El 27 de diciembre de 2022 fueron publicadas en el Diario Oficial de la Unión Europea dos normas diferentes, pero muy ligadas entre sí, relacionadas con la ciberseguridad. Entraron en vigor 20 días después, el 16 de enero de 2023. Nos referimos al Reglamento (UE) 2022/2554: Resiliencia Operativa Digital (DORA, Digital Operational Resilience Act), dirigida al Sector Financiero y a la Directiva (UE) 2022/2555: NIS 2 (v2 de Network and Information Security), dirigida a elevar la ciberseguridad en la UE, utilizando como palanca a sectores esenciales. Si os fijáis, los números de ambas regulaciones son consecutivos, lo que denota que fueron diseñadas desde un punto de vista conjunto.
Para los que no estéis familiarizados con el mundo del derecho, DORA es un reglamento (norma de la UE de aplicación inmediata) que tiene únicamente una excepción, no aplicará hasta el 17 de enero de 2025. Por el contrario, NIS2 es una directiva (norma de la UE que requiere que los estados miembros la traspongan). Debe regularse por una norma con rango de Ley antes del 17 de octubre de 2024. Pero, por el momento, a la fecha de este post (29 de julio de 2024), no ha sido traspuesta, y parece difícil que se pueda cumplir la fecha marcada por la unión.
El reglamento DORA, sobre el que centraremos el presente artículo, exige sanciones y medidas eficaces, proporcionales y disuasorias, contemplando asimismo sanciones administrativas y penales (una novedad). Algo tambien clave y novedoso es que podrán aplicarse a los miembros del consejo. Es más, DORA obliga a que sean publicadas las sanciones administrativas impuestas a los miembros del consejo, con nombre y apellidos, hasta 5 años.
Para proporcionar orientación sobre cómo implementar estas disposiciones, las Autoridades Europeas de Supervisión (AES) desarrollan las Regulatory Technical Standards o RTS (legislación de Nivel 2). El primer paquete RTS fue publicado hace poco más de un año, en junio de 2023. Y el segundo paquete tal y como se preveía, ha sido publicado la pasada semana, una vez finalizadas las elecciones europeas.
El primer paquete ha sido ampliamente debatido bajo consulta pública, y, el texto que definía DORA en apenas 79 páginas ha crecido en el segundo paquete RTS de forma considerable.
Cito textualmente las nuevas incorporaciones:
The three European Supervisory Authorities (EBA, EIOPA and ESMA – the ESAs) published today the second batch of policy products under the Digital Operational Resilience Act (DORA). This batch consists of four final draft regulatory technical standards (RTS), one set of Implementing Technical Standards (ITS) and 2 guidelines, all of which aim at enhancing the digital operational resilience of the EU’s financial sector.
The package focuses on the reporting framework for ICT-related incidents (reporting clarity, templates) and threat-led penetration testing while also introducing some requirements on the design of the oversight framework, which enhance the digital operational resilience of the EU financial sector, thus also ensuring continuous and uninterrupted provision of financial services to customers and safety of their data.
The ESAs are publishing the following final draft technical standards:
1. RTS and ITS on the content, format, templates and timelines for reporting major ICT-related incidents and significant cyber threats;
2. RTS on the harmonization of conditions enabling the conduct of the oversight activities;
3. RTS specifying the criteria for determining the composition of the joint examination team (JET); and
4. RTS on threat-led penetration testing (TLPT).
The set of guidelines include:
- Guidelines on the estimation of aggregated costs/losses caused by major ICT-related incidents; and
- Guidelines on oversight cooperation.
Este es un pequeño resumen de cada uno de los documentos del nuevo paquete que contiene 4 RTS (Regulatory Technical Standards) y 1 ITS (Implementing Technical Standards):
- RTS y ITS sobre el contenido, formato, plantillas y plazos para reportar incidentes importantes relacionados con las TIC y amenazas cibernéticas significativas: Este documento establece estándares técnicos y de implementación para la notificación de incidentes y amenazas cibernéticas, especificando qué información se debe reportar, en qué formato, y dentro de qué plazos.
- RTS sobre la armonización de las condiciones que permiten la realización de actividades de supervisión: Establece los requisitos para armonizar las condiciones bajo las cuales se realizan las actividades de supervisión, asegurando un enfoque coherente en toda la UE.
- RTS que especifica los criterios para determinar la composición del equipo de examen conjunto (JET): Define los criterios para formar equipos de examen conjuntos que supervisen las pruebas de penetración y otras evaluaciones, asegurando que se cuente con el personal adecuado y calificado.
- RTS sobre pruebas de penetración lideradas por amenazas (TLPT): Proporciona los requisitos para llevar a cabo pruebas de penetración basadas en amenazas específicas, con el fin de evaluar la resiliencia de las entidades financieras ante ciberataques.
Junto a estos documentos, encontramos 2 guías con el siguiente contenido:
- Guías sobre la estimación de costos/pérdidas agregados causados por incidentes importantes relacionados con las TIC: Ofrece pautas para calcular los costos y pérdidas totales derivados de incidentes significativos relacionados con las TIC, ayudando a las entidades a evaluar el impacto financiero de dichos incidentes.
- Guías sobre la cooperación en la supervisión: Define cómo deben cooperar las autoridades de supervisión en la supervisión de las actividades de las entidades financieras, promoviendo una colaboración eficaz y una supervisión coherente a nivel europeo.
La EBA (European Banking Authority), parte de la ESA, ha trasladado que las guías ya han sido adoptadas por los Consejos de Supervisión de las tres Autoridades Europeas de Supervisión (ESAs). Los borradores finales de los estándares técnicos han sido enviados a la Comisión Europea, que ahora comenzará a revisarlos con el objetivo de adoptarlos en los próximos meses. Los RTS restantes sobre subcontratación se publicarán próximamente.
Tenéis más detalles sobre ello en: https://www.eba.europa.eu/publications-and-media/press-releases/esas-published-second-batch-policy-products-under-dora
La UE está avanzando significativamente hacia la mejora de la resiliencia operativa digital del sector financiero. Al establecer reglas claras para la notificación de incidentes, pruebas de penetración y supervisión, estas políticas buscan garantizar una respuesta coherente y efectiva ante las ciberamenazas a las que actualmente se enfrenta el tejido empresarial financiero. Obviamente, esto no solo aumentará la transparencia en la respuesta a ciberataques, sino que también fortalecerá la seguridad y estabilidad del sector financiero, ayudando a las empresas a estar mejor preparadas ante posibles amenazas digitales.
En próximos posts profundizaremos en los documentos publicados en este nuevo paquete RTS.