El término resiliencia digital es definido como el conjunto de procesos comerciales y sistemas TI de las empresas a fin de facilitar la protección de datos críticos así como de dotar de capacidad de respuesta efectiva, en el ámbito de ataques cibernéticos. En Diciembre de 2020 la Comisión Europea ha formulado propuesta de reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero, a continuación analizamos los aspectos claves a regular y su incidencia en los consumidores.
La pandemia COVID-19 ha supuesto entre otras consecuencias la proliferación de servicios financieros digitales, y los prestadores de tales servicios deben dotar a los mismos de una eficaz infraestructura informática, que contribuya al pleno desarrollo del proceso de transformación digital emprendido por las entidades financieras, objetivo primordial para la plena creación de una economía europea sostenible. Al mismo tiempo, dicha situación de crisis ha evidenciado un déficit en cuanto a la capacidad de sobreponerse al momento atravesado, la adaptación a lo imprevisto depende en gran medida de la resiliencia digital.
Como impronta la iniciativa comunitaria tiene en primer lugar el objetivo de clarificar y armonizar las normativa existente relativa a los riesgos relacionados con las tecnologías de la información y de las comunicaciones (TIC), a fin de preservar el principio de seguridad jurídica, a todas los operadores implicados y a los destinatarios finales, los consumidores-clientes, de tal forma que la interacción entre ambas partes se produzca de forma fluida y ágil y a la vez en un entorno seguro.
Es una realidad que tanto consumidores como empresas en el ámbito europeo dependen cada vez más de los servicios financieros digitales: la identidad digital, la firma digital, los pagos en línea, el sello electrónico, la notificación y la factura electrónica son una realidad implantada fruto de la transformación digital. tendencia que va acompañada de un recurso creciente a soluciones innovadoras basadas en nuevas tecnologías por los agentes del mercado. La transformación digital es fundamental para la recuperación europea y para la creación de una economía europea sostenible y resiliente.
En consonancia con las prioridades de Europa de crear una economía sostenible y resiliente al servicio de los ciudadanos, la propuesta de Reglamento se presenta como un marco global de resiliencia digital, que presenta un paquete de finanzas digitales, en materia de innovación y reducción de riesgos asociados, que combatan los ciberataques causantes de graves daños financieros y reputacionales a los consumidores y empresas.
Con el fin de alcanzar dichos objetivos generales, se formulan entre otros:
- La racionalización d la gestión de los riesgos en materia de TIC por las entidades financieras.
- Establecimiento de pruebas exhaustivas de resiliencia de los sistemas de TIC.
- Fomento del intercambio de información.
- Sensibilización sobre los riesgos de ciberseguridad y sus incidentes que afrontan las entidades financieras.
- Facultar a los supervisores financieros para la gestión de los riesgos derivados de la dependencia de las entidades financieras con respecto a proveedores terceros de servicios de TIC
- Creación de un mecanismo coherente de notificación de incidentes que permita reducir la carga administrativa de las entidades financieras.
El Dictamen emitido por el Comité Económico y Social Europeo- publicado en el DOUE el pasado 30 de Abril- abunda sobre la necesidad de garantizar que todos los proveedores de servicios financieros, con iguales riesgos por el desarrollo de sus actividades deben estar sujetos a idénticas normas y supervisión, a fin de garantizar el mismo marco mínimo en materia de resiliencia digital que proteja a los consumidores y garantice la estabilidad financiera.
Extractamos y reproducimos el epígrafe 2.6 “la propuesta legislativa sobre la resiliencia operativa digital tiene por objeto mejorar y racionalizar la gestión de los riesgos en materia de TIC por las entidades financieras, establecer pruebas exhaustivas de resiliencia de los sistemas de TIC, fomentar el intercambio de información y sensibilizar a los supervisores sobre los riesgos de ciberseguridad y los incidentes relacionados con las TIC que afrontan las entidades financieras, así como otorgar a los supervisores financieros la facultad de supervisar los riesgos derivados de la dependencia de las entidades financieras con respecto a proveedores terceros de servicios de TIC. La propuesta también tiene por objeto crear un mecanismo coherente de notificación de incidentes que permita reducir la carga administrativa de las entidades financieras y mejorar la eficacia de la supervisión”
En relación, a la necesidad de armonización con el conjunto de herramientas de respuesta y recuperación en caso de ciberincidentes, alude al mecanismo ya sugerido con anterioridad por el Consejo de Estabilidad Financiera. Igualmente concluye en la necesidad de aportar claridad en cuanto a la capacidad de las empresas para compartir información sobre las ciber amenazas, velando por que ello se haga con carácter voluntario y que en la propuesta sobre la resiliencia operativa digital se incluya una disposición explícita que permita el intercambio de datos personales.
Respecto del dictamen emitido por el Banco Central Europeo, el pasado 4 de Julio destacamos:
- Apoyo a la realización de evaluaciones de riesgos por parte de las entidades financieras, en infraestructuras de la red y sistemas de información, pese a lo cual incide en definir “ cambio importante” al que alude el Reglamento, a fin de evitar interpretaciones divergentes.
- Introducción de umbrales de carácter cuantitativo, para garantizar la eficacia global del sistema, a fin de no abrumar con numerosos informes a la entidades y autoridades financieras.
- Apoyo a la delegación y externalización de las tareas de verificación del cumplimiento de la gestión de riesgos de la TIC, con la salvaguarda del procedimiento de concesión de la aprobación pertinente por las autoridades competentes, en los casos en que una entidad financiera esté sujete a varias autoridades de supervisión.
- Sobre el reporte de los ciber incidentes, requeriría revisar y potencialmente derogar los marcos existentes, incluido el Marco de Notificación de Incidentes Cibernéticos, a fin de lograr r una verdadera racionalización y una alineación total en todos los marcos, es fundamental garantizar que el alcance de las disposiciones sobre notificación de incidentes en virtud del Reglamento propuesto, incluidas todas las definiciones, umbrales y parámetros de notificación pertinentes, se ajuste plenamente a los marcos pertinentes. Al respecto reseñamos que España es pionera en la elaboración de la Guía Nacional de Notificación y Gestión de Ciberincidentes desde el año 2019.