Última actualización: 07:31 / Lunes, 29 Marzo 2021
Análisis de finReg360

El nuevo reglamento sobre resiliencia digital de la EBA persigue preparar a la industria frente a los ciberataques

Imagen
  • Los ciberataques constituyen una preocupación capital de la Unión Europea
  • El reglamento obligará a implantar el conjunto de medidas técnicas de gestión de riesgos de seguridad, de supervisión y de auditoría continua que define la norma
  • Además, atribuye al órgano de dirección de la entidad financiera la responsabilidad de definir, aprobar y supervisar estas medidas de gestión de riesgos

La Autoridad Bancaria Europea (EBA, por sus siglas en inglés) sufrió un ciberataque en sus sistemas de correo electrónico. Tras tener que informar de ello públicamente y verse obligada a desconectarlos por precaución, la EBA ha decidido agilizar la aprobación de un nuevo reglamento sobre resiliencia digital. 

Según destacan desde finReg360, los ciberataques constituyen una preocupación capital de la Unión Europea. “Inicialmente, la directiva sobre medidas para mantener un elevado nivel común de seguridad de las redes y sistemas de información de la Unión (conocida como directiva NIS, por sus siglas en inglés) obligó solo a las entidades que operan servicios esenciales a invertir en sistemas de garantía de continuidad de su actividad económica en caso de quiebras de seguridad. Sin embargo, debido a la creciente digitalización en el entorno pos-COVID, se extenderá la obligación de contar con sistemas de seguridad a otros actores financieros”, explican los expertos de la firma. 

Este nuevo reglamento sobre la resiliencia operativa digital del sector financiero (conocido como DORA, de Digital Operational Resilience Act), que ya está en trámites de aprobación, obligará a tomar estas medidas a todo el sector financiero. Según indican desde finReg360, una vez se apruebe la DORA, todas las entidades financieras —entre ellas, las entidades de pago, de dinero electrónico, de servicios de inversión, las sociedades de gestión e incluso los proveedores terceros de servicios de tecnologías de la información y comunicaciones (TIC)— estarán obligadas a implantar el conjunto de medidas técnicas de gestión de riesgos de seguridad, de supervisión y de auditoría continua que define la norma, bajo la supervisión de la autoridad de control de su actividad.

Los aspectos más relevantes son los relativos a los requisitos de seguridad. “La DORA fijará requisitos uniformes sobre la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de las entidades financieras, y marcará un nivel común elevado de resiliencia operativa digital”, señalan. 

En concreto estos requisitos que comprende son: la gestión de riesgos en el ámbito de las TIC; la notificación de incidentes graves a las autoridades competentes; las pruebas de resiliencia operativa digital; el intercambio de información y conocimiento sobre las ciberamenazas y las vulnerabilidades cibernéticas; y la adopción de las medidas precisas para asegurar una buena gestión en las entidades financieras del riesgo de terceros relacionados con las TIC.

“El proyecto de reglamento atribuye al órgano de dirección de la entidad financiera la responsabilidad de definir, aprobar y supervisar estas medidas de gestión de riesgos. Además, recoge los requisitos aplicables a los contratos con proveedores de servicios de TIC y el marco de supervisión de estos proveedores cuando presten servicios a entidades financieras”, aclaran desde finReg360. 

En definitiva, el futuro reglamento generará nuevas obligaciones y responsabilidades reguladas para las entidades financieras, a las que se exigirá un esfuerzo enorme de inversión y de organización interna para lograr ese nivel elevado de resiliencia operativa digital que marca como objetivo. Además, el órgano de dirección de la entidad financiera será el responsable de la suficiencia y eficacia del sistema de medidas establecido.

Por último, para costear los gastos de supervisión que se provocarán producto del futuro reglamento, la DORA fija unas tasas anuales a cargo de los proveedores de servicios de TIC supervisados. En caso de infracción de las obligaciones, el futuro reglamento atribuye a los Estados miembros la decisión de fijar condenas penales o sanciones económicas proporcionales a las infracciones cometidas.

menu