DEL PARLAMENTO EUROPEO Y DEL CONSEJO
Vista la propuesta de la Comisión Europea,
Tras la transmisión del proyecto de acto legislativo a los parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo,
Visto el dictamen del Comité de las Regiones,
Actuar de acuerdo con el procedimiento legislativo ordinario,
Considerando que:
de 14 de diciembre de 2022
sobre la resiliencia operativa digital para el sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011
(Texto pertinente a efectos del EEE)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 114, Vista la propuesta de la Comisión Europea, Previa transmisión del proyecto de acto legislativo a los parlamentos nacionales, Visto el dictamen del Banco Central Europeo (1), Visto el dictamen del Comité Económico y Social Europeo (2), De conformidad con el procedimiento legislativo ordinario (3),
Considerando que:
(1) En la era digital, las tecnologías de la información y la comunicación (TIC) sirven de soporte a sistemas complejos utilizados en actividades cotidianas. Mantienen nuestras economías en funcionamiento en sectores clave, incluido el financiero, y mejoran el funcionamiento del mercado interior. El aumento de la digitalización y la interconexión también amplifican las TIC. riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)Por lo tanto, la sociedad en su conjunto, y el sistema financiero en particular, son más vulnerables a las ciberamenazas o a las perturbaciones de las TIC. Aunque el uso omnipresente de los sistemas de TIC y la elevada digitalización y conectividad son hoy características esenciales de las actividades de las entidades financieras de la Unión, su resiliencia digital aún debe abordarse mejor e integrarse en sus marcos operativos más amplios.
(2) En las últimas décadas, el uso de las TIC ha adquirido un papel fundamental en la prestación de servicios financieros, hasta el punto de que ahora ha adquirido una importancia crítica en el funcionamiento de las funciones diarias típicas de todas las entidades financieras. La digitalización abarca ahora, por ejemplo, los pagos, que han pasado cada vez más del efectivo y los métodos basados en papel al uso de soluciones digitales, así como la compensación y liquidación de valores, la negociación electrónica y algorítmica, las operaciones de préstamo y financiación, la financiación entre pares, la calificación crediticia, la gestión de siniestros y las operaciones administrativas. El sector de los seguros también se ha visto transformado por el uso de las TIC, desde la aparición de intermediarios de seguros que ofrecen sus servicios en línea operando con InsurTech, hasta la suscripción digital de seguros. Las finanzas no solo se han digitalizado en gran medida en todo el sector, sino que la digitalización también ha profundizado las interconexiones y dependencias dentro del sector financiero y con terceros proveedores de infraestructuras y servicios.
(3) La Junta Europea de Riesgo Sistémico (JERS) reafirmó en un informe de 2020 sobre el riesgo cibernético sistémico que el alto nivel de interconexión existente entre las entidades financieras, los mercados financieros y las infraestructuras de los mercados financieros, y en particular las interdependencias de sus sistemas de TIC, podría constituir un riesgo sistémico. vulnerabilidadVulnerabilidad Se refiere a una debilidad, susceptibilidad o defecto de los productos o servicios de las TIC que puede ser explotado por una ciberamenaza -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) porque los incidentes cibernéticos localizados podrían propagarse rápidamente desde cualquiera de las aproximadamente 22 000 entidades financieras de la Unión a todo el sistema financiero, sin que lo impidan las fronteras geográficas. Las violaciones graves de las TIC que se producen en el sector financiero no sólo afectan a las entidades financieras consideradas aisladamente. También allanan el camino para la propagación de vulnerabilidades localizadas a través de los canales de transmisión financiera y pueden desencadenar consecuencias adversas para la estabilidad del sistema financiero de la Unión, como la generación de fugas de liquidez y una pérdida general de confianza en los mercados financieros.
(4) En los últimos años, el riesgo de las TIC ha atraído la atención de los responsables políticos internacionales, de la Unión y nacionales, de los reguladores y de las estándarEstándar Especificación técnica, adoptada por un organismo de normalización reconocido, de aplicación repetida o continua, cuyo cumplimiento no es obligatorio y que es una de las siguientes (a) "norma internacional": norma adoptada por un organismo internacional de normalización; b) "norma europea": norma adoptada por un organismo europeo de normalización; c) "norma armonizada": norma europea adoptada sobre la base de una solicitud formulada por la Comisión para la aplicación de la legislación de armonización de la Unión; d) "norma nacional": norma adoptada por un organismo nacional de normalización - Definición según el artículo 2, punto 1, delReglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo.-En el ámbito internacional, el Comité de Supervisión Bancaria de Basilea, el Comité de Pagos e Infraestructuras del Mercado, el Consejo de Estabilidad Financiera y el Instituto de Estabilidad Financiera, así como el G7 y el G20, tienen por objeto proporcionar competencias en materia de regulación y supervisión. A escala internacional, el Comité de Supervisión Bancaria de Basilea, el Comité de Pagos e Infraestructuras del Mercado, el Consejo de Estabilidad Financiera, el Instituto de Estabilidad Financiera, así como el G7 y el G20, tienen como objetivo proporcionar a las autoridades competentes y a los operadores del mercado de diversas jurisdicciones herramientas para reforzar la resistencia de sus sistemas financieros. Esta labor también se ha visto impulsada por la necesidad de considerar debidamente el riesgo de las TIC en el contexto de un sistema financiero mundial altamente interconectado y de buscar una mayor coherencia de las mejores prácticas pertinentes.
(5) A pesar de las iniciativas políticas y legislativas específicas de la Unión y nacionales, el riesgo de las TIC sigue planteando un reto para la resistencia operativa, el rendimiento y la estabilidad del sistema financiero de la Unión. Las reformas que siguieron a la crisis financiera de 2008 reforzaron principalmente la resistencia financiera del sector financiero de la Unión y tenían por objeto salvaguardar la competitividad y la estabilidad de la Unión desde las perspectivas económica, prudencial y de conducta del mercado. Aunque la seguridad de las TIC y la resistencia digital forman parte del riesgo operativo, han estado menos en el punto de mira de la agenda reguladora posterior a la crisis financiera y solo se han desarrollado en algunos ámbitos de la política y el panorama regulador de los servicios financieros de la Unión, o en unos pocos Estados miembros.
(6) En su Comunicación de 8 de marzo de 2018 titulada "Plan de acción FinTech: Por un sector financiero europeo más competitivo e innovador", la Comisión destacó la importancia primordial de hacer que el sector financiero de la Unión sea más resiliente, también desde una perspectiva operativa para garantizar su seguridad tecnológica y su buen funcionamiento, su rápida recuperación de las brechas y los incidentes relacionados con las TIC, permitiendo en última instancia la prestación eficaz y fluida de servicios financieros en toda la Unión, incluso en situaciones de estrés, preservando al mismo tiempo la confianza de los consumidores y del mercado.
(7) En abril de 2019, la Autoridad Europea de Supervisión (Autoridad Bancaria Europea), (ABE) creada por el Reglamento (UE) nº 1093/2010 del Parlamento Europeo y del Consejo (4), la Autoridad Europea de Supervisión (Autoridad Europea de Seguros y Pensiones de Jubilación), ("AESPJ") creada por el Reglamento (UE) nº 1094/2010 del Parlamento Europeo y del Consejo (5) y la Autoridad Europea de Supervisión (Autoridad Europea de Valores y Mercados), ("AEVM") establecida por el Reglamento (UE) n.º 1095/2010 del Parlamento Europeo y del Consejo (6) (conocidas colectivamente como "Autoridades Europeas de Supervisión" o "AES") emitieron conjuntamente un asesoramiento técnico en el que pedían un enfoque coherente del riesgo de las TIC en las finanzas y recomendaban reforzar, de manera proporcionada, la resistencia operativa digital del sector de los servicios financieros a través de una iniciativa sectorial de la Unión.
(8) El sector financiero de la Unión está regulado por un código normativo único y se rige por un sistema europeo de supervisión financiera. Sin embargo, las disposiciones que abordan la resistencia operativa digital y la seguridad de las TIC aún no se han armonizado plenamente o de forma coherente, a pesar de que la resistencia operativa digital es vital para garantizar la estabilidad financiera y la integridad del mercado en la era digital, y no menos importante que, por ejemplo, las normas prudenciales o de conducta del mercado comunes. Por lo tanto, el código normativo único y el sistema de supervisión deben desarrollarse para abarcar también la resistencia operativa digital, reforzando los mandatos de las autoridades competentes para que puedan supervisar la gestión del riesgo de las TIC en el sector financiero con el fin de proteger la integridad y la eficiencia del mercado interior y facilitar su funcionamiento ordenado.
(9) Las disparidades legislativas y los enfoques nacionales desiguales en materia de regulación o supervisión en relación con el riesgo de las TIC desencadenan obstáculos al funcionamiento del mercado interior de servicios financieros, impidiendo el buen ejercicio de la libertad de establecimiento y la prestación de servicios para las entidades financieras que operan sobre una base transfronteriza. La competencia entre el mismo tipo de entidades financieras que operan en diferentes Estados miembros también podría verse falseada. Este es el caso, en particular, de los ámbitos en los que la armonización de la Unión ha sido muy limitada, como las pruebas de resistencia operativa digital, o inexistente, como la supervisión del riesgo de las TIC frente a terceros. Las disparidades derivadas de la evolución prevista a nivel nacional podrían generar nuevos obstáculos al funcionamiento del mercado interior en detrimento de los participantes en el mercado y de la estabilidad financiera.
(10) Hasta la fecha, debido a que las disposiciones relacionadas con los riesgos de las TIC sólo se han abordado parcialmente a nivel de la Unión, existen lagunas o solapamientos en ámbitos importantes, como los relacionados con las TIC. incidenteIncidente Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de información o accesibles a través de ellos". Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) y pruebas de resistencia operativa digital, e incoherencias como consecuencia de la aparición de normas nacionales divergentes o de la aplicación poco rentable de normas que se solapan. Esto es especialmente perjudicial para un usuario intensivo en TIC como el sector financiero, ya que los riesgos tecnológicos no tienen fronteras y el sector financiero despliega sus servicios sobre una amplia base transfronteriza dentro y fuera de la Unión. Las entidades financieras individuales que operan sobre una base transfronteriza o son titulares de varias autorizaciones (por ejemplo, una entidad financiera entidadEntidad Persona física o jurídica creada y reconocida como tal en virtud de la legislación nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) pueden tener una licencia bancaria, de empresa de inversión y de entidad de pago, cada una de ellas expedida por una autoridad competente diferente en uno o varios Estados miembros) se enfrentan a retos operativos a la hora de abordar el riesgo de las TIC y mitigar los efectos adversos de los incidentes relacionados con las TIC por sí solos y de forma coherente y rentable.
(11) Dado que el código normativo único no ha ido acompañado de un marco global en materia de TIC o de riesgo operativo, es necesaria una mayor armonización de los requisitos clave de resistencia operativa digital para todas las entidades financieras. El desarrollo de las capacidades en materia de TIC y de la resistencia general de las entidades financieras, sobre la base de esos requisitos clave, con vistas a soportar interrupciones operativas, ayudaría a preservar la estabilidad e integridad de los mercados financieros de la Unión y contribuiría así a garantizar un elevado nivel de protección de los inversores y consumidores de la Unión. Dado que el presente Reglamento tiene por objeto contribuir al buen funcionamiento del mercado interior, debe basarse en las disposiciones del artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE), interpretadas de conformidad con la jurisprudencia reiterada del Tribunal de Justicia de la Unión Europea (Tribunal de Justicia).
(12) El presente Reglamento tiene por objeto consolidar y actualizar los requisitos en materia de riesgo de TIC como parte de los requisitos en materia de riesgo operativo que, hasta la fecha, se han abordado por separado en diversos actos jurídicos de la Unión. Si bien dichos actos cubrían las principales categorías de riesgo financiero (por ejemplo, riesgo de crédito, riesgo de mercado, riesgo de crédito de contraparte y riesgo de liquidez, riesgo de conducta de mercado), no abordaban de forma exhaustiva, en el momento de su adopción, todos los componentes de la resistencia operativa. Las normas sobre riesgo operativo, cuando se desarrollaron en esos actos jurídicos de la Unión, a menudo favorecían un enfoque cuantitativo tradicional para abordar el riesgo (es decir, el establecimiento de un requisito de capital para cubrir el riesgo de TIC) en lugar de normas cualitativas específicas para las capacidades de protección, detección, contención, recuperación y reparación frente a incidentes relacionados con las TIC, o para las capacidades de información y pruebas digitales. Dichos actos estaban destinados principalmente a cubrir y actualizar las normas esenciales en materia de supervisión prudencial, integridad del mercado o conducta. Al consolidar y actualizar las distintas normas sobre el riesgo de las TIC, todas las disposiciones que abordan el riesgo digital en el sector financiero deben reunirse por primera vez de manera coherente en un único acto legislativo. Por consiguiente, el presente Reglamento colma las lagunas o subsana las incoherencias de algunos de los actos jurídicos anteriores, incluso en relación con la terminología utilizada en ellos, y se refiere explícitamente al riesgo de las TIC mediante normas específicas sobre las capacidades de gestión del riesgo de las TIC, la notificación de incidentes, las pruebas de resistencia operativa y la supervisión del riesgo de las TIC frente a terceros. De este modo, el Reglamento también debería aumentar la concienciación sobre el riesgo de las TIC y reconocer que los incidentes relacionados con las TIC y la falta de resistencia operativa pueden poner en peligro la solidez de las entidades financieras.
(13) Las entidades financieras deben seguir el mismo enfoque y las mismas normas basadas en principios a la hora de abordar el riesgo de las TIC, teniendo en cuenta su tamaño y perfil de riesgo global, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones. La coherencia contribuye a aumentar la confianza en el sistema financiero y a preservar su estabilidad, especialmente en tiempos de gran dependencia de los sistemas, plataformas e infraestructuras de TIC, lo que conlleva un mayor riesgo digital. La observancia de una higiene cibernética básica también debería evitar la imposición de elevados costes a la economía, minimizando el impacto y los costes de las perturbaciones de las TIC.
(14) Un Reglamento ayuda a reducir la complejidad normativa, fomenta la convergencia en materia de supervisión y aumenta la seguridad jurídica, además de contribuir a limitar los costes de cumplimiento, especialmente para las entidades financieras que operan a escala transfronteriza, y a reducir las distorsiones de la competencia. Por lo tanto, la elección de un Reglamento para el establecimiento de un marco común para la resistencia operativa digital de las entidades financieras es la forma más adecuada de garantizar una aplicación homogénea y coherente de todos los componentes de la gestión del riesgo de las TIC por parte del sector financiero de la Unión.
(15) La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (7) fue la primera Directiva horizontal ciberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) "ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881; promulgado a escala de la Unión, que se aplica también a tres tipos de entidades financieras, a saber, las entidades de crédito, los centros de negociación y las entidades de contrapartida central. Sin embargo, desde que la Directiva (UE) 2016/1148 estableció un mecanismo de identificación a nivel nacional de los operadores de servicios esenciales, solo determinadas entidades de crédito, centros de negociación y entidades de contrapartida central que fueron identificadas por los Estados miembros, han entrado en su ámbito de aplicación en la práctica y, por tanto, están obligadas a cumplir los requisitos de seguridad de las TIC y de notificación de incidentes establecidos en ella. La Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (8) establece un criterio uniforme para determinar las entidades que entran en su ámbito de aplicación (regla del size-cap), al tiempo que mantiene los tres tipos de entidades financieras en su ámbito de aplicación.
(16) No obstante, dado que el presente Reglamento aumenta el nivel de armonización de los diversos componentes de la resiliencia digital, al introducir requisitos sobre la gestión de riesgos de las TIC y la notificación de incidentes relacionados con las TIC que son más estrictos en comparación con los establecidos en la actual legislación de la Unión sobre servicios financieros, este mayor nivel constituye una mayor armonización también en comparación con los requisitos establecidos en la Directiva (UE) 2022/2555. Por consiguiente, el presente Reglamento constituye lex specialis con respecto a la Directiva (UE) 2022/2555. Al mismo tiempo, es crucial mantener una estrecha relación entre el sector financiero y el marco horizontal de ciberseguridad de la Unión, tal como se establece actualmente en la Directiva (UE) 2022/2555, para garantizar la coherencia con las estrategias de ciberseguridad adoptadas por los Estados miembros y permitir que los supervisores financieros estén al corriente de los incidentes cibernéticos que afecten a otros sectores cubiertos por dicha Directiva.
(17) De conformidad con el apartado 2 del artículo 4 del Tratado de la Unión Europea y sin perjuicio del control jurisdiccional del Tribunal de Justicia, el presente Reglamento no debe afectar a la responsabilidad de los Estados miembros en lo que respecta a las funciones esenciales del Estado en materia de seguridad pública, defensa y salvaguardia de la seguridad nacional, por ejemplo en lo relativo al suministro de información que sea contraria a la salvaguardia de la seguridad nacional.
(18) Para permitir el aprendizaje intersectorial y aprovechar eficazmente las experiencias de otros sectores a la hora de hacer frente a las ciberamenazas, las entidades financieras a que se refiere la Directiva (UE) 2022/2555 deben seguir formando parte del "ecosistema" de dicha Directiva (por ejemplo, el Grupo de Cooperación y los equipos de respuesta a incidentes de seguridad informática (CSIRT)). Las AES y las autoridades nacionales competentes deben poder participar en los debates políticos estratégicos y en los trabajos técnicos del Grupo de Cooperación con arreglo a dicha Directiva, así como intercambiar información y seguir cooperando con las ventanillas únicas designadas o establecidas de conformidad con dicha Directiva. Las autoridades competentes en virtud del presente Reglamento también deben consultar a los CSIRT y cooperar con ellos. Las autoridades competentes también deben poder solicitar asesoramiento técnico a las autoridades competentes designadas o establecidas de conformidad con la Directiva (UE) 2022/2555 y establecer acuerdos de cooperación destinados a garantizar mecanismos de coordinación eficaces y de respuesta rápida.
(19) Dadas las fuertes interrelaciones entre la resistencia digital y la resistencia física de las entidades financieras, es necesario un enfoque coherente con respecto a la resistencia de las entidades críticas en el presente Reglamento y en la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo (9). Dado que la resiliencia física de las entidades financieras se aborda de manera exhaustiva en las obligaciones de gestión de riesgos de las TIC y de información cubiertas por el presente Reglamento, las obligaciones establecidas en los capítulos III y IV de la Directiva (UE) 2022/2557 no deben aplicarse a las entidades financieras incluidas en el ámbito de aplicación de dicha Directiva.
(20) Servicio de computación en nubeServicio de computación en nube Se refiere a un servicio digital que permite la administración bajo demanda y un amplio acceso remoto a un conjunto escalable y elástico de recursos informáticos compartibles, incluso cuando dichos recursos están distribuidos en varias ubicaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) son una categoría de infraestructura digital cubierta por la Directiva (UE) 2022/2555. El Marco de Supervisión de la Unión ("Marco de Supervisión") establecido por el presente Reglamento se aplica a todos los proveedores de servicios críticos de TIC a terceros, incluidos los proveedores de servicios de computación en nube que prestan servicios de TIC a entidades financieras, y debe considerarse complementario de la supervisión realizada en virtud de la Directiva (UE) 2022/2555. Además, el marco de supervisión establecido por el presente Reglamento debe abarcar a los proveedores de servicios de computación en nube en ausencia de un marco horizontal de la Unión que establezca una autoridad de supervisión digital.
(21) A fin de mantener un control pleno del riesgo de las TIC, las entidades financieras deben disponer de capacidades globales que permitan una gestión sólida y eficaz del riesgo de las TIC, así como de mecanismos y políticas específicos para gestionar todos los incidentes relacionados con las TIC y para notificar los incidentes importantes relacionados con las TIC. Del mismo modo, las entidades financieras deben contar con políticas para la comprobación de los sistemas, controles y procesos de TIC, así como para la gestión del riesgo de las TIC frente a terceros. Debe aumentarse el nivel básico de resiliencia operativa digital para las entidades financieras, permitiendo al mismo tiempo una aplicación proporcionada de los requisitos para determinadas entidades financieras, en particular las microempresas, así como para las entidades financieras sujetas a un marco simplificado de gestión del riesgo de las TIC. Para facilitar una supervisión eficiente de los fondos de pensiones de empleo que sea proporcionada y atienda a la necesidad de reducir las cargas administrativas de las autoridades competentes, las disposiciones nacionales de supervisión pertinentes con respecto a dichas entidades financieras deben tener en cuenta su tamaño y perfil de riesgo global, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones, incluso cuando se superen los umbrales pertinentes establecidos en el artículo 5 de la Directiva (UE) 2016/2341 del Parlamento Europeo y del Consejo (10). En particular, las actividades de supervisión deben centrarse principalmente en la necesidad de abordar los riesgos graves asociados a la gestión del riesgo de las TIC de una entidad concreta.
Las autoridades competentes también deben mantener un enfoque vigilante pero proporcionado en relación con la supervisión de los fondos de pensiones de empleo que, de conformidad con el artículo 31 de la Directiva (UE) 2016/2341, externalicen una parte significativa de su actividad principal, como la gestión de activos, los cálculos actuariales, la contabilidad y la gestión de datos, a proveedores de servicios.
(22) Los umbrales de notificación de incidentes relacionados con las TIC y las taxonomías varían significativamente a nivel nacional. Si bien puede alcanzarse un terreno común a través del trabajo pertinente realizado por la Agencia de Ciberseguridad de la Unión Europea (ENISA) establecida por el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (11) y el Grupo de Cooperación en virtud de la Directiva (UE) 2022/2555, siguen existiendo, o pueden surgir, enfoques divergentes sobre el establecimiento de los umbrales y el uso de taxonomías para el resto de las entidades financieras. Debido a esas divergencias, son múltiples los requisitos que deben cumplir las entidades financieras, especialmente cuando operan en varios Estados miembros y cuando forman parte de un grupo financiero. Además, esas divergencias pueden obstaculizar la creación de nuevos mecanismos uniformes o centralizados de la Unión que agilicen el proceso de notificación y favorezcan un intercambio rápido y fluido de información entre las autoridades competentes, lo que resulta crucial para hacer frente al riesgo de las TIC en caso de ataques a gran escala con consecuencias potencialmente sistémicas.
(23) A fin de reducir la carga administrativa y las obligaciones de notificación potencialmente duplicadas para determinadas entidades financieras, el requisito de notificación de incidentes con arreglo a la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo (12) debe dejar de aplicarse a los proveedores de servicios de pago que entren en el ámbito de aplicación del presente Reglamento. En consecuencia, las entidades de crédito, las entidades de dinero electrónico, las entidades de pago y los proveedores de servicios de información sobre cuentas, a que se refiere el artículo 33, apartado 1, de dicha Directiva, deben, a partir de la fecha de aplicación del presente Reglamento, notificar con arreglo al presente Reglamento todos los incidentes operativos o relacionados con la seguridad de los pagos que hayan sido notificados previamente con arreglo a dicha Directiva, con independencia de que dichos incidentes estén o no relacionados con las TIC.
(24) Para que las autoridades competentes puedan desempeñar sus funciones de supervisión adquiriendo una visión completa de la naturaleza, frecuencia, importancia e impacto de los incidentes relacionados con las TIC y para mejorar el intercambio de información entre las autoridades públicas pertinentes, incluidas las autoridades policiales y las autoridades de resolución, el presente Reglamento debe establecer un régimen sólido de notificación de incidentes relacionados con las TIC en el que los requisitos pertinentes aborden las actuales lagunas de la legislación sobre servicios financieros y eliminen los solapamientos y duplicaciones existentes para aliviar los costes. Es esencial armonizar el régimen de notificación de incidentes relacionados con las TIC exigiendo a todas las entidades financieras que informen a sus autoridades competentes a través de un único marco racionalizado, tal como se establece en el presente Reglamento. Además, las AES deben estar facultadas para especificar con más detalle los elementos pertinentes para el marco de notificación de incidentes relacionados con las TIC, como la taxonomía, los plazos, los conjuntos de datos, las plantillas y los umbrales aplicables. Para garantizar la plena coherencia con la Directiva (UE) 2022/2555, debe permitirse a las entidades financieras, con carácter voluntario, notificar las ciberamenazas significativas a la autoridad competente pertinente, cuando consideren que la amenaza cibernéticaCiberamenazas significa cualquier circunstancia, evento o acción potencial que pueda dañar, interrumpir o afectar negativamente de otro modo a los sistemas de red y de información, a los usuarios de dichos sistemas y a otras personas - Definición según el artículo 2, punto (8), Reglamento (UE) 2019/881 sea relevante para el sistema financiero, los usuarios de los servicios o los clientes.
(25) En determinados subsectores financieros se han desarrollado requisitos de pruebas de resistencia operativa digital que establecen marcos que no siempre están plenamente alineados. Esto da lugar a una posible duplicación de costes para las entidades financieras transfronterizas y hace que el reconocimiento mutuo de los resultados de las pruebas de resistencia operativa digital sea complejo, lo que, a su vez, puede fragmentar el mercado interior.
(26) Además, cuando no se exigen pruebas de las TIC, las vulnerabilidades no se detectan, lo que expone a las entidades financieras a riesgos relacionados con las TIC y, en última instancia, genera un mayor riesgo para la estabilidad y la integridad del sector financiero. Sin la intervención de la Unión, las pruebas de resistencia operativa digital seguirían siendo incoherentes y carecerían de un sistema de reconocimiento mutuo de los resultados de las pruebas de TIC en las distintas jurisdicciones. Además, como es poco probable que otros subsectores financieros adopten sistemas de pruebas a una escala significativa, se perderían los beneficios potenciales de un marco de pruebas, en términos de revelar las vulnerabilidades y los riesgos de las TIC, y de probar las capacidades de defensa y la continuidad de las actividades, lo que contribuye a aumentar la confianza de los clientes, los proveedores y los socios comerciales. Para remediar esos solapamientos, divergencias y lagunas, es necesario establecer normas para un régimen coordinado de pruebas y facilitar así el reconocimiento mutuo de las pruebas avanzadas para las entidades financieras que cumplan los criterios establecidos en el presente Reglamento.
(27) La dependencia de las entidades financieras del uso de los servicios de TIC se debe en parte a su necesidad de adaptarse a una economía global digital competitiva emergente, de aumentar la eficiencia de su negocio y de satisfacer la demanda de los consumidores. La naturaleza y el alcance de esta dependencia han evolucionado continuamente en los últimos años, impulsando la reducción de costes en la intermediación financiera, permitiendo la expansión empresarial y la escalabilidad en el despliegue de las actividades financieras, al tiempo que ofrecen una amplia gama de herramientas TIC para gestionar procesos internos complejos.
(28) El amplio uso de los servicios de TIC se pone de manifiesto en la complejidad de los acuerdos contractuales, en virtud de los cuales las entidades financieras encuentran a menudo dificultades para negociar condiciones contractuales adaptadas a las normas prudenciales u otros requisitos reglamentarios a los que están sujetas, o para hacer valer derechos específicos, como los derechos de acceso o de auditoría, aun cuando estos últimos estén consagrados en sus acuerdos contractuales. Además, muchos de esos acuerdos contractuales no prevén salvaguardias suficientes que permitan una supervisión completa de los procesos de subcontratación, privando así a la entidad financiera de su capacidad para evaluar los riesgos asociados. Además, dado que los proveedores de servicios de TIC a terceros suelen prestar servicios normalizados a distintos tipos de clientes, dichos acuerdos contractuales no siempre responden adecuadamente a las necesidades individuales o específicas de los agentes del sector financiero.
(29) Aunque el Derecho de la Unión en materia de servicios financieros contiene ciertas normas generales sobre externalización, la supervisión de la dimensión contractual no está plenamente anclada en el Derecho de la Unión. A falta de normas claras y específicas de la Unión aplicables a los acuerdos contractuales celebrados con terceros proveedores de servicios de TIC, la fuente externa de riesgo de las TIC no se aborda de manera exhaustiva. En consecuencia, es necesario establecer determinados principios clave para orientar la gestión por las entidades financieras del riesgo de terceros en materia de TIC, que revisten especial importancia cuando las entidades financieras recurren a terceros proveedores de servicios de TIC para respaldar sus funciones críticas o importantes. Dichos principios deben ir acompañados de un conjunto de derechos contractuales básicos en relación con varios elementos de la ejecución y rescisión de los acuerdos contractuales con vistas a proporcionar ciertas salvaguardias mínimas a fin de reforzar la capacidad de las entidades financieras para supervisar eficazmente todo riesgo de TIC que surja a nivel de terceros proveedores de servicios. Estos principios son complementarios de la legislación sectorial aplicable a la externalización.
(30) En la actualidad es evidente una cierta falta de homogeneidad y convergencia en lo que respecta a la supervisión del riesgo de externalización de las TIC y de las dependencias de las TIC de terceros. A pesar de los esfuerzos por abordar la externalización, como las Directrices de la ABE sobre externalización de 2019 y las Directrices de la AEVM sobre externalización a proveedores de servicios en la nube de 2021, la cuestión más amplia de contrarrestar el riesgo sistémico que puede desencadenar la exposición del sector financiero a un número limitado de proveedores de servicios críticos de TIC a terceros no se aborda suficientemente en el Derecho de la Unión. La falta de normas a escala de la Unión se ve agravada por la ausencia de normas nacionales sobre mandatos y herramientas que permitan a los supervisores financieros adquirir una buena comprensión de las dependencias de terceros en materia de TIC y vigilar adecuadamente los riesgos derivados de la concentración de dependencias de terceros en materia de TIC.
(31) Teniendo en cuenta el riesgo sistémico potencial que entraña el aumento de las prácticas de externalización y la concentración de terceros proveedores de TIC, y consciente de la insuficiencia de los mecanismos nacionales para proporcionar a los supervisores financieros herramientas adecuadas para cuantificar, calificar y corregir las consecuencias del riesgo de TIC que se produce en los terceros proveedores de servicios de TIC críticos, es necesario establecer un marco de supervisión adecuado que permita un seguimiento continuo de las actividades de los terceros proveedores de servicios de TIC que son terceros proveedores de servicios de TIC críticos para las entidades financieras, garantizando al mismo tiempo que se preserven la confidencialidad y la seguridad de los clientes que no sean entidades financieras. Aunque la prestación intragrupo de servicios de TIC conlleva riesgos y beneficios específicos, no debe considerarse automáticamente menos arriesgada que la prestación de servicios de TIC por proveedores externos a un grupo financiero y, por tanto, debe estar sujeta al mismo marco regulador. Sin embargo, cuando los servicios de TIC se prestan desde dentro del mismo grupo financiero, las entidades financieras podrían tener un mayor nivel de control sobre los proveedores intragrupo, lo que debería tenerse en cuenta en la evaluación global del riesgo.
(32) Dado que los riesgos relacionados con las TIC son cada vez más complejos y sofisticados, la adopción de medidas adecuadas para su detección y prevención depende en gran medida de que las entidades financieras compartan periódicamente información sobre amenazas y vulnerabilidades. El intercambio de información contribuye a crear una mayor concienciación sobre las ciberamenazas. A su vez, esto mejora la capacidad de las entidades financieras para evitar que las ciberamenazas se conviertan en incidentes reales relacionados con las TIC y permite a las entidades financieras contener más eficazmente el impacto de los incidentes relacionados con las TIC y recuperarse más rápidamente. A falta de orientaciones a nivel de la Unión, varios factores parecen haber inhibido este intercambio de inteligencia, en particular la incertidumbre sobre su compatibilidad con las normas de protección de datos, antimonopolio y de responsabilidad.
(33) Además, las dudas sobre el tipo de información que puede compartirse con otros participantes en el mercado, o con autoridades no supervisoras (como ENISA, con fines analíticos, o Europol, con fines policiales) hacen que se retenga información útil. Por lo tanto, el alcance y la calidad del intercambio de información siguen siendo actualmente limitados y fragmentados, siendo los intercambios pertinentes en su mayoría locales (a través de iniciativas nacionales) y sin que existan acuerdos coherentes de intercambio de información a escala de la Unión adaptados a las necesidades de un sistema financiero integrado. Por lo tanto, es importante reforzar estos canales de comunicación.
(34) Debe alentarse a las entidades financieras a intercambiar entre sí información e inteligencia sobre ciberamenazas, y a aprovechar colectivamente sus conocimientos individuales y su experiencia práctica a nivel estratégico, táctico y operativo con vistas a mejorar sus capacidades para evaluar, supervisar, defenderse y responder adecuadamente a las ciberamenazas, participando en acuerdos de intercambio de información. Por consiguiente, es necesario permitir la aparición, a escala de la Unión, de mecanismos de acuerdos voluntarios de intercambio de información que, cuando se lleven a cabo en entornos de confianza, ayuden a la comunidad del sector financiero a prevenir las ciberamenazas y a responder colectivamente a ellas, limitando rápidamente la propagación del riesgo de las TIC e impidiendo el posible contagio a través de los canales financieros. Esos mecanismos deben cumplir las normas aplicables del Derecho de la competencia de la Unión establecidas en la Comunicación de la Comisión de 14 de enero de 2011 titulada "Directrices sobre la aplicabilidad del artículo 101 del Tratado de Funcionamiento de la Unión Europea a los acuerdos de cooperación horizontal", así como las normas de protección de datos de la Unión, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (13). Deben funcionar sobre la base del uso de una o varias de las bases jurídicas que se establecen en el artículo 6 de dicho Reglamento, como en el contexto del tratamiento de datos personales que sea necesario a efectos del interés legítimo perseguido por el responsable del tratamiento o por un tercero, tal como se contempla en el artículo 6, apartado 1, letra f), de dicho Reglamento, así como en el contexto del tratamiento de datos personales necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio del poder público conferido al responsable del tratamiento, tal como se contempla en el artículo 6, apartado 1, letras c) y e), respectivamente, de dicho Reglamento.
(35) A fin de mantener un alto nivel de resistencia operativa digital para todo el sector financiero y, al mismo tiempo, seguir el ritmo de la evolución tecnológica, el presente Reglamento debe abordar el riesgo derivado de todos los tipos de servicios de TIC. A tal fin, la definición de servicios de TIC en el contexto del presente Reglamento debe entenderse de manera amplia, abarcando los servicios digitales y de datos prestados a través de sistemas de TIC a uno o varios usuarios internos o externos de forma permanente. Esta definición debe incluir, por ejemplo, los denominados servicios "over the top", que entran en la categoría de servicios de comunicaciones electrónicas. Sólo debería excluir la categoría limitada de los servicios telefónicos analógicos tradicionales, calificados como servicios de red telefónica pública conmutada (RTPC), servicios de línea fija, servicio telefónico ordinario (POTS) o servicios telefónicos de línea fija.
(36) A pesar de la amplia cobertura prevista por el presente Reglamento, la aplicación de las normas de resistencia operativa digital debe tener en cuenta las diferencias significativas entre las entidades financieras en cuanto a su tamaño y perfil de riesgo global. Como principio general, a la hora de distribuir los recursos y capacidades para la aplicación del marco de gestión del riesgo de las TIC, las entidades financieras deben equilibrar debidamente sus necesidades relacionadas con las TIC con su tamaño y perfil de riesgo global, y con la naturaleza, escala y complejidad de sus servicios, actividades y operaciones, mientras que las autoridades competentes deben seguir evaluando y revisando el enfoque de dicha distribución.
(37) Los proveedores de servicios de información sobre cuentas, a que se refiere el artículo 33, apartado 1, de la Directiva (UE) 2015/2366, se incluyen explícitamente en el ámbito de aplicación del presente Reglamento, teniendo en cuenta la naturaleza específica de sus actividades y los riesgos derivados de las mismas. Además, las entidades de dinero electrónico y las entidades de pago exentas en virtud del artículo 9, apartado 1, de la Directiva 2009/110/CE del Parlamento Europeo y del Consejo (14) y del artículo 32, apartado 1, de la Directiva (UE) 2015/2366 están incluidas en el ámbito de aplicación del presente Reglamento aunque no se les haya concedido autorización de conformidad con la Directiva 2009/110/CE para emitir dinero electrónico, o aunque no se les haya concedido autorización de conformidad con la Directiva (UE) 2015/2366 para prestar y ejecutar servicios de pago. No obstante, quedan excluidas del ámbito de aplicación del presente Reglamento las oficinas de cheques postales a que se refiere el artículo 2, apartado 5, punto 3, de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo (15). La autoridad competente para las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366, las entidades de dinero electrónico exentas en virtud de la Directiva 2009/110/CE y los proveedores de servicios de información sobre cuentas a que se refiere el artículo 33, apartado 1, de la Directiva (UE) 2015/2366, debe ser la autoridad competente designada de conformidad con el artículo 22 de la Directiva (UE) 2015/2366.
(38) Dado que las entidades financieras de mayor tamaño pueden disponer de mayores recursos y desplegar rápidamente fondos para desarrollar estructuras de gobernanza y establecer diversas estrategias corporativas, sólo debe exigirse a las entidades financieras que no sean microempresas en el sentido del presente Reglamento que establezcan mecanismos de gobernanza más complejos. Dichas entidades están mejor preparadas, en particular, para establecer funciones de gestión específicas para supervisar los acuerdos con terceros proveedores de servicios de TIC o para ocuparse de la gestión de crisis, organizar su gestión de riesgos en materia de TIC con arreglo al modelo de las tres líneas de defensa, o establecer un modelo interno de gestión y control de riesgos, y someter su marco de gestión de riesgos en materia de TIC a auditorías internas.
(39) Algunas entidades financieras se benefician de exenciones o están sujetas a un marco reglamentario muy ligero en virtud de la legislación sectorial pertinente de la Unión. Entre esas entidades financieras se encuentran los gestores de fondos de inversión alternativos a que se refiere el artículo 3, apartado 2, de la Directiva 2011/61/UE del Parlamento Europeo y del Consejo (16), las empresas de seguros y reaseguros a que se refiere el artículo 4 de la Directiva 2009/138/CE del Parlamento Europeo y del Consejo (17), y los fondos de pensiones de empleo que gestionan planes de pensiones que, en conjunto, no cuentan con más de 15 partícipes. A la luz de esas exenciones, no sería proporcionado incluir a esas entidades financieras en el ámbito de aplicación del presente Reglamento. Además, el presente Reglamento reconoce las especificidades de la estructura del mercado de la mediación de seguros, por lo que los mediadores de seguros, los mediadores de reaseguros y los mediadores de seguros auxiliares que tengan la consideración de microempresas o de pequeñas o medianas empresas no deben estar sujetos al presente Reglamento.
(40) Dado que las entidades a que se refiere el artículo 2, apartado 5, puntos 4 a 23, de la Directiva 2013/36/UE están excluidas del ámbito de aplicación de dicha Directiva, los Estados miembros deben poder optar, en consecuencia, por eximir de la aplicación del presente Reglamento a dichas entidades situadas en sus respectivos territorios.
(41) Del mismo modo, a fin de adaptar el presente Reglamento al ámbito de aplicación de la Directiva 2014/65/UE del Parlamento Europeo y del Consejo (18), conviene también excluir del ámbito de aplicación del presente Reglamento a las personas físicas y jurídicas a que se refieren los artículos 2 y 3 de dicha Directiva, a las que se permite prestar servicios de inversión sin tener que obtener una autorización en virtud de la Directiva 2014/65/UE. No obstante, el artículo 2 de la Directiva 2014/65/UE también excluye del ámbito de aplicación de dicha Directiva a las entidades que se consideran entidades financieras a efectos del presente Reglamento, como los depositarios centrales de valores, los organismos de inversión colectiva o las empresas de seguros y reaseguros. La exclusión del ámbito de aplicación del presente Reglamento de las personas y entidades a que se refieren los artículos 2 y 3 de dicha Directiva no debe abarcar esos depositarios centrales de valores, organismos de inversión colectiva o empresas de seguros y reaseguros.
(42) En virtud del Derecho sectorial de la Unión, algunas entidades financieras están sujetas a requisitos más ligeros o a exenciones por razones asociadas a su tamaño o a los servicios que prestan. En esa categoría de entidades financieras se incluyen las empresas de inversión pequeñas y no interconectadas, los organismos de previsión para la jubilación de tamaño reducido que pueden quedar excluidos del ámbito de aplicación de la Directiva (UE) 2016/2341 en las condiciones establecidas en el artículo 5 de dicha Directiva por el Estado miembro de que se trate y gestionan planes de pensiones que en conjunto no cuentan con más de 100 partícipes en total, así como las entidades exentas en virtud de la Directiva 2013/36/UE. Por consiguiente, de conformidad con el principio de proporcionalidad y a fin de preservar el espíritu del Derecho sectorial de la Unión, también procede someter a dichas entidades financieras a un marco simplificado de gestión de riesgos en materia de TIC en virtud del presente Reglamento. El carácter proporcionado del marco de gestión de riesgos en materia de TIC aplicable a dichas entidades financieras no debe verse alterado por las normas técnicas reglamentarias que han de elaborar las AES. Además, de conformidad con el principio de proporcionalidad, procede someter también a las entidades de pago a que se refiere el artículo 32, apartado 1, de la Directiva (UE) 2015/2366 y a las entidades de dinero electrónico a que se refiere el artículo 9 de la Directiva 2009/110/CE exentas de conformidad con el Derecho nacional por el que se transponen dichos actos jurídicos de la Unión a un marco simplificado de gestión de riesgos en materia de TIC con arreglo al presente Reglamento, mientras que las entidades de pago y las entidades de dinero electrónico que no hayan quedado exentas de conformidad con su respectivo Derecho nacional por el que se transpone el Derecho sectorial de la Unión deben cumplir el marco general establecido por el presente Reglamento.
(43) Del mismo modo, no debe exigirse a las entidades financieras que reúnan las condiciones para ser consideradas microempresas o que estén sujetas al marco simplificado de gestión de riesgos en materia de TIC con arreglo al presente Reglamento que establezcan una función de control de sus acuerdos celebrados con terceros proveedores de servicios de TIC sobre el uso de servicios de TIC; o que designen a un miembro de la alta dirección como responsable de supervisar la exposición al riesgo conexo y la documentación pertinente; asignen la responsabilidad de gestionar y supervisar el riesgo de TIC a una función de control y garanticen un nivel adecuado de independencia de dicha función de control para evitar conflictos de intereses; documenten y revisen al menos una vez al año el marco de gestión del riesgo de TIC; sometan periódicamente a auditoría interna el marco de gestión del riesgo de TIC; realicen evaluaciones en profundidad tras cambios importantes en sus red y sistema de informaciónRedes y sistemas de información (a) una red de comunicaciones electrónicas, tal como se define en el artículo 2, punto 1, de la Directiva (UE) 2018/1972; b) cualquier dispositivo o grupo de dispositivos interconectados o relacionados entre sí, uno o varios de los cuales, con arreglo a un programa, lleven a cabo un tratamiento automático de datos digitales; o c) datos digitales almacenados, tratados, recuperados o transmitidos por elementos contemplados en las letras a) y b) a efectos de su funcionamiento, uso, protección y mantenimiento; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) infraestructuras y procesos; realizar periódicamente análisis de riesgos de los sistemas de TIC heredados; someter la aplicación de los planes de respuesta y recuperación en materia de TIC a revisiones de auditoría interna independientes; disponer de una función de gestión de crisis, ampliar las pruebas de los planes de continuidad de las actividades y de respuesta y recuperación para contemplar escenarios de conmutación entre la infraestructura primaria de TIC y las instalaciones redundantes; comunicar a las autoridades competentes, a petición de estas, una estimación de los costes y pérdidas anuales agregados causados por incidentes graves relacionados con las TIC, mantener capacidades redundantes en materia de TIC; comunicar a las autoridades nacionales competentes los cambios aplicados tras las revisiones posteriores a incidentes relacionados con las TIC; realizar un seguimiento continuo de los avances tecnológicos pertinentes, establecer un programa completo de pruebas de resistencia operativa digital como parte integrante del marco de gestión de riesgos de las TIC previsto en el presente Reglamento, o adoptar y revisar periódicamente una estrategia sobre el riesgo de las TIC frente a terceros. Además, solo debe exigirse a las microempresas que evalúen la necesidad de mantener esas capacidades TIC redundantes en función de su perfil de riesgo. Las microempresas deben beneficiarse de un régimen más flexible en lo que respecta a los programas de pruebas de resistencia operativa digital. Al considerar el tipo y la frecuencia de las pruebas que deben realizarse, deben equilibrar adecuadamente el objetivo de mantener una elevada resistencia operativa digital, los recursos disponibles y su perfil de riesgo global. Las microempresas y las entidades financieras sujetas al marco simplificado de gestión de riesgos de las TIC en virtud del presente Reglamento deben quedar exentas de la obligación de realizar pruebas avanzadas de las herramientas, sistemas y procesos de las TIC basadas en pruebas de penetración dirigidas por amenazas (TLPT), ya que solo las entidades financieras que cumplan los criterios establecidos en el presente Reglamento deben estar obligadas a realizar dichas pruebas. A la luz de sus capacidades limitadas, las microempresas deben poder acordar con el proveedor de servicios de TIC en calidad de tercero delegar los derechos de acceso, inspección y auditoría de la entidad financiera en un tercero independiente, que será designado por el proveedor de servicios de TIC en calidad de tercero, siempre que la entidad financiera pueda solicitar, en cualquier momento, toda la información pertinente y garantías sobre el rendimiento del proveedor de servicios de TIC en calidad de tercero al respectivo tercero independiente.
(44) Dado que sólo las entidades financieras identificadas a efectos de las pruebas avanzadas de resistencia digital deben estar obligadas a realizar pruebas de penetración dirigidas por amenazas, los procesos administrativos y los costes financieros que conlleva la realización de dichas pruebas deben correr a cargo de un pequeño porcentaje de entidades financieras.
(45) Para garantizar la plena armonización y coherencia general entre las estrategias empresariales de las entidades financieras, por una parte, y la gestión de los riesgos de las TIC, por otra, debe exigirse a los órganos de dirección de las entidades financieras que desempeñen un papel central y activo en la dirección y adaptación del marco de gestión de los riesgos de las TIC y de la estrategia general de resistencia operativa digital. El enfoque que deben adoptar los órganos de dirección no sólo debe centrarse en los medios para garantizar la resistencia de los sistemas de TIC, sino que también debe abarcar a las personas y los procesos a través de un conjunto de políticas que cultiven, en cada nivel corporativo, y para todo el personal, un fuerte sentido de conciencia sobre los riesgos cibernéticos y el compromiso de observar una estricta higiene cibernética en todos los niveles. La responsabilidad última del órgano de dirección en la gestión del riesgo de las TIC de una entidad financiera debe ser un principio general de ese enfoque global, que se traduzca además en el compromiso continuo del órgano de dirección en el control de la supervisión de la gestión del riesgo de las TIC.
(46) Además, el principio de la responsabilidad plena y última del órgano de dirección en la gestión del riesgo de las TIC de la entidad financiera va de la mano de la necesidad de garantizar un nivel de inversiones relacionadas con las TIC y un presupuesto global para la entidad financiera que permita a ésta alcanzar un alto nivel de resistencia operativa digital.
(47) Inspirándose en las mejores prácticas, directrices, recomendaciones y enfoques internacionales, nacionales y sectoriales pertinentes para la gestión del riesgo cibernético, el presente Reglamento promueve un conjunto de principios que facilitan la estructura general de la gestión del riesgo de las TIC. En consecuencia, siempre que las principales capacidades que las entidades financieras pongan en marcha aborden las distintas funciones de la gestión de riesgos de las TIC (identificación, protección y prevención, detección, respuesta y recuperación, aprendizaje y evolución y comunicación) establecidas en el presente Reglamento, las entidades financieras deben seguir siendo libres de utilizar modelos de gestión de riesgos de las TIC que estén enmarcados o categorizados de forma diferente.
(48) Para seguir el ritmo de un panorama de ciberamenazas en evolución, las entidades financieras deben mantener actualizados sistemas de TIC que sean fiables y capaces, no sólo de garantizar el tratamiento de los datos necesarios para sus servicios, sino también de asegurar una resiliencia tecnológica suficiente que les permita hacer frente adecuadamente a necesidades adicionales de tratamiento debidas a condiciones de tensión en el mercado u otras situaciones adversas.
(49) Es necesario contar con planes eficientes de continuidad de las actividades y de recuperación para que las entidades financieras puedan resolver con prontitud y rapidez los incidentes relacionados con las TIC, en particular los ciberataques, limitando los daños y dando prioridad a la reanudación de las actividades y a las acciones de recuperación de conformidad con sus políticas de copias de seguridad. No obstante, dicha reanudación no debe poner en peligro en modo alguno la integridad y seguridad de la red y de los sistemas de información ni la disponibilidad, autenticidad, integridad o confidencialidad de los datos.
(50) Si bien el presente Reglamento permite a las entidades financieras determinar sus objetivos en materia de plazos y puntos de recuperación de manera flexible y, por lo tanto, fijar dichos objetivos teniendo plenamente en cuenta la naturaleza y el carácter crítico de las funciones pertinentes y cualquier necesidad empresarial específica, debe exigirles, no obstante, que lleven a cabo una evaluación del posible impacto global sobre la eficiencia del mercado a la hora de determinar dichos objetivos.
(51) Los propagadores de los ciberataques tienden a perseguir beneficios económicos directamente en la fuente, exponiendo así a las entidades financieras a importantes consecuencias. Para evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles y, por tanto, para evitar las violaciones de datos y los daños a la infraestructura física de TIC, debería mejorarse y racionalizarse significativamente la notificación de los principales incidentes relacionados con las TIC por parte de las entidades financieras. La notificación de incidentes relacionados con las TIC debe armonizarse mediante la introducción de la obligación de que todas las entidades financieras informen directamente a sus autoridades competentes pertinentes. Cuando una entidad financiera esté sujeta a la supervisión de más de una autoridad nacional competente, los Estados miembros deben designar a una única autoridad competente como destinataria de dicha notificación. Las entidades de crédito clasificadas como significativas de conformidad con el artículo 6, apartado 4, del Reglamento (UE) nº 1024/2013 del Consejo (19) deben presentar dicha información a las autoridades nacionales competentes, que deben transmitirla posteriormente al Banco Central Europeo (BCE).
(52) La notificación directa debe permitir a los supervisores financieros tener acceso inmediato a la información sobre incidentes graves relacionados con las TIC. A su vez, los supervisores financieros deben transmitir los detalles de los incidentes graves relacionados con las TIC a las autoridades públicas no financieras (como las autoridades competentes y los puntos de contacto únicos con arreglo a la Directiva (UE) 2022/2555, las autoridades nacionales de protección de datos, y a las autoridades policiales en el caso de incidentes graves relacionados con las TIC de carácter delictivo) con el fin de aumentar el conocimiento de dichas autoridades sobre tales incidentes y, en el caso de los CSIRT, facilitar la rápida asistencia que pueda prestarse a las entidades financieras, según proceda. Además, los Estados miembros deben poder determinar que sean las propias entidades financieras las que faciliten dicha información a las autoridades públicas fuera del ámbito de los servicios financieros. Estos flujos de información deberían permitir a las entidades financieras beneficiarse rápidamente de cualquier aportación técnica pertinente, asesoramiento sobre soluciones y seguimiento posterior por parte de dichas autoridades. La información sobre incidentes importantes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar toda la información u orientación necesarias a la entidad financiera, mientras que las AES deben compartir datos anonimizados sobre ciberamenazas y vulnerabilidades relacionadas con un incidente, para contribuir a una defensa colectiva más amplia.
(53) Si bien debe exigirse a todas las entidades financieras que notifiquen los incidentes, no se espera que esta obligación afecte a todas ellas de la misma manera. De hecho, los umbrales de materialidad pertinentes, así como los plazos de notificación, deben ajustarse debidamente, en el contexto de los actos delegados basados en las normas técnicas reglamentarias que elaboren las AES, con vistas a cubrir únicamente los incidentes importantes relacionados con las TIC. Además, deben tenerse en cuenta las especificidades de las entidades financieras a la hora de establecer plazos para las obligaciones de notificación.
(54) El presente Reglamento debe exigir a las entidades de crédito, las entidades de pago, los proveedores de servicios de información sobre cuentas y las entidades de dinero electrónico que notifiquen todos los incidentes operativos o relacionados con la seguridad de los pagos -notificados previamente en virtud de la Directiva (UE) 2015/2366-, con independencia de la naturaleza TIC del incidente.
(55) Debe encargarse a las AES que evalúen la viabilidad y las condiciones de una posible centralización de las notificaciones de incidentes relacionados con las TIC a nivel de la Unión. Dicha centralización podría consistir en un único centro de la UE para la notificación de incidentes graves relacionados con las TIC que recibiera directamente las notificaciones pertinentes y las notificara automáticamente a las autoridades nacionales competentes, o que se limitara a centralizar las notificaciones pertinentes enviadas por las autoridades nacionales competentes y cumpliera así una función de coordinación. Debería encargarse a las AES que preparen, en consulta con el BCE y la ENISA, un informe conjunto en el que se estudie la viabilidad de crear un centro único de la UE.
(56) Con el fin de alcanzar un alto nivel de resistencia operativa digital, y en consonancia tanto con las normas internacionales pertinentes (por ejemplo, los Elementos Fundamentales del G7 para las Pruebas de Penetración Basadas en Amenazas) como con los marcos aplicados en la Unión, como el TIBER-UE, las entidades financieras deben probar periódicamente sus sistemas de TIC y al personal que tenga responsabilidades relacionadas con las TIC en lo que respecta a la eficacia de sus capacidades de prevención, detección, respuesta y recuperación, para descubrir y abordar las posibles vulnerabilidades de las TIC. Para reflejar las diferencias que existen entre los distintos subsectores financieros, y dentro de ellos, en cuanto al nivel de preparación de las entidades financieras en materia de ciberseguridad, las pruebas deben incluir una amplia variedad de herramientas y acciones, que van desde la evaluación de los requisitos básicos (por ejemplo, evaluaciones y análisis de vulnerabilidades, análisis de fuentes abiertas, evaluaciones de la seguridad de la red, análisis de deficiencias, revisiones de la seguridad física, cuestionarios y soluciones de software de escaneo, revisiones del código fuente cuando sea factible, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento o pruebas de extremo a extremo) hasta pruebas más avanzadas mediante TLPT. Estas pruebas avanzadas sólo deben exigirse a las entidades financieras que sean lo suficientemente maduras desde el punto de vista de las TIC como para llevarlas a cabo razonablemente. Así pues, las pruebas de resistencia operativa digital exigidas por el presente Reglamento deben ser más exigentes para las entidades financieras que cumplan los criterios establecidos en el presente Reglamento (por ejemplo, entidades de crédito grandes, sistémicas y maduras desde el punto de vista de las TIC, bolsas de valores, depositarios centrales de valores y entidades de contrapartida central) que para otras entidades financieras. Al mismo tiempo, las pruebas de resistencia operativa digital mediante TLPT deberían ser más relevantes para las entidades financieras que operan en subsectores de servicios financieros básicos y desempeñan un papel sistémico (por ejemplo, pagos, banca y compensación y liquidación), y menos relevantes para otros subsectores (por ejemplo, gestores de activos y agencias de calificación crediticia).
(57) Las entidades financieras que participen en actividades transfronterizas y ejerzan las libertades de establecimiento o de prestación de servicios dentro de la Unión deben cumplir un único conjunto de requisitos de ensayo avanzados (es decir, TLPT) en su Estado miembro de origen, que debe incluir las infraestructuras de TIC en todas las jurisdicciones en las que el grupo financiero transfronterizo opere dentro de la Unión, permitiendo así a dichos grupos financieros transfronterizos incurrir en los costes de ensayo de TIC relacionados en una sola jurisdicción.
(58) Para aprovechar la experiencia ya adquirida por determinadas autoridades competentes, en particular en lo que respecta a la aplicación del marco TIBER-UE, el presente Reglamento debe permitir a los Estados miembros designar a una única autoridad pública como responsable en el sector financiero, a escala nacional, de todos los asuntos relacionados con la TLPT, o a las autoridades competentes, delegar, en ausencia de tal designación, el ejercicio de las tareas relacionadas con la TLPT en otra autoridad nacional competente en materia financiera.
(59) Dado que el presente Reglamento no exige que las entidades financieras cubran todas las funciones críticas o importantes en una única prueba de penetración basada en amenazas, las entidades financieras deben tener libertad para determinar cuáles y cuántas funciones críticas o importantes deben incluirse en el alcance de dicha prueba.
(60) Las pruebas agrupadas en el sentido del presente Reglamento -que implican la participación de varias entidades financieras en un TLPT y para las que un proveedor de servicios TIC a terceros puede celebrar directamente acuerdos contractuales con un probador externo- solo deben permitirse cuando se prevea razonablemente que la calidad o la seguridad de los servicios prestados por el proveedor de servicios TIC a terceros a clientes que sean entidades no incluidas en el ámbito de aplicación del presente Reglamento, o la confidencialidad de los datos relacionados con dichos servicios, puedan verse afectadas negativamente. Las pruebas agrupadas también deben estar sujetas a salvaguardas (dirección por parte de una entidad financiera designada, calibración del número de entidades financieras participantes) para garantizar un ejercicio de pruebas riguroso para las entidades financieras implicadas que cumplan los objetivos del TLPT de conformidad con el presente Reglamento.
(61) Con el fin de aprovechar los recursos internos disponibles a nivel corporativo, el presente Reglamento debe permitir el uso de evaluadores internos a efectos de la realización del TLPT, siempre que exista la aprobación del supervisor, no haya conflictos de intereses y se produzca una alternancia periódica del uso de evaluadores internos y externos (cada tres pruebas), al tiempo que exige que el proveedor de la inteligencia sobre amenazas en el TLPT sea siempre externo a la entidad financiera. La responsabilidad de llevar a cabo el TLPT debe seguir recayendo plenamente en la entidad financiera. Las certificaciones proporcionadas por las autoridades deben ser únicamente a efectos de reconocimiento mutuo y no deben excluir ninguna acción de seguimiento necesaria para abordar el riesgo de las TIC al que está expuesta la entidad financiera, ni deben considerarse como un respaldo de supervisión de las capacidades de gestión y mitigación del riesgo de las TIC de una entidad financiera.
(62) Para garantizar una supervisión sólida del riesgo de las TIC frente a terceros en el sector financiero, es necesario establecer un conjunto de normas basadas en principios que sirvan de guía a las entidades financieras a la hora de supervisar el riesgo que surge en el contexto de las funciones externalizadas a terceros proveedores de servicios de TIC, en particular para los servicios de TIC que apoyan funciones críticas o importantes, así como, de manera más general, en el contexto de todas las dependencias de las TIC frente a terceros.
(63) A fin de abordar la complejidad de las diversas fuentes de riesgo en materia de TIC, teniendo en cuenta al mismo tiempo la multitud y diversidad de proveedores de soluciones tecnológicas que permiten una prestación fluida de servicios financieros, el presente Reglamento debe abarcar una amplia gama de proveedores de servicios de TIC a terceros, incluidos los proveedores de servicios de computación en nube, programas informáticos, servicios de análisis de datos y proveedores de servicios de centros de datos. Del mismo modo, dado que las entidades financieras deben identificar y gestionar de manera efectiva y coherente todos los tipos de riesgo, incluso en el contexto de los servicios de TIC adquiridos dentro de un grupo financiero, debe aclararse que las empresas que formen parte de un grupo financiero y presten servicios de TIC predominantemente a su empresa matriz, o a filiales o sucursales de su empresa matriz, así como las entidades financieras que presten servicios de TIC a otras entidades financieras, también deben considerarse proveedores de servicios de TIC a terceros con arreglo al presente Reglamento. Por último, a la luz de la evolución del mercado de servicios de pago, cada vez más dependiente de soluciones técnicas complejas, y en vista de los nuevos tipos de servicios de pago y soluciones relacionadas con los pagos, los participantes en el ecosistema de servicios de pago que presten actividades de procesamiento de pagos o exploten infraestructuras de pago también deben considerarse proveedores de servicios de TIC en calidad de terceros con arreglo al presente Reglamento, con excepción de los bancos centrales cuando exploten sistemas de pago o de liquidación de valores, y de las autoridades públicas cuando presten servicios relacionados con las TIC en el contexto del cumplimiento de funciones estatales.
(64) Una entidad financiera debe seguir siendo en todo momento plenamente responsable del cumplimiento de sus obligaciones establecidas en el presente Reglamento. Las entidades financieras deben aplicar un enfoque proporcionado a la supervisión de los riesgos que surjan a nivel de los terceros proveedores de servicios de TIC, considerando debidamente la naturaleza, escala, complejidad e importancia de sus dependencias relacionadas con las TIC, la criticidad o importancia de los servicios, procesos o funciones sujetos a los acuerdos contractuales y, en última instancia, sobre la base de una evaluación cuidadosa de cualquier impacto potencial en la continuidad y calidad de los servicios financieros a nivel individual y de grupo, según proceda.
(65) La realización de dicha supervisión debe seguir un enfoque estratégico del riesgo de terceros en el ámbito de las TIC formalizado mediante la adopción por el órgano de dirección de la entidad financiera de una estrategia específica de riesgo de terceros en el ámbito de las TIC, basada en un examen continuo de todas las dependencias de terceros en el ámbito de las TIC. Para aumentar el conocimiento de los supervisores sobre las dependencias de terceros en materia de TIC, y con vistas a seguir apoyando el trabajo en el contexto del Marco de Supervisión establecido por el presente Reglamento, debe exigirse a todas las entidades financieras que mantengan un registro de información con todos los acuerdos contractuales sobre el uso de servicios de TIC prestados por terceros proveedores de servicios de TIC. Los supervisores financieros deben poder solicitar el registro completo, o pedir secciones específicas del mismo, y obtener así información esencial para adquirir una comprensión más amplia de las dependencias en materia de TIC de las entidades financieras.
(66) Un análisis exhaustivo previo a la contratación debe sustentar y preceder a la celebración formal de los acuerdos contractuales, en particular centrándose en elementos como el carácter crítico o la importancia de los servicios respaldados por el contrato de TIC previsto, las autorizaciones de supervisión necesarias u otras condiciones, el posible riesgo de concentración que conlleve, así como aplicando la diligencia debida en el proceso de selección y evaluación de los terceros proveedores de servicios de TIC y evaluando los posibles conflictos de intereses. En el caso de los acuerdos contractuales relativos a funciones críticas o importantes, las entidades financieras deben tener en cuenta el uso por parte de los terceros proveedores de servicios de TIC de las normas de seguridad de la información más actualizadas y exigentes. La rescisión de los acuerdos contractuales podría estar motivada, como mínimo, por una serie de circunstancias que muestren deficiencias a nivel del proveedor de servicios de TIC a terceros, en particular infracciones significativas de la legislación o de las cláusulas contractuales, circunstancias que revelen una posible alteración del desempeño de las funciones previstas en los acuerdos contractuales, pruebas de deficiencias del proveedor de servicios de TIC a terceros en su gestión global del riesgo de las TIC, o circunstancias que indiquen la incapacidad de la autoridad competente pertinente para supervisar eficazmente a la entidad financiera.
(67) Para hacer frente al impacto sistémico del riesgo de concentración de las TIC en terceros, el presente Reglamento promueve una solución equilibrada mediante la adopción de un enfoque flexible y gradual de dicho riesgo de concentración, ya que la imposición de límites rígidos o limitaciones estrictas podría obstaculizar el desarrollo de la actividad empresarial y restringir la libertad contractual. Las entidades financieras deben evaluar a fondo sus acuerdos contractuales previstos para identificar la probabilidad de que surja dicho riesgo, incluso mediante análisis en profundidad de los acuerdos de subcontratación, en particular cuando se celebren con terceros proveedores de servicios de TIC establecidos en un tercer país. En esta fase, y con vistas a lograr un justo equilibrio entre el imperativo de preservar la libertad contractual y el de garantizar la estabilidad financiera, no se considera apropiado establecer normas sobre topes y límites estrictos a las exposiciones de terceros en el ámbito de las TIC. En el contexto del marco de supervisión, un supervisor principal, designado de conformidad con el presente Reglamento, debe, con respecto a los terceros proveedores de servicios de TIC críticos, prestar especial atención a comprender plenamente la magnitud de las interdependencias, descubrir los casos específicos en los que un alto grado de concentración de terceros proveedores de servicios de TIC críticos en la Unión pueda poner en peligro la estabilidad y la integridad del sistema financiero de la Unión y mantener un diálogo con los terceros proveedores de servicios de TIC críticos cuando se identifique ese riesgo específico.
(68) A fin de evaluar y supervisar periódicamente la capacidad de un proveedor de servicios de TIC en calidad de tercero para prestar servicios de forma segura a una entidad financiera sin efectos adversos en la resistencia operativa digital de la entidad financiera, deben armonizarse varios elementos contractuales clave con los proveedores de servicios de TIC en calidad de terceros. Dicha armonización debe cubrir áreas mínimas que son cruciales para permitir una supervisión completa por parte de la entidad financiera de los riesgos que podrían surgir del proveedor de servicios de TIC a terceros, desde la perspectiva de la necesidad de una entidad financiera de asegurar su resistencia digital, ya que depende profundamente de la estabilidad, funcionalidad, disponibilidad y seguridad de los servicios de TIC recibidos.
(69) A la hora de renegociar los acuerdos contractuales para buscar la alineación con los requisitos del presente Reglamento, las entidades financieras y los terceros proveedores de servicios de TIC deben garantizar la cobertura de las disposiciones contractuales clave previstas en el presente Reglamento.
(70) La definición de "función crítica o importante" prevista en el presente Reglamento abarca las "funciones críticas" definidas en el artículo 2, apartado 1, punto 35, de la Directiva 2014/59/UE del Parlamento Europeo y del Consejo (20). Por consiguiente, las funciones consideradas críticas con arreglo a la Directiva 2014/59/UE se incluyen en la definición de funciones críticas en el sentido del presente Reglamento.
(71) Con independencia de la criticidad o importancia de la función respaldada por los servicios de TIC, los acuerdos contractuales deben prever, en particular, una especificación de las descripciones completas de las funciones y servicios, de los lugares en los que se prestan dichas funciones y en los que se van a tratar los datos, así como una indicación de las descripciones de los niveles de servicio. Otros elementos esenciales para permitir la supervisión por parte de una entidad financiera del riesgo de terceros en materia de TIC son: disposiciones contractuales que especifiquen cómo garantiza el proveedor de servicios de TIC a terceros la accesibilidad, disponibilidad, integridad, seguridad y protección de los datos personales, disposiciones que establezcan las garantías pertinentes para permitir el acceso, la recuperación y la devolución de los datos en caso de insolvencia, resolución o interrupción de las operaciones comerciales del proveedor de servicios de TIC a terceros, así como disposiciones que exijan al proveedor de servicios de TIC a terceros prestar asistencia en caso de incidentes de TIC en relación con los servicios prestados, sin coste adicional o a un coste determinado ex ante; disposiciones sobre la obligación del proveedor de servicios TIC a terceros de cooperar plenamente con las autoridades competentes y las autoridades de resolución de la entidad financiera; y disposiciones sobre los derechos de rescisión y los plazos mínimos de preaviso correspondientes para la rescisión de los acuerdos contractuales, de conformidad con las expectativas de las autoridades competentes y las autoridades de resolución.
(72) Además de estas disposiciones contractuales, y con vistas a garantizar que las entidades financieras mantengan el pleno control de todos los acontecimientos que se produzcan a nivel de terceros y que puedan menoscabar su seguridad en materia de TIC, los contratos para la prestación de servicios de TIC que apoyen funciones críticas o importantes también deben prever lo siguiente la especificación de las descripciones completas del nivel de servicio, con objetivos de rendimiento cuantitativos y cualitativos precisos, para permitir sin demora indebida la adopción de medidas correctoras adecuadas cuando no se cumplan los niveles de servicio acordados; los plazos de notificación pertinentes y las obligaciones de información del proveedor de servicios TIC a terceros en caso de que se produzcan acontecimientos con un impacto material potencial en la capacidad del proveedor de servicios TIC a terceros para prestar eficazmente sus respectivos servicios TIC; el requisito de que el proveedor de servicios TIC a terceros aplique y pruebe planes de contingencia empresariales y disponga de medidas, herramientas y políticas de seguridad de las TIC que permitan la prestación segura de servicios, y participe y coopere plenamente en el TLPT llevado a cabo por la entidad financiera.
(73) Los contratos para la prestación de servicios de TIC que apoyen funciones críticas o importantes también deben contener disposiciones que permitan los derechos de acceso, inspección y auditoría por parte de la entidad financiera, o de un tercero designado, y el derecho a hacer copias como instrumentos cruciales en la supervisión continua por parte de las entidades financieras del rendimiento del proveedor de servicios TIC tercero, junto con la plena cooperación del proveedor de servicios durante las inspecciones. Del mismo modo, la autoridad competente de la entidad financiera debe tener derecho, sobre la base de notificaciones, a inspeccionar y auditar al proveedor de servicios de TIC tercero, sin perjuicio de la protección de la información confidencial.
(74) Dichos acuerdos contractuales también deben prever estrategias de salida específicas para permitir, en particular, períodos de transición obligatorios durante los cuales los terceros proveedores de servicios de TIC deben seguir prestando los servicios pertinentes con vistas a reducir el riesgo de interrupciones a nivel de la entidad financiera, o para permitir a esta última cambiar efectivamente al uso de otros terceros proveedores de servicios de TIC o, alternativamente, cambiar a soluciones internas, en consonancia con la complejidad de los servicios prestados. Servicio TICServicio TIC Se entiende un servicio que consiste total o principalmente en la transmisión, el almacenamiento, la recuperación o el tratamiento de información por medio de redes y sistemas de información - Definición según el artículo 2, punto (13), Reglamento (UE) 2019/881. Además, las entidades financieras incluidas en el ámbito de aplicación de la Directiva 2014/59/UE deben garantizar que los contratos pertinentes de servicios de TIC sean sólidos y plenamente ejecutables en caso de resolución de dichas entidades financieras. Por lo tanto, en consonancia con las expectativas de las autoridades de resolución, dichas entidades financieras deben garantizar que los contratos pertinentes de servicios de TIC sean resistentes a la resolución. Mientras sigan cumpliendo sus obligaciones de pago, dichas entidades financieras deben garantizar, entre otros requisitos, que los contratos pertinentes de servicios de TIC contengan cláusulas de no rescisión, no suspensión y no modificación por motivos de reestructuración o resolución.
(75) Por otra parte, el uso voluntario de cláusulas contractuales tipo desarrolladas por las autoridades públicas o las instituciones de la Unión, en particular el uso de cláusulas contractuales desarrolladas por la Comisión para los servicios de computación en nube, podría proporcionar una mayor comodidad a las entidades financieras y a los terceros proveedores de servicios de TIC, al mejorar su nivel de seguridad jurídica en relación con el uso de servicios de computación en nube en el sector financiero, en plena consonancia con los requisitos y expectativas establecidos por la legislación de la Unión en materia de servicios financieros. El desarrollo de cláusulas contractuales tipo se basa en medidas ya previstas en el Plan de Acción Fintech de 2018, que anunciaba la intención de la Comisión de fomentar y facilitar el desarrollo de cláusulas contractuales tipo para el uso de la externalización de servicios de computación en nube por parte de las entidades financieras, aprovechando los esfuerzos intersectoriales de las partes interesadas en los servicios de computación en nube, que la Comisión ha facilitado con la ayuda de la participación del sector financiero.
(76) Con vistas a promover la convergencia y la eficiencia en relación con los enfoques de supervisión al abordar el riesgo de terceros en el ámbito de las TIC en el sector financiero, así como a reforzar la resistencia operativa digital de las entidades financieras que dependen de terceros proveedores de servicios de TIC críticos para la prestación de servicios de TIC que apoyan la prestación de servicios financieros, y contribuir así a preservar la estabilidad del sistema financiero de la Unión y la integridad del mercado interior de servicios financieros, los terceros proveedores de servicios de TIC críticos deben estar sujetos a un Marco de Supervisión de la Unión. Si bien la creación del Marco de Supervisión se justifica por el valor añadido de actuar a escala de la Unión y en virtud del papel inherente y las especificidades del uso de los servicios de TIC en la prestación de servicios financieros, debe recordarse, al mismo tiempo, que esta solución solo parece adecuada en el contexto del presente Reglamento, que trata específicamente de la resistencia operativa digital en el sector financiero. Sin embargo, dicho marco de supervisión no debe considerarse un nuevo modelo para la supervisión de la Unión en otros ámbitos de los servicios y actividades financieros.
(77) El Marco de Supervisión debe aplicarse únicamente a los terceros proveedores de servicios de TIC críticos. Por consiguiente, debe existir un mecanismo de designación que tenga en cuenta la dimensión y la naturaleza de la dependencia del sector financiero de dichos terceros proveedores de servicios de TIC. Dicho mecanismo debe implicar un conjunto de criterios cuantitativos y cualitativos para establecer los parámetros de criticidad como base para la inclusión en el Marco de Supervisión. A fin de garantizar la exactitud de dicha evaluación, e independientemente de la estructura corporativa del proveedor de servicios de TIC en calidad de tercero, dichos criterios deben tener en cuenta, en el caso de un proveedor de servicios de TIC en calidad de tercero que forme parte de un grupo más amplio, toda la estructura del grupo del proveedor de servicios de TIC en calidad de tercero. Por una parte, los terceros proveedores de servicios de TIC críticos, que no sean designados automáticamente en virtud de la aplicación de dichos criterios, deben tener la posibilidad de optar voluntariamente por el marco de supervisión; por otra parte, los terceros proveedores de servicios de TIC que ya estén sujetos a marcos de mecanismos de supervisión que apoyen el cumplimiento de las funciones del Sistema Europeo de Bancos Centrales a que se refiere el artículo 127, apartado 2, del TFUE, deben quedar exentos.
(78) Del mismo modo, las entidades financieras que presten servicios de TIC a otras entidades financieras, aunque pertenezcan a la categoría de proveedores de servicios de TIC en calidad de terceros con arreglo al presente Reglamento, también deben quedar exentas del Marco de Supervisión, puesto que ya están sujetas a los mecanismos de supervisión establecidos por la legislación pertinente de la Unión en materia de servicios financieros. Cuando proceda, las autoridades competentes deben tener en cuenta, en el contexto de sus actividades de supervisión, el riesgo en materia de TIC que suponen para las entidades financieras las entidades financieras que prestan servicios de TIC. Asimismo, debido a los mecanismos de supervisión de riesgos existentes a nivel de grupo, debe introducirse la misma exención para los terceros proveedores de servicios de TIC que presten servicios predominantemente a las entidades de su propio grupo. Los terceros prestadores de servicios de TIC que presten servicios de TIC únicamente en un Estado miembro a entidades financieras que solo operen en ese Estado miembro también deben quedar exentos del mecanismo de designación debido a sus actividades limitadas y a la falta de impacto transfronterizo.
(79) La transformación digital experimentada en los servicios financieros ha dado lugar a un nivel sin precedentes de uso y dependencia de los servicios de TIC. Dado que se ha hecho inconcebible prestar servicios financieros sin utilizar servicios de computación en nube, soluciones informáticas y servicios relacionados con los datos, el ecosistema financiero de la Unión se ha hecho intrínsecamente codependiente de determinados servicios de TIC prestados por proveedores de servicios de TIC. Algunos de estos proveedores, innovadores en el desarrollo y la aplicación de tecnologías basadas en las TIC, desempeñan un papel importante en la prestación de servicios financieros o se han integrado en la cadena de valor de los servicios financieros. Se han convertido así en elementos críticos para la estabilidad e integridad del sistema financiero de la Unión. Esta dependencia generalizada de los servicios prestados por terceros proveedores de servicios de TIC críticos, combinada con la interdependencia de los sistemas de información de varios operadores del mercado, crea un riesgo directo, y potencialmente grave, para el sistema de servicios financieros de la Unión y para la continuidad de la prestación de servicios financieros si los terceros proveedores de servicios de TIC críticos se vieran afectados por interrupciones operativas o incidentes cibernéticos graves. Los incidentes cibernéticos tienen una capacidad distintiva para multiplicarse y propagarse por todo el sistema financiero a un ritmo considerablemente más rápido que otros tipos de riesgos vigilados en el sector financiero y pueden extenderse a través de los sectores y más allá de las fronteras geográficas. Tienen el potencial de evolucionar hacia una crisis sistémica, en la que la confianza en el sistema financiero se ha visto erosionada debido a la interrupción de las funciones de apoyo a la economía real, o a pérdidas financieras sustanciales, alcanzando un nivel que el sistema financiero es incapaz de soportar, o que requiere el despliegue de fuertes medidas de absorción de impactos. Para evitar que estas situaciones se produzcan y pongan así en peligro la estabilidad y la integridad financieras de la Unión, es esencial facilitar la convergencia de las prácticas de supervisión relativas al riesgo de terceros en el ámbito de las TIC en las finanzas, en particular mediante nuevas normas que permitan la supervisión por la Unión de los proveedores de servicios críticos de terceros en el ámbito de las TIC.
(80) El marco de supervisión depende en gran medida del grado de colaboración entre el supervisor principal y el proveedor de servicios críticos de TIC a terceros que presta a las entidades financieras servicios que afectan a la prestación de servicios financieros. El éxito de la supervisión se basa, entre otras cosas, en la capacidad del Supervisor Principal para llevar a cabo eficazmente misiones de supervisión e inspecciones con el fin de evaluar las normas, controles y procesos utilizados por los proveedores de servicios de terceros de TIC críticos, así como para evaluar el posible impacto acumulativo de sus actividades sobre la estabilidad financiera y la integridad del sistema financiero. Al mismo tiempo, es crucial que los proveedores de servicios críticos de TIC a terceros sigan las recomendaciones del supervisor principal y aborden sus preocupaciones. Dado que la falta de cooperación por parte de un proveedor de servicios de terceros de TIC críticos que preste servicios que afecten a la prestación de servicios financieros, como la negativa a permitir el acceso a sus locales o a presentar información, privaría en última instancia al Supervisor principal de sus herramientas esenciales para evaluar el riesgo de terceros de TIC, y podría afectar negativamente a la estabilidad financiera y a la integridad del sistema financiero, es necesario prever también un régimen sancionador proporcionado.
(81) En este contexto, la necesidad de que el supervisor principal imponga multas coercitivas para obligar a los proveedores de servicios críticos de TIC en calidad de terceros a cumplir las obligaciones en materia de transparencia y acceso establecidas en el presente Reglamento no debe verse comprometida por las dificultades que plantee la ejecución de dichas multas coercitivas en relación con los proveedores de servicios críticos de TIC en calidad de terceros establecidos en terceros países. A fin de garantizar la ejecutabilidad de dichas sanciones y permitir un rápido despliegue de los procedimientos que defienden los derechos de defensa de los proveedores de servicios críticos de TIC en calidad de terceros en el contexto del mecanismo de designación y la emisión de recomendaciones, debe exigirse a dichos proveedores de servicios críticos de TIC en calidad de terceros, que prestan servicios a entidades financieras que afectan a la prestación de servicios financieros, que mantengan una presencia empresarial adecuada en la Unión. Debido a la naturaleza de la supervisión, y a la ausencia de acuerdos comparables en otras jurisdicciones, no existen mecanismos alternativos adecuados que garanticen este objetivo mediante una cooperación efectiva con los supervisores financieros de terceros países en relación con el seguimiento del impacto de los riesgos operativos digitales que plantean los proveedores de servicios sistémicos de TIC en calidad de proveedores de servicios críticos de TIC en calidad de terceros proveedores establecidos en terceros países. Por consiguiente, a fin de seguir prestando servicios de TIC a entidades financieras de la Unión, un proveedor de servicios de TIC en calidad de tercero establecido en un tercer país que haya sido designado como crítico de conformidad con el presente Reglamento debe adoptar, en un plazo de 12 meses a partir de dicha designación, todas las medidas necesarias para garantizar su incorporación a la Unión, mediante la creación de una filial, tal como se define en el acervo de la Unión, a saber, en la Directiva 2013/34/UE del Parlamento Europeo y del Consejo (21).
(82) El requisito de crear una filial en la Unión no debe impedir que el proveedor de servicios críticos de TIC a terceros preste servicios de TIC y el correspondiente apoyo técnico desde instalaciones e infraestructuras situadas fuera de la Unión. El presente Reglamento no impone una obligación de localización de datos, ya que no exige que el almacenamiento o el tratamiento de datos se realice en la Unión.
(83) Los proveedores de servicios críticos de TIC en calidad de terceros deben poder prestar servicios de TIC desde cualquier lugar del mundo, no necesariamente o no solo desde locales situados en la Unión. Las actividades de supervisión deben llevarse a cabo en primer lugar en locales situados en la Unión e interactuando con entidades situadas en la Unión, incluidas las filiales establecidas por los proveedores de servicios críticos de TIC en calidad de terceros con arreglo al presente Reglamento. Sin embargo, estas actuaciones dentro de la Unión podrían ser insuficientes para que el Supervisor Principal desempeñe plena y eficazmente sus funciones con arreglo al presente Reglamento. Por consiguiente, el supervisor principal debe poder ejercer también sus competencias de supervisión pertinentes en terceros países. El ejercicio de estas competencias en terceros países debe permitir al Supervisor Principal examinar las instalaciones desde las que el proveedor tercero de servicios de TIC críticos presta o gestiona realmente los servicios de TIC o los servicios de apoyo técnico, y debe proporcionar al Supervisor Principal una comprensión completa y operativa de la gestión de riesgos en materia de TIC del proveedor tercero de servicios de TIC críticos. La posibilidad de que el Supervisor Principal, como agencia de la Unión, ejerza competencias fuera del territorio de la Unión debe estar debidamente enmarcada por las condiciones pertinentes, en particular el consentimiento del proveedor de servicios TIC críticos en cuestión. Del mismo modo, las autoridades pertinentes del tercer país deben ser informadas del ejercicio en su propio territorio de las actividades del Supervisor Principal y no oponerse a ello. No obstante, a fin de garantizar una aplicación eficaz, y sin perjuicio de las competencias respectivas de las instituciones de la Unión y de los Estados miembros, dichas facultades también deben estar plenamente ancladas en la celebración de acuerdos de cooperación administrativa con las autoridades pertinentes del tercer país de que se trate. Por consiguiente, el presente Reglamento debe permitir a las AES celebrar acuerdos de cooperación administrativa con las autoridades pertinentes de terceros países, que no deben crear obligaciones jurídicas respecto de la Unión y sus Estados miembros.
(84) Para facilitar la comunicación con el supervisor principal y garantizar una representación adecuada, los proveedores de servicios críticos de TIC a terceros que formen parte de un grupo deberán designar a una persona jurídica como punto de coordinación.
(85) El marco de supervisión debe entenderse sin perjuicio de la competencia de los Estados miembros para llevar a cabo sus propias misiones de supervisión o control con respecto a terceros proveedores de servicios de TIC que no hayan sido designados como críticos con arreglo al presente Reglamento, pero que se consideren importantes a nivel nacional.
(86) Para aprovechar la arquitectura institucional a varios niveles en el ámbito de los servicios financieros, el Comité Mixto de las AES debe seguir garantizando la coordinación intersectorial general en relación con todas las cuestiones relativas al riesgo de las TIC, de conformidad con sus tareas en materia de ciberseguridad. Debe contar con el apoyo de un nuevo Subcomité (el "Foro de Supervisión") que lleve a cabo los trabajos preparatorios tanto para las decisiones individuales dirigidas a los terceros proveedores de servicios de TIC críticos, como para la emisión de recomendaciones colectivas, en particular en relación con la evaluación comparativa de los programas de supervisión de terceros proveedores de servicios de TIC críticos, y la identificación de las mejores prácticas para abordar los problemas de riesgo de concentración de las TIC.
(87) Para garantizar que los proveedores de servicios críticos de TIC en calidad de terceros sean supervisados adecuada y eficazmente a escala de la Unión, el presente Reglamento prevé que cualquiera de las tres AES pueda ser designada Supervisor Principal. La asignación individual de un proveedor de servicios críticos de TIC en calidad de tercero a una de las tres AES debe resultar de una evaluación de la preponderancia de las entidades financieras que operan en los sectores financieros para los que dicha AES tiene responsabilidades. Este planteamiento debe conducir a una asignación equilibrada de tareas y responsabilidades entre las tres AES, en el contexto del ejercicio de las funciones de supervisión, y debe aprovechar al máximo los recursos humanos y los conocimientos técnicos disponibles en cada una de las tres AES.
(88) Deben otorgarse a los Supervisores Principales las competencias necesarias para llevar a cabo investigaciones, realizar inspecciones in situ y a distancia en los locales y ubicaciones de los proveedores de servicios de TIC a terceros críticos y obtener información completa y actualizada. Estas competencias deben permitir al supervisor principal adquirir una visión real del tipo, la dimensión y el impacto del riesgo que plantean los terceros proveedores de TIC para las entidades financieras y, en última instancia, para el sistema financiero de la Unión. Confiar a las AES la función de supervisor principal es un requisito previo para comprender y abordar la dimensión sistémica del riesgo de las TIC en las finanzas. El impacto de los proveedores de servicios críticos de TIC a terceros en el sector financiero de la Unión y los problemas potenciales causados por el riesgo de concentración de TIC que conlleva exigen la adopción de un enfoque colectivo a escala de la Unión. La realización simultánea de múltiples auditorías y derechos de acceso, llevadas a cabo por separado por numerosas autoridades competentes, con escasa o nula coordinación entre ellas, impediría a los supervisores financieros obtener una visión completa y exhaustiva del riesgo de terceros en el ámbito de las TIC en la Unión, al tiempo que crearía redundancia, carga y complejidad para los proveedores de servicios críticos de TIC a terceros si fueran objeto de numerosas solicitudes de supervisión e inspección.
(89) Debido al importante impacto de ser designado como crítico, el presente Reglamento debe garantizar que se respeten los derechos de los proveedores de servicios críticos de TIC a terceros a lo largo de la aplicación del Marco de Supervisión. Antes de ser designados como críticos, dichos proveedores deben, por ejemplo, tener derecho a presentar al Supervisor Jefe una declaración motivada que contenga cualquier información pertinente a efectos de la evaluación relacionada con su designación. Dado que el Supervisor Principal debe estar facultado para presentar recomendaciones en materia de riesgos de las TIC y soluciones adecuadas a los mismos, que incluyan la facultad de oponerse a determinados acuerdos contractuales que afecten en última instancia a la estabilidad de la entidad financiera o del sistema financiero, los proveedores de servicios de TIC terceros en situación crítica también deben tener la oportunidad de proporcionar, antes de la finalización de dichas recomendaciones, explicaciones sobre el impacto previsto de las soluciones, contempladas en las recomendaciones, en los clientes que sean entidades que queden fuera del ámbito de aplicación del presente Reglamento y de formular soluciones para mitigar los riesgos. Los terceros proveedores de servicios de TIC críticos que no estén de acuerdo con las recomendaciones deberán presentar una explicación motivada de su intención de no respaldar la recomendación. Cuando no se presente dicha explicación motivada o cuando se considere insuficiente, el supervisor principal debe publicar un anuncio en el que se describa sumariamente el asunto del incumplimiento.
(90) Las autoridades competentes deben incluir debidamente la tarea de verificar el cumplimiento sustantivo de las recomendaciones emitidas por el Supervisor Principal en sus funciones relativas a la supervisión prudencial de las entidades financieras. Las autoridades competentes deben poder exigir a las entidades financieras que adopten medidas adicionales para hacer frente a los riesgos identificados en las recomendaciones del Supervisor Principal y, en su momento, deben emitir notificaciones a tal efecto. Cuando el supervisor principal dirija sus recomendaciones a proveedores de servicios críticos de TIC en calidad de terceros supervisados con arreglo a la Directiva (UE) 2022/2555, las autoridades competentes deben poder, con carácter voluntario y antes de adoptar medidas adicionales, consultar a las autoridades competentes con arreglo a dicha Directiva a fin de fomentar un enfoque coordinado para tratar con los proveedores de servicios críticos de TIC en calidad de terceros de que se trate.
(91) El ejercicio de la supervisión debe guiarse por tres principios operativos destinados a garantizar (a) una estrecha coordinación entre las AES en sus funciones de Supervisor Principal, a través de una red de supervisión conjunta (JON), (b) la coherencia con el marco establecido por la Directiva (UE) 2022/2555 (a través de una consulta voluntaria de los organismos con arreglo a dicha Directiva para evitar la duplicación de medidas dirigidas a los proveedores de servicios críticos de TIC a terceros), y (c) la aplicación de diligencia para minimizar el riesgo potencial de interrupción de los servicios prestados por los proveedores de servicios críticos de TIC a terceros a clientes que sean entidades que queden fuera del ámbito de aplicación del presente Reglamento.
(92) El marco de supervisión no debe sustituir, en modo alguno ni en parte alguna, a la obligación de las entidades financieras de gestionar ellas mismas los riesgos que conlleva el uso de terceros proveedores de servicios de TIC, incluida su obligación de mantener un control permanente de los acuerdos contractuales celebrados con terceros proveedores de servicios de TIC críticos. Del mismo modo, el Marco de Supervisión no debe afectar a la plena responsabilidad de las entidades financieras en el cumplimiento y ejecución de todas las obligaciones legales establecidas en el presente Reglamento y en la legislación pertinente en materia de servicios financieros.
(93) Para evitar duplicaciones y solapamientos, las autoridades competentes deben abstenerse de adoptar individualmente medidas destinadas a supervisar los riesgos de los proveedores de servicios críticos de TIC a terceros y, a este respecto, deben basarse en la evaluación del Supervisor Principal pertinente. En cualquier caso, las medidas deberán coordinarse y acordarse previamente con el Supervisor Principal en el contexto del ejercicio de las funciones del Marco de Supervisión.
(94) Para promover la convergencia a escala internacional en lo que respecta al uso de las mejores prácticas en la revisión y el control de la gestión del riesgo digital de los proveedores de servicios de TIC a terceros, debe animarse a las AES a celebrar acuerdos de cooperación con las autoridades supervisoras y reguladoras pertinentes de terceros países.
(95) Para aprovechar las competencias específicas, los conocimientos técnicos y la experiencia del personal especializado en riesgos operativos y de TIC de las autoridades competentes, las tres AES y, con carácter voluntario, las autoridades competentes en virtud de la Directiva (UE) 2022/2555, el supervisor principal debe basarse en las capacidades y conocimientos nacionales en materia de supervisión y crear equipos de examen específicos para cada proveedor de servicios de TIC a terceros en situación crítica, agrupando equipos multidisciplinares en apoyo de la preparación y ejecución de las actividades de supervisión, incluidas las investigaciones e inspecciones generales de los proveedores de servicios de TIC a terceros en situación crítica, así como para cualquier seguimiento necesario de las mismas.
(96) Mientras que los costes derivados de las tareas de supervisión se financiarían íntegramente mediante tasas cobradas a los terceros proveedores de servicios de TIC críticos, es probable, sin embargo, que las AES incurran, antes del inicio del marco de supervisión, en costes de aplicación de sistemas de TIC específicos que apoyen la futura supervisión, ya que los sistemas de TIC específicos tendrían que desarrollarse y desplegarse de antemano. Por consiguiente, el presente Reglamento prevé un modelo de financiación híbrido, según el cual el marco de supervisión, como tal, se financiaría íntegramente mediante tasas, mientras que el desarrollo de los sistemas de TIC de las AES se financiaría con cargo a las contribuciones de la Unión y de las autoridades nacionales competentes.
(97) Las autoridades competentes deben disponer de todas las facultades de supervisión, investigación y sanción necesarias para garantizar el correcto ejercicio de sus funciones con arreglo al presente Reglamento. En principio, deben publicar anuncios de las sanciones administrativas que impongan. Dado que las entidades financieras y los terceros proveedores de servicios de TIC pueden estar establecidos en distintos Estados miembros y ser supervisados por distintas autoridades competentes, la aplicación del presente Reglamento debe facilitarse, por una parte, mediante una estrecha cooperación entre las autoridades competentes pertinentes, incluido el BCE en lo que respecta a las funciones específicas que le atribuye el Reglamento (UE) n.º 1024/2013 del Consejo, y, por otra, mediante consultas con las AES a través del intercambio mutuo de información y la prestación de asistencia en el contexto de las actividades de supervisión pertinentes.
(98) A fin de cuantificar y matizar en mayor medida los criterios para la designación de los proveedores de servicios de TIC en calidad de críticos y armonizar las tasas de supervisión, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del TFUE a fin de complementar el presente Reglamento especificando en mayor medida el impacto sistémico que un fallo o una interrupción operativa de un proveedor de servicios de TIC en calidad de tercero podría tener en las entidades financieras a las que presta servicios de TIC, el número de entidades de importancia sistémica mundial (EISM), u otras entidades de importancia sistémica (OEIS), que dependen del proveedor de servicios de TIC tercero en cuestión, el número de proveedores de servicios de TIC tercero activos en un mercado determinado, los costes de migración de datos y cargas de trabajo de TIC a otros proveedores de servicios de TIC tercero, así como el importe de las tasas de supervisión y la forma en que deben abonarse. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante sus trabajos preparatorios, incluso a nivel de expertos, y que dichas consultas se realicen de conformidad con los principios establecidos en el Acuerdo Interinstitucional de 13 de abril de 2016 "Legislar mejor" (22). En particular, para garantizar la igualdad de participación en la preparación de los actos delegados, el Parlamento Europeo y el Consejo deben recibir todos los documentos al mismo tiempo que los expertos de los Estados miembros, y sus expertos deben tener acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de los actos delegados.
(99) Las normas técnicas de regulación deben garantizar la armonización coherente de los requisitos establecidos en el presente Reglamento. En su calidad de organismos dotados de conocimientos altamente especializados, las AES deben elaborar proyectos de normas técnicas de regulación que no impliquen opciones políticas, para su presentación a la Comisión. Deben elaborarse normas técnicas reglamentarias en los ámbitos de la gestión de riesgos de las TIC, la notificación de incidentes graves relacionados con las TIC, los ensayos, así como en relación con los requisitos clave para una supervisión sólida del riesgo de las TIC frente a terceros. La Comisión y las AES deben garantizar que esas normas y requisitos puedan ser aplicados por todas las entidades financieras de manera proporcionada a su tamaño y perfil de riesgo global, y a la naturaleza, escala y complejidad de sus servicios, actividades y operaciones. Deben otorgarse a la Comisión poderes para adoptar esas normas técnicas reglamentarias mediante actos delegados con arreglo al artículo 290 del TFUE y de conformidad con los artículos 10 a 14 de los Reglamentos (UE) nº 1093/2010, (UE) nº 1094/2010 y (UE) nº 1095/2010.
(100) Para facilitar la comparabilidad de las notificaciones de incidentes graves relacionados con las TIC y de incidentes graves relacionados con pagos operativos o de seguridad, así como para garantizar la transparencia en relación con los acuerdos contractuales para el uso de servicios de TIC prestados por terceros proveedores de servicios de TIC, las AES deben elaborar proyectos de normas técnicas de ejecución que establezcan plantillas, formularios y procedimientos normalizados para que las entidades financieras notifiquen un incidente grave relacionado con las TIC y un incidente grave relacionado con pagos operativos o de seguridad, así como plantillas normalizadas para el registro de la información. Al elaborar esas normas, las AES deben tener en cuenta el tamaño y el perfil de riesgo global de la entidad financiera, así como la naturaleza, la escala y la complejidad de sus servicios, actividades y operaciones. Conviene conferir competencias a la Comisión para que adopte dichas normas técnicas de ejecución mediante actos de ejecución con arreglo al artículo 291 del TFUE y de conformidad con el artículo 15 de los Reglamentos (UE) no 1093/2010, (UE) no 1094/2010 y (UE) no 1095/2010.
(101) Dado que ya se han especificado otros requisitos mediante actos delegados y de ejecución basados en normas técnicas de regulación y de ejecución en los Reglamentos (CE) nº 1060/2009 (23), (UE) nº 648/2012 (24), (UE) nº 600/2014 (25) y (UE) nº 909/2014 (26) del Parlamento Europeo y del Consejo, procede encargar a las AES, individualmente o conjuntamente a través del Comité Mixto, que presenten a la Comisión normas técnicas de regulación y de ejecución para la adopción de actos delegados y de ejecución que incorporen y actualicen las normas existentes sobre gestión de riesgos de las TIC.
(102) Dado que el presente Reglamento, junto con la Directiva (UE) 2022/2556 del Parlamento Europeo y del Consejo (27), supone una consolidación de las disposiciones sobre gestión de riesgos de las TIC en múltiples reglamentos y directivas del acervo de la Unión en materia de servicios financieros, incluidos los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014, y el Reglamento (UE) 2016/1011 del Parlamento Europeo y del Consejo (28), a fin de garantizar la plena coherencia, dichos Reglamentos deben modificarse para aclarar que las disposiciones aplicables relacionadas con el riesgo de las TIC se establecen en el presente Reglamento.
(103) En consecuencia, el ámbito de aplicación de los artículos pertinentes relacionados con el riesgo operativo, sobre los que las habilitaciones establecidas en los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011 habían ordenado la adopción de actos delegados y de ejecución, debe reducirse con vistas a trasladar al presente Reglamento todas las disposiciones que cubren los aspectos de resiliencia operativa digital que hoy forman parte de dichos Reglamentos.
(104) El ciberriesgo sistémico potencial asociado al uso de infraestructuras de TIC que permiten el funcionamiento de los sistemas de pago y la prestación de actividades de procesamiento de pagos debe abordarse debidamente a escala de la Unión mediante normas armonizadas de resiliencia digital. A tal efecto, la Comisión debe evaluar rápidamente la necesidad de revisar el ámbito de aplicación del presente Reglamento, alineando al mismo tiempo dicha revisión con el resultado de la revisión global prevista en virtud de la Directiva (UE) 2015/2366. Numerosos ataques a gran escala en la última década demuestran cómo los sistemas de pago han quedado expuestos a las ciberamenazas. Situados en el centro de la cadena de servicios de pago y mostrando fuertes interconexiones con el sistema financiero global, los sistemas de pago y las actividades de procesamiento de pagos han adquirido una importancia crítica para el funcionamiento de los mercados financieros de la Unión. Los ciberataques a estos sistemas pueden causar graves perturbaciones operativas, con repercusiones directas en funciones económicas clave, como la facilitación de pagos, e indirectas en los procesos económicos conexos. Hasta que se establezca un régimen armonizado y la supervisión de los operadores de sistemas de pago y entidades de procesamiento a escala de la Unión, los Estados miembros podrán, con vistas a aplicar prácticas de mercado similares, inspirarse en los requisitos de resistencia operativa digital establecidos por el presente Reglamento, a la hora de aplicar normas a los operadores de sistemas de pago y entidades de procesamiento supervisados bajo sus propias jurisdicciones.
(105) Dado que el objetivo del presente Reglamento, a saber, lograr un elevado nivel de resistencia operativa digital para las entidades financieras reguladas, no puede ser alcanzado de manera suficiente por los Estados miembros, ya que requiere la armonización de diversas normas diferentes del Derecho de la Unión y nacional, sino que, debido a su dimensión y efectos, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.
(106) El Supervisor Europeo de Protección de Datos fue consultado de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (29) y emitió un dictamen el 10 de mayo de 2021 (30),
HAN ADOPTADO ESTE REGLAMENTO: