La Junta Europea de Riesgo Sistémico (JERS) ha publicado una Recomendación para establecer un marco paneuropeo de coordinación ante ciberincidentes sistémicos. Argumenta que el sistema financiero se sustenta en sistemas de tecnologías de la información y las comunicaciones, lo que lo hace dependiente, en gran medida, de la confidencialidad, la integridad y la disponibilidad de los datos y sistemas que utiliza.

Los ciberincidentes graves tienen el potencial de corromper la información y destruir la confianza en el sistema financiero y, por tanto, pueden plantear un riesgo sistémico. Por ello es necesario que las autoridades financieras estén bien preparadas y coordinadas para responder de forma eficaz a ciberincidentes relevantes.

El objetivo de este marco es reforzar esta coordinación entre las autoridades financieras de la Unión Europea (UE), así como con otras autoridades de la UE y con interlocutores clave a escala internacional. Este marco aborda los riesgos para la estabilidad financiera derivados de los ciberincidentes, por lo que complementa a los marcos
existentes en la UE para dar respuesta a los ciberincidentes.

En el informe de la JERS titulado «Mitigating systemic cyber risk» se explica detalladamente cómo el marco facilitaría una respuesta eficaz a un ciberincidente grave. En este informe, que parte del publicado por la JERS en 2020 («Systemic cyber risk»), se evalúa también la capacidad del actual marco macroprudencial de hacer frente a los riesgos y vulnerabilidades originados por el ciberriesgo sistémico.

Se llega a la conclusión de que el mandato y las herramientas macroprudenciales de las autoridades financieras han de ampliarse para incluir la ciberresiliencia.

En el informe se propone una estrategia macroprudencial que debería contribuir a mitigar mejor los riesgos para la estabilidad financiera derivados de los ciberincidentes. Es necesario aplicar un marco analítico y de seguimiento para el ciberriesgo sistémico con el fin de ayudar a diseñar y calibrar este nuevo conjunto de herramientas macroprudenciales relativas a la ciberresiliencia.

Por ejemplo, poner a prueba la ciberresiliencia del sistema financiero a través del análisis de escenarios puede mostrar cómo responderían las entidades sistémicas
del sistema financiero a un ciberincidente grave, pero verosímil, y cómo se recuperarían.

Para extraer conclusiones de ese tipo de pruebas de ciberresiliencia sobre la estabilidad financiera, las autoridades macroprudenciales deben establecer un nivel aceptable de disrupción en los sistemas que dan soporte a funciones económicas críticas.

También es importante mejorar la comprensión de las vulnerabilidades relacionadas con los ciberriesgos sistémicos y los canales de contagio en el sistema financiero. Para ello, deberían identificarse participantes de importancia sistémica a nivel financiero y operativo, incluidos proveedores externos.

La JERS y su Grupo de Trabajo Europeo de Ciberriesgo Sistémico (European Systemic Cyber Group o ESCG) tienen previsto explorar un marco analítico y de seguimiento para el ciberriesgo sistémico, así como las herramientas necesarias para abordar este riesgo en sus trabajos futuros. Esta labor se centrará en evaluar la ciberresiliencia del sistema financiero a través del análisis de escenarios y la definición de expectativas
sobre los niveles aceptables de disrupción.