos y cualitativos dentro de los niveles de servicio acordados, a fin de permitir un seguimiento eficaz por parte de la entidad financiera. En la misma línea, las disposiciones sobre accesibilidad, disponibilidad, integridad, seguridad y protección de los datos personales, así como las garantías de acceso, recuperación y devolución en caso de insolvencia, resolución o interrupción de las operaciones comerciales del proveedor tercero de servicios de TIC, o la rescisión de los acuerdos contractuales también deben considerarse elementos esenciales para la capacidad de una entidad financiera de garantizar el control del riesgo de terceros.
(52) Para garantizar que las entidades financieras mantengan el pleno control de todos los cambios que puedan afectar a su seguridad de TIC, deben establecerse plazos de notificación y obligaciones de información del proveedor tercero de servicios de TIC en caso de cambios que puedan tener un impacto importante en la capacidad del proveedor tercero de servicios de TIC para desempeñar eficazmente funciones esenciales o importantes, incluida la prestación de asistencia por parte de este último en caso de incidente relacionado con las TIC que ataña a los servicios que presta el proveedor tercero de servicios de TIC a la entidad financiera de acuerdo con los niveles de servicio acordados, sin coste adicional o a un coste determinado de antemano. Los servicios de TIC complementarios de los que no dependan operativamente las entidades financieras no serán objeto del presente Reglamento.
Además, la definición de «función esencial o importante» que figura en el presente Reglamento debe englobar la definición de «funciones esenciales» del artículo 2, apartado 1, punto (35), de la Directiva 2014/59/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014[15]. De este modo, las funciones que se consideren esenciales con arreglo a la citada Directiva serán esenciales o importantes en el sentido del presente Reglamento.
(53) En caso de que existan acuerdos contractuales para las funciones esenciales o importantes, los derechos de acceso, inspección y auditoría por parte de la entidad financiera o de un tercero designado son instrumentos cruciales en el seguimiento permanente por parte de las entidades financieras del rendimiento del proveedor tercero de servicios de TIC, junto con la plena cooperación de este último durante las inspecciones. En la misma línea, el órgano de supervisión conjunta y el supervisor principal de la entidad financiera deben tener el derecho de inspeccionar y auditar, previa notificación, al proveedor tercero de servicios de TIC, sin perjuicio de la confidencialidad, al tiempo que aplican la cautela de no perturbar los servicios prestados a otros clientes del proveedor tercero de servicios de TIC. La entidad financiera y el proveedor tercero de servicios de TIC deben poder acordar que los derechos de acceso, inspección y auditoría puedan delegarse en un tercero independiente.
(54) Los acuerdos contractuales deben prever derechos de rescisión claros y los correspondientes preavisos mínimos, así como estrategias específicas de salida que permitan, en particular, períodos transitorios obligatorios durante los cuales los proveedores terceros de servicios de TIC deben seguir desempeñando las funciones pertinentes con vistas a reducir el riesgo de perturbaciones a nivel de la entidad financiera, o permitir a esta última recurrir efectivamente a otros proveedores terceros de servicios de TIC, o alternativamente a soluciones internas, en consonancia con la complejidad del servicio prestado. Asimismo, las entidades de crédito deben velar por que los contratos de TIC sean sólidos y plenamente aplicables en caso de resolución de la entidad en cuestión. En consonancia con las expectativas de las autoridades de resolución, las entidades de crédito garantizarán que los contratos de servicios de TIC correspondientes sean resistentes a las resoluciones. Mientras se sigan desempeñando funciones TIC esenciales o importantes, dichas entidades financieras se asegurarán de que los contratos prevean, entre otros requisitos, cláusulas de no rescisión, de no suspensión o de no modificación por motivo de reestructuración o resolución.
(55) Además, el uso voluntario de las cláusulas contractuales tipo desarrolladas por la Comisión para los servicios de computación en la nube puede ofrecer mayor confianza a las entidades financieras y a sus proveedores terceros de TIC, al aumentar el nivel de seguridad jurídica sobre el uso de los servicios de computación en la nube por parte del sector financiero, respetando plenamente los requisitos y expectativas establecidos en la normativa sobre servicios financieros. Ese trabajo se basa en las medidas ya previstas en el Plan de Acción en materia de Tecnología Financiera de 2018, que anunciaba la intención de la Comisión de fomentar y facilitar el desarrollo de cláusulas contractuales tipo para la externalización de servicios de computación en la nube por parte de las entidades financieras, basándose en los esfuerzos intersectoriales de las partes interesadas del ámbito de los servicios de computación en la nube, que la Comisión ha facilitado con la ayuda de la participación del sector financiero.
(55 bis) Debe encomendarse a las AES la elaboración de normas técnicas y regulatorias que especifiquen las expectativas de las políticas en materia de gestión del riesgo de terceros relacionados con las TIC y de requisitos contractuales. Hasta la entrada en vigor de dichas normas, las entidades financieras deben seguir las directrices pertinentes y otras medidas emitidas por las AES y las autoridades competentes.
(56) Los proveedores terceros esenciales de servicios de TIC deben estar sujetos a un marco de supervisión de la Unión, con vistas a promover la convergencia y la eficiencia en relación con los enfoques de supervisión del riesgo de terceros relacionado con las TIC en el sector financiero, reforzar la resiliencia operativa digital de las entidades financieras que dependen de proveedores terceros esenciales de servicios de TIC para el desempeño de funciones operativas, y contribuir así a preservar la estabilidad del sistema financiero de la Unión y la integridad del mercado único de servicios financieros.
(57) Dado que solo los proveedores terceros esenciales de servicios requieren un trato especial, debe establecerse un mecanismo de designación a efectos de la aplicación del marco de supervisión de la Unión para tener en cuenta la dimensión y la naturaleza de la dependencia del sector financiero de dichos proveedores terceros de servicios de TIC, consistente en un conjunto de criterios cuantitativos y cualitativos que establecerían los parámetros para determinar el carácter esencial a efectos de la inclusión en el marco de supervisión. Los proveedores terceros esenciales de servicios de TIC que no sean designados automáticamente en virtud de la aplicación de los criterios mencionados anteriormente deben tener la posibilidad de participar voluntariamente en el marco de supervisión, mientras que los proveedores terceros de TIC que ya estén sujetos a los mecanismos de vigilancia que apoyen el cumplimiento de las atribuciones a nivel del Eurosistema a que se refiere el artículo 127, apartado 2, del Tratado de Funcionamiento de la Unión Europea deben quedar exentos. Del mismo modo, las empresas que formen parte de un grupo financiero y presten servicios de TIC exclusivamente a entidades financieras de ese mismo grupo financiero no se someterán al mecanismo de designación de empresas esenciales.
(58) El requisito de la constitución legal en la Unión de los proveedores terceros de servicios de TIC que hayan sido designados como esenciales no equivale a un requisito de localización de datos, ya que el presente Reglamento no contiene ninguna otra exigencia de que el almacenamiento o tratamiento de datos deba llevarse a cabo en la Unión. El requisito de contar con empresa, como una filial constituida en la Unión con arreglo a la legislación de un Estado miembro, tiene por objeto proporcionar un punto de contacto entre el proveedor tercero de servicios de TIC, por una parte, y el supervisor principal y el órgano de supervisión conjunta, por otra, y garantizar que el supervisor principal y el órgano de supervisión conjunta puede desempeñar sus obligaciones y ejercer sus facultades de supervisión y ejecución con arreglo a lo previsto en el presente Reglamento. Los servicios contratados del proveedor tercero de servicios de TIC no tienen que ser prestados por su entidad en la Unión.
(58 bis) Debido al impacto significativo que la designación como esencial puede ejercer en los proveedores terceros de servicios de TIC, deben establecerse derechos de audiencia previa como obligación impuesta a las AES y al órgano de supervisión conjunta para que tenga debidamente en cuenta toda información adicional facilitada por los proveedores terceros de servicios de TIC durante el proceso de designación.
(59) El marco de supervisión debe entenderse sin perjuicio de la competencia de los Estados miembros para llevar a cabo sus propias misiones de supervisión con respecto a los proveedores terceros de servicios de TIC que no sean esenciales en virtud del presente Reglamento, pero que podrían considerarse importantes a nivel nacional.
(60) Para aprovechar la actual arquitectura institucional de múltiples niveles en el ámbito de los servicios financieros, el Comité Mixto de las AES debe seguir garantizando la coordinación intersectorial general en relación con todos los asuntos relacionados con el riesgo de TIC, de conformidad con sus funciones en materia de ciberseguridad, a través del recientemente creado órgano de supervisión conjunta que emite tanto decisiones individuales dirigidas a proveedores terceros esenciales de servicios de TIC como recomendaciones colectivas, en particular sobre la evaluación comparativa de los programas de supervisión de proveedores terceros esenciales de servicios de TIC, y que determine las buenas prácticas para abordar las cuestiones relativas al riesgo de concentración de TIC.
(61) A fin de garantizar que los proveedores terceros de servicios de TIC que desempeñen un papel esencial en el funcionamiento del sector financiero sean objeto de una supervisión proporcionada a escala de la Unión, el órgano de supervisión conjunta debe establecerse para efectuar una supervisión directa de los proveedores terceros de servicios de TIC. Asimismo, debe designarse a una de las AES como supervisor principal de cada proveedor tercero esencial de servicios de TIC para llevar a cabo y coordinar el trabajo cotidiano de supervisión e investigación, actuar como punto de contacto único y garantizar la continuidad. El órgano de supervisión conjunta y el supervisor principal deben trabajar sin fisuras para garantizar una supervisión diaria eficiente, así como un enfoque holístico de la toma de decisiones y las recomendaciones.
(62) Los supervisores principales deben gozar de las competencias necesarias para llevar a cabo investigaciones e inspecciones in situ de proveedores terceros esenciales de servicios de TIC, acceder a todos los locales y lugares pertinentes y obtener información completa y actualizada que les permita contar con una visión real del tipo, dimensión e impacto del riesgo de terceros relacionado con las TIC a que se enfrentan las entidades financieras y, en última instancia, el sistema financiero de la Unión.
(62 bis) Encomendar al órgano de supervisión conjunta la supervisión es un requisito previo para captar y abordar la dimensión sistémica del riesgo de TIC en las finanzas. El lugar que ocupan en la Unión los proveedores terceros esenciales de servicios de TIC y los consiguientes problemas potenciales del riesgo de concentración de TIC exigen adoptar un enfoque colectivo aplicado a nivel de la Unión. El ejercicio de múltiples derechos de auditoría y acceso, llevado a cabo por numerosas autoridades competentes por separado y con una coordinación escasa o nula, no daría lugar a una visión general completa del riesgo de terceros relacionado con las TIC, al tiempo que crearía redundancias, cargas y complejidad innecesarias para los proveedores terceros esenciales de TIC sobre los que recaigan tales solicitudes.
(63) El órgano de supervisión conjunta debe poder emitir recomendaciones sobre cuestiones relacionadas con el riesgo de TIC y soluciones adecuadas, oponiéndose asimismo a determinados acuerdos contractuales que afecten en última instancia a la estabilidad de la entidad financiera o del sistema financiero. El cumplimiento de dichas recomendaciones sustantivas establecidas por el órgano de supervisión conjunta debe ser tenido debidamente en cuenta por las autoridades nacionales competentes en el marco de su función de supervisión prudencial de las entidades financieras. Previamente a la finalización de tales recomendaciones, a los proveedores terceros esenciales de servicios de TIC se les debe brindar la oportunidad de facilitar información que razonablemente crean que debe tenerse en cuenta antes de que se culminen y se emitan las recomendaciones.
(63 bis) Con el fin de evitar la duplicación y las contradicciones con las medidas técnicas y organizativas que puedan aplicarse a los proveedores terceros esenciales de servicios de TIC, los supervisores principales y el órgano de supervisión conjunta deberán tener en cuenta el marco establecido por la Directiva (UE) 2016/1148 en el ejercicio de sus facultades con arreglo al marco de supervisión del presente Reglamento. Antes de ejercer tales facultades, el órgano de supervisión conjunta y el supervisor principal deben consultar con las autoridades competentes de conformidad con la Directiva (UE) 2016/1148.
(64) El marco de supervisión no sustituirá, ni en modo alguno ni en ninguna parte, a la gestión por las entidades financieras del riesgo que entraña el recurso a proveedores terceros de servicios de TIC, incluida la obligación de hacer un seguimiento permanente de sus acuerdos contractuales celebrados con proveedores terceros esenciales de servicios de TIC, y no afectará a la plena responsabilidad de las entidades financieras en el cumplimiento y la observancia de todos los requisitos del presente Reglamento y de la legislación pertinente en materia de servicios financieros. Para evitar duplicaciones y solapamientos, las autoridades competentes deben abstenerse de adoptar individualmente cualquier medida destinada a supervisar los riesgos de los proveedores terceros esenciales de servicios de TIC. Estas medidas deben coordinarse y acordarse previamente en el contexto del marco de supervisión.
(65) A fin de promover la convergencia a nivel internacional sobre las buenas prácticas que deben utilizarse en la revisión de la gestión de riesgos digitales por parte de proveedores terceros de servicios de TIC, debe alentarse a las AES a que celebren acuerdos de cooperación con las autoridades competentes pertinentes de terceros países en materia de supervisión y regulación, a fin de facilitar el desarrollo de buenas prácticas que aborden el riesgo de terceros relacionado con las TIC.
(66) Para aprovechar la pericia técnica de los expertos de las autoridades competentes en gestión de riesgos operativos y de TIC, los supervisores principales, cuando lleven a cabo investigaciones generales o inspecciones in situ, deben basarse en la experiencia nacional en materia de supervisión y crear equipos de examen específicos para cada proveedor tercero esencial de servicios de TIC, agrupando equipos multidisciplinares para apoyar tanto la preparación como la ejecución real de las actividades de supervisión, incluidas las inspecciones in situ de proveedores terceros esenciales de servicios de TIC, así como el seguimiento necesario de las mismas.
(67) Las autoridades competentes deben disponer de todas las facultades de supervisión, investigación y sanción necesarias para garantizar la aplicación del presente Reglamento. En principio, las sanciones administrativas deben hacerse públicas. Dado que las entidades financieras y los proveedores terceros de servicios de TIC pueden estar establecidos en diferentes Estados miembros y estar bajo la supervisión de diferentes autoridades sectoriales competentes, se debe garantizar una estrecha cooperación entre las pertinentes autoridades competentes, incluido el BCE, en relación con las tareas específicas que le encomienda el Reglamento (UE) n.º 1024/2013[16] del Consejo, y debe garantizarse la consulta con las AES mediante el intercambio de información y la prestación de asistencia mutua en el contexto de las actividades de supervisión. Pese a no ser una autoridad competente a efectos del presente Reglamento, debe involucrarse a la Junta Única de Resolución en los mecanismos de intercambio mutuo de información para entes incluidos en el ámbito de aplicación del Reglamento (UE) n.º 806/2014 del Parlamento Europeo y del Consejo[17].
(68) A fin de cuantificar y calificar en mayor medida los criterios de designación de proveedores terceros esenciales de servicios de TIC y armonizar las tasas de supervisión, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea encaminados a especificar con más detalle: el impacto sistémico que un fallo de un proveedor tercero de TIC podría tener en las entidades financieras a las que presta servicios, el número de entidades de importancia sistémica mundial (EISM) u otras entidades de importancia sistémica (OEIS) que dependen del proveedor tercero de servicios de TIC correspondiente, el número de proveedores terceros de servicios de TIC activos en un mercado específico, los costes de migración a otro proveedor tercero de servicios de TIC, el número de Estados miembros en los que el proveedor tercero de servicios de TIC pertinente presta servicios y en los que las entidades financieras que recurren a sus servicios operan, así como la cuantía de las tasas de supervisión y las modalidades de pago.
Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación[18]. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.
(69) Dado que el presente Reglamento, junto con la Directiva (UE) 20xx/xx del Parlamento Europeo y del Consejo[19], implica una consolidación de las disposiciones en materia de gestión del riesgo de TIC que se extienden por múltiples reglamentos y directivas del acervo de la Unión en materia de servicios financieros, incluidos los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014, y con el fin de garantizar la plena coherencia, dichos Reglamentos deben modificarse para aclarar que las disposiciones pertinentes relacionadas con el riesgo de TIC se establecen en el presente Reglamento.
Las orientaciones emitidas por las AES o que están siendo preparadas por estas sobre la aplicación de esos Reglamentos o Directivas deben ser analizadas y revisadas como parte del proceso de consolidación, de manera que la base jurídica de los requisitos relativos al riesgo de TIC en el Derecho de la Unión se derive exclusivamente del presente Reglamento, de sus actos de ejecución y de las decisiones y recomendaciones adoptadas de conformidad con este, en lo que concierne a las entidades incluidas en su ámbito de aplicación.
(69 bis) Debe garantizarse la armonización coherente de los requisitos establecidos en el presente Reglamento mediante normas técnicas. Como organismos que disponen de conocimientos técnicos altamente especializados, debe otorgarse a las AES el mandato de elaborar proyectos de normas técnicas de regulación que no conlleven opciones políticas, para su presentación a la Comisión. Deben elaborarse normas técnicas de regulación en los ámbitos de la gestión del riesgo de TIC, la presentación de información, las pruebas y los requisitos clave para un seguimiento sólido del riesgo de terceros relacionado con las TIC. Al elaborar el proyecto de normas técnicas de regulación, las AES deben tener debidamente en cuenta su mandato en lo que atañe a los aspectos de proporcionalidad, y recabar el asesoramiento de sus respectivos Comités Consultivos de Proporcionalidad, particularmente en lo que se refiere a la aplicación del presente Reglamento a las pymes y las empresas de mediana capitalización.
(70) Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos. La Comisión y las AES deben velar por que todas las entidades financieras puedan aplicar esas normas y esos requisitos de manera proporcionada a la naturaleza, la escala y la complejidad de dichas entidades y de sus actividades.
(71) Para facilitar la comparabilidad de los informes sobre incidentes graves relacionados con las TIC y garantizar la transparencia de los acuerdos contractuales para el uso de servicios de TIC prestados por proveedores terceros de servicios de TIC, debe encomendarse a las AES la elaboración de proyectos de normas técnicas de ejecución que establezcan plantillas, formularios y procedimientos normalizados para que las entidades financieras notifiquen un incidente grave relacionado con las TIC, así como plantillas normalizadas para el registro de información. A la hora de elaborar dichas normas, las AES deben tener en cuenta la naturaleza, el tamaño, la complejidad y el perfil empresarial de las entidades financieras, así como la naturaleza y el nivel de riesgo de sus actividades. Se deben otorgar a la Comisión competencias para adoptar dichas normas técnicas de ejecución mediante actos de ejecución, con arreglo al artículo 291 del TFUE y de conformidad con el artículo 15 de los Reglamentos (UE) n.º 1093/2010, (UE) n.º 1094/2010 y (UE) n.º 1095/2010. Dado que ya se han especificado requisitos adicionales mediante actos delegados y de ejecución basados en normas técnicas de regulación y de ejecución previstas en los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014, procede encargar a las AES, ya sea individual o conjuntamente a través del Comité Mixto, que presenten a la Comisión normas técnicas de regulación y de ejecución para la adopción de actos delegados y de ejecución que recojan y actualicen las actuales normas de gestión del riesgo de TIC.
(72) Este ejercicio implicará la consiguiente modificación de los actos delegados y de ejecución vigentes adoptados en diferentes ámbitos de la legislación sobre servicios financieros. El ámbito de aplicación de los artículos sobre el riesgo operativo en virtud de los cuales las habilitaciones contenidas en dichos actos preveían la adopción de actos delegados y de ejecución debe modificarse con el fin de incorporar al presente Reglamento todas las disposiciones relativas a la resiliencia operativa digital que forman actualmente parte de dichos Reglamentos.
(73) Dado que los objetivos del presente Reglamento, a saber, conseguir un alto nivel de resiliencia operativa digital aplicable a todas las entidades financieras, no pueden alcanzarse de manera suficiente por los Estados miembros, pues requieren la armonización de una multitud de normas diferentes, que en la actualidad existen, bien en determinados actos de la Unión, bien en los ordenamientos jurídicos de los distintos Estados miembros, sino que, debido a sus dimensiones y efectos, pueden lograrse mejor a escala de la Unión, esta última puede adoptar medidas de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.
HAN ADOPTADO EL PRESENTE REGLAMENTO:
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1
Objeto
1. El presente Reglamento establece requisitos uniformes relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de las entidades financieras, los cuales son necesarios para lograr un elevado nivel común de resiliencia operativa digital y comprenden lo siguiente:
a) requisitos aplicables a las entidades financieras en relación con:
– la gestión de riesgos en el ámbito de las tecnologías de la información y la comunicación (TIC);
– la notificación de incidentes graves relacionados con las TIC a las autoridades competentes;
– la notificación de incidentes operativos o de seguridad graves relacionados con los pagos a las autoridades competentes por parte de las entidades financieras a las que se alude en el artículo 2, apartado 1, letras a) a c);
– las pruebas de resiliencia operativa digital;
– el intercambio de información e inteligencia en relación con las ciberamenazas y las vulnerabilidades cibernéticas;
– las medidas para la buena gestión del riesgo de terceros relacionado con las TIC por parte de las entidades financieras;
b) requisitos en relación con los acuerdos contractuales celebrados entre proveedores terceros de servicios de TIC y entidades financieras;
c) el marco de supervisión de los proveedores terceros esenciales de servicios de TIC cuando presten servicios a entidades financieras;
d) normas sobre cooperación entre autoridades competentes y normas sobre supervisión y ejecución por parte de las autoridades competentes en relación con todos los asuntos cubiertos por el presente Reglamento.
2. En relación con las entidades financieras identificadas como operadores de servicios esenciales con arreglo a las normas nacionales que transponen el artículo 5 de la Directiva (UE) 2016/1148, el presente Reglamento se considerará un acto jurídico sectorial de la Unión a efectos del artículo 1, apartado 7, de dicha Directiva.
2 bis. El presente Reglamento se entenderá sin perjuicio de las competencias de los Estados miembros relativas al mantenimiento de la seguridad pública, la defensa y la seguridad nacional.
Artículo 2
Ámbito de aplicación personal
1. El presente Reglamento se aplicará a las siguientes entidades:
a) entidades de crédito,
b) entidades de pago,
c) entidades de dinero electrónico,
d) empresas de servicios de inversión,
e) proveedores de servicios de criptoactivos, emisores y oferentes de criptoactivos, emisores y oferentes de fichas referenciadas a activos y emisores de fichas significativas referenciadas a activos,
f) depositarios centrales de valores y operadores de sistemas de liquidación de valores,
g) entidades de contrapartida central,
h) centros de negociación,
i) registros de operaciones,
j) gestores de fondos de inversión alternativos,
k) sociedades de gestión,
l) proveedores de servicios de suministro de datos,
m) empresas de seguros y de reaseguros,
n) intermediarios de seguros, intermediarios de reaseguros e intermediarios de seguros complementarios, que no sean microempresas, pequeñas o medianas empresas, salvo que esas microempresas, pequeñas o medianas empresas dependan exclusivamente de sistemas de venta automatizados organizados,
o) fondos de pensiones de empleo (FPE), que no gestionen planes de pensiones con menos de 15 miembros en total,
p) agencias de calificación crediticia,
q) auditores legales y sociedades de auditoría que no sean microempresas, pequeñas o medianas empresas, salvo que esas microempresas, pequeñas o medianas empresas presten servicios de auditoría a las entidades enumeradas en el presente artículo, excepto las microempresas, pequeñas o medianas empresas que sean entidades de auditoría sin ánimo de lucro con arreglo al artículo 2, apartado 3, del Reglamento (UE) n.º 537/2014, a menos que la autoridad competente decida que la excepción no es válida,
r) administradores de índices de referencia cruciales,
s) proveedores de servicios de financiación participativa,
t) registros de titulizaciones,
u) proveedores terceros de servicios de TIC.
1 bis. El presente Reglamento, a excepción de la sección II del capítulo V, se aplica también a los proveedores de servicios de TIC de un mismo grupo.
2. A efectos del presente Reglamento, las entidades a que se refieren las letras a) a t) se denominarán colectivamente «entidades financieras».
2 bis. A los efectos del presente Reglamento, con la excepción de la sección II del capítulo V, los proveedores terceros de servicios de TIC y los proveedores terceros de servicios de un mismo grupo se denominarán conjuntamente «proveedores terceros de servicios de TIC».
Artículo 3
Definiciones
A efectos del presente Reglamento, se entenderá por: «resiliencia operativa digital»:
1) «resiliencia operativa digital»: la capacidad de una entidad financiera para construir, garantizar y revisar su integridad operativa ▌garantizando, directa o indirectamente, mediante el uso de servicios de proveedores terceros de TIC, ▌la prestación continuada de servicios y su calidad frente a las perturbaciones operativas que repercuten en las capacidades de TIC de las entidades financieras;
2) «redes y sistemas de información»: las redes y los sistemas de información según se definen en el artículo 4, punto 1, de la Directiva (UE) 2016/1148;
3) «seguridad de las redes y los sistemas de información»: la seguridad de las redes y los sistemas de información según se definen en el artículo 4, punto 2, de la Directiva (UE) 2016/1148;
4) «riesgo de TIC»: cualquier circunstancia razonablemente identificable en relación con el uso de redes y sistemas de información ▌que, si se materializa, puede comprometer la seguridad de las redes y los sistemas de información, de cualquier herramienta o proceso TIC dependiente de la tecnología, de la ejecución de las operaciones y los procesos, o de la prestación de servicios▌;
5) «activo de información»: un compendio de información, tangible o intangible, que conviene proteger;
6) «incidente relacionado con las TIC»: un incidente no previsto o una serie de incidentes vinculados detectados en las redes y los sistemas de información▌ que ponga en peligro la seguridad de las redes y sistemas de información▌ o que tenga efectos adversos sobre la disponibilidad, confidencialidad, continuidad, la integridad o autenticidad de los servicios financieros prestados por la entidad financiera;
6 bis) «incidente operativo o de seguridad relacionado con los pagos»: un suceso o una serie de sucesos vinculados no previstos por las entidades financieras a que se refiere el artículo 2, apartado 1, letras a) a c) que tenga o pueda tener un impacto adverso en la integridad, disponibilidad, confidencialidad, autenticidad o continuidad de los servicios relacionados con los pagos;
7) «incidente grave relacionado con las TIC»: un incidente relacionado con las TIC que tenga o pueda tener un impacto potencialmente elevado en las redes y los sistemas de información que sustentan las funciones esenciales de la entidad financiera;
7 bis) «incidente operativo o de seguridad grave relacionado con los pagos»: un incidente operativo o de seguridad relacionado con los pagos que cumpla los criterios previstos en el artículo 16;
8) «ciberamenaza»: una ciberamenaza tal como se define en el artículo 2, punto 8, del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo[20];
8 bis) «ciberamenaza significativa»: una ciberamenaza cuyas características indican claramente que pueda provocar un incidente grave relacionado con las TIC;
9) «ciberataque»: un incidente malintencionado relacionado con las TIC consistente en un intento de destruir, exponer, alterar, desactivar o robar un activo, obtener acceso no autorizado a ese activo o hacer uso no autorizado del mismo, perpetrado por cualquier actor de amenazas;
10) «inteligencia sobre amenazas»: información que se ha agregado, transformado, analizado, interpretado o enriquecido para proporcionar el contexto necesario para la toma de decisiones y que aporta una comprensión pertinente y suficiente para mitigar el impacto de un incidente relacionado con las TIC o una ciberamenaza, incluidos los detalles técnicos de un ciberataque, los responsables del ataque, su modus operandi y sus motivaciones;
11) «defensa en profundidad»: estrategia relacionada con las TIC que integra a las personas, los procesos y la tecnología para establecer una variedad de barreras en múltiples capas y dimensiones de la entidad;
12) «vulnerabilidad»: debilidad, susceptibilidad o defecto de un activo, sistema, proceso o control que puede ser aprovechado por una ciberamenaza;
13) «pruebas de penetración guiadas por amenazas»: un marco que imita las tácticas, técnicas y procedimientos de actores de amenazas reales que se considera presentan una auténtica ciberamenaza, y que da lugar a una prueba controlada, a medida y basada en inteligencia (equipo rojo) de los sistemas de producción en vivo esenciales de la entidad;
14) «riesgo de terceros relacionado con las TIC»: el riesgo de TIC que puede surgir para una entidad financiera en relación con su uso de servicios de TIC prestados por proveedores terceros de servicios de TIC o por subcontratistas de estos últimos;
15) «proveedor tercero de servicios de TIC»: una empresa que presta servicios de TIC y de datos, incluidas las entidades financieras que prestan servicios TIC que forman parte de una empresa que preste una gama más amplia de productos o servicios, pero excluidos los proveedores de componentes de hardware y las empresas autorizadas con arreglo al Derecho de la Unión que prestan servicios de comunicaciones electrónicas, tal como se definen en el artículo 2, punto 4, de la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo[21];
15 bis) «proveedor tercero de servicios de TIC de un mismo grupo»: una empresa que forma parte de un grupo financiero y presta servicios de TIC exclusivamente a entidades financieras del mismo grupo o a entidades financieras que pertenecen al mismo sistema de protección institucional, incluidas sus sociedades matrices, filiales, sucursales u otras entidades que se encuentren sujetas a una propiedad o un control comunes;
16) «servicios de TIC»: servicios digitales y de datos prestados de forma continua a través de los sistemas de TIC a uno o varios usuarios internos o externos, excluidos los contratos de telecomunicaciones;
17) «función esencial o importante»: una actividad o servicio esencial para el funcionamiento de una entidad financiera y cuya perturbación afectaría significativamente a la solidez o continuidad de las actividades o servicios de la entidad financiera, o cuya interrupción o ejecución defectuosa o fallida afectaría significativamente al cumplimiento continuado de una entidad financiera con las condiciones y obligaciones de su autorización, o con sus demás obligaciones en virtud de la legislación aplicable en materia de servicios financieros, incluidas las «funciones esenciales» definidas en el artículo 2, apartado 1, punto 35, de la Directiva 2014/59/UE;
18) «proveedor tercero esencial de servicios de TIC»: un proveedor tercero de servicios de TIC designado de conformidad con el artículo 28 y sujeto al marco de supervisión a que se refieren los artículos 29 a 37;
19) «proveedor tercero de servicios de TIC establecido en un tercer país»: un proveedor tercero de servicios de TIC que sea una persona jurídica establecida en un tercer país▌ y haya celebrado un acuerdo contractual con una entidad financiera para la prestación de servicios de TIC;
20) «subcontratista de TIC establecido en un tercer país»: un subcontratista de TIC que sea una persona jurídica establecida en un tercer país ▌y haya celebrado un acuerdo contractual con un proveedor tercero de servicios de TIC o con un proveedor tercero de servicios de TIC establecido en un tercer país;
21) «riesgo de concentración de TIC»: una exposición a uno o múltiples proveedores terceros esenciales de servicios de TIC relacionados que cree un grado de dependencia con respecto a dichos proveedores tal que la indisponibilidad o un fallo u otro tipo de deficiencia de estos últimos pueda poner en peligro la estabilidad financiera de la Unión en su conjunto o la capacidad de una entidad financiera▌ para desempeñar funciones esenciales o soportar otro tipo de efectos adversos, incluidas grandes pérdidas;
22) «órgano de dirección»: un órgano de dirección tal como se define en el artículo 4, apartado 1, punto 36, de la Directiva 2014/65/UE, en el artículo 3, apartado 1, punto 7, de la Directiva 2013/36/UE, en el artículo 2, apartado 1, letra s), de la Directiva 2009/65/CE, en el artículo 2, apartado 1, punto 45, del Reglamento (UE) n.º 909/2014, en el artículo 3, apartado 1, punto 20, del Reglamento (UE) 2016/1011 del Parlamento Europeo y del Consejo[22], y en el artículo 3, apartado 1, punto 18, del Reglamento (UE) 20xx/xx del Parlamento Europeo y del Consejo[23] [MICA], o las personas equivalentes que dirijan efectivamente la entidad o desempeñen funciones clave de conformidad con la legislación nacional o de la Unión pertinente;
23) «entidad de crédito»: una entidad de crédito tal como se define en el artículo 4, apartado 1, punto 1, del Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo[24];
23 bis) «entidad de crédito eximida por la Directiva 2013/36/UE»: entidad de crédito beneficiaria de una exención con arreglo al artículo 2, apartado 5, puntos 4 a 23 de la Directiva 2013/36/UE;
24) «empresa de servicios de inversión»: una empresa de servicios de inversión tal como se define en el artículo 4, apartado 1, punto 1, de la Directiva 2014/65/UE;
24 bis) «empresa de servicios de inversión pequeña y no interconectada»: una empresa de servicios de inversión que cumple las condiciones establecidas en el artículo 12, apartado 1 del Reglamento (UE) 2019/2033;
25) «entidad de pago»: una entidad de pago tal como se define en el artículo 1, apartado 1, letra d), de la Directiva (UE) 2015/2366;
25 bis) «entidad de pago eximida por la Directiva (UE) 2015/2366»: una entidad de pago beneficiaria de una exención con arreglo al artículo 32, apartado 1 de la Directiva (UE) 2015/2366;
26) «entidad de dinero electrónico»: una entidad de dinero electrónico tal como se define en el artículo 2, punto 1, de la Directiva 2009/110/CE del Parlamento Europeo y del Consejo[25];
26 bis) «entidad de dinero electrónico eximida por la Directiva 2009/110/CE»: una entidad de dinero electrónico beneficiaria de una excepción con arreglo al artículo 9 de la Directiva 2009/110/CE;
27) «entidad de contrapartida central»: una entidad de contrapartida central tal como se define en el artículo 2, punto 1, del Reglamento (UE) n.º 648/2012;
28) «registro de operaciones»: un registro de operaciones tal como se define en el artículo 2, punto 2, del Reglamento (UE) n.º 648/2012;
29) «depositario central de valores»: un depositario central de valores tal como se define en el artículo 2, apartado 1, punto 1, del Reglamento (UE) n.º 909/2014; un registro de operaciones tal como se define en el artículo 2, punto 2, del Reglamento (UE) n.º 648/2012;
30) «centro de negociación» un centro de negociación tal como se define en el artículo 4, apartado 1, punto 24, de la Directiva 2014/65/UE;
31) «gestor de fondos de inversión alternativos»: un gestor de fondos de inversión alternativos tal como se define en el artículo 4, apartado 1, letra b), de la Directiva 2011/61/UE;
32) «sociedad de gestión»: una sociedad de gestión tal como se define en el artículo 2, apartado 1, letra b), de la Directiva 2009/65/CE;
33) «proveedor de servicios de suministro de datos»: un proveedor de servicios de suministro de datos tal como se define en el artículo 4, apartado 1, punto 63, de la Directiva 2014/65/UE;
34) «empresa de seguros»: una empresa de seguros tal como se define en el artículo 13, punto 1, de la Directiva 2009/138/CE;
35) «empresa de reaseguros»: una empresa de reaseguros tal como se define en el artículo 13, punto 4, de la Directiva 2009/138/CE;
36) «intermediario de seguros»: un intermediario de seguros tal como se define en el artículo 2, apartado 1, punto 3, de la Directiva (UE) 2016/97;
37) «intermediario de seguros»: un intermediario de seguros complementarios tal como se define en el artículo 2, apartado 1, punto 4, de la Directiva (UE) 2016/97;
38) «intermediario de seguros»: un intermediario de seguros tal como se define en el artículo 2, apartado 1, punto 5, de la Directiva (UE) 2016/97;
39) «fondo de pensiones de empleo»: un fondo de pensiones de empleo tal como se define en el artículo 6, punto 1, de la Directiva 2016/2341;
40) «agencia de calificación crediticia»: una agencia de calificación crediticia tal como se define en el artículo 3, apartado 1, letra a), del Reglamento (CE) n.º 1060/2009;
41) «auditor legal»: un auditor legal tal como se define en el artículo 2, punto 2, de la Directiva 2006/43/CE;
42) «sociedad de auditoría»: una sociedad de auditoría tal como se define en el artículo 2, punto 3, de la Directiva 2006/43/CE;
43) «proveedor de servicios de criptoactivos»: un proveedor de servicios de criptoactivos tal como se define en el artículo 3, apartado 1, punto 8, del Reglamento (UE) 202x/ xx [OP: insértese la referencia al Reglamento MICA];
44) «emisor de criptoactivos»: un emisor de criptoactivos tal como se define en el artículo 3, apartado 1, punto 6, del [DO: insértese la referencia al Reglamento MICA];
44 bis) «oferente»: un oferente tal como se define en el artículo 3, apartado 1, punto [(XX)], del [DO: insértese la referencia al Reglamento MICA];
44b) «oferente de criptoactivos»: un oferente de «criptoactivos» tal como se define en el artículo 3, apartado 1, punto [(XX)] de [DO: insértese la referencia al Reglamento MICA];
45) «emisor de fichas referenciadas a activos»: un emisor de fichas referenciadas a activos tal como se define en el artículo 3, apartado 1, letra i), del [DO: insértese la referencia al Reglamento MICA];
45 bis) «oferente de fichas referenciadas a activos»: un oferente de fichas de pago referenciadas a activos tal como se define en el artículo 3, apartado 1, punto [XX] del [DO: insértese la referencia al Reglamento MICA];
46) «emisor de fichas significativas referenciadas a activos»: un emisor de fichas de pago significativas referenciadas a activos tal como se define en el artículo 3, apartado 1, punto [XX], del [DO: insértese la referencia al Reglamento MICA];
47) «administrador de índices de referencia cruciales»: un administrador de índices de referencia cruciales tal como se define en el artículo 3, punto 25, del Reglamento 2016/1011 [DO: insértese la referencia al Reglamento sobre los índices de referencia];
48) «proveedor de servicios de financiación participativa»: un proveedor de servicios de financiación participativa tal como se define en el artículo 2, apartado 1, letra e, del Reglamento (UE) 2020/1503 [OP: insértese la referencia al Reglamento relativo a la financiación participativa];
49) «registro de titulizaciones»: un registro de titulizaciones tal como se define en el artículo 2, punto 23, del Reglamento (UE) 2017/2402;
50) «microempresa, pequeña y mediana empresa»: una entidad financiera tal como se define en el artículo 2 del anexo de la Recomendación 2003/361/CE;
50 bis) «autoridad de resolución»: una autoridad designada por un Estado miembro de conformidad con el artículo 3 de la Directiva 2014/59/UE y la Junta Única de Resolución establecida de conformidad con el artículo 42 del Reglamento 806/2014;
Artículo 3 bis
Principio de proporcionalidad
1. Las entidades financieras aplicarán las normas previstas los capítulos II, III y IV de conformidad con el principio de proporcionalidad, teniendo en cuenta su tamaño, la naturaleza, escala y complejidad de sus servicios, actividades y operaciones, así como su perfil de riesgo global.
2. De conformidad con el principio de proporcionalidad, los artículos 4 a 14 del presente Reglamento no se aplicarán a:
a) empresas de servicios de inversión pequeñas y no interconectadas o entidades de pago exentas en virtud de la Directiva (UE) 2015/2366;
b) entidades de crédito exentas en virtud de la Directiva 2013/36/UE;
c) entidades de dinero electrónico exentas en virtud de la Directiva 2009/110/CE; o
d) fondos de pensiones de jubilación pequeños;
3. Con arreglo al informe anual sobre la revisión del marco de gestión del riesgo de TIC a que se refieren el artículo 5, apartado 6, y el artículo 14 bis, apartado 2, las autoridades competentes pertinentes revisarán y evaluarán la aplicación de la proporcionalidad por parte de una entidad financiera y determinarán si el marco de gestión del riesgo de TIC de la entidad financiera garantiza una gestión sólida y la resiliencia operativa digital y la cobertura del riesgo de TIC. De este modo, las autoridades competentes tendrán en cuenta el tamaño de las entidades financieras, así como la naturaleza, la escala y la complejidad de sus servicios, actividades y operaciones, y sus perfiles de riesgo global.
4. En caso de que la autoridad competente correspondiente estime que el marco de gestión del riesgo de TIC de la entidad financiera es insuficiente y desproporcionado, entablará un diálogo con la entidad financiera para corregir las deficiencias y garantizar el pleno cumplimiento del capítulo II.
5. Las AES elaborarán proyectos de normas técnicas de regulación a fin de:
a) determinar en qué medida las obligaciones de gestión del riesgo de TIC son aplicables a cada una de las entidades financieras mencionadas en el apartado 1;
b) especificar en mayor medida el contenido y el formato del informe anual sobre la revisión del marco de gestión del riesgo de TIC a que se refiere el apartado 3;
c) especificar las normas y procedimientos que deberán seguir las autoridades competentes y las entidades financieras en el diálogo a que se refiere el apartado 4.
6. Las AES presentarán a la Comisión el proyecto de normas técnicas de regulación mencionado en el apartado 5 a más tardar [DO: insértese la fecha correspondiente a 1 año después de la fecha de entrada en vigor].
Se delegan en la Comisión poderes para adoptar las normas técnicas de regulación a que se refiere el apartado 5 del presente artículo, de conformidad con los artículos 10 a 14 de los Reglamentos (UE) n.º 1093/2010, (UE) n.º 1094/2010 y (UE) n.º 1095/2010 respectivamente.
CAPÍTULO II
GESTIÓN DE RIESGOS DE TIC
SECCIÓN I
Artículo 4
Gobernanza y organización
1. Las entidades financieras dispondrán de un marco interno de gobernanza y de control que garantice una gestión eficaz y prudente de todos los riesgos de TIC, y que sea proporcional a la naturaleza, con vistas a lograr un nivel elevado de resiliencia operativa digital.
2. El órgano de dirección de la entidad financiera definirá, aprobará, supervisará y será responsable de la aplicación de todas las disposiciones relacionadas con el marco de gestión del riesgo de TIC a que se refiere el artículo 5, apartado 1.
A efectos del párrafo primero, el órgano de dirección:
a) asumirá la responsabilidad última de gestionar los riesgos de TIC de la entidad financiera;
a bis) adoptará procedimientos y políticas encaminados a garantizar el mantenimiento de unos niveles elevados de seguridad, confidencialidad e integridad de los datos;
b) definirá claramente los cometidos y responsabilidades de todas las funciones relacionadas con las TIC;
c) determinará el nivel adecuado de tolerancia al riesgo de TIC de la entidad financiera a que se refiere el artículo 5, apartado 9, letra b);
d) aprobará, supervisará y revisará periódicamente la aplicación de la política de continuidad de las actividades de TIC de la entidad financiera y el plan de recuperación en caso de catástrofe relacionada con las TIC a que se refieren, respectivamente, los apartados 1 y 3 del artículo 10, que podrán ser adoptados como una política específica independiente y como parte integrante de la política de continuidad de las actividades de índole más general de la entidad financiera y plan de recuperación en caso de catástrofe;
e) aprobará y revisará periódicamente los planes de auditoría de TIC, las auditorías de TIC y sus modificaciones significativas;
f) asignará y revisará periódicamente el presupuesto adecuado para satisfacer las necesidades de resiliencia operativa digital de la entidad financiera con respecto a todos los tipos de recursos, incluida la formación pertinente sobre los riesgos y las competencias en materia de TIC para todo el personal▐;
g) aprobará y revisará periódicamente la política de la entidad financiera sobre los acuerdos relativos al uso de servicios de TIC prestados por proveedores terceros de servicios de TIC;
h) será debidamente informado de los acuerdos celebrados con proveedores terceros de servicios de TIC sobre el uso de servicios de TIC, de cualquier cambio sustancial pertinente previsto en relación con los proveedores terceros de servicios de TIC, y del impacto potencial de tales cambios en las funciones esenciales o importantes sujetas a dichos acuerdos, y recibirá a tal fin un resumen del análisis de riesgos para evaluar el impacto de dichos cambios;
i) será periódicamente informado sobre, al menos, los incidentes graves relacionados con las TIC y su impacto, así como sobre las medidas de respuesta, recuperación y corrección.
3. Las entidades financieras que no sean microempresas establecerán una función de seguimiento de los acuerdos en el seno la entidad financiera sobre el uso de servicios de TIC, especialmente de los celebrados con proveedores terceros de servicios de TIC, o designarán a un miembro de la alta dirección como responsable de supervisar la exposición al riesgo correspondiente y la documentación pertinente.
4. Los miembros del órgano de dirección de la entidad financiera mantendrán activamente al día conocimientos y competencias suficientes para comprender y evaluar los riesgos de TIC y su impacto en las operaciones de la entidad financiera, también siguiendo periódicamente una formación específica que sea acorde a los riesgos de TIC que se están gestionando.
SECCIÓN II
Artículo 5
Marco de gestión del riesgo de TIC
1. Las entidades financieras contarán con un marco de gestión del riesgo de TIC sólido, completo y bien documentado que les permita hacer frente al riesgo de TIC de forma rápida, eficiente y exhaustiva y garantizar un alto nivel de resiliencia operativa digital ▐.
2. El marco de gestión del riesgo de TIC a que se refiere el apartado 1 incluirá las estrategias, las políticas, los procedimientos, y los protocolos y herramientas de TIC que sean necesarios para proteger debida y eficazmente todas las infraestructuras y componentes físicos pertinentes, incluidos los equipos informáticos, los servidores, así como todos los locales, centros de datos y zonas sensibles designadas pertinentes, a fin de garantizar que todos esos elementos físicos estén adecuadamente protegidos de los riesgos, incluidos los daños y el acceso o uso no autorizados.
3. Las entidades financieras minimizarán el impacto del riesgo de TIC mediante el despliegue de estrategias, políticas, procedimientos, protocolos y herramientas adecuados, tal como se determine en el marco de gestión del riesgo de TIC. Proporcionarán información completa y actualizada sobre los riesgos de TIC y sobre sus marcos de gestión del riesgo de TIC cuando así lo soliciten las autoridades competentes.
4. Como parte del marco de gestión del riesgo de TIC a que se refiere el apartado 1, las entidades financieras que no sean microempresas implementarán un sistema de gestión de la seguridad de la información basado en estándares internacionales reconocidos y conforme a las directrices de supervisión, cuando ya estén disponibles y resulte adecuado, también las orientaciones establecidas en las directrices de las AES, y lo revisarán periódicamente.
5. Las entidades financieras que no sean microempresas asignarán la responsabilidad de la gestión y la supervisión de los riesgos de TIC a una función de control y garantizarán la independencia de dicha función para evitar conflictos de intereses. Las entidades financieras garantizarán una independencia adecuada de las funciones de gestión de TIC, las funciones de control y las funciones de auditoría interna, con arreglo a las tres líneas del modelo de defensa o a un modelo interno de gestión y control de riesgos.
6. El marco de gestión del riesgo de TIC a que se refiere el apartado 1 se documentará y revisará al menos una vez al año, así como cuando se produzcan incidentes graves relacionados con las TIC, y siguiendo las instrucciones o conclusiones de supervisión derivadas de los procesos pertinentes de prueba o auditoría de la resiliencia operativa digital. Se mejorará continuamente sobre la base de las enseñanzas derivadas de la aplicación y el seguimiento.
Se presentará anualmente a la autoridad competente un informe sobre la revisión del marco de gestión del riesgo de TIC.
7. En lo que atañe a las entidades financieras que no sean microempresas, el marco de gestión del riesgo de TIC a que se refiere el apartado 1 será auditado periódicamente por auditores de TIC que posean conocimientos, competencias y experiencia suficientes en materia de riesgo de TIC. La frecuencia y el enfoque de las auditorías de TIC serán proporcionados a los riesgos de TIC de la entidad financiera.
8. Se establecerá un proceso formal de seguimiento, incluidas normas para la oportuna verificación y corrección de los resultados esenciales de la auditoría de TIC, considerando las conclusiones de la auditoría ▐.
9. El marco de gestión del riesgo de TIC a que se refiere el apartado 1 incluirá una estrategia de resiliencia operativa digital que establezca cómo se aplica el marco. A tal efecto, incluirá los métodos para hacer frente al riesgo de TIC y alcanzar los objetivos específicos de TIC, para lo cual:
a) explicará cómo el marco de gestión del riesgo de TIC apoya la estrategia y los objetivos empresariales de la entidad financiera;
b) establecerá el nivel de tolerancia al riesgo de TIC, de acuerdo con la propensión al riesgo de la entidad financiera, y analizará la tolerancia al impacto de las perturbaciones de las TIC;
c) establecerá objetivos claros en materia de seguridad de la información;
d) explicará la arquitectura ▐ de TIC y cualquier cambio necesario para alcanzar objetivos empresariales específicos;
e) esbozará los diferentes mecanismos establecidos para detectar, prevenir y protegerse de los impactos de incidentes relacionados con las TIC;
f) hará constar el número de incidentes graves relacionados con las TIC notificados y la eficacia de las medidas preventivas;
g) identificará las dependencias clave de los proveedores terceros de servicios de TIC y detallará las estrategias de salida en relación con estas dependencias clave;
h) implementará pruebas de resiliencia operativa digital, de conformidad con el capítulo IV del presente Reglamento;
i) esbozará una estrategia de comunicación en caso de incidentes relacionados con las TIC que se deben divulgar de conformidad con el artículo 13.
10. Previa aprobación de las autoridades competentes, las entidades financieras podrán externalizar las tareas de verificación del cumplimiento de los requisitos de gestión del riesgo de TIC a empresas externas ▐.
Previa notificación a las autoridades competentes, las entidades financieras podrán delegar la tarea de verificación del cumplimiento de los requisitos de gestión del riesgo de TIC en empresas de su mismo grupo.
En caso de que se efectúe la delegación a que se refiere el párrafo segundo, la entidad financiera seguirá siendo plenamente responsable de la verificación del cumplimiento de los requisitos de gestión del riesgo de TIC.
Artículo 6
Sistemas, protocolos y herramientas de TIC
1. Con el fin de abordar y gestionar los riesgos de TIC, las entidades financieras utilizarán y mantendrán actualizados sistemas, protocolos y herramientas de TIC que cumplan las siguientes condiciones:
a) que los sistemas y herramientas sean adecuados a la ▐ magnitud de las operaciones que sustentan la realización de sus actividades;
b) que sean fiables;
c) que tengan capacidad suficiente para tratar con exactitud los datos necesarios para realizar las actividades y prestar los servicios a tiempo, y para hacer frente a los picos de órdenes, mensajes o volúmenes de operaciones, según sea necesario, incluso en caso de introducción de nuevas tecnologías;
d) que sean tecnológicamente resilientes para hacer frente adecuadamente a las necesidades adicionales de tratamiento de la información que surjan en condiciones de tensión del mercado u otras situaciones adversas.
2. Cuando las entidades financieras apliquen estándares técnicos reconocidos internacionalmente y prácticas punteras del sector en materia de seguridad de la información y controles internos de las TIC, lo harán en consonancia con cualquier recomendación de supervisión pertinente sobre su incorporación.
Artículo 7
Identificación
1. Como parte del marco de gestión del riesgo de TIC a que se refiere el artículo 5, apartado 1, las entidades financieras identificarán, clasificarán y documentarán adecuadamente todas las funciones empresariales esenciales o importantes relacionadas con las TIC, los activos de información que respalden dichas funciones, las configuraciones de los sistemas de TIC y las interconexiones con sistemas de TIC internos y externos. Las entidades financieras revisarán en caso necesario, y al menos una vez al año, el carácter esencial o la importancia de las funciones empresariales relacionadas con las TIC, así como la idoneidad de la clasificación de los activos de información y de cualquier documentación pertinente.
2. Las entidades financieras identificarán de forma continua todas las fuentes de riesgo de TIC, en particular la exposición al riesgo frente a otras entidades financieras, y evaluarán las ciberamenazas y vulnerabilidades de TIC pertinentes para sus funciones empresariales esenciales o importantes relacionadas con las TIC y sus activos de información. Las entidades financieras revisarán periódicamente, y al menos una vez al año, los escenarios de riesgo que les afecten.
3. Las entidades financieras que no sean microempresas llevarán a cabo, cuando proceda, una evaluación del riesgo cada vez que se produzca un cambio importante en la infraestructura de las redes y los sistemas de información, o en los procesos o procedimientos, que afecte a sus funciones, procesos de apoyo o activos de información.
4. Las entidades financieras identificarán todas las cuentas de los sistemas de TIC, incluidas las que se encuentren en emplazamientos remotos, los recursos de red y el equipo de hardware, y cartografiarán los equipos físicos considerados críticos. Deberán cartografiar la configuración de los activos de TIC esenciales o importantes teniendo en cuenta su finalidad y los vínculos e interdependencias entre tales activos de TIC.
5. Las entidades financieras identificarán y documentarán todos los procesos esenciales o importantes que dependan de proveedores terceros de servicios de TIC, e identificarán las interconexiones con proveedores terceros de servicios de TIC que sustenten funciones esenciales o importantes.
6. A efectos de los apartados 1, 4 y 5, las entidades financieras mantendrán y actualizarán periódicamente los inventarios pertinentes.
7. Las entidades financieras que no sean microempresas llevarán a cabo periódicamente, y al menos una vez al año, una evaluación específica del riesgo de TIC en todos los sistemas de TIC heredados, incluidos los sistemas que siguen utilizándose y desempeñan du función, pero:
a) son antiguos o se encuentran al final de su vida útil, en el caso del hardware;
b) ya no pueden recibir asistencia o mantenimiento por parte del proveedor; o
c) no es posible o rentable actualizarlos. Se realizarán evaluaciones anuales de los riesgos de TIC en los sistemas de TIC heredados, especialmente antes y después de conectar tecnologías, aplicaciones o sistemas ▐.
Artículo 8
Protección y prevención
1. Con el fin de proteger adecuadamente los sistemas de TIC y con vistas a organizar medidas de respuesta, las entidades financieras controlarán continuamente el funcionamiento de los sistemas y herramientas de TIC y minimizarán el impacto de tales riesgos mediante el despliegue de herramientas, políticas y procedimientos de seguridad de TIC adecuados.
2. Las entidades financieras diseñarán, adquirirán y aplicarán estrategias, políticas, procedimientos, protocolos y herramientas de seguridad de las TIC que tengan por objeto, en particular, garantizar la resiliencia, la continuidad y la disponibilidad de los sistemas de TIC que sustentan funciones esenciales o importantes, así como mantener elevados niveles de seguridad, confidencialidad e integridad de los datos, con independencia de que estén en reposo, en uso o en tránsito.
3. Para alcanzar los objetivos mencionados en el apartado 2, las entidades financieras utilizarán tecnologías y procesos de TIC ▐ que:
a) maximicen la seguridad de los medios de transmisión de la información;
b) minimicen el riesgo de corrupción o pérdida de datos, acceso no autorizado y defectos técnicos que puedan obstaculizar la actividad empresarial;
c) eviten fugas de información;
d) garanticen que los datos estén protegidos de riesgos de TIC internos, incluidos los debidos a una mala administración o los relacionados con el tratamiento y los errores humanos.
4. Como parte del marco de gestión del riesgo de TIC a que se refiere el artículo 5, apartado 1, en función de sus perfiles de riesgo, las entidades financieras deberán:
a) elaborar y documentar una política de seguridad de la información que defina normas para proteger la confidencialidad, integridad y disponibilidad de sus recursos de TIC, datos y activos de información, garantizando al mismo tiempo la protección plena de los recursos de TIC, datos y activos de información de sus clientes cuando formen parte de los sistemas de TIC de las entidades financieras;
b) seguir un enfoque basado en el riesgo, establecer una gestión sólida de la red y de la infraestructura utilizando técnicas, métodos y protocolos adecuados que podrán comprender la aplicación de mecanismos ▐ para aislar los activos de información afectados en caso de ciberataques;
c) aplicar políticas, procedimientos y controles que limiten el acceso físico y virtual a los recursos y datos del sistema de TIC a lo estrictamente necesario para las funciones y actividades legítimas y aprobadas▐;
d) aplicar políticas y protocolos para mecanismos de autenticación fuerte, y para la protección de claves criptográficas, basados en estándares pertinentes y sistemas de control específicos▐;
e) aplicar políticas, procedimientos y controles para la gestión de los cambios en las TIC, incluidos los cambios en el software, el hardware, los componentes de firmware, así como los cambios en los sistemas o la seguridad, que se basen en un enfoque de evaluación de riesgos y formen parte integrante del proceso general de gestión de cambios de la entidad financiera, con el fin de garantizar que todos los cambios en los sistemas de TIC se registren, prueben, evalúen, aprueben, implementen y verifiquen de forma controlada;
f) contar con políticas adecuadas y exhaustivas para los parches y actualizaciones.
A efectos de la letra b), las entidades financieras diseñarán la infraestructura de conexión a la red de manera que permita su desconexión tan pronto como sea posible y garantizarán su compartimentación y segmentación, con el fin de minimizar y prevenir el contagio, especialmente en los procesos financieros interconectados.
A efectos de la letra e), el proceso de gestión de cambios en las TIC será aprobado por la jerarquía directiva adecuada y dispondrá de protocolos específicos habilitados para los cambios de emergencia.
Artículo 9
Detección
1. Las entidades financieras dispondrán de mecanismos para detectar rápidamente las actividades anómalas, de conformidad con el artículo 15, incluidos los problemas de rendimiento de la red de TIC y los incidentes relacionados con las TIC, y, cuando sea tecnológicamente posible, para identificar y hacer un seguimiento de todos los posibles puntos concretos de fallo significativos.
Todos los mecanismos de detección mencionados en el párrafo primero se someterán a pruebas periódicas de conformidad con el artículo 22.
2. Los mecanismos de detección a que se refiere el apartado 1 ▐activarán los procesos de detección de incidentes relacionados con las TIC y de respuesta a incidentes relacionados con las TIC, incluidos los mecanismos automáticos de alerta para el personal responsable de la respuesta a incidentes relacionados con las TIC.
3. Las entidades financieras dedicarán recursos y capacidades suficientes ▐ al seguimiento de la actividad de los usuarios y la aparición de anomalías en las TIC y de incidentes relacionados con las TIC, en particular de ciberataques.
3 bis. Las entidades financieras registrarán todos los incidentes relacionados con las TIC que tengan efectos en la estabilidad, la continuidad o la calidad de los servicios financieros, incluido en los casos en los que el incidente ha tenido o puede tener un efecto en estos servicios.
4. Las entidades financieras a que se refiere el artículo 2, apartado 1, punto 1, establecerán además sistemas que permitan controlar de manera efectiva la exhaustividad de los informes de operaciones, detectar omisiones y errores manifiestos y solicitar la retransmisión de los informes erróneos.
Artículo 10
Respuesta y recuperación
1. Como parte del marco de gestión del riesgo de TIC a que se refiere el artículo 5, apartado 1, y sobre la base de los requisitos de identificación establecidos en el artículo 7, las entidades financieras establecerán una política de continuidad de las actividades de TIC ▐ exhaustiva, que podrá ser adoptada como una política específica independiente y como parte integrante de la política de continuidad de la actividad operativa de índole más general de la entidad financiera.
La política de continuidad de las actividades de TIC estará dirigida a gestionar y mitigar los riesgos que puedan repercutir negativamente en los sistemas y servicios de TIC de las entidades financieras, y a facilitar su rápida recuperación si fuera necesario. A la hora de elaborar la política de continuidad de las actividades de TIC, las entidades financieras considerarán específicamente los riesgos que puedan repercutir negativamente en los servicios y los sistemas de TIC.
2. Las entidades financieras aplicarán la política de continuidad de las actividades de TIC a que se refiere el apartado 1 mediante disposiciones, planes, procedimientos y mecanismos específicos, adecuados y documentados destinados a:
b) garantizar la continuidad de las funciones esenciales de la entidad financiera;
c) responder rápida, adecuada y eficazmente a todos los incidentes relacionados con las TIC, en particular, pero no exclusivamente, los ciberataques, y resolverlos, de manera que se limiten los daños y se dé prioridad a la reanudación de las actividades y a las acciones de recuperación;
d) activar sin demora planes específicos que permitan recurrir a medidas de contención, procesos y tecnologías adaptados a cada tipo de incidente relacionado con las TIC y que eviten nuevos daños, así como a procedimientos de respuesta y recuperación adaptados establecidos de conformidad con el artículo 11;
e) estimar con carácter preliminar las repercusiones, daños y pérdidas;
f) definir acciones de comunicación y gestión de crisis que garanticen la transmisión de información actualizada a todo el personal interno y las partes interesadas externas pertinentes de conformidad con el artículo 13, y su notificación a las autoridades competentes de conformidad con el artículo 17.
3. Como parte del marco de gestión del riesgo de TIC a que se refiere el artículo 5, apartado 1, las entidades financieras aplicarán un plan conexo de recuperación en caso de catástrofe relacionada con las TIC que, en el caso de entidades financieras que no sean microempresas, estará sujeto a auditorías independientes.
4. Las entidades financieras establecerán, mantendrán y probarán periódicamente planes adecuados de continuidad de las actividades de TIC, en particular en lo que se refiere a las funciones esenciales o importantes externalizadas o contratadas mediante acuerdos con proveedores terceros de servicios de TIC.
5. Como parte de su gestión global del riesgo de TIC, las entidades financieras:
a) pondrán a prueba la política de continuidad de las actividades de TIC y el plan de recuperación en caso de catástrofe relacionada con las TIC al menos una vez al año y después de cambios sustanciales en los sistemas de TIC esenciales o importantes;
b) pondrán a prueba los planes de comunicación en caso de crisis establecidos de conformidad con el artículo 13.
A efectos de la letra a), las entidades financieras que no sean microempresas incluirán en los planes de pruebas escenarios de ciberataques y de conmutación entre la infraestructura primaria de TIC y la capacidad redundante, las copias de seguridad y las instalaciones redundantes necesarias para cumplir las obligaciones establecidas en el artículo 11.
Las entidades financieras revisarán periódicamente su política de continuidad de las actividades de TIC y su plan de recuperación en caso de catástrofe relacionada con las TIC teniendo en cuenta los resultados de las pruebas realizadas de conformidad con el párrafo primero y las recomendaciones derivadas de los controles de auditoría o las revisiones supervisoras.
6. Las entidades financieras que no sean microempresas dispondrán de una función de gestión de crisis, ya sea como una función específica o formando parte de las funciones que entrañen responsabilidades de respuesta y gestión de incidentes. La función de gestión de crisis, en caso de activación de su política de continuidad de las actividades de TIC o de su plan de recuperación en caso de catástrofe relacionada con las TIC, establecerá procedimientos claros para gestionar las comunicaciones de crisis internas y externas de conformidad con el artículo 13.
7. Las entidades financieras mantendrán registros de las actividades pertinentes antes y durante las perturbaciones cuando se active su política de continuidad de las actividades de TIC o su plan de recuperación en caso de catástrofe relacionada con las TIC. Estos registros estarán fácilmente disponibles.
8. Las entidades financieras a que se refiere el artículo 2, apartado 1, letra f), facilitarán a las autoridades competentes copias de los resultados de las pruebas de continuidad de las actividades de TIC o de ejercicios similares realizados durante el período objeto de examen.
9. Las entidades financieras que no sean microempresas informarán a las autoridades competentes de todos los costes financieros estimados y pérdidas causados por perturbaciones considerables de las TIC e incidentes graves relacionados con las TIC.
9 bis. Las AES, a través del Comité Mixto, elaborarán directrices comunes sobre la metodología para calcular los costes y cuantificar las pérdidas a que se refiere el apartado 9.
Artículo 11
Políticas de copia de seguridad y métodos de recuperación
1. Con el fin de garantizar la restauración de los sistemas de TIC con un tiempo mínimo de inactividad y una perturbación limitada, como parte de su marco de gestión del riesgo de TIC, las entidades financieras desarrollarán:
a) una política de copia de seguridad que especifique el alcance de los datos objeto de la copia de seguridad y la frecuencia mínima de esta, en función del carácter esencial de la información o de la sensibilidad de los datos;
b) métodos de recuperación.
2. De conformidad con la política de copia de seguridad mencionada en el apartado 1, letra a), los sistemas de copia de seguridad comenzarán el tratamiento sin demoras indebidas, a menos que dicho inicio ponga en peligro la seguridad de las redes y los sistemas de información, o la integridad o confidencialidad de los datos.
3. Al restablecer los datos de seguridad mediante sus propios sistemas, las entidades financieras utilizarán sistemas de TIC que estén separados, física o lógicamente, de su sistema de TIC principal y que estén protegido de forma segura contra cualquier acceso no autorizado o corrupción relacionada con las TIC.
En el caso de las entidades financieras a que se refiere el artículo 2, apartado 1, letra g), los planes de recuperación deberán permitir la recuperación de todas las transacciones en el momento de la perturbación, para que la entidad de contrapartida central pueda seguir operando con certeza y finalizar la liquidación en la fecha programada.
4. Las entidades financieras evaluarán la necesidad de mantener capacidades de TIC redundantes equipadas con recursos, medios y funcionalidades suficientes y adecuados para garantizar las necesidades empresariales y cumplir los objetivos de resiliencia operativa digital establecidos en el presente Reglamento.
5. Las entidades financieras a que se refiere el artículo 2, apartado 1, letra f), mantendrán o garantizarán que sus proveedores terceros de TIC mantengan al menos un centro secundario de procesamiento dotado de recursos, capacidades, funcionalidades y personal suficientes y adecuados para satisfacer las necesidades de las empresas.
El centro secundario de procesamiento deberá:
a) estar situado a una distancia geográfica del centro primario de procesamiento para garantizar que presente un perfil de riesgo distinto y evitar que se vea afectado por el suceso que haya afectado al centro primario;
b) ser capaz de garantizar la continuidad de los servicios esenciales del mismo modo que el centro primario, o de prestar el nivel de servicios necesario para garantizar que la entidad financiera realice sus operaciones esenciales dentro de los objetivos de recuperación;
c) ser ▐ accesible por el personal de la entidad financiera para garantizar la continuidad de las funciones esenciales o importantes en caso de que el centro de tratamiento primario no esté disponible.
6. Al determinar los objetivos de tiempo y punto de recuperación para cada función, las entidades financieras tendrán en cuenta si se trata de una función esencial o importante y el posible impacto global en la eficiencia del mercado. Estos objetivos garantizarán que, en situaciones extremas, se alcancen los niveles de servicio acordados.
7. Al recuperarse de un incidente relacionado con las TIC, las entidades financieras garantizarán que el nivel de integridad de los datos sea el máximo mediante, por ejemplo, la realización de múltiples comprobaciones, incluidas conciliaciones ▐. Tales comprobaciones también se llevarán a cabo cuando se reconstruyan datos de partes interesadas externas, a fin de garantizar que todos los datos sean coherentes entre los sistemas.
Artículo 12
Aprendizaje y evolución
1. Las entidades financieras dispondrán de capacidades y de personal, adaptados a su tamaño y su perfil empresarial y de riesgo, para recopilar información sobre vulnerabilidades, ciberamenazas e incidentes relacionados con las TIC, en particular ciberataques, y para analizar sus posibles repercusiones en su resiliencia operativa digital.
2. Las entidades financieras pondrán en marcha revisiones post-incidentes graves relacionados con las TIC después de perturbaciones significativas debidas a las TIC de sus actividades principales, analizando sus causas e identificando las mejoras necesarias en las operaciones de TIC o en la política de continuidad de las actividades de TIC a que se refiere el artículo 10.
Cuando realicen cambios relativos a abordar los riesgos de TIC detectados como resultado de las revisiones de incidentes graves relacionados con las TIC, las entidades financieras que no sean microempresas comunicarán todos los cambios importantes a las autoridades competentes, y detallarán las mejoras exigidas y cómo pretenden prevenir o mitigar las perturbaciones en el futuro. Se deberán comunicar los cambios a las autoridades competentes antes o después de la aplicación de estos cambios.
Las revisiones post-incidentes relacionados con las TIC a que se refiere el párrafo primero determinarán si se han seguido los procedimientos establecidos y si las medidas adoptadas han sido eficaces, en particular en relación con:
a) la rapidez a la hora de responder a las alertas de seguridad y determinar el impacto de los incidentes relacionados con las TIC y su gravedad;
b) la calidad y rapidez en la realización de los análisis forenses;
c) la eficacia de la activación de los niveles sucesivos de intervención en caso de incidente dentro de la entidad financiera;
d) la eficacia de la comunicación interna y externa.
3. Las enseñanzas derivadas de las pruebas de resiliencia operativa digital llevadas a cabo de conformidad con los artículos 23 y 24 y de los incidentes reales relacionados con las TIC, en particular los ciberataques, junto con los problemas que se hayan planteado al activar los planes de continuidad de las actividades o de recuperación, además de la información pertinente intercambiada con las contrapartes y evaluada durante las revisiones supervisoras, se incorporarán debidamente de forma continua al proceso de evaluación del riesgo de TIC. Estas constataciones se traducirán en revisiones adecuadas de los componentes pertinentes del marco de gestión del riesgo de TIC a que se refiere el artículo 5, apartado 1.
4. Las entidades financieras controlarán la eficacia de la aplicación de su estrategia de resiliencia digital establecida en el artículo 5, apartado 9. Cartografiarán la evolución de los riesgos de TIC a lo largo del tiempo, incluida la proximidad de dichos riesgos a funciones esenciales o importantes, analizarán la frecuencia, los tipos, la magnitud y la evolución de los incidentes relacionados con las TIC, en particular los ciberataques y sus patrones, con el fin de comprender el nivel de exposición al riesgo de TIC y mejorar la madurez y preparación cibernéticas de la entidad financiera.
5. El personal directivo responsable de las TIC informará al menos una vez al año al órgano de dirección de las constataciones a que se refiere el apartado 3 y formulará recomendaciones.
6. Las entidades financieras desarrollarán programas de sensibilización en materia de seguridad de las TIC y acciones formativas sobre resiliencia operativa digital, que constituirán módulos obligatorios en sus programas de formación del personal. Los programas de sensibilización en materia de seguridad de las TIC serán aplicables a todo el personal. Estas formaciones sobre resiliencia operativa digital serán aplicables, al menos, a todos los empleados que tengan derechos de acceso directo a los sistemas de TIC y al personal de alta dirección. La complejidad de los módulos de la formación deberá ser acorde a los niveles de acceso directo de los miembros del personal a los sistemas de TIC y, en particular, tener en cuenta su acceso a funciones esenciales o críticas.
Las entidades financieras que no sean microempresas supervisarán continuamente los avances tecnológicos pertinentes, también con vistas a comprender las posibles repercusiones del despliegue de esas nuevas tecnologías en los requisitos de seguridad de las TIC y la resiliencia operativa digital. Se mantendrán al corriente de los últimos procesos de gestión del riesgo de TIC, contrarrestando eficazmente las formas actuales o nuevas de ciberataques.
Artículo 13
Comunicación
1. Como parte del marco de gestión del riesgo de TIC a que se refiere el artículo 5, apartado 1, las entidades financieras dispondrán de planes de comunicación que permitan la divulgación responsable de, al menos, incidentes graves relacionados con las TIC o vulnerabilidades importantes a clientes y contrapartes, así como al público, según proceda.
Los planes de comunicación mencionados en el párrafo primero garantizarán también la divulgación anual de un resumen de todos los incidentes relacionados con las TIC a los clientes y las contrapartes. La divulgación de esta información respetará plenamente el secreto comercial de la entidad financiera y de sus clientes y contrapartes, y no pondrá en peligro el marco de gestión del riesgo de TIC a que se refiere el artículo 5, apartado 1.
2. Como parte del marco de gestión del riesgo de TIC a que se refiere el artículo 5, apartado 1, las entidades financieras aplicarán políticas de comunicación destinadas al personal y las partes interesadas externas. Las políticas de comunicación destinadas al personal tendrán en cuenta la necesidad de diferenciar entre el personal que participa en la gestión del riesgo de TIC, en particular en la respuesta y la recuperación, y el personal que debe ser informado.
3. Al menos una persona de la entidad se encargará de aplicar la estrategia de comunicación sobre, al menos, incidentes graves relacionados con las TIC y desempeñará a tal efecto la función de portavoz ante el público y los medios de comunicación.
Artículo 14
Mayor armonización de las herramientas, métodos, procesos y políticas de gestión del riesgo de TIC
La Autoridad Bancaria Europea (ABE), la Autoridad Europea de Valores y Mercados (AEVM) y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ), en consulta con la Agencia de la Unión Europea para la Ciberseguridad (ENISA), elaborarán proyectos de normas técnicas de regulación con los siguientes fines:
a) especificar otros elementos que deban incluirse en las políticas, procedimientos, protocolos y herramientas de seguridad de las TIC a que se refiere el artículo 8, apartado 2, con vistas a garantizar la seguridad de las redes, activar salvaguardias adecuadas contra las intrusiones y el uso indebido de los datos, preservar la autenticidad e integridad de los datos, incluidas las técnicas criptográficas, y garantizar una transmisión exacta y rápida de los datos sin perturbaciones importantes ni demoras indebidas;
d) desarrollar nuevos componentes de los controles de los derechos de gestión de acceso a que se refiere el artículo 8, apartado 4, letra c), y la correspondiente política de recursos humanos, especificando los derechos de acceso, los procedimientos de concesión y revocación de derechos, el seguimiento de comportamientos anómalos en relación con los riesgos de TIC a través de indicadores adecuados, en particular para los patrones de uso de la red, las horas, la actividad informática y los dispositivos desconocidos;
e) desarrollar más detalladamente los elementos especificados en el artículo 9, apartado 1, que permitan la rápida detección de actividades anómalas y los criterios mencionados en el artículo 9, apartado 2, que activen los procesos de detección de incidentes relacionados con las TIC y de respuesta a los mismos;
f) especificar más detalladamente los componentes de la política de continuidad de las actividades de TIC a que se refiere el artículo 10, apartado 1;
g) especificar más detalladamente las pruebas de los planes de continuidad de las actividades de TIC a que se refiere el artículo 10, apartado 5, a fin de garantizar que tengan debidamente en cuenta los escenarios en los que la calidad de la ejecución de una función esencial o importante se deteriore hasta un nivel inaceptable o falle, así como el impacto potencial de la insolvencia u otros fallos de cualquier proveedor tercero de servicios de TIC pertinente y, cuando proceda, los riesgos políticos en los países de los proveedores de que se trate;
h) especificar más detalladamente los componentes del plan de recuperación en caso de catástrofe relacionada con las TIC a que se refiere el artículo 10, apartado 3.
La ABE, la AEVM y la AESPJ presentarán a la Comisión el proyecto de normas técnicas de regulación a más tardar el xxx [DO: insértese la fecha correspondiente a 1 año después de la fecha de entrada en vigor].
Se delegan en la Comisión los poderes para adoptar las normas técnicas de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, el Reglamento (UE) n.º 1094/2010 y el Reglamento (UE) n.º 1095/2010.
Artículo 14 bis
Marco de gestión del riesgo de TIC para entidades pequeñas, no interconectadas o exentas
1. De conformidad con el artículo 3 bis, las empresas de servicios de inversión pequeñas y no interconectadas, las entidades de pago eximidas por la Directiva (UE) 2015/2366, las entidades de crédito eximidas por la Directiva 2013/36/UE, las entidades de dinero electrónico eximidas por la Directiva 2009/110/CE, y los fondos de pensiones de jubilación que sean pequeñas empresas deben adoptar y mantener un marco de gestión del riesgo de TIC documentado y sólido en el que:
a) se detallen los mecanismos y las medidas encaminados a procurar una gestión rápida, eficaz y exhaustiva de todos los riesgos de TIC, incluida la protección de las infraestructuras y los componentes físicos pertinentes;
b) se supervisen de manera continua la seguridad y el funcionamiento de todos los sistemas de TIC;
c) se reduzcan al mínimo el impacto de los riesgos de TIC mediante el uso de sistemas, protocolos y herramientas de TIC sólidos, resilientes y actualizados que sean apropiados para sustentar el desempeño de sus actividades y la prestación de servicios;
d) se protejan adecuadamente la confidencialidad, la integridad y la disponibilidad de las redes de datos y los sistemas de información;
e) se procure que las fuentes de riesgo y las anomalías en las redes y los sistemas de información se identifiquen y detecten de inmediato y que los incidentes relacionados con las TIC se gestionen con rapidez.
2. El marco de gestión del riesgo de TIC a que se refiere el apartado 1 se documentará y revisará al menos una vez al año, así como cuando se produzcan incidentes graves relacionados con las TIC, y siguiendo las instrucciones o conclusiones de supervisión derivadas de los procesos pertinentes de prueba o auditoría de la resiliencia operativa digital. Se mejorará continuamente sobre la base de las enseñanzas derivadas de la aplicación y el seguimiento.
Se presentará anualmente a la autoridad competente un informe sobre la revisión del marco de gestión del riesgo de TIC.
CAPÍTULO III
INCIDENTES RELACIONADOS CON LAS TIC
GESTIÓN, CLASIFICACIÓN e INFORMACIÓN
Artículo 15
Proceso de gestión de incidentes relacionados con las TIC
1. Las entidades financieras establecerán e implementarán un proceso de gestión de incidentes relacionados con las TIC para detectar, gestionar y notificar dichos incidentes y dispondrán de indicadores de alerta temprana.
2. Las entidades financieras establecerán los procedimientos y procesos adecuados para que los incidentes relacionados con las TIC sean objeto de un seguimiento, un tratamiento y una respuesta coherentes e integrados, a fin de asegurarse de que se determinen y aborden las causas subyacentes para evitar que se produzcan.
3. El proceso de gestión de incidentes relacionados con las TIC mencionado en el apartado 1:
a) establecerá procedimientos para identificar, rastrear, registrar, categorizar y clasificar los incidentes relacionados con las TIC en función de su prioridad y de la gravedad y el carácter esencial de los servicios afectados, conforme a los criterios a que se hace referencia en el artículo 16, apartado 1;
b) asignará funciones y responsabilidades que deberán activarse para los diferentes tipos y escenarios de incidentes relacionados con las TIC;
c) expondrá planes para la comunicación con el personal, las partes interesadas externas y los medios de comunicación de conformidad con el artículo 13, para la notificación a los clientes, procedimientos internos de traslado a la instancia jerárquica superior, que abarquen también las reclamaciones de los clientes relacionadas con las TIC, así como para el suministro de información a las entidades financieras que actúen como contraparte, cuando proceda;
d) garantizará que al menos los incidentes graves relacionados con las TIC se pongan en conocimiento de los altos directivos pertinentes y que se informe de ellos al órgano de dirección, explicando sus repercusiones, las medidas adoptadas como respuesta y los controles adicionales que se prevé implantar como resultado de los incidentes graves relacionados con las TIC;
e) establecerá procedimientos de respuesta a los incidentes relacionados con las TIC para mitigar sus repercusiones y garantizar que los servicios sean nuevamente operativos y seguros de manera oportuna.
Artículo 16
Clasificación de los incidentes relacionados con las TIC
1. Las entidades financieras clasificarán los incidentes relacionados con las TIC y determinarán su repercusión con arreglo a los siguientes criterios:
a) número de usuarios o de contrapartes financieras afectados por la perturbación causada por el incidente relacionado con las TIC▐;
b) duración del incidente relacionado con las TIC, incluida la duración de la interrupción del servicio;
c) extensión geográfica de las zonas afectadas por el incidente relacionado con las TIC, en especial si afecta a más de dos Estados miembros;
d) pérdidas de datos que el incidente relacionado con las TIC acarree, en términos de pérdida de integridad, pérdida de confidencialidad o pérdida de disponibilidad;
e) gravedad de la repercusión del incidente relacionado con las TIC en los sistemas de TIC de la entidad financiera;
f) carácter esencial de los servicios afectados, incluidas las transacciones y operaciones de la entidad financiera;
g) repercusión económica del incidente relacionado con las TIC tanto en términos absolutos como relativos.
2. Las AES, a través del Comité Mixto de las AES (en lo sucesivo, «el Comité Mixto») y en coordinación con el Banco Central Europeo (BCE) y la ENISA, elaborarán proyectos de normas técnicas de regulación comunes en las que se especificará más detalladamente lo siguiente:
a) los criterios expuestos en el apartado 1, y en concreto los umbrales de importancia relativa para determinar los incidentes graves relacionados con las TIC que están sujetos al requisito de información establecido en el artículo 17, apartado 1;
b) los criterios que deberán aplicar las autoridades competentes para evaluar la significación de los incidentes graves relacionados con las TIC para otros Estados miembros, y los datos de los informes sobre los incidentes graves relacionados con las TIC que deberán compartirse con las demás autoridades competentes de conformidad con el artículo 17, apartados 5 y 6.
3. Cuando elaboren los proyectos de normas técnicas de regulación comunes a que se refiere el apartado 2, las AES tendrán en cuenta las normas internacionales, así como las especificaciones elaboradas y publicadas por la ENISA, incluidas, cuando proceda, las especificaciones para otros sectores económicos. Las AES tendrán en cuenta, además, que la gestión oportuna y eficaz de un incidente por microempresas y pequeñas empresas no se vea restringida por la necesidad de respetar los requisitos de clasificación expuestos en el presente artículo. Las AES también tendrán en cuenta el tamaño de las entidades financieras, así como la naturaleza, la magnitud y la complejidad de sus servicios, actividades y operaciones, y sus perfiles de riesgo globales.
Las AES presentarán a la Comisión dichos proyectos de normas técnicas de regulación comunes a más tardar el [OP: insértese la fecha correspondiente a 2 años después de la fecha de entrada en vigor].
Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas de regulación a que se refiere el apartado 2 de conformidad con los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, del Reglamento (UE) n.º 1094/2010 y del Reglamento (UE) n.º 1095/2010.
Artículo 17
Notificación de los incidentes graves relacionados con las TIC
1. Las entidades financieras notificarán los incidentes graves relacionados con las TIC a la autoridad competente pertinente a que se refiere el artículo 41, dentro de los plazos establecidos en el apartado 3.
A los efectos del párrafo primero, tras recopilar y analizar toda la información pertinente las entidades financieras elaborarán un informe del incidente utilizando la plantilla a que se refiere el artículo 18 y lo presentarán a la autoridad competente.
El informe incluirá toda la información necesaria para que la autoridad competente pueda determinar la significatividad del incidente grave relacionado con las TIC y evaluar sus posibles efectos transfronterizos.
1 bis. Las entidades financieras podrán notificar, de manera voluntaria, ciberamenazas significativas a la autoridad competente pertinente cuando consideren que la amenaza tiene relevancia para el sistema financiero, los usuarios del servicio o los clientes. La autoridad competente pertinente podrá transmitir esta información a otras autoridades pertinentes, de conformidad con el apartado 5.
2. Cuando un incidente grave relacionado con las TIC ocurra y haya afectado de manera sustancial a los intereses financieros de los usuarios de sus servicios y clientes, las entidades financieras informarán sin dilación indebida de dicho incidente, una vez adquieran conocimiento del mismo, a los usuarios de sus servicios y clientes y▐ les comunicarán todas las medidas pertinentes que se hayan adoptado para mitigar sus consecuencias adversas. Cuando no se materialice daño alguno a los usuarios de los servicios y los clientes debido a las contramedidas adoptadas por la entidad financiera, el requisito de informar a tales usuarios y clientes no se aplicará.
3. Las entidades financieras presentarán a la autoridad competente a que se refiere el artículo 41:
a) una notificación inicial ▐ sobre el incidente grave relacionado con las TIC en la que se proporcionará la información disponible, en la medida de lo posible, a la entidad notificante como sigue:
i) por lo que se refiere a los incidentes que perturben significativamente la disponibilidad de los servicios prestados por la entidad financiera, se notificará a la autoridad competente sin demora indebida y, en cualquier caso, en un plazo de 24 horas a partir del momento en que se tenga conocimiento del incidente;
ii) por lo que se refiere a los incidentes que tengan un impacto significativo en la entidad financiera en aspectos distintos de la disponibilidad de los servicios que presta, se notificará a la autoridad competente sin demora indebida y, en cualquier caso, en un plazo de 72 horas desde el momento en que se tenga conocimiento del incidente;
iii) por lo que se refiere a los incidentes que tengan un impacto en la integridad, la confidencialidad o la seguridad de los datos personales conservados por esta entidad financiera, se notificará a la autoridad competente sin demora indebida y, en cualquier caso, en un plazo de 24 horas desde el momento en que se tenga conocimiento del incidente;
b) un informe intermedio, tan pronto como el estado del incidente original haya cambiado significativamente o haya surgido nueva información que podría afectar considerablemente a la forma en que la autoridad competente aborda el incidente relacionado con las TIC, después de la notificación inicial a que se refiere la letra a), seguido cuando sea necesario de notificaciones actualizadas cada vez que se disponga de una actualización pertinente de la situación, y siempre que lo solicite expresamente la autoridad competente;
c) un informe final, cuando haya concluido el análisis de la causa subyacente, con independencia de que se hayan aplicado ya o no medidas paliativas, y cuando se disponga de las cifras reales de incidencia para sustituir a las estimaciones, pero no más tarde de un mes desde la fecha de envío del informe inicial.
c bis) en caso de se produzca un incidente en el momento de presentar el informe final mencionado en la letra c), se presentará el informe final un mes después de que se haya resuelto el incidente.
La autoridad competente pertinente a la que se refiere el artículo 41 dispondrá que, en casos debidamente justificados, a las entidades financieras se les permita desviarse de los plazos fijados en las letras a), b), c) y c bis) del presente apartado, teniendo debidamente en cuenta la capacidad de las entidades financieras de proporcionar información exacta y relevante en relación con incidentes graves relacionado con las TIC.
4. Las entidades financieras solo podrán delegar las obligaciones de información establecidas en el presente artículo en un proveedor tercero de servicios una vez que la autoridad competente pertinente a que se refiere el artículo 41 haya aprobado la delegación. En los casos en que se efectúe tal delegación, la entidad financiera seguirá siendo plenamente responsable del cumplimiento de los requisitos en materia de notificación de incidentes.
5. La autoridad competente, una vez que reciba el informe a que se refiere el apartado 1, facilitará sin dilación indebida los datos detallados sobre el incidente grave relacionado con las TIC a:
a) la ABE, la AEVM o la AESPJ, según proceda;
b) el BCE, según proceda, en el caso de las entidades financieras a las que se refiere el artículo 2, apartado 1, letras a), b) y c); y
c) el punto de contacto único designado con arreglo a lo dispuesto en el artículo 8 de la Directiva (UE) 2016/1148 o los CSIRT designados de conformidad con el artículo 9 de la Directiva (UE) 2016/1149;
c bis) la autoridad de resolución responsable de la entidad financiera en cuestión. La Junta Única de Resolución (JUR), para las entidades a que se refiere el artículo 7, apartado 2, del Reglamento (UE) n.º 806/2014, y para las entidades y los grupos a que se refiere el artículo7, apartado 4, letra b), y apartado 5, del Reglamento (UE) n.º 806/2014 cuando se cumplan las condiciones para la aplicación de estos apartados;
c ter) las autoridades nacionales de resolución, para las entidades y a los grupos a que se refiere el artículo 7, apartado 3, del Reglamento (UE) n.º 806/2014. Las autoridades nacionales proporcionarán trimestralmente a la JUR un resumen de los informes que hayan recibido con arreglo a la presente letra en relación con las entidades y los grupos a que se refiere el artículo 7, apartado 3, del Reglamento (UE) n.º 806/2014;
c quater) otras autoridades públicas pertinentes, incluidas las de otros Estados miembros.
6. La ABE, la AEVM o la AESPJ y el BCE, en cooperación con la ENISA, evaluarán la pertinencia del incidente grave relacionado con las TIC para otras autoridades públicas pertinentes y las informarán según corresponda lo antes posible. El BCE notificará las cuestiones pertinentes para el sistema de pagos a los miembros del Sistema Europeo de Bancos Centrales. Basándose en dicha notificación, las autoridades competentes tomarán, en su caso, las medidas necesarias para proteger la estabilidad inmediata del sistema financiero.
Artículo 18
Armonización del contenido de la información y las plantillas para presentarla
1. Las AES, a través del Comité Mixto y previa consulta a la ENISA y al BCE, elaborarán:
a) proyectos de normas técnicas de regulación comunes al objeto de:
1) establecer el contenido de la información que deberá presentarse cuando se produzcan incidentes graves relacionados con las TIC;
2) especificar las condiciones en las que las entidades financieras podrán delegar en un proveedor tercero de servicios, previa aprobación de la autoridad competente, las obligaciones de información establecidas en el presente capítulo;
3) especificar con más detalle los criterios para determinar el impacto de un incidente grave relacionado con las TIC en la entidad financiera a efectos del artículo 17, apartado 3, letra a).
b) proyectos de normas técnicas de ejecución comunes para establecer los formularios, las plantillas y los procedimientos normalizados que deberán utilizar las entidades financieras para informar de un incidente grave relacionado con las TIC.
Las AES presentarán a la Comisión los proyectos de normas técnicas de regulación comunes a que se refiere el apartado 1, letra a), y los proyectos de normas técnicas de ejecución comunes a que se refiere el apartado 1, letra b), a más tardar, el xx 202x [OP: insértese la fecha correspondiente a 2 años después de la fecha de entrada en vigor].
Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas de regulación comunes a que se refiere el apartado 1, letra a), de conformidad con los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, el Reglamento (UE) n.º 1095/2010 y el Reglamento (UE) n.º 1094/2010.
Se otorgan a la Comisión competencias para adoptar las normas técnicas de ejecución comunes a que se refiere el apartado 1, letra b), de conformidad con el artículo 15 del Reglamento (UE) n.º 1093/2010, el Reglamento (UE) n.º 1095/2010 y el Reglamento (UE) n.º 1094/2010.
2. A la espera del resultado del informe de viabilidad relativo a la centralización en mayor medida de la información sobre incidentes al que se refiere el artículo 19, las AES, a través del Comité Mixto y en colaboración con las autoridades competentes, el BCE, la JUR y la ENISA, elaborarán directrices para el intercambio de información sobre la notificación de incidentes grave relacionado con las TIC de conformidad con el artículo 17, apartado 5.
Las directrices mencionadas en el párrafo primero deben tener en cuenta, al menos, lo siguiente:
a) las líneas de comunicación más eficientes;
b) el mantenimiento de la seguridad, la confidencialidad y la integridad de los datos intercambiados;
c) la posible participación de las entidades financieras para complementar el intercambio de información a que se refiere el artículo 40.
Artículo 19
Centralización de la información sobre los incidentes graves relacionados con las TIC
1. Las AES, a través del Comité Mixto y en consulta con el BCE y la ENISA, prepararán un informe conjunto en el que se evaluará la viabilidad de centralizar más la información sobre incidentes mediante la creación de un centro único de la UE para la presentación de información sobre incidentes graves relacionados con las TIC por las entidades financieras. En el informe se estudiarán maneras de facilitar la circulación de la información sobre incidentes graves relacionados con las TIC, reducir los costes asociados y sustentar análisis temáticos con el fin de mejorar la convergencia de la supervisión.
2. El informe al que se refiere el apartado 1 incluirá al menos los siguientes elementos:
a) requisitos previos para la creación de un centro único de la UE;
b) ventajas, limitaciones y posibles riesgos;
b bis) capacidad para establecer la interoperabilidad y evaluar su valor añadido respecto a otros mecanismos de notificación pertinentes, como en la Directiva (UE) 2016/1148.
c) elementos de gestión operativa;
d) condiciones de participación;
e) modalidades de acceso al centro único de la UE para las entidades financieras y las autoridades nacionales competentes;
f) evaluación preliminar de los costes financieros que conllevaría la creación de la plataforma operativa que sustentaría el centro único de la UE, incluidos los conocimientos técnicos necesarios.
3. Las AES presentarán el informe a que se refiere el apartado 1 a la Comisión, al Parlamento Europeo y al Consejo a más tardar el xx 202x [OP: insértese la fecha correspondiente a 3 años después de la fecha de entrada en vigor].
Artículo 20
Respuesta de las autoridades de la supervisión
1. Cuando reciba un informe como el mencionado en el artículo 17, apartado 1, la autoridad competente acusará recibo de la notificación y proporcionará con la mayor celeridad posible todos los comentarios o la orientación que sean necesarios a la entidad financiera, en particular para estudiar medidas correctoras a nivel de la entidad o formas de minimizar las repercusiones negativas en diferentes sectores, y facilitará además observaciones, conocimientos e información de inteligencia debidamente anonimizados a todas las entidades financieras pertinentes cuando estos recursos puedan resultar beneficiosos, sobre la base de los informes de incidentes graves que reciba.
2. Las AES, a través del Comité Mixto, informarán anualmente, utilizando datos anonimizados y agregados, sobre las notificaciones de informes de incidentes graves relacionados con las TIC recibidas de las autoridades competentes, indicando al menos el número de incidentes graves relacionados con las TIC, su naturaleza, su repercusión en las operaciones de las entidades financieras o de los clientes, los costes estimados y las medidas correctoras tomadas.
Las AES publicarán advertencias y elaborarán estadísticas de alto nivel para apoyar las evaluaciones de las amenazas y las vulnerabilidades que afecten a las TIC.
Artículo 20 bis
Incidentes operativos o de seguridad relacionados con los pagos que atañan a ciertas entidades financieras
Los requisitos establecidos en el presente capítulo se aplicarán también a los incidentes operativos o de seguridad, graves o no, relacionados con los pagos cuando atañan a las entidades financieras a que se refiere el artículo 2, apartado 1, letras a), b) y c).
CAPÍTULO IV
PRUEBAS DE RESILIENCIA OPERATIVA DIGITAL
Artículo 21
Requisitos generales para la realización de pruebas de resiliencia operativa digital
1. A fin de evaluar el estado de preparación ante incidentes relacionados con las TIC, o de detectar debilidades, deficiencias o carencias en la resiliencia operativa digital y de aplicar sin demora medidas correctoras, las entidades financieras que no sean microempresas establecerán, mantendrán y revisarán▐ un programa de pruebas de resiliencia operativa digital sólido y completo que forme parte del marco de gestión del riesgo de TIC a que se refiere el artículo 5.
2. El programa de pruebas de resiliencia operativa digital incluirá una serie de evaluaciones, pruebas, métodos, prácticas y herramientas que se aplicarán conforme a lo dispuesto en los artículos 22 y 23.
3. Las entidades financieras seguirán un enfoque basado en el riesgo cuando lleven a cabo el programa de pruebas de resiliencia operativa digital a que se refiere el apartado 1, teniendo en cuenta el panorama cambiante de los riesgos de TIC, cualesquiera riesgos específicos a los que la entidad financiera esté o pueda estar expuesta, el carácter esencial de los activos de información y de los servicios prestados, así como cualquier otro factor que la entidad financiera considere apropiado.
4. Las entidades financieras se asegurarán de que las pruebas sean realizadas por partes independientes, ya sean internas o externas. Cuando un testador interno se encargue de realizar las pruebas, las entidades financieras deberán dedicar recursos suficientes y garantizar que se evitan los conflictos de intereses durante todas las fases de diseño y ejecución de las pruebas.
5. Las entidades financieras establecerán procedimientos y políticas para ordenar por prioridades, clasificar y abordar todos los problemas detectados durante la realización de las pruebas y establecerán métodos de validación interna para asegurarse de que todas las debilidades, deficiencias o carencias sean tratadas de manera exhaustiva.
6. Las entidades financieras se asegurarán de que se efectúen las pruebas apropiadas de todos los sistemas y aplicaciones de TIC esenciales al menos una vez al año.
Artículo 22
Pruebas de las herramientas y los sistemas de TIC
1. El programa de pruebas de resiliencia operativa digital a que se refiere el artículo 21 dispondrá la ejecución de un conjunto completo de pruebas adecuadas.
Estas pruebas podrán abarcar evaluaciones y exploraciones de vulnerabilidad, análisis del código abierto, evaluaciones de seguridad de la red, análisis de carencias, exámenes de la seguridad física, cuestionarios y soluciones de software de detección, revisiones del código fuente cuando sea posible, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento, pruebas de extremo a extremo o pruebas de penetración.
2. Las entidades financieras a que se refiere el artículo 2, apartado 1, letras f) y g), llevarán a cabo evaluaciones de vulnerabilidad antes de implantar o reimplantar servicios nuevos o ya existentes que sustenten componentes de las funciones, aplicaciones e infraestructuras esenciales de la entidad financiera.
Artículo 23
Pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración guiadas por amenazas
1. Las entidades financieras determinadas de conformidad con el apartado 3, párrafo segundo, llevarán a cabo al menos cada tres años pruebas avanzadas consistentes en pruebas de penetración guiadas por amenazas.
2. Las pruebas de penetración guiadas por amenazas abarcarán al menos las funciones y los servicios esenciales o importantes de una entidad financiera y se realizarán sobre los sistemas de producción en vivo que sustenten esas funciones, cuando sea posible, o los sistemas de preproducción con la misma configuración de seguridad. El alcance preciso de las pruebas de penetración guiadas por amenazas, basado en el examen de las funciones y los servicios esenciales o importantes, será definido por las entidades financieras y validado por las autoridades competentes. Una prueba única de penetración guiada por amenaza no estará sujeta al requisito de abarcar todas las funciones esenciales o importantes.
A efectos de lo dispuesto en el párrafo primero, las entidades financieras determinarán todos los procesos, sistemas y tecnologías subyacentes que sustenten funciones y servicios esenciales o importantes, incluidos los servicios y funciones esenciales o importantes externalizados o contratados a proveedores terceros de servicios de TIC.
Cuando haya proveedores terceros esenciales de servicios de TIC y, si es necesario, proveedores terceros no esenciales de servicios de TIC incluidos en el ámbito de cobertura de las pruebas de penetración guiadas por amenazas, la entidad financiera tomará las medidas necesarias para asegurar la participación de estos proveedores. Tales proveedores terceros de servicios de TIC no estarán obligados a facilitar información ni a proporcionar datos pormenorizados en relación con asuntos que no atañan a los controles de gestión del riesgo de las funciones esenciales o importantes pertinentes de las entidades financieras de que se trate. Tales pruebas no repercutirán negativamente en otros clientes de los proveedores terceros de servicios de TIC.
En los casos en que la intervención de un proveedor tercero de servicios de TIC en las pruebas de penetración guiadas por amenazas pueda repercutir en la calidad, confidencialidad o seguridad de los servicios de dicho proveedor a otros clientes que no entren dentro del ámbito de aplicación del presente Reglamento, o en la integridad general de las operaciones del proveedor tercero de servicios de TIC, este y la entidad financiera podrán convenir contractualmente que al primero se le permita celebrar directamente acuerdos contractuales con un testador externo. Los proveedores terceros de servicios de TIC podrán celebrar este tipo de acuerdos en nombre de todos sus usuarios de servicios de entidades financieras con el fin de realizar pruebas conjuntas.
Las entidades financieras aplicarán controles efectivos de gestión del riesgo para mitigar los riesgos de cualquier posible repercusión en los datos, daño de los activos y perturbación de servicios u operaciones esenciales o importantes en la propia entidad financiera, en sus contrapartes o en el sector financiero.
Al finalizar la prueba, y una vez que se hayan aprobado los informes y los planes correctores, la entidad financiera y los testadores externos facilitarán a la autoridad pública única, designada de conformidad con el apartado 3 bis, o, en el caso de los proveedores terceros de servicios de TIC que celebren directamente acuerdos contractuales con testadores externos, a la ENISA, un resumen confidencial de los resultados de la prueba y la documentación que confirme que la prueba de penetración guiada por amenazas se ha realizado conforme a los requisitos. La autoridad pública única o la ENISA, según proceda, expedirá un certificado que confirme que la prueba se efectuó de conformidad con los requisitos establecidos en la documentación, con el fin de permitir el reconocimiento mutuo de las pruebas de penetración guiada por amenazas entre las autoridades competentes. El certificado se transmitirá a la autoridad competente de la entidad financiera y, si procede, al supervisor principal del proveedor tercero de servicios de TIC esenciales.
3. Las entidades financieras, o los proveedores terceros de servicios de TIC que están autorizados a celebrar directamente acuerdos contractuales con un testador externo de conformidad con el apartado 2 del presente artículo, contratarán de conformidad con el artículo 24 a los testadores que realizarán las pruebas de penetración guiadas por amenazas.
Sin perjuicio de su capacidad para delegar tareas y competencias conforme al presente artículo en otras autoridades competentes a cargo de las pruebas de penetración guiadas por amenazas, las autoridades competentes determinarán las entidades financieras que deberán realizar pruebas de penetración guiadas por amenazas de manera proporcionada ▐ , basándose en la evaluación de:
a) factores relacionados con la repercusión, en particular el carácter esencial de los servicios prestados y las actividades realizadas por la entidad financiera;
b) posibles problemas de estabilidad financiera, y en concreto el carácter sistémico de la entidad financiera a nivel nacional o de la Unión, cuando proceda;
c) el perfil de riesgo de TIC específico, el nivel de madurez de las TIC de la entidad financiera o las características tecnológicas presentes.
3 bis. Los Estados miembros designarán a una autoridad pública única que será responsable de las pruebas de penetración guiadas por amenazas en el sector financiero a escala nacional, salvo para la identificación de entidades nacionales de conformidad con el apartado 3, y particularmente de las pruebas de penetración guiadas por amenazas realizadas por entidades financieras y proveedores terceros de servicios de TIC que celebran directamente acuerdos contractuales con testadores externos. Se debe conceder a la autoridad pública única designada todas las competencias y funciones a tal efecto.
4. Las AES, en coordinación con la ENISA y previa consulta al BCE y teniendo en cuenta los marcos pertinentes de la Unión aplicables a las pruebas de penetración basadas en inteligencia y guiadas por amenazas, incluido el marco TIBER-EU, elaborarán un conjunto de proyectos de normas técnicas de regulación para especificar con más detalle:
a) los criterios utilizados a efectos de la aplicación del apartado 3, párrafo segundo, del presente artículo;
b) los requisitos en relación con:
i) el alcance de las pruebas de penetración guiadas por amenazas a que se refiere el apartado 2 del presente artículo;
ii) la metodología y el enfoque de realización de pruebas que deberán seguirse para cada fase específica del proceso de prueba;
iii) las fases de resultados, conclusión y adopción de medidas correctoras del proceso de prueba;
c) el tipo de cooperación entre autoridades supervisoras necesaria para llevar a cabo y facilitar el pleno reconocimiento mutuo de las pruebas de penetración guiadas por amenazas en el contexto de entidades financieras que operen en más de un Estado miembro y las pruebas realizadas por testadores externos que han celebrado directamente acuerdos contractuales con proveedores terceros de servicios de TIC de conformidad con el apartado 2 del presente artículo, para permitir un nivel adecuado de participación de los supervisores y una ejecución flexible que tenga en cuenta las características específicas de subsectores financieros o mercados financieros locales.
Las AES presentarán a la Comisión dichos proyectos de normas técnicas de regulación a más tardar [OP: insértese la fecha correspondiente a 6 meses antes de la fecha de entrada en vigor].
Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas de regulación a que se refiere el párrafo segundo de conformidad con los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, el Reglamento (UE) n.º 1095/2010 y el Reglamento (UE) n.º 1094/2010.
Artículo 24
Requisitos aplicables a los testadores
1. Para la realización de pruebas de penetración guiadas por amenazas, las entidades financieras y los proveedores terceros de servicios de TIC que están autorizados a celebrar directamente acuerdos contractuales con testadores externos de conformidad con el artículo 23, apartado 2, solo recurrirán a testadores que:
a) tengan el más alto grado de idoneidad y prestigio;
b) posean capacidades técnicas y organizativas y demuestren una pericia técnica específica en inteligencia sobre amenazas, pruebas de penetración o pruebas de equipo rojo;
c) estén acreditados por un órgano de certificación de un Estado miembro o adheridos a códigos de conducta o marcos éticos oficiales, ya provenga el testador de un Estado miembro o de un tercer país;
d) ▐ proporcionen una garantía independiente o un informe de auditoría que acrediten la buena gestión de los riesgos asociados con la ejecución de pruebas de penetración guiadas por amenazas, incluidas la protección adecuada de la información confidencial de la entidad financiera y medidas correctoras para contrarrestar los riesgos operativos de esta;
e) ▐ estén debida y completamente cubiertos por los seguros pertinentes de responsabilidad civil profesional, en particular frente a los riesgos de conducta indebida y negligencia.
e bis) en el caso de los testadores externos, su empleo haya sido aprobado por la autoridad competente pertinente y por la autoridad pública única designada de conformidad con el artículo 23, apartado 3 bis), y estas autoridades hayan comprobado que la entidad financiera ha dedicado recursos suficientes y ha garantizado que se han evitado los conflictos de intereses durante las fases de diseño y ejecución de la prueba.
2. Las entidades financieras y los proveedores terceros de servicios de TIC que están autorizados a celebrar directamente acuerdos contractuales con testados externos de conformidad con el artículo 23, apartado 2, se asegurarán de que los acuerdos celebrados con testadores externos exijan una buena gestión de los resultados de las pruebas de penetración guiadas por amenazas y de que ningún tratamiento del que sean objeto, incluido cualquier proceso de generación, redacción, almacenamiento, agregación, información, comunicación o destrucción, cree riesgos para la entidad financiera.
CAPÍTULO V
GESTIÓN DEL RIESGO DE TERCEROS RELACIONADO CON LAS TIC
SECCIÓN I
PRINCIPIOS FUNDAMENTALES DE UNA BUENA GESTIÓN DEL RIESGO DE TERCEROS RELACIONADO CON LAS TIC
Artículo 25
Principios generales
Las entidades financieras gestionarán el riesgo de terceros relacionado con las TIC como un elemento integrante del riesgo de TIC dentro de su marco de gestión del riesgo de TIC y de conformidad con los principios siguientes:
1. Las entidades financieras que tengan acuerdos contractuales en vigor para utilizar servicios de TIC en la realización de sus operaciones empresariales serán en todo momento plenamente responsables del acatamiento y el cumplimiento de todas las obligaciones que se deriven del presente Reglamento y de la legislación sobre servicios financieros aplicable.
2. Las entidades financieras gestionarán el riesgo de terceros relacionado con las TIC con arreglo al principio de proporcionalidad, teniendo en cuenta:
a) la naturaleza, la magnitud, la complejidad y la importancia de las dependencias con respecto a las TIC;
b) los riesgos derivados de los acuerdos contractuales sobre el uso de servicios de TIC celebrados con proveedores terceros de servicios de TIC, teniendo en cuenta el carácter esencial o la importancia del servicio, el proceso o la función de que se trate, y la repercusión potencial en la continuidad y la calidad de las actividades y los servicios financieros, a nivel individual y de grupo;
b bis) si el proveedor de servicios de TIC es una entidad del mismo grupo.
3. Como parte de su marco de gestión del riesgo de TIC, las entidades financieras que no sean microempresas adoptarán una estrategia, que revisarán periódicamente, sobre el riesgo de terceros relacionado con las TIC▐ . Esa estrategia incluirá una política sobre el uso de servicios de TIC prestados por proveedores terceros de servicios de TIC y se aplicará a nivel individual y, cuando proceda, en base subconsolidada y consolidada. El órgano de dirección revisará periódicamente los riesgos detectados por lo que respecta a la externalización de funciones esenciales o importantes.
4. Como parte de su marco de gestión del riesgo de TIC, las entidades financieras mantendrán y actualizarán a nivel individual, y a nivel subconsolidado y consolidado, un registro de información en relación con todos los acuerdos contractuales sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes prestados por proveedores terceros.
Los acuerdos contractuales a que se refiere el párrafo primero se documentarán adecuadamente ▐.
Cuando se encuentren disponibles, las entidades financieras se atendrán a las directrices y otras medidas emitidas por las AES y las autoridades competentes hasta la entrada en vigor de las normas técnicas de ejecución a que se refiere el apartado 10.
Las entidades financieras comunicarán al menos una vez al año a las autoridades competentes información sobre el número de nuevos acuerdos relativos al uso de servicios de TIC que sustenten funciones esenciales o importantes, las categorías de proveedores terceros de servicios de TIC, el tipo de acuerdos contractuales y los servicios y funciones prestados.
Las entidades financieras pondrán a disposición de la autoridad competente, previa solicitud, el registro completo de información o, cuando así se solicite, secciones específicas de este, junto con toda información que se considere necesaria para permitir la supervisión efectiva de la entidad financiera.
Las entidades financieras informarán oportunamente a la autoridad competente cuando se propongan contratar funciones esenciales o importantes y cuando una función se haya convertido en esencial o importante.
5. Antes de celebrar un acuerdo contractual sobre el uso de servicios de TIC, las entidades financieras:
a) evaluarán si el acuerdo contractual se refiere a una función esencial o importante;
b) evaluarán si se cumplen las condiciones de supervisión para la contratación;
c) determinarán y evaluarán todos los riesgos pertinentes en relación con el acuerdo contractual, incluida la posibilidad de que dicho acuerdo pueda contribuir a reforzar el riesgo de concentración de TIC;
d) llevarán a cabo todas las comprobaciones debidas con respecto a los posibles proveedores terceros de servicios de TIC y se asegurarán, a través de los procesos de selección y evaluación, de la idoneidad de dichos proveedores;
e) determinarán y evaluarán los conflictos de intereses que el acuerdo contractual pueda causar.
6. Las entidades financieras únicamente podrán celebrar acuerdos contractuales con proveedores terceros de servicios de TIC que cumplan unas normas estrictas, adecuadas y actualizadas en materia de seguridad▐. Las normas actualizadas también se considerarán al determinar si las normas en materia de seguridad que se aplican son adecuadas.
7. Al ejercer los derechos de acceso, inspección y auditoría sobre el proveedor tercero de servicios de TIC en relación con funciones esenciales o importantes, las entidades financieras determinarán previamente, con arreglo a un enfoque basado en el riesgo, la frecuencia de las auditorías e inspecciones y los ámbitos que deben auditarse, según normas de auditoría comúnmente aceptadas en consonancia con las instrucciones de supervisión sobre el uso y la incorporación de dichas normas de auditoría.
En el caso de los acuerdos contractuales que impliquen una complejidad tecnológica detallada, la entidad financiera verificará que los auditores, ya sean internos, grupos de auditores o auditores externos, posean las capacidades y los conocimientos adecuados para llevar a cabo eficazmente las auditorías y evaluaciones pertinentes.
8. Las entidades financieras se asegurarán de que los acuerdos contractuales sobre el uso de servicios de TIC permiten a las entidades financieras adoptar las medidas correctoras o de subsanación adecuadas, que pueden abarcar la rescisión por completo de los acuerdos, si no es posible una rectificación, o la rescisión parcial de los acuerdos, si no es posible una rectificación, de conformidad con la legislación aplicable, al menos en los siguientes casos:
a) incumplimiento significativo por parte del proveedor tercero de servicios de TIC de las disposiciones legales o reglamentarias o de las cláusulas contractuales aplicables;
a bis) recomendación emitida por el órgano de supervisión conjunta con arreglo al artículo 37 a un proveedor tercero esencial de servicios de TIC;
b) circunstancias observadas durante el seguimiento del riesgo de terceros relacionado con las TIC que se considere que pueden alterar el desempeño de las funciones prestadas en virtud del acuerdo contractual, incluidos cambios significativos que afecten al acuerdo o a la situación del proveedor tercero de servicios de TIC;
c) deficiencias manifiestas del proveedor tercero de servicios de TIC en cuanto a su gestión global del riesgo de TIC en su contrato con la entidad financiera y, en particular, en la forma en que garantiza la seguridad e integridad de los datos confidenciales, personales o sensibles en general o de la información no personal;
d) Cuando, de manera demostrable, la autoridad competente haya dejado de poder supervisar eficazmente a la entidad financiera como resultado del acuerdo contractual de que se trate.
8 bis. Con vistas a reducir el riesgo de perturbaciones a nivel de la entidad financiera, en circunstancias debidamente justificadas y de acuerdo con sus autoridades competentes, la entidad financiera podrá decidir no rescindir los acuerdos contractuales que mantenga con proveedores terceros de servicios de TIC hasta que pueda recurrir a otro proveedor o a soluciones internas en consonancia con la complejidad del servicio prestado, de conformidad con la estrategia de salida a que se refiere el apartado 9.
8 ter. En los casos en que se rescindan los acuerdos contractuales celebrados con proveedores terceros de servicios de TIC debido a alguna de las circunstancias enumeradas en el apartado 8, letras a) a d), las entidades financieras no asumirán el coste de transferir los datos en poder de un proveedor tercero de servicios de TIC cuando dicha trasferencia supere el coste de transferencia de datos contemplado en el contrato inicial.
9. En el caso de los servicios de TIC relativos a funciones esenciales o importantes, las entidades financieras establecerán estrategias de salida, que deberán revisarse periódicamente. Las estrategias de salida tendrán en cuenta los riesgos que puedan surgir en relación con el proveedor tercero de servicios de TIC, en particular un posible fallo de este último, un deterioro de la calidad de las funciones ofrecidas, cualquier perturbación de la actividad debida a una falta de prestación de servicios o a una prestación inadecuada, o un riesgo sustancial que pueda plantearse en relación con el ejercicio adecuado y continuo de la función, o en caso de rescisión de los acuerdos contractuales con proveedores terceros de servicios de TIC en cualquiera de las circunstancias enumeradas en el apartado 8, letras a) a d).
Las entidades financieras se asegurarán de poder abandonar los acuerdos contractuales sin:
a) perturbación de sus actividades comerciales;
b) limitación del cumplimiento de los requisitos reglamentarios;
c) perjuicio para la continuidad y la calidad de su prestación de servicios a los clientes.
Los planes de salida serán exhaustivos, estarán documentados y, en su caso, habrán sido suficientemente probados.
Las entidades financieras identificarán soluciones alternativas y elaborarán planes de transición que les permitan recuperar las funciones contratadas y los datos pertinentes del proveedor tercero de servicios de TIC y transferirlos de forma segura e íntegra a proveedores alternativos o reincorporarlos internamente.
Las entidades financieras adoptarán las medidas de contingencia adecuadas para mantener la continuidad de sus actividades en todas las circunstancias mencionadas en el párrafo primero.
10. Las AES, a través del Comité Mixto, elaborarán proyectos de normas técnicas de ejecución a fin de establecer las plantillas normalizadas para del registro de información a que se refiere el apartado 4.
Las AES presentarán a la Comisión dichos proyectos de normas técnicas de ejecución a más tardar el [OP: insértese la fecha correspondiente a 1 año después de la fecha de entrada en vigor].
Se otorgan a la Comisión competencias para adoptar las normas técnicas de ejecución a que se refiere el párrafo primero de conformidad con el artículo 15 del Reglamento (UE) n.º 1093/2010, el Reglamento (UE) n.º 1095/2010 y el Reglamento (UE) n.º 1094/2010.
11. Las AES, a través del Comité Mixto, elaborarán proyectos de normas técnicas de regulación:
a) para especificar el contenido detallado de la política a que se refiere el apartado 3 en relación con los acuerdos contractuales sobre el uso de servicios de TIC prestados por proveedores terceros, con referencia a las principales fases del ciclo de vida de los correspondientes acuerdos sobre el uso de servicios de TIC;
b) los tipos de información que deberán figurar en el registro de información al que se refiere el apartado 4.
Las AES presentarán a la Comisión dichos proyectos de normas técnicas de regulación a más tardar el [OP: insértese la fecha correspondiente a 18 meses después de la fecha de entrada en vigor].
Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas de regulación a que se refiere el párrafo segundo de conformidad con los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, el Reglamento (UE) n.º 1095/2010 y el Reglamento (UE) n.º 1094/2010.
Artículo 26
Evaluación preliminar del riesgo de concentración de TIC y posteriores acuerdos de subcontratación
1. Al llevar a cabo la determinación y evaluación del riesgo de concentración de TIC a que se refiere el artículo 25, apartado 5, letra c), las entidades financieras tendrán en cuenta si la celebración de un acuerdo contractual en relación con los servicios de TIC que sustenten funciones esenciales o importantes puede dar lugar a alguna de las siguientes circunstancias:
a) la celebración de un contrato con un proveedor tercero de servicios de TIC que no sea fácilmente sustituible; o
b) la coexistencia de múltiples acuerdos contractuales en relación con la prestación de servicios de TIC que sustenten funciones esenciales o importantes con el mismo proveedor tercero de servicios de TIC o con proveedores terceros de servicios de TIC estrechamente relacionados.
Las entidades financieras ponderarán los beneficios y los costes de soluciones alternativas, como el recurso a distintos proveedores terceros de servicios de TIC, considerando si las soluciones contempladas se ajustan a las necesidades y objetivos empresariales establecidos en su estrategia de resiliencia digital y de qué manera.
2. Cuando el acuerdo contractual sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes incluya la posibilidad de que un proveedor tercero de servicios de TIC subcontrate a su vez una función esencial o importante a otros proveedores terceros de servicios de TIC, las entidades financieras ponderarán los beneficios y los riesgos que puedan derivarse de esa posible subcontratación▐.
Cuando se celebren acuerdos contractuales sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes con un proveedor tercero de servicios de TIC ▐, las entidades financieras considerarán relevantes, al menos, los siguientes factores:
a) ▐
b) ▐
c) las disposiciones legislativas en materia de insolvencia que se aplicarían en caso de quiebra del proveedor tercero de servicios de TIC; y
d) cualquier restricción que pueda surgir y que afecte a la recuperación urgente de los datos de la entidad financiera.
Cuando se celebren acuerdos contractuales sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes con un proveedor tercero de servicios de TIC establecido en un tercer país, las entidades financieras considerarán, además de lo mencionado en los párrafos primero y segundo, los siguientes factores:
i) el respeto de las normas de protección de datos de la Unión; y
ii) la aplicación efectiva de las normas establecidas en el presente Reglamento.
En caso de que tales acuerdos contractuales incluyan la subcontratación de funciones esenciales o importantes, las entidades financieras evaluarán si las cadenas de subcontratación potencialmente largas o complejas pueden afectar a su capacidad para evaluar por completo los factores que se enumeran en los párrafos segundo y tercero para efectuar un seguimiento de las funciones contratadas y a la capacidad de la autoridad competente para supervisar eficazmente a la entidad financiera a este respecto, y en qué medida.
Artículo 27
Cláusulas contractuales fundamentales
1. Los derechos y obligaciones de la entidad financiera y del proveedor tercero de servicios de TIC estarán claramente asignados y establecidos por escrito. El contrato completo, que incluirá los acuerdos de nivel de servicios, se formalizará por escrito y estará a disposición de las partes en papel o en un formato descargable y accesible.
2. Las entidades financieras y los proveedores terceros de servicios de TIC se asegurarán de que los acuerdos contractuales sobre el uso de servicios de TIC incluyan, como mínimo, lo siguiente:
a) una descripción clara y completa de todas las funciones y servicios que deba prestar el proveedor tercero de servicios de TIC, indicando si está permitida la subcontratación de funciones esenciales o importantes, o de partes sustanciales de ellas, y, en caso afirmativo, las condiciones aplicables a dicha subcontratación;
b) los lugares, y en concreto, las regiones o países, en los que deberán proporcionarse las funciones y los servicios de TIC contratados o subcontratados y en los que deberán tratarse los datos, incluido el lugar de almacenamiento, y el requisito de que el proveedor tercero de servicios de TIC notifique por adelantado a la entidad financiera cualquier cambio previsto de dichos lugares;
c) disposiciones sobre accesibilidad, disponibilidad, integridad, seguridad, confidencialidad y protección de los datos, incluidos los personales;
c bis) disposiciones para de poder acceder a los datos personales y no personales tratados y poder recuperarlos y que le sean devueltos en un formato fácilmente accesible, en caso de insolvencia, resolución, interrupción de las operaciones comerciales del proveedor tercero de servicios de TIC, o en caso de rescisión de los acuerdos contractuales;
d) descripciones completas del nivel de servicio, incluidas sus actualizaciones y revisiones, y objetivos precisos de rendimiento cuantitativos y cualitativos dentro de los niveles de servicio acordados, de modo que la entidad financiera pueda realizar un seguimiento efectivo y que puedan adoptarse sin demora indebida las medidas correctoras adecuadas cuando no se alcancen los niveles de servicio acordados;
e) ▐
f) la obligación del proveedor tercero de servicios de TIC de prestar asistencia en caso de que se produzca un incidente de TIC relacionado con el servicio prestado sin coste adicional o a un coste predeterminado;
g) la obligación de que el proveedor tercero de servicios de TIC aplique y ponga a prueba planes de contingencia empresarial y disponga de medidas, herramientas y políticas de seguridad de las TIC que proporcionen un nivel apropiado de seguridad en cuanto a la prestación de servicios por parte de la entidad financiera en consonancia con su marco regulador;
h) ▐
i) la obligación del proveedor tercero de servicios de TIC de cooperar plenamente con las autoridades competentes y las autoridades de resolución de la entidad financiera, incluidas las personas designadas por ellas;
j) los derechos de rescisión y el correspondiente plazo mínimo de preaviso para la rescisión del contrato, de conformidad con las expectativas de las autoridades competentes y de resolución, y, cuando dicho acuerdo contractual repercuta en un proveedor tercero de servicios de TIC de un mismo grupo, un análisis con arreglo a un enfoque basado en el riesgo;
k) estrategias de salida, en particular el establecimiento de un período transitorio suficiente obligatorio:
i) durante el cual el proveedor tercero de servicios de TIC seguirá proporcionando las funciones o los servicios de que se trate con el fin de reducir el riesgo de perturbaciones en la entidad financiera o de garantizar su resolución y reestructuración efectivas;
ii) que permita a la entidad financiera cambiar a otro proveedor tercero de servicios de TIC o adoptar soluciones internas coherentes con la complejidad del servicio prestado;
ii bis) cuando tal consideración repercuta en un proveedor tercero de servicios de TIC de un mismo grupo, se analizará con arreglo a un enfoque basado en el riesgo;
k bis) una disposición sobre el tratamiento de datos personales por el proveedor tercero de servicios de TIC de conformidad con el Reglamento (UE) 2016/679;
2 bis. Además de lo dispuesto en el apartado 2, los acuerdos contractuales para desempeñar funciones esenciales o importantes incluirán por lo menos lo siguiente:
a) plazos de notificación y obligaciones de información del proveedor tercero de servicios de TIC a la entidad financiera, incluida la notificación de cualquier hecho que pueda tener un efecto significativo en la capacidad del proveedor tercero de servicios de TIC para desempeñar eficazmente funciones esenciales o importantes de conformidad con los niveles de servicio acordados;
b) el derecho a realizar un seguimiento continuo de la actuación del proveedor tercero de servicios de TIC, lo que incluye:
i) los derechos de acceso, inspección y auditoría por la entidad financiera o por un tercero designado, y el derecho a hacer copias de la documentación pertinente in situ si son esenciales para las operaciones del proveedor tercero de servicios de TIC, cuyo ejercicio efectivo no se vea obstaculizado o limitado por otros acuerdos contractuales o políticas de aplicación;
ii) el derecho a exigir niveles de garantía alternativos si se ven afectados los derechos de otros clientes;
iii) el compromiso del proveedor tercero de servicios de TIC de cooperar plenamente durante las inspecciones y las auditorías in situ realizadas por las autoridades competentes, el supervisor principal, la entidad financiera o por un tercero designado, y datos sobre el alcance, las modalidades y la frecuencia de tales inspecciones y auditorías;
Como excepción a lo dispuesto en la letra b), el proveedor tercero de servicios de TIC y la entidad financiera podrán acordar la posibilidad de delegar los derechos de acceso, inspección y auditoría en un tercero independiente, designado por el proveedor tercero de servicios de TIC, y que la entidad financiera pueda solicitar al tercero en cualquier momento información y garantías sobre la actuación del proveedor tercero de servicios de TIC.
2 ter. Además de lo dispuesto en los apartados 2 y 2 bis del presente artículo, los acuerdos contractuales para la prestación de servicios de TIC por parte de un proveedor tercero de servicios de TIC establecido en un tercer país y designado como esencial con arreglo al artículo 28, apartado 9:
a) estipularán que el contrato se rige por la legislación de un Estado miembro; y
b) garantizarán que el órgano de supervisión conjunta y el supervisor principal puedan atender sus obligaciones especificadas en el artículo 30 con arreglo a las competencias de los mismos dispuestas en el artículo 31.
No se exigirá que los servicios respecto a los que se celebran los acuerdos contractuales los preste la empresa constituida en la Unión en virtud de la legislación de un Estado miembro.
3. Al negociar acuerdos contractuales, las entidades financieras y los proveedores terceros de servicios de TIC considerarán el uso de cláusulas contractuales tipo elaboradas para servicios específicos.
3 bis. Las autoridades competentes podrán acceder a los acuerdos contractuales a que se refiere el presente artículo. Las partes en dichos acuerdos contractuales podrán acordar redactar información confidencial o de carácter sensible desde un punto de vista comercial antes de dar dicho acceso a las autoridades competentes, a reserva de que estas últimas estén plenamente informadas del alcance y la naturaleza de las redacciones.
4. Las AES, a través del Comité Mixto, elaborarán proyectos de normas técnicas de regulación para especificar más detalladamente los elementos que una entidad financiera deberá determinar y evaluar cuando subcontrate funciones esenciales o importantes a fin de dar correcto cumplimiento a lo dispuesto en el apartado 2, letra a). Al elaborar proyectos de normas técnicas de regulación, las AES tendrán en cuenta el tamaño de las entidades financieras, así como la naturaleza, la escala y la complejidad de sus servicios, actividades y operaciones, y sus perfiles globales de riesgo.
Las AES presentarán a la Comisión dichos proyectos de normas técnicas de regulación a más tardar el [DO: insértese la fecha correspondiente a 18 meses después de la fecha de entrada en vigor].
Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, el Reglamento (UE) n.º 1095/2010 y el Reglamento (UE) n.º 1094/2010.
SECCIÓN II
MARCO DE SUPERVISIÓN DE LOS PROVEEDORES TERCEROS ESENCIALES DE SERVICIOS DE TIC
Artículo 28
Designación de proveedores terceros esenciales de servicios de TIC
1. Las AES, a través del Comité Mixto y por recomendación del órgano de supervisión establecido de conformidad con el artículo 29, apartado 1, deberán, previa consulta con la ENISA:
a) designar a los proveedores terceros de servicios de TIC que sean esenciales para las entidades financieras, teniendo en cuenta los criterios especificados en el apartado 2;
b) designar a la ABE, la AEVM o la AESPJ como supervisor principal para cada proveedor tercero esencial de servicios de TIC, dependiendo de si el valor total de los activos de las entidades financieras que utilizan los servicios de dicho proveedor tercero esencial de servicios de TIC y que están contempladas en el Reglamento (UE) n.º 1093/2010, el Reglamento (UE) n.º 1094/2010 o el Reglamento (UE) n.º 1095/2010 representa más de la mitad del valor de los activos totales de todas las entidades financieras que utilizan los servicios del proveedor tercero esencial de servicios de TIC, según conste en los balances consolidados o en los balances individuales, cuando no estén consolidados, de dichas entidades financieras.
El supervisor principal designado de conformidad con el párrafo primero, letra b), será responsable de la supervisión diaria del proveedor tercero esencial de servicios de TIC.
2. La designación a que se refiere el apartado 1, letra a), se basará en todos los criterios siguientes:
a) el efecto sistémico en la estabilidad, la continuidad o la calidad de la prestación de servicios financieros de un posible fallo operativo a gran escala del proveedor tercero de TIC de que se trate que afecte a la prestación de sus servicios, teniendo en cuenta el número de entidades financieras a las que presta servicios dicho proveedor;
b) el carácter o la importancia sistémicos de las entidades financieras que dependen del proveedor tercero de TIC de que se trate, evaluados con arreglo a los parámetros siguientes:
i) el número de entidades de importancia sistémica mundial (EISM) u otras entidades de importancia sistémica (OEIS) que dependen del proveedor tercero de servicios de TIC correspondiente;
ii) la interdependencia entre las EISM u OEIS a que se refiere el inciso i) y otras entidades financieras, incluidas las situaciones en las que las EISM u OEIS prestan servicios de infraestructura financiera a otras entidades financieras;
c) la dependencia de las entidades financieras respecto de los servicios prestados por el proveedor tercero de servicios de TIC pertinente en relación con funciones esenciales o importantes de entidades financieras que, en última instancia, impliquen al mismo proveedor tercero de servicios de TIC, con independencia de que las entidades financieras recurran a dichos servicios directa o indirectamente, por medio o a través de acuerdos de subcontratación;
d) el grado de sustituibilidad del proveedor tercero de servicios de TIC, teniendo en cuenta los parámetros siguientes:
i) la falta de alternativas reales, siquiera parciales, debido al número limitado de proveedores terceros de servicios de TIC activos en un mercado específico, o a la cuota de mercado del proveedor tercero de servicios de TIC de que se trate, o a la complejidad o dificultad técnica existente, entre otras cosas en relación con tecnologías protegidas por derechos, o a las características específicas de la organización o la actividad del proveedor tercero de servicios de TIC;
ii) las dificultades para efectuar la migración parcial o total de los datos y cargas de trabajo pertinentes del proveedor tercero de servicios de TIC considerado a otro, al ser significativos los costes financieros, el tiempo u otro tipo de recursos que el proceso de migración podría implicar, o debido al aumento de los riesgos de TIC u otros riesgos operativos a los que podría verse expuesta la entidad financiera a través de dicha migración.
e) el número de Estados miembros en los que presta servicios el proveedor tercero de servicios de TIC de que se trate;
f) el número de Estados miembros en los que operan las entidades financieras que recurren al proveedor tercero de servicios de TIC de que se trate.
f bis) la importancia relativa y efectiva de los servicios prestados por el proveedor tercero de servicios de TIC pertinente.
2 bis. El órgano de supervisión conjunta notificará al proveedor tercero de servicios de TIC antes de iniciar su evaluación a efectos de la designación a que se refiere el apartado 1, letra a).
El órgano de supervisión conjunta notificará al proveedor tercero de servicios de TIC el resultado de la evaluación a que se refiere el párrafo primero proporcionando un proyecto de recomendación de carácter esencial. En un plazo de seis semanas a partir de la fecha de recepción del proyecto de recomendación, el proveedor tercero de servicios de TIC podrá remitir al órgano de supervisión conjunta una declaración motivada sobre la evaluación. Dicha declaración motivada contendrá toda la información adicional pertinente que considere oportuna el proveedor tercero de servicios de TIC para respaldar la exhaustividad y la exactitud del procedimiento de designación o para impugnar el proyecto de recomendación de carácter esencial. Antes de adoptar una decisión sobre la designación, el Comité Mixto tendrá debidamente en cuenta dicha declaración motivada y podrá solicitar información o datos adicionales al proveedor tercero de servicios de TIC.
El Comité Mixto informará al proveedor tercero de servicios de TIC de su designación como esencial. El proveedor tercero de servicios de TIC dispondrá de tres meses como mínimo, a partir de la fecha de recepción de la notificación, para realizar todos los ajustes necesarios que permitan al órgano de supervisión conjunta desempeñar sus obligaciones con arreglo al artículo 30, así como para notificar a las entidades financieras a las que preste servicios el proveedor tercero de servicios de TIC. El órgano de supervisión conjunta podrá permitir que el plazo de ajuste se amplíe por un período máximo de tres meses si así lo solicita, y justifica debidamente, el proveedor tercero de servicios de TIC designado.
3. Se otorgan a la Comisión los poderes para adoptar un acto delegado, de conformidad con el artículo 50, que especifique de manera más concreta los criterios mencionados en el apartado 2.
4. El mecanismo de designación a que se refiere el apartado 1, letra a), no se utilizará hasta que la Comisión haya adoptado un acto delegado de conformidad con el apartado 3.
5. El mecanismo de designación a que se refiere el apartado 1, letra a), no se aplicará en relación con los proveedores terceros de servicios de TIC que estén sujetos a marcos de supervisión establecidos en apoyo de las tareas a que se refiere el artículo 127, apartado 2, del Tratado de Funcionamiento de la Unión Europea.
6. El órgano de supervisión conjunta, consultando con la ENISA, establecerá, publicará y actualizará periódicamente la lista de proveedores terceros esenciales de servicios de TIC en la Unión.
7. A efectos de lo dispuesto en el apartado 1, letra a), las autoridades competentes transmitirán anualmente y de forma agregada los informes a que se refiere el artículo 25, apartado 4, al órgano de supervisión conjunta establecido de conformidad con el artículo 29. El órgano de supervisión conjunta evaluará las dependencias de las entidades financieras respecto de terceros en lo que respecta a las TIC con arreglo a la información recibida de las autoridades competentes.
8. Los proveedores terceros de servicios de TIC que no estén incluidos en la lista a que se refiere el apartado 6 podrán solicitar ser incluidos en dicha lista.
A efectos de lo dispuesto en el párrafo primero, el proveedor tercero de servicios de TIC presentará una solicitud motivada a la ABE, la AEVM o la AESPJ, que, a través del Comité Mixto, decidirán si lo incluyen o no en esa lista de conformidad con el apartado 1, letra a).
La decisión a que se refiere el párrafo segundo se adoptará y notificará al proveedor tercero de servicios de TIC en un plazo de seis meses a partir de la recepción de la solicitud.
8 bis. El Comité Mixto, por recomendación del órgano de supervisión conjunta, designará a los proveedores terceros de servicios de TIC establecidos en un tercer país esenciales para las entidades financieras de conformidad con el apartado 1, letra a).
Al proceder a la designación a que se refiere el párrafo primero del presente apartado, las AES y el órgano de supervisión conjunta seguirán los pasos procedimentales establecidos en el apartado 2 bis.
9. Las entidades financieras no recurrirán a un proveedor tercero esencial de servicios de TIC establecido en un tercer país, a no ser que dicho proveedor tercero de servicios de TIC tenga una empresa constituida en la Unión en virtud de la legislación de un Estado miembro y haya celebrado acuerdos contractuales de conformidad con el artículo 27, apartado 2 ter.
Artículo 29
Estructura del marco de supervisión
1. El órgano de supervisión conjunta se establecerá para supervisar el riesgo de terceros relacionado con las TIC en los distintos sectores financieros y supervisar directamente a los proveedores terceros de servicios de TIC designados como esenciales con arreglo al artículo 28.
El papel del órgano de supervisión conjunta se limitará a las competencias de supervisión relacionadas con los riesgos de TIC asociados a los servicios de TIC prestados a las entidades financieras por proveedores terceros esenciales de servicios de TIC.
El órgano de supervisión conjunta debatirá periódicamente las novedades pertinentes en materia de riesgos y vulnerabilidades de las TIC y promoverá un enfoque coherente de seguimiento de los riesgos de terceros relacionados con las TIC a nivel de la Unión.
2. El órgano de supervisión conjunta llevará a cabo anualmente una evaluación colectiva de los resultados y las conclusiones de las actividades de supervisión realizadas para todos los proveedores terceros esenciales de servicios de TIC y promoverá medidas de coordinación para incrementar la resiliencia operativa digital de las entidades financieras, fomentar buenas prácticas para hacer frente al riesgo de concentración de TIC y estudiar medidas de mitigación de la transferencia de riesgos entre sectores.
El órgano de supervisión conjunta presentará parámetros de referencia exhaustivos respecto de los proveedores terceros esenciales de servicios de TIC, que el Comité Mixto adoptará como posiciones conjuntas de las AES de conformidad con el artículo 56, apartado 1, del Reglamento (UE) n.º 1093/2010, del Reglamento (UE) n.º 1094/2010 y del Reglamento (UE) n.º 1095/2010.
3. El órgano de supervisión conjunta estará integrado por los directores ejecutivos de las AES, un representante de alto nivel del personal en ejercicio de las AES y un representante de alto nivel de al menos ocho de las autoridades nacionales competentes. Un representante de la Comisión Europea, de la JERS, del BCE y de la ENISA, y al menos un observador independiente designado de conformidad con el apartado 3 bis del presente artículo, participarán ▌en calidad de observadores.
Tras la designación anual de proveedores terceros esenciales de servicios de TIC, con arreglo al artículo 28, apartado 1, letra a), el Comité Mixto decidirá qué autoridades nacionales competentes serán miembros del órgano de supervisión conjunta, teniendo en cuenta los factores siguientes:
a) el número de proveedores terceros esenciales de servicios de TIC establecidos en un Estado miembro o que prestan servicios en este;
b) la dependencia de las entidades financieras de un Estado miembro de los proveedores terceros esenciales de servicios de TIC;
c) los conocimientos especializados relativos de las autoridades nacionales competentes;
d) la capacidad y los recursos disponibles de las autoridades nacionales competentes;
e) la necesidad de que el funcionamiento y la adopción de decisiones del órgano de supervisión conjunta estén racionalizados y sean austeros y eficientes.
El órgano de supervisión conjunta compartirá su documentación y sus decisiones con todas las autoridades nacionales competentes que no sean miembros del órgano de supervisión conjunta.
La labor del órgano de supervisión conjunta contará con el respaldo y la asistencia de personal específico de todas las AES.
3 bis. El experto independiente a que se refiere el apartado 3 del presente artículo será designado observador por el órgano de supervisión conjunta tras un proceso de solicitud público y transparente.
El experto independiente será designado sobre la base de sus conocimientos especializados en materia de estabilidad financiera, resiliencia operativa digital y seguridad de las TIC para un mandato de dos años.
El experto independiente no ocupará ningún cargo a escala nacional, de la Unión o internacional. El experto independiente actuará con independencia y objetividad en interés exclusivo del conjunto de la Unión y no pedirá ni aceptará instrucción alguna de las instituciones u órganos de la Unión, de ningún Gobierno de un Estado miembro ni de ninguna otra entidad pública o privada.
El órgano de supervisión conjunta podrá decidir designar más de un observador experto independiente.
4. De conformidad con el artículo 16 del Reglamento (UE) n.º 1093/2010, del Reglamento (UE) n.º 1094/2010 y del Reglamento (UE) n.º 1095/2010, las AES emitirán directrices a más tardar el [DO: insértese la fecha correspondiente a 18 meses después de la fecha de entrada en vigor del presente Reglamento] sobre la cooperación entre el órgano de supervisión conjunta, el supervisor principal y las autoridades competentes a efectos de lo dispuesto en la presente sección sobre los procedimientos y las condiciones detallados relativos a la ejecución de las tareas entre las autoridades competentes y el órgano de supervisión conjunta, así como los pormenores sobre los intercambios de información que necesiten las autoridades competentes para garantizar el cumplimiento de las recomendaciones formuladas por el órgano de supervisión conjunta de conformidad con el artículo 31, apartado 1, letra d), a los proveedores terceros esenciales de TIC.
5. Los requisitos establecidos en la presente sección se entenderán sin perjuicio de la aplicación de la Directiva (UE) 2016/1148 y de otras normas de la Unión sobre supervisión aplicables a los proveedores de servicios de computación en nube.
6. El órgano de supervisión conjunta ▌presentará anualmente al Parlamento Europeo, al Consejo y a la Comisión un informe sobre la aplicación de la presente sección.
Artículo 30
Tareas del supervisor principal
1. El supervisor principal, designado en virtud del artículo 28, apartado 1, letra b), dirigirá y coordinará la supervisión diaria de los proveedores terceros esenciales de servicios de TIC y será el punto de contacto principal para dichos proveedores terceros esenciales de servicios de TIC.
1 bis. El supervisor principal evaluará si cada proveedor tercero esencial de servicios de TIC ha establecido normas, procedimientos, mecanismos y disposiciones completos, sólidos y eficaces para gestionar los riesgos de TIC que pueda plantear a las entidades financieras. La evaluación se centrará principalmente en los servicios de TIC que presten asistencia a las funciones esenciales o importantes que presta el proveedor tercero esencial de servicios de TIC a las entidades financieras, pero su alcance también puede ser más amplio si es pertinente a fin de evaluar los riesgos de dichas funciones.
2. La evaluación a que se refiere el apartado 1 bis incluirá:
a) requisitos de las TIC para garantizar, en particular, la seguridad, la disponibilidad, la continuidad, la escalabilidad y la calidad de los servicios que el proveedor tercero esencial de servicios de TIC presta a las entidades financieras, así como la capacidad para mantener en todo momento unos niveles elevados de seguridad, confidencialidad e integridad de los datos;
b) la seguridad física que contribuye a garantizar la seguridad de las TIC, incluida la seguridad de los locales, instalaciones y centros de datos;
c) los procesos de gestión de riesgos, incluidas las políticas de gestión del riesgo de TIC y los planes de continuidad de la actividad de TIC y de recuperación en caso de catástrofe relacionada con las TIC;
d) los mecanismos de gobernanza, incluida una estructura organizativa con líneas de responsabilidad claras, transparentes y coherentes y normas de rendición de cuentas que permitan una gestión eficaz del riesgo de TIC;
e) la determinación, el seguimiento y la rápida notificación a las entidades financieras de los incidentes graves relacionados con las TIC, la gestión y la resolución de dichos incidentes, en particular de los ciberataques;
f) los mecanismos para la portabilidad de los datos y la portabilidad e interoperabilidad de las aplicaciones, que garanticen el ejercicio efectivo de los derechos de rescisión por las entidades financieras;
g) la puesta a prueba de los sistemas, las infraestructuras y los controles de TIC;
h) las auditorías de TIC;
i) el uso de los estándares nacionales e internacionales pertinentes aplicables a la prestación de sus servicios de TIC a las entidades financieras.
3. Sobre la base de la evaluación a que se refiere el apartado 1 bis, realizada por el supervisor principal, el órgano de supervisión conjunta, coordinado y dirigido por el supervisor principal, elaborará y propondrá un plan de supervisión individual claro, detallado y motivado para cada proveedor tercero esencial de servicios de TIC.
Al preparar el proyecto de plan de supervisión, el órgano de supervisión conjunta consultará con todas las autoridades competentes pertinentes y puntos de contacto únicos a que se refiere el artículo 8 de la Directiva (UE) 2016/1148, con el fin de garantizar que no existan incoherencias o duplicaciones con las obligaciones de los proveedores terceros esenciales de servicios de TIC recogidas en la Directiva citada.
El consejo del supervisor principal adoptará anualmente el plan de supervisión.
Antes de ser adoptado por las AES, el proyecto de plan de supervisión se comunicará al proveedor tercero esencial de servicios de TIC.
Tras la recepción del proyecto de plan de supervisión, el proveedor tercero esencial de servicios de TIC dispondrá de un plazo de seis semanas para revisar y presentar una declaración motivada sobre el proyecto de plan de supervisión. Dicha declaración motivada solo podrá presentarse si el proveedor tercero esencial de servicios de TIC es capaz de presentar pruebas de que la ejecución del plan de supervisión generaría un impacto o una perturbación desproporcionados para los clientes no sujetos al presente Reglamento, o de que existe una solución más eficaz o eficiente para gestionar los riesgos de TIC detectados. Si se presenta tal declaración, el proveedor tercero esencial de servicios de TIC propondrá al órgano de supervisión conjunta una solución más eficaz o eficiente para alcanzar los objetivos del proyecto de plan de supervisión.
Antes de adoptar el plan de supervisión, el consejo del supervisor principal tendrá debidamente en cuenta la declaración motivada y podrá solicitar información o datos adicionales al proveedor tercero de servicios de TIC.
4. Una vez que los planes de supervisión anuales a que se refiere el apartado 3 hayan sido adoptados y notificados a los proveedores terceros esenciales de servicios de TIC, las autoridades competentes solo podrán adoptar medidas en relación con dichos proveedores de acuerdo con el órgano de supervisión conjunta.
Artículo 31
Facultades de supervisión
1. A efectos del desempeño de las obligaciones establecidas en la presente sección, el supervisor principal dispondrá de las siguientes facultades respecto a los servicios prestados por proveedores terceros esenciales de servicios de TIC a entidades financieras:
a) solicitar toda la información y la documentación pertinentes de conformidad con el artículo 32;
b) llevar a cabo investigaciones generales e inspecciones in situ de conformidad con los artículos 33 y 34;
c) una vez finalizadas las actividades de supervisión, solicitar informes en los que se especifiquen las medidas adoptadas o las correcciones aplicadas por los proveedores terceros esenciales de servicios de TIC en relación con las recomendaciones a que se refiere el apartado 1 bis;
1 bis. A efectos del cumplimiento de las obligaciones establecidas en la presente sección, y sobre la base de la información obtenida por el supervisor principal y de los resultados de las investigaciones realizadas por el supervisor principal, el órgano de supervisión conjunta estará facultado para formular recomendaciones sobre los ámbitos a los que se refiere el artículo 30, apartado 2, en particular en relación con lo siguiente:
i) la aplicación de requisitos o procesos específicos de seguridad y calidad de las TIC, en particular en relación con la instalación de parches, actualizaciones, cifrado y otras medidas de seguridad que el órgano de supervisión conjunta considere pertinentes para garantizar la seguridad, desde el punto de vista de las TIC, de los servicios prestados a las entidades financieras;
ii) la aplicación de condiciones, incluida su ejecución técnica, a las que deba ajustarse la prestación de servicios a las entidades financieras por los proveedores terceros esenciales de servicios de TIC, y que el órgano de supervisión conjunta considere pertinentes para impedir que se generen o se amplíen puntos únicos de fallo, o para minimizar el posible impacto sistémico en el sector financiero de la Unión en caso de riesgo de concentración de TIC;
iii) tras el examen realizado de conformidad con los artículos 32 y 33 de los acuerdos de subcontratación, incluidos los acuerdos de subexternalización que los proveedores terceros esenciales de servicios de TIC prevean celebrar con otros proveedores terceros de servicios de TIC o con subcontratistas de TIC establecidos en un tercer país, cualquier subcontratación prevista, incluida la subexternalización, cuando el órgano de supervisión conjunta considere que toda ulterior subcontratación puede ocasionar riesgos para la prestación de servicios por la entidad financiera, o riesgos para la estabilidad financiera;
iv) abstenerse de celebrar un acuerdo adicional de subcontratación, cuando se cumplan todas las condiciones siguientes:
– que el subcontratista previsto sea un proveedor tercero de servicios de TIC o un subcontratista de TIC establecido en un tercer país y no tenga una empresa constituida en la Unión en virtud de la legislación de un Estado miembro;
– que la subcontratación se refiera a una función esencial o importante de la entidad financiera;
– que la subcontratación entrañe riesgos graves y claros para la entidad financiera o la estabilidad financiera del sistema financiero de la Unión.
1 ter. Las facultades a que se refieren los apartados 1 y 1 bis se ejercerán con respecto a los servicios de TIC que presten asistencia en funciones no esenciales o importantes proporcionadas por el proveedor tercero esencial de servicios de TIC cuando sea necesario.
1 quater. Al ejercer las facultades a que se refieren los apartados 1 y 1 bis del presente artículo, el supervisor principal y el órgano de supervisión conjunta tendrán debidamente en cuenta el marco establecido por la Directiva (UE) 2016/1148 y, cuando sea necesario, consultará a las autoridades competentes pertinentes establecidas por la Directiva, con el fin de evitar la duplicación innecesaria de medidas técnicas y organizativas que puedan aplicarse a los proveedores terceros esenciales de servicios de TIC con arreglo a dicha Directiva.
2. Antes de finalizar y emitir recomendaciones de conformidad con el apartado 1 bis, el órgano de supervisión conjunta informará al proveedor tercero esencial de servicios de TIC de sus intenciones y dará al proveedor tercero de servicios de TIC la oportunidad de proporcionar información que considere de forma razonable que debe tenerse en cuenta antes de que se finalice la recomendación o a fin de cuestionar las recomendaciones previstas. Entre los motivos para cuestionar una recomendación pueden incluirse que fuera a producirse un impacto o una perturbación desproporcionados para los clientes no sujetos al presente Reglamento, o que existiera una solución más eficaz o eficiente para gestionar el riesgo detectado.
3. Los proveedores terceros esenciales de servicios de TIC cooperarán de buena fe con el supervisor principal y el órgano de supervisión conjunta y les asistirán en el desempeño de sus tareas.
4. El supervisor principal podrá decidir, en caso de incumplimiento total o parcial de las medidas exigidas de conformidad con el apartado 1, letras a), b) o c), y tras la expiración de un plazo de al menos sesenta días naturales a partir de la fecha en que el proveedor tercero esencial de servicios de TIC haya recibido la notificación de la medida, imponer una multa coercitiva para obligar al proveedor tercero esencial de servicios de TIC a cumplir.
4 bis. El supervisor principal solo impondrá la multa coercitiva a que se refiere el apartado 4 como último recurso y en los casos en que el proveedor tercero esencial de servicios de TIC no haya cumplido las medidas exigidas de conformidad con el apartado 1, letras a), b) o c).
5. La multa coercitiva a que se refiere el apartado 4 se impondrá diariamente hasta que se logre el cumplimiento y por un período máximo de seis meses a partir de la notificación al proveedor tercero esencial de servicios de TIC.
6. El importe de la multa coercitiva, calculado a partir de la fecha establecida en la decisión por la que se imponga dicha multa, será, como máximo, del 1 % del volumen de negocios diario medio a escala mundial relacionado con los servicios prestados a las entidades financieras objeto del presente Reglamento del proveedor tercero esencial de servicios de TIC en el ejercicio precedente.
7. Las multas coercitivas serán de carácter administrativo y tendrán fuerza ejecutiva. La ejecución forzosa se regirá por las normas de procedimiento civil vigentes en el Estado miembro en cuyo territorio se lleven a cabo las inspecciones y el acceso. Los órganos jurisdiccionales del Estado miembro de que se trate serán competentes para conocer de las denuncias relacionadas con irregularidades en la ejecución. Los importes de las multas coercitivas se asignarán al presupuesto general de la Unión Europea.
8. Las AES harán públicas todas las multas coercitivas que se impongan, a menos que dicha divulgación pusiera en grave riesgo los mercados financieros o causara un perjuicio desproporcionado a las partes implicadas.
9. Antes de imponer una multa coercitiva de conformidad con el apartado 4, el supervisor principal ofrecerá a los representantes del proveedor tercero esencial de TIC objeto del procedimiento la oportunidad de ser oídos en relación con sus conclusiones y basará sus decisiones únicamente en las conclusiones acerca de las cuales el proveedor tercero esencial de TIC haya tenido la oportunidad de formular observaciones. Los derechos de defensa de las personas objeto del procedimiento estarán garantizados plenamente en el curso del procedimiento. Dichas personas tendrán derecho a acceder al expediente, sin perjuicio de los intereses legítimos de protección de los secretos comerciales de terceros. El derecho de acceso al expediente no se extenderá a la información confidencial ni a los documentos preparatorios internos del supervisor principal.
Artículo 32
Solicitud de información
1. El supervisor principal, mediante simple solicitud o mediante decisión, podrá instar a los proveedores terceros esenciales de TIC a que faciliten cuanta información le sea necesaria para desempeñar sus obligaciones con arreglo al presente Reglamento, incluidos todos los documentos comerciales u operativos, contratos, documentación sobre políticas, informes de auditoría de seguridad de las TIC e informes sobre incidentes relacionados con las TIC pertinentes, así como cualquier información relativa a las partes a las que el proveedor tercero esencial de TIC haya externalizado funciones o actividades operativas.
Solo se exigirá a los proveedores terceros esenciales de servicios de TIC que faciliten la información a que se refiere el párrafo primero en relación con los servicios prestados a entidades financieras sujetas al presente Reglamento y que utilicen los servicios de proveedores terceros esenciales de servicios de TIC para funciones esenciales o importantes. Los proveedores terceros esenciales de servicios de TIC notificarán a la entidad financiera pertinente las solicitudes específicas para dicha entidad financiera.
2. Al enviar una simple solicitud de información con arreglo al apartado 1, el supervisor principal:
a) hará referencia al presente artículo como base jurídica de la solicitud;
b) indicará el propósito de la solicitud;
c) especificará la información requerida;
d) fijará el plazo en el que habrá de serle facilitada la información;
e) informará al representante del proveedor tercero esencial de servicios de TIC al que se solicite la información de que no está obligado a facilitar esa información, pero, en caso de que acceda voluntariamente a hacerlo, la información que facilite no deberá ser incorrecta ni engañosa.
3. Cuando exija mediante decisión que se facilite información con arreglo al apartado 1, el supervisor principal:
a) hará referencia al presente artículo como base jurídica de la solicitud;
b) indicará el propósito de la solicitud;
c) especificará la información requerida;
d) fijará el plazo razonable en el que habrá de serle facilitada la información;
e) indicará las multas coercitivas previstas en el artículo 31, apartado 4, en caso de que no se facilite toda la información exigida o de que tal información no se facilite en el plazo a que se refiere la letra d);
f) hará constar el derecho de recurrir la decisión ante la Sala de Recurso de la AES y ante el Tribunal de Justicia de la Unión Europea (en lo sucesivo «el Tribunal de Justicia»), de conformidad con los artículos 60 y 61 del Reglamento (UE) n.º 1093/2010, del Reglamento (UE) n.º 1094/2010 y del Reglamento (UE) n.º 1095/2010.
4. Los representantes de proveedores terceros esenciales de servicios de TIC facilitarán la información solicitada. Los abogados debidamente habilitados podrán facilitar la información en nombre de sus representados. El proveedor tercero esencial de servicios de TIC seguirá siendo plenamente responsable si la información suministrada es incompleta, incorrecta o engañosa.
5. El supervisor principal enviará sin demora una copia de la decisión de facilitar información a las autoridades competentes de las entidades financieras que utilicen los servicios del proveedor tercero esencial de TIC.
Artículo 33
Investigaciones generales
1. A fin de desempeñar sus obligaciones con arreglo al presente Reglamento, el supervisor principal, asistido por el equipo de examen a que se refiere el artículo 35, apartado 1, podrá llevar a cabo las investigaciones necesarias de proveedores terceros de servicios de TIC de conformidad con el principio de proporcionalidad. A la hora de llevar a cabo investigaciones, el supervisor principal lo hará con cautela y garantizará que se protegen los derechos de los clientes de los proveedores terceros esenciales de servicios de TIC que no están sujetos al presente Reglamento, incluso en relación con el impacto en los niveles de servicio, la disponibilidad de los datos y la confidencialidad.
2. El supervisor principal estará facultado para:
a) examinar los registros, datos, procedimientos y cualquier otra documentación pertinente para la realización de su cometido, independientemente del medio utilizado para almacenarlos;
b) revisar, de manera segura, copias certificadas o extractos de dichos registros, datos, procedimientos y otra documentación;
c) convocar a los representantes del proveedor tercero de servicios de TIC para que den explicaciones orales o escritas sobre los hechos o documentos que guarden relación con el objeto y el propósito de la investigación, y registrar las respuestas;
d) entrevistar a cualquier otra persona física o jurídica que acepte ser entrevistada a fin de recabar información relacionada con el objeto de una investigación;
e) requerir una relación de comunicaciones telefónicas y tráfico de datos.
3. Los agentes y demás personas acreditadas por el supervisor principal para realizar la investigación a que se refiere el apartado 1 ejercerán sus facultades previa presentación de una autorización escrita que especifique el objeto y el propósito de la investigación.
Dicha autorización indicará asimismo las multas coercitivas previstas en el artículo 31, apartado 4, cuando los registros, datos, procedimientos o cualquier otra documentación exigida, o las respuestas a las preguntas formuladas a los representantes del proveedor tercero de servicios de TIC, no se faciliten o sean incompletos.
4. Los representantes de los proveedores terceros de servicios de TIC estarán obligados a someterse a las investigaciones sobre la base de una decisión del supervisor principal. La decisión precisará el objeto y el propósito de la investigación, las multas coercitivas previstas en el artículo 31, apartado 4, las vías de recurso posibles con arreglo al Reglamento (UE) n.º 1093/2010, al Reglamento (UE) n.º 1094/2010 y al Reglamento (UE) n.º 1095/2010, así como el derecho a recurrir la decisión ante el Tribunal de Justicia.
5. El supervisor principal informará, con suficiente antelación, de la investigación y de la identidad de las personas acreditadas a las autoridades competentes de las entidades financieras que recurran a ese proveedor tercero de servicios de TIC.
Artículo 34
Inspecciones in situ
1. A fin de desempeñar sus obligaciones con arreglo al presente Reglamento, el supervisor principal, asistido por los equipos de examen a que se refiere el artículo 35, apartado 1, podrá acceder a cualquier local comercial, terreno o propiedad de proveedores terceros de servicios de TIC, como sedes centrales, centros de operaciones y locales secundarios, y realizar todas las inspecciones in situ que sean necesarias, así como realizar inspecciones fuera de línea.
La facultad de realizar inspecciones in situ a que se refiere el párrafo primero no se limitará a los emplazamientos de la Unión, siempre que la inspección de un emplazamiento en un tercer país cumpla todos los requisitos siguientes:
– que sea necesario que el supervisor principal realice sus tareas en virtud del presente Reglamento;
– que tenga una relación directa con la prestación de servicios de TIC a entidades financieras de la Unión;
– que sea pertinente para una investigación en curso.
1 bis. A la hora de realizar inspecciones in situ, el supervisor principal y el equipo de examen lo harán con cautela y garantizarán que se protegen los derechos de los clientes de los proveedores terceros esenciales de servicios de TIC que no están sujetos al presente Reglamento, incluso en relación con el impacto en los niveles de servicio, la disponibilidad de los datos y la confidencialidad.
2. Los agentes y demás personas acreditadas por el supervisor principal para llevar a cabo una inspección in situ podrán acceder a cualquiera de dichos locales comerciales, terrenos o propiedades y tendrán plenas facultades para precintar cualesquiera locales comerciales y libros o registros por el tiempo que dure la inspección y en la medida en que sea necesario para esta.
Ejercerán sus facultades previa presentación de una autorización escrita en la que se especifiquen el objeto y el propósito de la inspección y las multas coercitivas previstas en el artículo 31, apartado 4, cuando los representantes de los proveedores terceros de servicios de TIC de que se trate no se sometan a la inspección.
3. El supervisor principal informará con suficiente antelación de la inspección a las autoridades competentes de las entidades financieras que recurran a ese proveedor tercero de TIC.
4. Las inspecciones abarcarán todo el conjunto de sistemas, redes, dispositivos, información y datos de TIC pertinentes que el supervisor principal considere apropiados y tecnológicamente pertinentes, utilizados para la prestación de servicios a las entidades financieras o que contribuyan a ella.
5. Antes de cualquier inspección in situ prevista, los supervisores principales avisarán con una antelación razonable a los proveedores terceros esenciales de servicios de TIC, a menos que dicho aviso no sea posible debido a una situación de emergencia o de crisis, o a que conduzca a una situación en la que la inspección o la auditoría dejarían de ser eficaces.
6. El proveedor tercero esencial de servicios de TIC se someterá a las inspecciones in situ ordenadas mediante decisión del supervisor principal. La decisión especificará el objeto y el propósito de la inspección, fijará la fecha de su comienzo e indicará las multas coercitivas previstas en el artículo 31, apartado 4, las vías de recurso posibles con arreglo al Reglamento (UE) n.º 1093/2010, al Reglamento (UE) n.º 1094/2010 y al Reglamento (UE) n.º 1095/2010, así como el derecho a recurrir la decisión ante el Tribunal de Justicia.
7. En caso de que los agentes y demás personas acreditadas por el supervisor principal constaten que un proveedor tercero esencial de servicios de TIC se opone a una inspección ordenada conforme al presente artículo, el supervisor principal informará al proveedor tercero esencial de servicios de TIC de las consecuencias de dicha oposición, incluida la posibilidad de que las autoridades competentes de las entidades financieras pertinentes pongan fin a los acuerdos contractuales celebrados con dicho proveedor.
Artículo 35
Supervisión permanente
1. Cuando lleven a cabo investigaciones generales o inspecciones in situ, los supervisores principales estarán asistidos por un equipo de examen establecido para cada proveedor tercero esencial de servicios de TIC.
2. El equipo de examen conjunto a que se refiere el apartado 1 estará compuesto por miembros del personal del supervisor principal, de las otras AES y de las autoridades competentes pertinentes que supervisen a las entidades financieras a las que preste servicios el proveedor tercero esencial de servicios de TIC, que participarán en la preparación y ejecución de las actividades de supervisión, y constará de un máximo de diez miembros. Todos los miembros del equipo de examen conjunto deberán tener experiencia en materia de riesgo de TIC y riesgo operativo. El equipo de examen conjunto trabajará bajo la coordinación de un miembro del personal de la AES designado (el «coordinador del supervisor principal»).
3. Las AES, a través del Comité Mixto, elaborarán proyectos de normas técnicas de regulación comunes para especificar más detalladamente la designación de los miembros del equipo de examen conjunto procedentes de las autoridades competentes pertinentes, así como las tareas y las modalidades de trabajo del equipo de examen. Las AES presentarán a la Comisión dichos proyectos de normas técnicas de regulación a más tardar el [DO: insértese la fecha correspondiente a 1 año después de la fecha de entrada en vigor].
Se delegan en la Comisión los poderes para adoptar las normas técnicas de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, el Reglamento (UE) n.º 1094/2010 y el Reglamento (UE) n.º 1095/2010.
4. En los tres meses siguientes a la conclusión de una investigación o una inspección in situ, el órgano de supervisión conjunta adoptará las recomendaciones que formulará al proveedor tercero esencial de servicios de TIC en virtud de las facultades a que se refiere el artículo 31.
5. Las recomendaciones a las que se refiere el apartado 4 se comunicarán inmediatamente al proveedor tercero esencial de servicios de TIC y a las autoridades competentes de las entidades financieras a las que preste servicios.
Para llevar a cabo las actividades de supervisión, los supervisores principales y el órgano de supervisión conjunta podrán tener en cuenta las certificaciones de terceros pertinentes y los informes de auditoría interna o externa de terceros proveedores de TIC facilitados por el proveedor tercero esencial de servicios de TIC.
Artículo 36
Armonización de las condiciones que permiten llevar a cabo la supervisión
1. Las AES, a través del Comité Mixto, elaborarán proyectos de normas técnicas de regulación para especificar:
a) la información que debe facilitar un proveedor tercero esencial de servicios de TIC en la solicitud de inclusión voluntaria contemplada en el artículo 28, apartado 8;
b) el contenido y el formato de los informes que pueden solicitarse a efectos del artículo 31, apartado 1, letra c);
c) la presentación de la información, incluidos la estructura, los formatos y los métodos que un proveedor tercero esencial de servicios de TIC deberá presentar, divulgar o notificar de conformidad con el artículo 31, apartado 1;
d) los pormenores de la evaluación por las autoridades competentes de las medidas adoptadas por los proveedores terceros esenciales de servicios de TIC sobre la base de las recomendaciones del órgano de supervisión conjunta con arreglo al artículo 37, apartado 2.
2. Las AES presentarán a la Comisión dichos proyectos de normas técnicas de regulación a más tardar el 1 de enero de 20xx [DO: insértese la fecha correspondiente a 1 año después de la fecha de entrada en vigor].
Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas de regulación a que se refiere el párrafo primero de conformidad con el procedimiento establecido en los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, el Reglamento (UE) n.º 1094/2010 y el Reglamento (UE) n.º 1095/2010.
Artículo 37
Seguimiento por las autoridades competentes
1. En el plazo de treinta días naturales a partir de la recepción de las recomendaciones emitidas por el órgano de supervisión conjunta de conformidad con el artículo 31, apartado 1 bis, los proveedores terceros esenciales de servicios de TIC notificarán al órgano de supervisión conjunta si tienen intención de seguir dichas recomendaciones. El órgano de supervisión conjunta transmitirá inmediatamente esta información a las autoridades competentes de las entidades financieras de que se trate.
2. Las autoridades competentes informarán a las entidades financieras que hayan celebrado acuerdos contractuales con proveedores terceros esenciales de servicios de TIC de los riesgos detectados en las recomendaciones dirigidas por el órgano de supervisión conjunta a dichos proveedores terceros esenciales de servicios de TIC de conformidad con el artículo 31, apartado 1 bis, y comprobarán si las entidades financieras tienen en cuenta los riesgos señalados. El órgano de supervisión conjunta comprobará si los proveedores terceros esenciales de TIC han abordado los riesgos señalados en dichas recomendaciones.
3. Cuando no se puedan garantizar los objetivos de regulación mediante otras medidas y las autoridades nacionales competentes hayan emitido advertencias para las entidades financieras afectadas sobre la base de información comunicada por el órgano de supervisión conjunta, el consejo del supervisor principal podrá decidir, por recomendación del órgano de supervisión conjunta y previa consulta con las autoridades competentes de las entidades financieras afectadas, que se suspendan temporalmente, de manera parcial o total, el uso o la implantación de un servicio prestado a las entidades financieras expuestas a los riesgos mencionados en las recomendaciones dirigidas a los proveedores terceros esenciales de servicios de TIC hasta que tales riesgos se hayan subsanado. En caso necesario, y como medida de último recurso, podrá exigir a los proveedores terceros esenciales de servicios de TIC que pongan fin, en parte o en su totalidad, a los acuerdos contractuales pertinentes celebrados con las entidades financieras expuestas a los riesgos mencionados.
4. Al adoptar las decisiones a que se refiere el apartado 3, el consejo del supervisor principal tendrá en cuenta el tipo y la magnitud del riesgo no subsanado por el proveedor tercero esencial de servicios de TIC, así como la gravedad del incumplimiento, considerando los siguientes criterios:
a) la gravedad y la duración del incumplimiento;
b) si el incumplimiento ha puesto de manifiesto deficiencias graves en los procedimientos, los sistemas de gestión, la gestión de riesgos y los controles internos del proveedor tercero esencial de servicios de TIC;
c) si el incumplimiento ha facilitado, provocado o contribuido de cualquier otro modo a la comisión de un delito financiero;
d) si el incumplimiento ha sido cometido con dolo o por negligencia.
d bis) si la suspensión o la terminación introducen un riesgo de continuidad para las actividades empresariales del usuario de los servicios del proveedor tercero esencial de servicios de TIC.
4 bis. Las decisiones previstas en el apartado 3 únicamente se aplicarán una vez que se hayan notificado debidamente las mismas a todas las entidades financieras afectadas. Se concederá a las entidades financieras afectadas un plazo, que no excederá lo estrictamente necesario, para que adapten sus acuerdos contractuales y de externalización con proveedores terceros esenciales de servicios de TIC de manera que no se ponga en peligro la resiliencia operativa digital y para que ejecuten sus estrategias de salida y planes de transición a que se refiere el artículo 25.
Los proveedores terceros esenciales de servicios de TIC sujetos a las decisiones previstas en el apartado 3 colaborarán plenamente con las entidades financieras afectadas.
5. Las autoridades competentes informarán periódicamente al órgano de supervisión conjunta sobre los enfoques y las medidas adoptados en el desempeño de sus tareas de supervisión en relación con las entidades financieras.
Artículo 38
Tasas de supervisión
1. Las AES cobrarán a los proveedores terceros esenciales de servicios de TIC unas tasas que cubran por completo los gastos que deban asumir las AES para la realización de las tareas de supervisión de conformidad con el presente Reglamento, incluido el reembolso de los costes que puedan derivarse del trabajo realizado por las autoridades competentes que participen en las actividades de supervisión de conformidad con el artículo 35.
El importe de las tasas cobradas a un proveedor tercero esencial de servicios de TIC cubrirá todos los costes derivados de la ejecución de las obligaciones previstas en la presente sección y será proporcional a su volumen de negocios.
1 bis. Si un acuerdo administrativo se celebra con una autoridad de regulación y supervisión de un tercer país con arreglo al apartado 1 del presente artículo, dicha autoridad podrá formar parte del equipo de examen a que se refiere el artículo 35, apartado 1.
2. Se otorgan a la Comisión los poderes para adoptar un acto delegado con arreglo al artículo 50 por el que se complete el presente Reglamento mediante la determinación del importe de las tasas y las modalidades de pago.
Artículo 39
Cooperación internacional
1. La ABE, la AEVM y la AESPJ podrán, de conformidad con el artículo 33 del Reglamento (UE) n.º 1093/2010, del Reglamento (UE) n.º 1094/2010 y del Reglamento (UE) n.º 1095/2010, celebrar acuerdos administrativos con las autoridades de regulación y supervisión de terceros países para fomentar la cooperación internacional en materia de riesgo de terceros relacionado con las TIC en diferentes sectores financieros, en particular mediante el desarrollo de buenas prácticas para la evaluación de las prácticas y controles de gestión del riesgo de TIC, las medidas de mitigación y las respuestas a los incidentes.
2. Las AES, a través del Comité Mixto, presentarán cada cinco años al Parlamento Europeo, al Consejo y a la Comisión un informe confidencial conjunto en el que se resuman las conclusiones de los debates pertinentes mantenidos con las autoridades de terceros países a que se refiere el apartado 1, centrándose en la evolución del riesgo de terceros relacionado con las TIC y sus implicaciones para la estabilidad financiera, la integridad del mercado, la protección de los inversores o el funcionamiento del mercado único.
CAPÍTULO VI
ACUERDOS DE INTERCAMBIO DE INFORMACIÓN
Artículo 40
Acuerdos de intercambio de información en relación con información e inteligencia sobre ciberamenazas
1. Las entidades financieras procurarán intercambiar entre sí y con proveedores terceros de servicios de TIC información e inteligencia sobre ciberamenazas, incluidos indicadores de compromiso, tácticas, técnicas y procedimientos, alertas de ciberseguridad y herramientas de configuración, en la medida en que dicho intercambio de información e inteligencia:
a) tenga por objeto mejorar la resiliencia operativa digital de las entidades financieras y los proveedores terceros de servicios de TIC, en particular mediante la sensibilización en relación con las ciberamenazas, la limitación o la desactivación de la capacidad de propagación de las ciberamenazas, el apoyo a las capacidades defensivas, las técnicas de detección de amenazas, las estrategias de mitigación o las fases de respuesta y recuperación;
b) tenga lugar dentro de proveedores terceros de servicios de TIC y comunidades de entidades financieras de confianza;
c) se realice mediante acuerdos de intercambio de información que protejan el carácter potencialmente sensible de la información compartida y se rijan por normas de conducta que respeten plenamente el secreto comercial, la protección de los datos personales[26] y las directrices sobre política de competencia[27].
2. A efectos de lo dispuesto en el apartado 1, letra c), en los acuerdos de intercambio de información se definirán las condiciones de participación y, cuando proceda, se establecerán los detalles relativos a la participación de las autoridades públicas y a la calidad en la que estas podrán asociarse a ellos, así como los detalles sobre los elementos operativos, incluido el uso de plataformas informáticas especializadas.
3. Las entidades financieras notificarán a las autoridades competentes su participación en los acuerdos de intercambio de información a que se refiere el apartado 1, en el momento en que se valide su incorporación a ellos o, en su caso, el cese de su participación, una vez que este se haga efectivo.
CAPÍTULO VII
AUTORIDADES COMPETENTES
Artículo 41
Autoridades competentes
Sin perjuicio de las disposiciones relativas al marco de supervisión de los proveedores terceros esenciales de servicios de TIC a que se refiere el capítulo V, sección II, del presente Reglamento, el cumplimiento de las obligaciones establecidas en el presente Reglamento será garantizado por las siguientes autoridades competentes de conformidad con las facultades otorgadas por los respectivos actos jurídicos:
a) en lo que respecta a las entidades de crédito, la autoridad competente designada de conformidad con el artículo 4 de la Directiva 2013/36/UE, sin perjuicio de las tareas específicas que el Reglamento (UE) n.º 1024/2013 encomienda al BCE;
b) en lo que respecta a los proveedores de servicios de pago, la autoridad competente designada de conformidad con el artículo 22 de la Directiva (UE) 2015/2366;
c) en lo que respecta a las entidades de dinero electrónico, la autoridad competente designada con arreglo al artículo 37 de la Directiva 2009/110/CE;
d) en lo que respecta a las empresas de servicios de inversión, la autoridad competente designada de conformidad con el artículo 4 de la Directiva (UE) 2019/2034;
e) en lo que respecta a los proveedores de servicios de criptoactivos, los emisores y oferentes de criptoactivos, los emisores y oferentes de fichas referenciadas a activos y los emisores de fichas significativas referenciadas a activos, la autoridad competente designada de conformidad con el artículo 3, apartado 1, letra ee), primer guion, del [Reglamento (UE) 20xx Reglamento MICA];
f) en lo que respecta a los depositarios centrales de valores y los operadores de sistemas de liquidación de valores, la autoridad competente designada de conformidad con el artículo 11 del Reglamento (UE) n.º 909/2014;
g) en lo que respecta a las entidades de contrapartida central, la autoridad competente designada de conformidad con el artículo 22 del Reglamento (UE) n.º 648/2012;
h) en lo que respecta a los centros de negociación y los proveedores de servicios de suministro de datos, la autoridad competente designada de conformidad con el artículo 67 de la Directiva 2014/65/UE;
i) en lo que respecta a los registros de operaciones, la autoridad competente designada de conformidad con el artículo 55 del Reglamento (UE) n.º 648/2012;
j) en lo que respecta a los gestores de fondos de inversión alternativos, la autoridad competente designada de conformidad con el artículo 44 de la Directiva 2011/61/UE;
k) en lo que respecta a las sociedades de gestión, la autoridad competente designada de conformidad con el artículo 97 de la Directiva 2009/65/CE;
l) en lo que respecta a las empresas de seguros y de reaseguros, la autoridad competente designada de conformidad con el artículo 30 de la Directiva 2009/138/CE;
m) en lo que respecta a los intermediarios de seguros, de reaseguros y de seguros complementarios, la autoridad competente designada de conformidad con el artículo 12 de la Directiva (UE) 2016/97;
n) en lo que respecta a los fondos de pensiones de empleo, la autoridad competente designada de conformidad con el artículo 47 de la Directiva (UE) 2016/2341;
o) en lo que respecta a las agencias de calificación crediticia, la autoridad competente designada de conformidad con el artículo 21 del Reglamento (CE) n.º 1060/2009;
p) en lo que respecta a los auditores legales y las sociedades de auditoría, la autoridad competente designada de conformidad con el artículo 3, apartado 2, y el artículo 32 de la Directiva 2006/43/CE;
q) en lo que respecta a los administradores de índices de referencia cruciales, la autoridad competente designada de conformidad con los artículos 40 y 41 del Reglamento (UE) 2016/1011;
r) en lo que respecta a los proveedores de servicios de financiación participativa, la autoridad competente designada de conformidad con el artículo 29 del Reglamento (UE) 2020/1503;
s) en lo que respecta a los registros de titulizaciones, la autoridad competente designada de conformidad con el artículo 10 y el artículo 14, apartado 1, del Reglamento (UE) 2017/2402.
Artículo 42
Cooperación con las estructuras y autoridades establecidas por la Directiva (UE) 2016/1148
1. A fin de fomentar la cooperación y permitir los intercambios en materia de supervisión entre las autoridades competentes designadas de conformidad con el presente Reglamento y el Grupo de cooperación establecido por el artículo 11 de la Directiva (UE) 2016/1148, las AES y las autoridades competentes serán invitadas a participar en los trabajos del Grupo de cooperación en la medida en que tales trabajos atañan a actividades de supervisión y vigilancia, respectivamente, en relación con las entidades consignadas en el punto 7 del anexo II a la Directiva (UE) 2016/1148 que hayan sido designadas asimismo como proveedores terceros esenciales de servicios de TIC conforme al artículo 28 del presente Reglamento.
2. Cuando proceda, las autoridades competentes podrán consultar al punto de contacto único y a los equipos de respuesta a incidentes de seguridad informática nacionales a que se refieren, respectivamente, los artículos 8 y 9 de la Directiva (UE) 2016/1148.
2 bis. El supervisor principal informará a las autoridades competentes designadas en virtud de la Directiva (UE) 2016/1148, y cooperará con ellas, antes de realizar investigaciones generales e inspecciones in situ de conformidad con los artículos 33 y 34 del presente Reglamento.
Artículo 43
Ejercicios, comunicación y cooperación intersectoriales en el ámbito financiero
1. Las AES, a través del Comité Mixto y en colaboración con las autoridades competentes, el BCE, la Junta Única de Resolución con respecto a la información relativa a las entidades comprendidas en el ámbito de aplicación del Reglamento (UE) n.° 806/2014 y la JERS, podrán establecer mecanismos que permitan compartir prácticas eficaces en todos los sectores financieros a fin de mejorar la conciencia situacional y detectar las vulnerabilidades y los riesgos cibernéticos comunes a los diversos sectores.
Podrán organizar ejercicios de gestión de crisis y contingencia que incluyan escenarios de ciberataques con el fin de desarrollar los canales de comunicación y hacer posible gradualmente una respuesta coordinada eficaz a nivel de la UE en caso de que se produzca un incidente grave relacionado con las TIC de alcance transfronterizo o una ciberamenaza significativa que tenga un impacto sistémico en el sector financiero de la Unión en su conjunto.
Estos ejercicios también podrán poner a prueba, cuando proceda, las dependencias del sector financiero con respecto a otros sectores económicos.
2. Las autoridades competentes, la ABE, la AEVM o la AESPJ, el BCE, las autoridades nacionales de resolución y la Junta Única de Resolución con respecto a la información relativa a las entidades comprendidas en el ámbito de aplicación del Reglamento (UE) n.° 806/2014 cooperarán estrechamente entre sí e intercambiarán información para el desempeño de sus obligaciones de conformidad con los artículos 42 a 48. Coordinarán estrechamente sus actividades de supervisión con el fin de detectar y subsanar las infracciones del presente Reglamento, establecer y promover buenas prácticas, facilitar la colaboración, fomentar la coherencia en la interpretación y proporcionar evaluaciones transterritoriales en caso de desacuerdo.
Artículo 44
Sanciones administrativas y medidas correctoras
1. Las autoridades competentes dispondrán de todas las facultades de supervisión, investigación y sanción necesarias para cumplir sus obligaciones con arreglo al presente Reglamento.
2. Las facultades a que se refiere el apartado 1 incluirán, como mínimo, las siguientes:
a) tener acceso a cualquier documento o a los datos bajo cualquier forma que la autoridad competente considere relevantes para el ejercicio de sus funciones y recibir o procurarse copia de los mismos;
b) realizar investigaciones o inspecciones in situ;
c) exigir medidas correctoras en caso de incumplimiento de los requisitos del presente Reglamento.
3. Sin perjuicio del derecho de los Estados miembros a imponer sanciones penales de conformidad con el artículo 46, los Estados miembros establecerán normas que prevean sanciones administrativas y medidas correctoras adecuadas en caso de incumplimiento del presente Reglamento y garantizarán su aplicación efectiva.
Dichas sanciones y medidas serán eficaces, proporcionadas y disuasorias.
4. Los Estados miembros conferirán a las autoridades competentes la facultad de aplicar al menos las siguientes sanciones administrativas o medidas correctoras en caso de incumplimiento del presente Reglamento:
a) formular un requerimiento dirigido a la persona física o jurídica para que ponga fin a su conducta y se abstenga de repetirla;
b) exigir el cese provisional o definitivo de toda práctica o conducta considerada contraria a las disposiciones del presente Reglamento e impedir la repetición de dicha práctica o conducta;
c) adoptar cualquier tipo de medida, incluso de carácter pecuniario, para garantizar que las entidades financieras sigan cumpliendo los requisitos legales;
d) exigir, en la medida en que lo permita la legislación nacional, los registros de tráfico de datos existentes que obren en poder de un operador de telecomunicaciones, cuando existan sospechas fundadas de infracción del presente Reglamento y cuando tales registros puedan ser pertinentes para una investigación de infracciones del presente Reglamento, y
e) publicar avisos, incluidas declaraciones públicas en las que se indique la identidad de la persona física o jurídica y la naturaleza de la infracción.
5. Cuando las disposiciones a que se refieren el apartado 2, letra c), y el apartado 4 se apliquen a personas jurídicas, los Estados miembros conferirán a las autoridades competentes la facultad de aplicar las sanciones administrativas y las medidas correctoras, sin perjuicio de las condiciones que establezca el Derecho nacional, a los miembros del órgano de dirección y a las demás personas físicas que, conforme al Derecho nacional, sean responsables de la infracción.
6. Los Estados miembros velarán por que cualquier decisión de imponer sanciones administrativas o medidas correctoras conforme a lo establecido en el apartado 2, letra c), esté debidamente motivada y pueda ser objeto de recurso.
Artículo 45
Ejercicio de la facultad de imponer sanciones administrativas y medidas correctoras
1. Las autoridades competentes ejercerán las facultades de imponer las sanciones administrativas y las medidas correctoras a que se refiere el artículo 44 de conformidad con sus ordenamientos jurídicos nacionales, según proceda:
a) directamente;
b) en colaboración con otras autoridades;
c) bajo su responsabilidad, mediante delegación en otras autoridades;
d) mediante solicitud dirigida a las autoridades judiciales competentes.
2. Al determinar el tipo y el nivel de una sanción administrativa o medida correctora impuesta de conformidad con el artículo 44, las autoridades competentes tendrán en cuenta si la infracción es intencionada o es consecuencia de una negligencia y cualesquiera otras circunstancias pertinentes, entre ellas, cuando proceda:
a) la importancia, la gravedad y la duración de la infracción;
b) el grado de responsabilidad de la persona física o jurídica responsable de la infracción;
c) la solidez financiera de la persona física o jurídica responsable;
d) la importancia de los beneficios obtenidos o las pérdidas evitadas por la persona física o jurídica responsable, en la medida en que puedan determinarse;
e) las pérdidas causadas a terceros por la infracción, en la medida en que puedan determinarse;
f) el grado de cooperación de la persona física o jurídica responsable con la autoridad competente, sin perjuicio de la obligación de que dicha persona restituya las ganancias obtenidas o las pérdidas evitadas;
g) las infracciones anteriores de la persona física o jurídica responsable.
Artículo 46
Sanciones penales aplicables
1. Los Estados miembros podrán decidir no establecer normas que prevean sanciones administrativas o medidas correctoras para las infracciones que estén sujetas a sanciones penales con arreglo a su Derecho nacional.
2. Los Estados miembros que opten por establecer sanciones penales por infracciones del presente Reglamento se asegurarán de que se hayan adoptado las medidas adecuadas para que las autoridades competentes dispongan de todas las facultades necesarias a fin de ponerse en contacto con las autoridades judiciales o las responsables de la fiscalía o de la justicia penal dentro de su jurisdicción, con el fin de obtener información específica relacionada con las investigaciones o procesos penales iniciados por infracciones del presente Reglamento, y de facilitar información del mismo tenor a otras autoridades competentes y a la ABE, la AEVM o la AESPJ, en cumplimiento de su obligación de cooperar a los efectos del presente Reglamento.
Artículo 47
Obligaciones de notificación
Los Estados miembros notificarán a la Comisión, a la AEVM, la ABE y la AESPJ las disposiciones legales, reglamentarias y administrativas de transposición del presente capítulo a más tardar el [DO: insértese la fecha correspondiente a 12 meses después de la fecha de entrada en vigor]. Los Estados miembros notificarán sin demora indebida cualquier modificación ulterior de dichas disposiciones a la Comisión, la AEVM, la ABE y la AESPJ.
Artículo 48
Publicación de las sanciones administrativas
1. Las autoridades competentes publicarán en sus sitios web oficiales, sin demora indebida, toda decisión por la que se imponga una sanción administrativa contra la que no haya lugar a recurso tras la notificación de dicha decisión al destinatario de la sanción.
2. La publicación a que se refiere el apartado 1 incluirá información sobre el tipo y la naturaleza de la infracción, las sanciones impuestas y, excepcionalmente, la identidad de las personas responsables.
3. Cuando la autoridad competente, tras una evaluación de cada caso, considere que la publicación de la identidad, cuando se trate de personas jurídicas, o de la identidad y los datos personales, cuando se trate de personas físicas, sería desproporcionada, pondría en peligro la estabilidad de los mercados financieros o la continuación de una investigación penal en curso, o causaría a la persona afectada daños desproporcionados, en la medida en que estos puedan determinarse, adoptará una de las siguientes soluciones con respecto a la decisión por la que se imponga una sanción administrativa:
a) aplazar su publicación hasta el momento en que dejen de existir todos los motivos para no publicarla;
b) publicarla de forma anónima, de conformidad con la legislación nacional; o
c) abstenerse de publicarla, si las opciones enunciadas en las letras a) y b) se consideran insuficientes para garantizar que la estabilidad de los mercados financieros no corra peligro, o cuando dicha publicación no sea proporcionada a la indulgencia de la sanción impuesta.
4. En caso de que se decida publicar una sanción administrativa de forma anónima como se establece en el apartado 3, letra b), podrá aplazarse la publicación de los datos pertinentes.
5. Cuando una autoridad competente publique una decisión que imponga una sanción administrativa que pueda recurrirse ante las autoridades judiciales pertinentes, las autoridades competentes añadirán de forma inmediata en su sitio web oficial dicha información y, con posterioridad, cualquier información ulterior relacionada sobre el resultado del recurso. Cualquier resolución judicial que anule una decisión que imponga una sanción administrativa también deberá publicarse.
6. Las autoridades competentes garantizarán que toda publicación a que se hace referencia en los apartados 1 a 4 permanezca en su sitio web oficial durante al menos cinco años tras su publicación. Los datos personales que figuren en la publicación solo se mantendrán en el sitio web oficial de la autoridad competente durante el tiempo que resulte necesario de acuerdo con las normas aplicables en materia de protección de datos.
Artículo 49
Secreto profesional
1. Toda información confidencial recibida, intercambiada o transmitida en virtud del presente Reglamento estará sujeta a las condiciones de secreto profesional establecidas en el apartado 2.
2. La obligación de secreto profesional se aplicará a todas las personas que trabajen o hayan trabajado para las autoridades competentes en virtud del presente Reglamento o para cualquier otra autoridad u organismo del mercado o persona física o jurídica en los que aquellas hayan delegado sus facultades, incluidos los auditores y expertos contratados por ellas.
3. La información sujeta al secreto profesional no podrá divulgarse a ninguna otra persona o autoridad, salvo en virtud del Derecho de la Unión o nacional.
4. Toda la información intercambiada por las autoridades competentes en virtud del presente Reglamento y referida a las condiciones comerciales u operativas, así como a otros asuntos de tipo económico o personal, se considerará confidencial y estará amparada por el secreto profesional, salvo cuando la autoridad competente declare, en el momento de su comunicación, que la información puede ser revelada o esta revelación resulte necesaria en el marco de un procedimiento judicial.
CAPÍTULO VIII
ACTOS DELEGADOS
Artículo 50
Ejercicio de la delegación
1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.
2. Los poderes para adoptar los actos delegados a que se refieren el artículo 28, apartado 3, y el artículo 38, apartado 2, se otorgan a la Comisión por un período de cinco años a partir del [OP: insértese la fecha correspondiente a 5 años después de la fecha de entrada en vigor del presente Reglamento]. La Comisión elaborará un informe sobre la delegación de poderes a más tardar nueve meses antes de que finalice el período de cinco años. La delegación de poderes se prorrogará tácitamente por períodos de idéntica duración, excepto si el Parlamento Europeo o el Consejo se oponen a dicha prórroga a más tardar tres meses antes del final de cada período.
3. La delegación de poderes mencionada en el artículo 28, apartado 3, y en el artículo 38, apartado 2, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.
4. Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.
5. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.
6. Los actos delegados adoptados de conformidad con el artículo 28, apartado 3, y con el artículo 38, apartado 2, entrarán en vigor únicamente si, en un plazo de tres meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.
CAPÍTULO IX
DISPOSICIONES TRANSITORIAS Y FINALES
SECCIÓN I
Artículo 51
Cláusula de revisión
A más tardar el [OP: insértese la fecha correspondiente a 5 años después de la fecha de entrada en vigor del presente Reglamento], la Comisión, previa consulta a la ABE, la AEVM, la AESPJ y la JERS, según proceda, llevará a cabo una revisión y presentará al Parlamento Europeo y al Consejo un informe, acompañado, si procede, de una propuesta legislativa. El informe deberá valorar al menos los elementos siguientes:
a) la posibilidad de ampliar el ámbito de aplicación del presente Reglamento a los operadores de sistemas de pago;
b) el carácter voluntario de la denuncia de ciberamenazas significativas;
c) los criterios para la designación de proveedores terceros esenciales de servicios de TIC contemplados en el artículo 28, apartado 2; y
d) la eficiencia en la toma de decisiones del órgano de supervisión conjunta y el intercambio de información entre este órgano y las autoridades nacionales competentes que no sean miembros del mismo.
SECCIÓN II
MODIFICACIONES
Artículo 52
Modificaciones del Reglamento (CE) n.º 1060/2009
En el anexo I, sección A, punto 4, del Reglamento (CE) n.º 1060/2009, el párrafo primero se sustituye por el texto siguiente:
«Las agencias de calificación crediticia dispondrán de procedimientos administrativos y contables adecuados, mecanismos de control interno, técnicas eficaces de valoración del riesgo y mecanismos eficaces de control y salvaguardia para gestionar sus sistemas de TIC de conformidad con el Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA].
* Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo […] (DO L XX, D.M.AAAA, p. X).».
Artículo 53
Modificaciones del Reglamento (UE) n.º 648/2012
El Reglamento (UE) n.º 648/2012 se modifica como sigue:
1) El artículo 26 se modifica como sigue:
a) el apartado 3 se sustituye por el texto siguiente:
« 3. Las ECC mantendrán y aplicarán una estructura organizativa que garantice la continuidad y el correcto funcionamiento de la prestación de sus servicios y la realización de sus actividades. Empleará sistemas, recursos y procedimientos adecuados y proporcionados, incluidos sistemas de TIC gestionados de conformidad con el Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [DORA].
* Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo […] (DO L XX, DD.MM.YYYY, p. X).».
b) se suprime el apartado 6;
2) El artículo 34 se modifica como sigue:
a) el apartado 1 se sustituye por el texto siguiente:
«1. Las ECC establecerán, aplicarán y mantendrán una estrategia adecuada de continuidad de la actividad y de recuperación en caso de catástrofe, que incluirá planes de continuidad de la actividad y de recuperación en caso de catástrofe relacionados con las TIC establecidos de conformidad con el Reglamento (UE) 2021/xx [DORA], destinada a garantizar la preservación de sus funciones, la oportuna recuperación de las operaciones y el cumplimiento de sus obligaciones.»;
b) en el apartado 3, el párrafo primero se sustituye por el texto siguiente:
«A fin de asegurar la aplicación coherente del presente artículo, la AEVM, previa consulta a los miembros del SEBC, elaborará proyectos de normas técnicas reglamentarias en las que se especifiquen el contenido y los requisitos mínimos de la política de continuidad de la actividad y del plan de recuperación en caso de catástrofe, excluidos los planes de continuidad de la actividad y recuperación en caso de catástrofe relacionados con las TIC.».
3) En el artículo 56, apartado 3, el párrafo primero se sustituye por el texto siguiente:
«3. A fin de asegurar la aplicación coherente del presente artículo, la AEVM elaborará proyectos de normas técnicas de regulación en las que se especifiquen los pormenores, que no sean los relativos a los requisitos relacionados con la gestión del riesgo de TIC, de la solicitud de inscripción a que se refiere el apartado 1.».
4) En el artículo 79, los apartados 1 y 2 se sustituyen por el texto siguiente:
«1. Los registros de operaciones determinarán las fuentes de riesgo operativo y las reducirán al mínimo también mediante el desarrollo de sistemas, controles y procedimientos adecuados, incluidos sistemas de TIC gestionados de conformidad con el Reglamento (UE) 2021/xx [DORA].
2. Los registros de operaciones establecerán, aplicarán y mantendrán una estrategia adecuada de continuidad de la actividad y de recuperación en caso de catástrofe, que incluirá planes de continuidad de la actividad y de recuperación en caso de catástrofe relacionados con las TIC establecidos de conformidad con el Reglamento (UE) 2021/xx [DORA], destinada a garantizar el mantenimiento de sus funciones, la oportuna recuperación de las operaciones y el cumplimiento de sus obligaciones.».
5) En el artículo 80, se suprime el apartado 1.
Artículo 54
Modificaciones del Reglamento (UE) n.º 909/2014
El artículo 45 del Reglamento (UE) n.º 909/2014 se modifica como sigue:
1) el apartado 1 se sustituye por el texto siguiente:
«1. Los DCV determinarán las fuentes de riesgo operativo, tanto internas como externas, y minimizarán su impacto también mediante la implantación de las herramientas, procesos y políticas de TIC adecuados establecidos y gestionados de conformidad con el Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo* [ DORA], así como mediante cualesquiera otros instrumentos, controles y procedimientos pertinentes para otros tipos de riesgo operativo, en relación con todos los sistemas de liquidación de valores que operen.
* Reglamento (UE) 2021/xx del Parlamento Europeo y del Consejo […] (DO L XX, DD.MM.YYYY, p. X).».
2) se suprime el apartado 2;
3) los apartados 3 y 4 se sustituyen por el texto siguiente:
«3. En lo que respecta a los servicios que presten, y en relación con cada sistema de liquidación de valores que exploten, los DCV definirán, implantarán y mantendrán un plan adecuado de continuidad de la actividad y recuperación en caso de catástrofe, incluidos planes de continuidad de la actividad y recuperación en caso de catástrofe relacionados con las TIC establecidos de conformidad con el Reglamento (UE) 2021/xx [DORA], a fin de garantizar el mantenimiento de sus servicios, la oportuna recuperación de las operaciones y el cumplimiento de las obligaciones del DCV ante acontecimientos que supongan un riesgo significativo de perturbación de las operaciones.
4. El plan a que se refiere el apartado 3 deberá prever la recuperación de todas las operaciones y posiciones de los participantes en el momento de la perturbación, con objeto de que los participantes del DCV puedan seguir operando con certeza y finalizar la liquidación en la fecha programada, para lo cual el plan deberá garantizar, en particular, que los sistemas informáticos esenciales puedan reanudar las operaciones tras la perturbación, según lo establecido en el artículo 11, apartados 5 y 7, del Reglamento (UE) 2021/xx [DORA].»;
▌
Artículo 55
Modificaciones del Reglamento (UE) n.º 600/2014
El Reglamento (UE) n.º 600/2014 se modifica como sigue:
1) El artículo 27 octies se modifica como sigue:
a) se suprime el apartado 4;
b) en el apartado 8, la letra c) se sustituye por el texto siguiente:
c) «c) los requisitos concretos de organización establecidos en los apartados 3 y 5.».
2) El artículo 27 nonies se modifica como sigue:
a) se suprime el apartado 5;
b) en el apartado 8, la letra e) se sustituye por el texto siguiente:
«e) los requisitos concretos de organización establecidos en el apartado 4.».
3) El artículo 27 decies se modifica como sigue:
a) se suprime el apartado 3;
b) en el apartado 5, la letra b) se sustituye por el texto siguiente:
«b) los requisitos concretos de organización establecidos en los apartados 2 y 4.».
Artículo 56
Entrada en vigor y aplicación
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir del [OP: insértese la fecha correspondiente a 24 meses después de la fecha de entrada en vigor].
No obstante, los artículos 23 y 24 serán de aplicación a partir del [OP: insértese la fecha correspondiente a 36 meses después de la fecha de entrada en vigor del presente Reglamento].
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el
Por el Parlamento Europeo Por el Consejo
El Presidente/La Presidenta El Presidente/La Presidenta
PROCEDIMIENTO DE LA COMISIÓN COMPETENTE PARA EL FONDO
Título |
Resiliencia operativa digital del sector financiero y modificación de los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014 |
|||
Referencias |
COM(2020)0595 – C9-0304/2020 – 2020/0266(COD) |
|||
Fecha de la presentación al PE |
24.9.2020 |
|
|
|
Comisión competente para el fondo Fecha del anuncio en el Pleno |
ECON 17.12.2020 |
|
|
|
Comisiones competentes para emitir opinión Fecha del anuncio en el Pleno |
ITRE 17.12.2020 |
IMCO 17.12.2020 |
|
|
Opiniones no emitidas Fecha de la decisión |
ITRE 15.10.2020 |
IMCO 27.10.2020 |
|
|
Ponentes Fecha de designación |
Billy Kelleher 15.10.2020 |
|
|
|
Examen en comisión |
14.4.2021 |
14.6.2021 |
|
|
Fecha de aprobación |
1.12.2021 |
|
|
|
Resultado de la votación final |
+: –: 0: |
44 5 5 |
||
Miembros presentes en la votación final |
Gerolf Annemans, Gunnar Beck, Marek Belka, Isabel Benjumea Benjumea, Stefan Berger, Gilles Boyer, Engin Eroglu, Markus Ferber, Jonás Fernández, Raffaele Fitto, Frances Fitzgerald, Luis Garicano, Sven Giegold, Valentino Grant, Claude Gruffat, José Gusmão, Enikő Győri, Eero Heinäluoma, Danuta Maria Hübner, Stasys Jakeliūnas, France Jamet, Billy Kelleher, Ondřej Kovařík, Georgios Kyrtsos, Aurore Lalucq, Philippe Lamberts, Aušra Maldeikienė, Pedro Marques, Costas Mavrides, Jörg Meuthen, Csaba Molnár, Siegfried Mureşan, Caroline Nagtegaal, Luděk Niedermayer, Lefteris Nikolaou-Alavanos, Lídia Pereira, Kira Marie Peter-Hansen, Sirpa Pietikäinen, Evelyn Regner, Antonio Maria Rinaldi, Alfred Sant, Martin Schirdewan, Joachim Schuster, Ralf Seekatz, Pedro Silva Pereira, Paul Tang, Irene Tinagli, Ernest Urtasun, Inese Vaidere, Johan Van Overtveldt, Stéphanie Yon-Courtin, Marco Zanni, Roberts Zīle |
|||
Suplentes presentes en la votación final |
Lefteris Christoforou |
|||
Fecha de presentación |
7.12.2021 |
|||
VOTACIÓN FINAL NOMINAL EN LA COMISIÓN COMPETENTE PARA EL FONDO
44 |
+ |
ECR |
Raffaele Fitto, Johan Van Overtveldt, Roberts Zīle |
NI |
Enikő Győri |
PPE |
Isabel Benjumea Benjumea, Stefan Berger, Lefteris Christoforou, Markus Ferber, Frances Fitzgerald, Danuta Maria Hübner, Georgios Kyrtsos, Aušra Maldeikienė, Siegfried Mureşan, Luděk Niedermayer, Lídia Pereira, Sirpa Pietikäinen, Ralf Seekatz, Inese Vaidere |
Renew |
Gilles Boyer, Engin Eroglu, Luis Garicano, Billy Kelleher, Ondřej Kovařík, Caroline Nagtegaal, Stéphanie Yon-Courtin |
S&D |
Marek Belka, Jonás Fernández, Eero Heinäluoma, Aurore Lalucq, Pedro Marques, Costas Mavrides, Csaba Molnár, Evelyn Regner, Alfred Sant, Joachim Schuster, Pedro Silva Pereira, Paul Tang, Irene Tinagli |
Verts/ALE |
Sven Giegold, Claude Gruffat, Stasys Jakeliūnas, Philippe Lamberts, Kira Marie Peter-Hansen, Ernest Urtasun |
5 |
- |
ID |
Gerolf Annemans, Gunnar Beck, France Jamet, Jörg Meuthen |
NI |
Lefteris Nikolaou-Alavanos |
5 |
0 |
ID |
Valentino Grant, Antonio Maria Rinaldi, Marco Zanni |
The Left |
José Gusmão, Martin Schirdewan |
Explicación de los signos utilizados
+ : a favor
- : en contra
0 : abstenciones
- [1] DO L 155 de 30.4.2021, p. 38.
- [*] Enmiendas: el texto nuevo o modificado se señala en negrita y cursiva; las supresiones se indican mediante el símbolo ▌.
- [2] [Añádase la referencia] DO C, p..
- [3] DO C 155 de 30.4.2021, p. 38.
- [4] Informe de la JERS sobre el riesgo cibernético de febrero de 2020, https://www.esrb.europa.eu/pub/pdf/reports/esrb.report200219_systemiccyberrisk~101a09685e.en.pdf.
- [5] Según la evaluación de impacto que acompaña a la revisión de las Autoridades Europeas de Supervisión [SWD(2017) 308], existen alrededor de 5 665 entidades de crédito, 5 934 empresas de servicios de inversión, 2 666 empresas de seguros, 1 573 fondos de pensiones de empleo, 2 500 sociedades de gestión de inversiones, 350 infraestructuras de mercado (como entidades de contrapartida central, bolsas de valores, internalizadores sistemáticos, registros de operaciones y sistemas multilaterales de negociación), 45 agencias de calificación crediticia y 2 500 entidades de pago autorizadas y entidades de dinero electrónico. En total, unas 21 233 entidades sin incluir las sociedades de financiación participativa, los auditores legales y las sociedades de auditoría, los proveedores de servicios de criptoactivos y los administradores de índices de referencia.
- [6] Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Banco Central Europeo, al Comité Económico y Social Europeo y al Comité de las Regiones, «Plan de acción en materia de tecnología financiera: por un sector financiero europeo más competitivo e innovador», COM(2018) 0109 final, https://ec.europa.eu/info/publications/180308-action-plan-fintech_en.
- [7] Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).
- [8] Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).
- [9] Taxonomía de la clasificación de incidentes de referencia de ENISA, https://www.enisa.europa.eu/publications/reference-incident-classification-taxonomy.
- [10] Recomendaciones sobre la externalización a proveedores de servicios en la nube (EBA/REC/2017/03), ahora derogadas por las Directrices de la ABE sobre externalización (EBA/GL/2019/02).
- [11] Comunicación de la Comisión «Directrices sobre la aplicabilidad del artículo 101 del Tratado de Funcionamiento de la Unión Europea a los acuerdos de cooperación horizontal» (DO C 11 de 14.1.2011, p. 1).
- [12] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO L 119 de 4.5.2016, p. 1).
- [13] CPIM-OICV, Guidance on cyber resilience for financial market infrastructures [«Orientaciones sobre la ciberresiliencia de las infraestructuras de los mercados financieros», documento en inglés], https://www.bis.org/cpmi/publ/d146.pdf G7, Fundamental Elements of Cybersecurity for the Financial Sector, [«Elementos fundamentales de la ciberseguridad para el sector financiero», documento en inglés] https://www.ecb.europa.eu/paym/pol/shared/pdf/G7_Fundamental_Elements_Oct_2016.pdf; Marco de ciberseguridad del NIST, https://www.nist.gov/cyberframework; Herramientas de TICR del Consejo de Estabilidad Financiera, https://www.fsb.org/2020/04/effective-practices-for-cyber-incident-response-and-recovery-consultative-document
- [14] Además, en caso de que surja el riesgo de abuso por parte de un proveedor tercero de servicios de TIC que se considere dominante, las entidades financieras también deben tener la posibilidad de presentar una denuncia formal o informal ante la Comisión Europea o ante las autoridades nacionales de defensa de la competencia.
- [15] Directiva 2014/59/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, por la que se establece un marco para la reestructuración y la resolución de entidades de crédito y empresas de servicios de inversión, y por la que se modifican la Directiva 82/891/CEE del Consejo, y las Directivas 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE y 2013/36/UE, y los Reglamentos (UE) n.° 1093/2010 y (UE) n.° 648/2012 del Parlamento Europeo y del Consejo (DO L 173 de 12.6.2014, p. 190).
- [16] Reglamento (UE) n.° 1024/2013 del Consejo, de 15 de octubre de 2013, que encomienda al Banco Central Europeo tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito (DO L 287 de 29.10.2013, p. 63).
- [17] Reglamento (UE) n.º 806/2014 del Parlamento Europeo y del Consejo, de 15 de julio de 2014, por el que se establecen normas uniformes y un procedimiento uniforme para la resolución de entidades de crédito y de determinadas empresas de servicios de inversión en el marco de un Mecanismo Único de Resolución y un Fondo Único de Resolución y se modifica el Reglamento (UE) 1093/2010 (DO L 225 de 30.7.2014, p. 1).
- [18] DO L 123 de 12.5.2016, p. 1.
- [19] [Insértese la referencia completa]
- [20] Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.º 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).
- [21] Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas (refundición) (DO L 321 de 17.12.2018, p. 36).
- [22] Reglamento (UE) 2016/1011 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, sobre los índices utilizados como referencia en los instrumentos financieros y en los contratos financieros o para medir la rentabilidad de los fondos de inversión, y por el que se modifican las Directivas 2008/48/CE y 2014/17/UE y el Reglamento (UE) n.º 596/2014 (DO L 171 de 29.6.2016, p. 1).
- [23] [Insértese título completo y referencia del DO]
- [24] Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito y las empresas de inversión, y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 176 de 27.6.2013, p. 1).
- [25] Directiva 2009/110/CE del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, sobre el acceso a la actividad de las entidades de dinero electrónico y su ejercicio, así como sobre la supervisión prudencial de dichas entidades, por la que se modifican las Directivas 2005/60/CE y 2006/48/CE y se deroga la Directiva 2000/46/CE (DO L 267 de 10.10.2009, p. 7).
- [26] De conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
- [27] Comunicación de la Comisión «Directrices sobre la aplicabilidad del artículo 101 del Tratado de Funcionamiento de la Unión Europea a los acuerdos de cooperación horizontal» (DO C 11 de 14.1.2011, p. 1).