Se aplicarán a partir del 18 de octubre de 2024

La UE regula la resiliencia digital en general y para el sector financiero

27/12/2022

diarioabierto.es. A más tardar el 17 de octubre de 2024, los Estados miembros adoptarán y publicarán las medidas necesarias para dar cumplimiento a las Directivas.

El DOUE de 27 de diciembre publica:

General

  • Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2). Tiene 73 páginas.
  • Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo. Tiene 35 páginas.

Sector financiero

  • Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014, (UE) nº 909/2014 y (UE) 2016/1011. Tiene 79 páginas.
  • Directiva (UE) 2022/2556 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, por la que se modifican las Directivas 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341 en lo relativo a la resiliencia operativa digital del sector financiero. Tiene 11 páginas.

Entran en vigor a los veinte días de su publicación.

Primera Directiva

Lo mismo que la siguiente, a. más tardar el 17 de octubre de 2024, los Estados miembros adoptarán y publicarán las medidas necesarias para dar cumplimiento a lo establecido en la misma. Aplicarán dichas disposiciones a partir del 18 de octubre de 2024

Establece medidas que tienen por objeto alcanzar un elevado nivel común de ciberseguridad en toda la UE con el objetivo de mejorar el funcionamiento del mercado interior. A tal fin, determina:

  • obligaciones que requieren que los Estados miembros adopten estrategias nacionales de ciberseguridad y designen o establezcan autoridades competentes, autoridades de gestión de crisis de ciberseguridad, puntos de contacto únicos sobre ciberseguridad (en lo sucesivo, «puntos de contacto únicos») y equipos de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés);
  • medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades cuyo tipo se enmarca en sus anexos I o II; así como para las entidades identificadas como críticas;
  • normas y obligaciones relativas al intercambio de información sobre ciberseguridad;
  • obligaciones de supervisión y ejecución para los Estados miembros.

Segunda directiva

  • obliga a los Estados miembros a adoptar medidas específicas destinadas a garantizar la prestación sin obstrucciones en el mercado interior de servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales, en particular las obligaciones de identificar las entidades críticas y de apoyarlas en el cumplimiento de las obligaciones impuestas a estas últimas;
  • establece obligaciones a fin de que las entidades críticas aumenten su resiliencia y capacidad de prestar los servicios anteriores en el mercado interior;
  • establece normas:
    • sobre la supervisión de las entidades críticas,
    • sobre la ejecución,
    • para la identificación de las entidades críticas de especial importancia europea y sobre misiones de asesoramiento para evaluar las medidas adoptadas por tales entidades con el fin de cumplir sus obligaciones;
    • establece procedimientos comunes de cooperación e información sobre la aplicación de la Directiva;
    • establece medidas con vistas a lograr un alto nivel de resiliencia de las entidades críticas a fin de garantizar la prestación de servicios esenciales dentro de la UE y mejorar el funcionamiento del mercado interior.

Reglamento

Es aplicable a partir del 17 de enero de 2025.

A fin de lograr un elevado nivel común de resiliencia operativa digital, establece requisitos uniformes relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de las entidades financieras como sigue:

  • requisitos aplicables a las entidades financieras en relación con:
    • la gestión del riesgo en el ámbito de las tecnologías de la información y la comunicación (TIC),
    • la notificación a las autoridades competentes de incidentes graves relacionados con las TIC y, con carácter voluntario, de ciberamenazas importantes,
    • la notificación a las autoridades competentes de incidentes operativos o de seguridad graves relacionados con los pagos por parte de las entidades financieras
    • las pruebas de resiliencia operativa digital,
    • el intercambio de información e inteligencia en relación con las ciberamenazas y las vulnerabilidades cibernéticas,
    • las medidas para la buena gestión del riesgo relacionado con las TIC derivado de terceros;
  • requisitos en relación con los acuerdos contractuales celebrados entre proveedores terceros de servicios de TIC y entidades financieras;
  • normas para el establecimiento y aplicación del marco de supervisión de los proveedores terceros esenciales de servicios de TIC cuando presten servicios a entidades financieras;
  • normas sobre cooperación entre autoridades competentes y normas sobre control y ejecución por parte de las autoridades competentes en relación con todos los asuntos cubiertos por el reglamento.

Tercera directiva

Los Estados miembros adoptarán y publicarán a más tardar el 17 de enero de 2025, las disposiciones necesarias para dar cumplimiento a lo dispuesto en la misma. Aplicarán dichas disposiciones a partir del 17 de enero de 2025.

La Directiva 2009/65/CE coordina las disposiciones legales, reglamentarias y administrativas sobre determinados organismos de inversión colectiva en valores mobiliarios (OICVM).

La Directiva 2009/138/CE trata sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II).

La Directiva 2011/61/UE es la relativa a los gestores de fondos de inversión alternativos.

La Directiva 2013/36/UE es la relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito.

La Directiva 2014/59/UE establece un marco para la recuperación y la resolución de entidades de crédito y empresas de servicios de inversión.

La Directiva 2014/65/UE es la relativa a los mercados de instrumentos financieros.

La Directiva (UE) 2015/2366 versa sobre servicios de pago en el mercado interior.

La Directiva (UE) 2016/2341 es la relativa a las actividades y la supervisión de los fondos de pensiones de empleo (FPE).

¿Te ha parecido interesante?

(Sin votos)

Cargando...

Aviso Legal
Esta es la opinión de los internautas, no de diarioabierto.es
No está permitido verter comentarios contrarios a la ley o injuriantes.
Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.
Su direcciónn de e-mail no será publicada ni usada con fines publicitarios.