{"id":1134,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=1134"},"modified":"2024-08-11T19:28:36","modified_gmt":"2024-08-11T19:28:36","slug":"preambulo","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/es\/directiva-4\/preambulo\/","title":{"rendered":"Pre\u00e1mbulo"},"content":{"rendered":"
\n

DEL PARLAMENTO EUROPEO Y DEL CONSEJO<\/h2>\n\n\n\n
Visto el Tratado de Funcionamiento de la Uni\u00f3n Europea y, en particular, su art\u00edculo 114,
Vista la propuesta de la Comisi\u00f3n Europea,
Tras la transmisi\u00f3n del proyecto de acto legislativo a los parlamentos nacionales,
Visto el dictamen del Comit\u00e9 Econ\u00f3mico y Social Europeo,
Visto el dictamen del Comit\u00e9 de las Regiones,
Actuar de acuerdo con el procedimiento legislativo ordinario,<\/div>\n<\/div>\n\n\n\n

Considerando que:<\/p>\n\n\n\n

de 14 de diciembre de 2022<\/p>\n\n\n\n

sobre la resiliencia operativa digital para el sector financiero y por el que se modifican los Reglamentos (CE) n.\u00ba 1060\/2009, (UE) n.\u00ba 648\/2012, (UE) n.\u00ba 600\/2014, (UE) n.\u00ba 909\/2014 y (UE) 2016\/1011<\/p>\n\n\n\n

(Texto pertinente a efectos del EEE)<\/p>\n\n\n\n

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNI\u00d3N EUROPEA,<\/p>\n\n\n\n

Visto el Tratado de Funcionamiento de la Uni\u00f3n Europea y, en particular, su art\u00edculo 114, Vista la propuesta de la Comisi\u00f3n Europea, Previa transmisi\u00f3n del proyecto de acto legislativo a los parlamentos nacionales, Visto el dictamen del Banco Central Europeo (1), Visto el dictamen del Comit\u00e9 Econ\u00f3mico y Social Europeo (2), De conformidad con el procedimiento legislativo ordinario (3),<\/p>\n\n\n\n

Considerando que:<\/p>\n\n\n\n

(1) En la era digital, las tecnolog\u00edas de la informaci\u00f3n y la comunicaci\u00f3n (TIC) sirven de soporte a sistemas complejos utilizados en actividades cotidianas. Mantienen nuestras econom\u00edas en funcionamiento en sectores clave, incluido el financiero, y mejoran el funcionamiento del mercado interior. El aumento de la digitalizaci\u00f3n y la interconexi\u00f3n tambi\u00e9n amplifican las TIC. riesgoRiesgo<\/span> Se refiere al potencial de p\u00e9rdida o perturbaci\u00f3n causado por un incidente y debe expresarse como una combinaci\u00f3n de la magnitud de dicha p\u00e9rdida o perturbaci\u00f3n y la probabilidad de que se produzca el incidente. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span>Por lo tanto, la sociedad en su conjunto, y el sistema financiero en particular, son m\u00e1s vulnerables a las ciberamenazas o a las perturbaciones de las TIC. Aunque el uso omnipresente de los sistemas de TIC y la elevada digitalizaci\u00f3n y conectividad son hoy caracter\u00edsticas esenciales de las actividades de las entidades financieras de la Uni\u00f3n, su resiliencia digital a\u00fan debe abordarse mejor e integrarse en sus marcos operativos m\u00e1s amplios.<\/p>\n\n\n\n

(2) En las \u00faltimas d\u00e9cadas, el uso de las TIC ha adquirido un papel fundamental en la prestaci\u00f3n de servicios financieros, hasta el punto de que ahora ha adquirido una importancia cr\u00edtica en el funcionamiento de las funciones diarias t\u00edpicas de todas las entidades financieras. La digitalizaci\u00f3n abarca ahora, por ejemplo, los pagos, que han pasado cada vez m\u00e1s del efectivo y los m\u00e9todos basados en papel al uso de soluciones digitales, as\u00ed como la compensaci\u00f3n y liquidaci\u00f3n de valores, la negociaci\u00f3n electr\u00f3nica y algor\u00edtmica, las operaciones de pr\u00e9stamo y financiaci\u00f3n, la financiaci\u00f3n entre pares, la calificaci\u00f3n crediticia, la gesti\u00f3n de siniestros y las operaciones administrativas. El sector de los seguros tambi\u00e9n se ha visto transformado por el uso de las TIC, desde la aparici\u00f3n de intermediarios de seguros que ofrecen sus servicios en l\u00ednea operando con InsurTech, hasta la suscripci\u00f3n digital de seguros. Las finanzas no solo se han digitalizado en gran medida en todo el sector, sino que la digitalizaci\u00f3n tambi\u00e9n ha profundizado las interconexiones y dependencias dentro del sector financiero y con terceros proveedores de infraestructuras y servicios.<\/p>\n\n\n\n

(3) La Junta Europea de Riesgo Sist\u00e9mico (JERS) reafirm\u00f3 en un informe de 2020 sobre el riesgo cibern\u00e9tico sist\u00e9mico que el alto nivel de interconexi\u00f3n existente entre las entidades financieras, los mercados financieros y las infraestructuras de los mercados financieros, y en particular las interdependencias de sus sistemas de TIC, podr\u00eda constituir un riesgo sist\u00e9mico. vulnerabilidadVulnerabilidad<\/span> Se refiere a una debilidad, susceptibilidad o defecto de los productos o servicios de las TIC que puede ser explotado por una ciberamenaza -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> porque los incidentes cibern\u00e9ticos localizados podr\u00edan propagarse r\u00e1pidamente desde cualquiera de las aproximadamente 22 000 entidades financieras de la Uni\u00f3n a todo el sistema financiero, sin que lo impidan las fronteras geogr\u00e1ficas. Las violaciones graves de las TIC que se producen en el sector financiero no s\u00f3lo afectan a las entidades financieras consideradas aisladamente. Tambi\u00e9n allanan el camino para la propagaci\u00f3n de vulnerabilidades localizadas a trav\u00e9s de los canales de transmisi\u00f3n financiera y pueden desencadenar consecuencias adversas para la estabilidad del sistema financiero de la Uni\u00f3n, como la generaci\u00f3n de fugas de liquidez y una p\u00e9rdida general de confianza en los mercados financieros.<\/p>\n\n\n\n

(4) En los \u00faltimos a\u00f1os, el riesgo de las TIC ha atra\u00eddo la atenci\u00f3n de los responsables pol\u00edticos internacionales, de la Uni\u00f3n y nacionales, de los reguladores y de las est\u00e1ndarEst\u00e1ndar<\/span> Especificaci\u00f3n t\u00e9cnica, adoptada por un organismo de normalizaci\u00f3n reconocido, de aplicaci\u00f3n repetida o continua, cuyo cumplimiento no es obligatorio y que es una de las siguientes\r(a) \"norma internacional\": norma adoptada por un organismo internacional de normalizaci\u00f3n; b) \"norma europea\": norma adoptada por un organismo europeo de normalizaci\u00f3n; c) \"norma armonizada\": norma europea adoptada sobre la base de una solicitud formulada por la Comisi\u00f3n para la aplicaci\u00f3n de la legislaci\u00f3n de armonizaci\u00f3n de la Uni\u00f3n; d) \"norma nacional\": norma adoptada por un organismo nacional de normalizaci\u00f3n - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto 1, delReglamento (UE) n\u00ba 1025\/2012 del Parlamento Europeo y del Consejo.<\/span><\/span><\/span>-En el \u00e1mbito internacional, el Comit\u00e9 de Supervisi\u00f3n Bancaria de Basilea, el Comit\u00e9 de Pagos e Infraestructuras del Mercado, el Consejo de Estabilidad Financiera y el Instituto de Estabilidad Financiera, as\u00ed como el G7 y el G20, tienen por objeto proporcionar competencias en materia de regulaci\u00f3n y supervisi\u00f3n. A escala internacional, el Comit\u00e9 de Supervisi\u00f3n Bancaria de Basilea, el Comit\u00e9 de Pagos e Infraestructuras del Mercado, el Consejo de Estabilidad Financiera, el Instituto de Estabilidad Financiera, as\u00ed como el G7 y el G20, tienen como objetivo proporcionar a las autoridades competentes y a los operadores del mercado de diversas jurisdicciones herramientas para reforzar la resistencia de sus sistemas financieros. Esta labor tambi\u00e9n se ha visto impulsada por la necesidad de considerar debidamente el riesgo de las TIC en el contexto de un sistema financiero mundial altamente interconectado y de buscar una mayor coherencia de las mejores pr\u00e1cticas pertinentes.<\/p>\n\n\n\n

(5) A pesar de las iniciativas pol\u00edticas y legislativas espec\u00edficas de la Uni\u00f3n y nacionales, el riesgo de las TIC sigue planteando un reto para la resistencia operativa, el rendimiento y la estabilidad del sistema financiero de la Uni\u00f3n. Las reformas que siguieron a la crisis financiera de 2008 reforzaron principalmente la resistencia financiera del sector financiero de la Uni\u00f3n y ten\u00edan por objeto salvaguardar la competitividad y la estabilidad de la Uni\u00f3n desde las perspectivas econ\u00f3mica, prudencial y de conducta del mercado. Aunque la seguridad de las TIC y la resistencia digital forman parte del riesgo operativo, han estado menos en el punto de mira de la agenda reguladora posterior a la crisis financiera y solo se han desarrollado en algunos \u00e1mbitos de la pol\u00edtica y el panorama regulador de los servicios financieros de la Uni\u00f3n, o en unos pocos Estados miembros.<\/p>\n\n\n\n

(6) En su Comunicaci\u00f3n de 8 de marzo de 2018 titulada \"Plan de acci\u00f3n FinTech: Por un sector financiero europeo m\u00e1s competitivo e innovador\", la Comisi\u00f3n destac\u00f3 la importancia primordial de hacer que el sector financiero de la Uni\u00f3n sea m\u00e1s resiliente, tambi\u00e9n desde una perspectiva operativa para garantizar su seguridad tecnol\u00f3gica y su buen funcionamiento, su r\u00e1pida recuperaci\u00f3n de las brechas y los incidentes relacionados con las TIC, permitiendo en \u00faltima instancia la prestaci\u00f3n eficaz y fluida de servicios financieros en toda la Uni\u00f3n, incluso en situaciones de estr\u00e9s, preservando al mismo tiempo la confianza de los consumidores y del mercado.<\/p>\n\n\n\n

(7) En abril de 2019, la Autoridad Europea de Supervisi\u00f3n (Autoridad Bancaria Europea), (ABE) creada por el Reglamento (UE) n\u00ba 1093\/2010 del Parlamento Europeo y del Consejo (4), la Autoridad Europea de Supervisi\u00f3n (Autoridad Europea de Seguros y Pensiones de Jubilaci\u00f3n), (\"AESPJ\") creada por el Reglamento (UE) n\u00ba 1094\/2010 del Parlamento Europeo y del Consejo (5) y la Autoridad Europea de Supervisi\u00f3n (Autoridad Europea de Valores y Mercados), (\"AEVM\") establecida por el Reglamento (UE) n.\u00ba 1095\/2010 del Parlamento Europeo y del Consejo (6) (conocidas colectivamente como \"Autoridades Europeas de Supervisi\u00f3n\" o \"AES\") emitieron conjuntamente un asesoramiento t\u00e9cnico en el que ped\u00edan un enfoque coherente del riesgo de las TIC en las finanzas y recomendaban reforzar, de manera proporcionada, la resistencia operativa digital del sector de los servicios financieros a trav\u00e9s de una iniciativa sectorial de la Uni\u00f3n.<\/p>\n\n\n\n

(8) El sector financiero de la Uni\u00f3n est\u00e1 regulado por un c\u00f3digo normativo \u00fanico y se rige por un sistema europeo de supervisi\u00f3n financiera. Sin embargo, las disposiciones que abordan la resistencia operativa digital y la seguridad de las TIC a\u00fan no se han armonizado plenamente o de forma coherente, a pesar de que la resistencia operativa digital es vital para garantizar la estabilidad financiera y la integridad del mercado en la era digital, y no menos importante que, por ejemplo, las normas prudenciales o de conducta del mercado comunes. Por lo tanto, el c\u00f3digo normativo \u00fanico y el sistema de supervisi\u00f3n deben desarrollarse para abarcar tambi\u00e9n la resistencia operativa digital, reforzando los mandatos de las autoridades competentes para que puedan supervisar la gesti\u00f3n del riesgo de las TIC en el sector financiero con el fin de proteger la integridad y la eficiencia del mercado interior y facilitar su funcionamiento ordenado.<\/p>\n\n\n\n

(9) Las disparidades legislativas y los enfoques nacionales desiguales en materia de regulaci\u00f3n o supervisi\u00f3n en relaci\u00f3n con el riesgo de las TIC desencadenan obst\u00e1culos al funcionamiento del mercado interior de servicios financieros, impidiendo el buen ejercicio de la libertad de establecimiento y la prestaci\u00f3n de servicios para las entidades financieras que operan sobre una base transfronteriza. La competencia entre el mismo tipo de entidades financieras que operan en diferentes Estados miembros tambi\u00e9n podr\u00eda verse falseada. Este es el caso, en particular, de los \u00e1mbitos en los que la armonizaci\u00f3n de la Uni\u00f3n ha sido muy limitada, como las pruebas de resistencia operativa digital, o inexistente, como la supervisi\u00f3n del riesgo de las TIC frente a terceros. Las disparidades derivadas de la evoluci\u00f3n prevista a nivel nacional podr\u00edan generar nuevos obst\u00e1culos al funcionamiento del mercado interior en detrimento de los participantes en el mercado y de la estabilidad financiera.<\/p>\n\n\n\n

(10) Hasta la fecha, debido a que las disposiciones relacionadas con los riesgos de las TIC s\u00f3lo se han abordado parcialmente a nivel de la Uni\u00f3n, existen lagunas o solapamientos en \u00e1mbitos importantes, como los relacionados con las TIC. incidenteIncidente<\/span> Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de informaci\u00f3n o accesibles a trav\u00e9s de ellos\". Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> y pruebas de resistencia operativa digital, e incoherencias como consecuencia de la aparici\u00f3n de normas nacionales divergentes o de la aplicaci\u00f3n poco rentable de normas que se solapan. Esto es especialmente perjudicial para un usuario intensivo en TIC como el sector financiero, ya que los riesgos tecnol\u00f3gicos no tienen fronteras y el sector financiero despliega sus servicios sobre una amplia base transfronteriza dentro y fuera de la Uni\u00f3n. Las entidades financieras individuales que operan sobre una base transfronteriza o son titulares de varias autorizaciones (por ejemplo, una entidad financiera entidadEntidad<\/span> Persona f\u00edsica o jur\u00eddica creada y reconocida como tal en virtud de la legislaci\u00f3n nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> pueden tener una licencia bancaria, de empresa de inversi\u00f3n y de entidad de pago, cada una de ellas expedida por una autoridad competente diferente en uno o varios Estados miembros) se enfrentan a retos operativos a la hora de abordar el riesgo de las TIC y mitigar los efectos adversos de los incidentes relacionados con las TIC por s\u00ed solos y de forma coherente y rentable.<\/p>\n\n\n\n

(11) Dado que el c\u00f3digo normativo \u00fanico no ha ido acompa\u00f1ado de un marco global en materia de TIC o de riesgo operativo, es necesaria una mayor armonizaci\u00f3n de los requisitos clave de resistencia operativa digital para todas las entidades financieras. El desarrollo de las capacidades en materia de TIC y de la resistencia general de las entidades financieras, sobre la base de esos requisitos clave, con vistas a soportar interrupciones operativas, ayudar\u00eda a preservar la estabilidad e integridad de los mercados financieros de la Uni\u00f3n y contribuir\u00eda as\u00ed a garantizar un elevado nivel de protecci\u00f3n de los inversores y consumidores de la Uni\u00f3n. Dado que el presente Reglamento tiene por objeto contribuir al buen funcionamiento del mercado interior, debe basarse en las disposiciones del art\u00edculo 114 del Tratado de Funcionamiento de la Uni\u00f3n Europea (TFUE), interpretadas de conformidad con la jurisprudencia reiterada del Tribunal de Justicia de la Uni\u00f3n Europea (Tribunal de Justicia).<\/p>\n\n\n\n

(12) El presente Reglamento tiene por objeto consolidar y actualizar los requisitos en materia de riesgo de TIC como parte de los requisitos en materia de riesgo operativo que, hasta la fecha, se han abordado por separado en diversos actos jur\u00eddicos de la Uni\u00f3n. Si bien dichos actos cubr\u00edan las principales categor\u00edas de riesgo financiero (por ejemplo, riesgo de cr\u00e9dito, riesgo de mercado, riesgo de cr\u00e9dito de contraparte y riesgo de liquidez, riesgo de conducta de mercado), no abordaban de forma exhaustiva, en el momento de su adopci\u00f3n, todos los componentes de la resistencia operativa. Las normas sobre riesgo operativo, cuando se desarrollaron en esos actos jur\u00eddicos de la Uni\u00f3n, a menudo favorec\u00edan un enfoque cuantitativo tradicional para abordar el riesgo (es decir, el establecimiento de un requisito de capital para cubrir el riesgo de TIC) en lugar de normas cualitativas espec\u00edficas para las capacidades de protecci\u00f3n, detecci\u00f3n, contenci\u00f3n, recuperaci\u00f3n y reparaci\u00f3n frente a incidentes relacionados con las TIC, o para las capacidades de informaci\u00f3n y pruebas digitales. Dichos actos estaban destinados principalmente a cubrir y actualizar las normas esenciales en materia de supervisi\u00f3n prudencial, integridad del mercado o conducta. Al consolidar y actualizar las distintas normas sobre el riesgo de las TIC, todas las disposiciones que abordan el riesgo digital en el sector financiero deben reunirse por primera vez de manera coherente en un \u00fanico acto legislativo. Por consiguiente, el presente Reglamento colma las lagunas o subsana las incoherencias de algunos de los actos jur\u00eddicos anteriores, incluso en relaci\u00f3n con la terminolog\u00eda utilizada en ellos, y se refiere expl\u00edcitamente al riesgo de las TIC mediante normas espec\u00edficas sobre las capacidades de gesti\u00f3n del riesgo de las TIC, la notificaci\u00f3n de incidentes, las pruebas de resistencia operativa y la supervisi\u00f3n del riesgo de las TIC frente a terceros. De este modo, el Reglamento tambi\u00e9n deber\u00eda aumentar la concienciaci\u00f3n sobre el riesgo de las TIC y reconocer que los incidentes relacionados con las TIC y la falta de resistencia operativa pueden poner en peligro la solidez de las entidades financieras.<\/p>\n\n\n\n

(13) Las entidades financieras deben seguir el mismo enfoque y las mismas normas basadas en principios a la hora de abordar el riesgo de las TIC, teniendo en cuenta su tama\u00f1o y perfil de riesgo global, as\u00ed como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones. La coherencia contribuye a aumentar la confianza en el sistema financiero y a preservar su estabilidad, especialmente en tiempos de gran dependencia de los sistemas, plataformas e infraestructuras de TIC, lo que conlleva un mayor riesgo digital. La observancia de una higiene cibern\u00e9tica b\u00e1sica tambi\u00e9n deber\u00eda evitar la imposici\u00f3n de elevados costes a la econom\u00eda, minimizando el impacto y los costes de las perturbaciones de las TIC.<\/p>\n\n\n\n

(14) Un Reglamento ayuda a reducir la complejidad normativa, fomenta la convergencia en materia de supervisi\u00f3n y aumenta la seguridad jur\u00eddica, adem\u00e1s de contribuir a limitar los costes de cumplimiento, especialmente para las entidades financieras que operan a escala transfronteriza, y a reducir las distorsiones de la competencia. Por lo tanto, la elecci\u00f3n de un Reglamento para el establecimiento de un marco com\u00fan para la resistencia operativa digital de las entidades financieras es la forma m\u00e1s adecuada de garantizar una aplicaci\u00f3n homog\u00e9nea y coherente de todos los componentes de la gesti\u00f3n del riesgo de las TIC por parte del sector financiero de la Uni\u00f3n.<\/p>\n\n\n\n

(15) La Directiva (UE) 2016\/1148 del Parlamento Europeo y del Consejo (7) fue la primera Directiva horizontal ciberseguridadCiberseguridad<\/span> \"ciberseguridad\": la ciberseguridad definida en el art\u00edculo 2, punto 1, del Reglamento (UE) 2019\/881; - Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a>\r\r\"ciberseguridad\": las actividades necesarias para proteger las redes y los sistemas de informaci\u00f3n, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto (1), del Reglamento (UE) 2019\/881;<\/span><\/span><\/span> promulgado a escala de la Uni\u00f3n, que se aplica tambi\u00e9n a tres tipos de entidades financieras, a saber, las entidades de cr\u00e9dito, los centros de negociaci\u00f3n y las entidades de contrapartida central. Sin embargo, desde que la Directiva (UE) 2016\/1148 estableci\u00f3 un mecanismo de identificaci\u00f3n a nivel nacional de los operadores de servicios esenciales, solo determinadas entidades de cr\u00e9dito, centros de negociaci\u00f3n y entidades de contrapartida central que fueron identificadas por los Estados miembros, han entrado en su \u00e1mbito de aplicaci\u00f3n en la pr\u00e1ctica y, por tanto, est\u00e1n obligadas a cumplir los requisitos de seguridad de las TIC y de notificaci\u00f3n de incidentes establecidos en ella. La Directiva (UE) 2022\/2555 del Parlamento Europeo y del Consejo (8) establece un criterio uniforme para determinar las entidades que entran en su \u00e1mbito de aplicaci\u00f3n (regla del size-cap), al tiempo que mantiene los tres tipos de entidades financieras en su \u00e1mbito de aplicaci\u00f3n.<\/p>\n\n\n\n

(16) No obstante, dado que el presente Reglamento aumenta el nivel de armonizaci\u00f3n de los diversos componentes de la resiliencia digital, al introducir requisitos sobre la gesti\u00f3n de riesgos de las TIC y la notificaci\u00f3n de incidentes relacionados con las TIC que son m\u00e1s estrictos en comparaci\u00f3n con los establecidos en la actual legislaci\u00f3n de la Uni\u00f3n sobre servicios financieros, este mayor nivel constituye una mayor armonizaci\u00f3n tambi\u00e9n en comparaci\u00f3n con los requisitos establecidos en la Directiva (UE) 2022\/2555. Por consiguiente, el presente Reglamento constituye lex specialis con respecto a la Directiva (UE) 2022\/2555. Al mismo tiempo, es crucial mantener una estrecha relaci\u00f3n entre el sector financiero y el marco horizontal de ciberseguridad de la Uni\u00f3n, tal como se establece actualmente en la Directiva (UE) 2022\/2555, para garantizar la coherencia con las estrategias de ciberseguridad adoptadas por los Estados miembros y permitir que los supervisores financieros est\u00e9n al corriente de los incidentes cibern\u00e9ticos que afecten a otros sectores cubiertos por dicha Directiva.<\/p>\n\n\n\n

(17) De conformidad con el apartado 2 del art\u00edculo 4 del Tratado de la Uni\u00f3n Europea y sin perjuicio del control jurisdiccional del Tribunal de Justicia, el presente Reglamento no debe afectar a la responsabilidad de los Estados miembros en lo que respecta a las funciones esenciales del Estado en materia de seguridad p\u00fablica, defensa y salvaguardia de la seguridad nacional, por ejemplo en lo relativo al suministro de informaci\u00f3n que sea contraria a la salvaguardia de la seguridad nacional.<\/p>\n\n\n\n

(18) Para permitir el aprendizaje intersectorial y aprovechar eficazmente las experiencias de otros sectores a la hora de hacer frente a las ciberamenazas, las entidades financieras a que se refiere la Directiva (UE) 2022\/2555 deben seguir formando parte del \"ecosistema\" de dicha Directiva (por ejemplo, el Grupo de Cooperaci\u00f3n y los equipos de respuesta a incidentes de seguridad inform\u00e1tica (CSIRT)). Las AES y las autoridades nacionales competentes deben poder participar en los debates pol\u00edticos estrat\u00e9gicos y en los trabajos t\u00e9cnicos del Grupo de Cooperaci\u00f3n con arreglo a dicha Directiva, as\u00ed como intercambiar informaci\u00f3n y seguir cooperando con las ventanillas \u00fanicas designadas o establecidas de conformidad con dicha Directiva. Las autoridades competentes en virtud del presente Reglamento tambi\u00e9n deben consultar a los CSIRT y cooperar con ellos. Las autoridades competentes tambi\u00e9n deben poder solicitar asesoramiento t\u00e9cnico a las autoridades competentes designadas o establecidas de conformidad con la Directiva (UE) 2022\/2555 y establecer acuerdos de cooperaci\u00f3n destinados a garantizar mecanismos de coordinaci\u00f3n eficaces y de respuesta r\u00e1pida.<\/p>\n\n\n\n

(19) Dadas las fuertes interrelaciones entre la resistencia digital y la resistencia f\u00edsica de las entidades financieras, es necesario un enfoque coherente con respecto a la resistencia de las entidades cr\u00edticas en el presente Reglamento y en la Directiva (UE) 2022\/2557 del Parlamento Europeo y del Consejo (9). Dado que la resiliencia f\u00edsica de las entidades financieras se aborda de manera exhaustiva en las obligaciones de gesti\u00f3n de riesgos de las TIC y de informaci\u00f3n cubiertas por el presente Reglamento, las obligaciones establecidas en los cap\u00edtulos III y IV de la Directiva (UE) 2022\/2557 no deben aplicarse a las entidades financieras incluidas en el \u00e1mbito de aplicaci\u00f3n de dicha Directiva.<\/p>\n\n\n\n

(20) Servicio de computaci\u00f3n en nubeServicio de computaci\u00f3n en nube<\/span> Se refiere a un servicio digital que permite la administraci\u00f3n bajo demanda y un amplio acceso remoto a un conjunto escalable y el\u00e1stico de recursos inform\u00e1ticos compartibles, incluso cuando dichos recursos est\u00e1n distribuidos en varias ubicaciones -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> son una categor\u00eda de infraestructura digital cubierta por la Directiva (UE) 2022\/2555. El Marco de Supervisi\u00f3n de la Uni\u00f3n (\"Marco de Supervisi\u00f3n\") establecido por el presente Reglamento se aplica a todos los proveedores de servicios cr\u00edticos de TIC a terceros, incluidos los proveedores de servicios de computaci\u00f3n en nube que prestan servicios de TIC a entidades financieras, y debe considerarse complementario de la supervisi\u00f3n realizada en virtud de la Directiva (UE) 2022\/2555. Adem\u00e1s, el marco de supervisi\u00f3n establecido por el presente Reglamento debe abarcar a los proveedores de servicios de computaci\u00f3n en nube en ausencia de un marco horizontal de la Uni\u00f3n que establezca una autoridad de supervisi\u00f3n digital.<\/p>\n\n\n\n

(21) A fin de mantener un control pleno del riesgo de las TIC, las entidades financieras deben disponer de capacidades globales que permitan una gesti\u00f3n s\u00f3lida y eficaz del riesgo de las TIC, as\u00ed como de mecanismos y pol\u00edticas espec\u00edficos para gestionar todos los incidentes relacionados con las TIC y para notificar los incidentes importantes relacionados con las TIC. Del mismo modo, las entidades financieras deben contar con pol\u00edticas para la comprobaci\u00f3n de los sistemas, controles y procesos de TIC, as\u00ed como para la gesti\u00f3n del riesgo de las TIC frente a terceros. Debe aumentarse el nivel b\u00e1sico de resiliencia operativa digital para las entidades financieras, permitiendo al mismo tiempo una aplicaci\u00f3n proporcionada de los requisitos para determinadas entidades financieras, en particular las microempresas, as\u00ed como para las entidades financieras sujetas a un marco simplificado de gesti\u00f3n del riesgo de las TIC. Para facilitar una supervisi\u00f3n eficiente de los fondos de pensiones de empleo que sea proporcionada y atienda a la necesidad de reducir las cargas administrativas de las autoridades competentes, las disposiciones nacionales de supervisi\u00f3n pertinentes con respecto a dichas entidades financieras deben tener en cuenta su tama\u00f1o y perfil de riesgo global, as\u00ed como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones, incluso cuando se superen los umbrales pertinentes establecidos en el art\u00edculo 5 de la Directiva (UE) 2016\/2341 del Parlamento Europeo y del Consejo (10). En particular, las actividades de supervisi\u00f3n deben centrarse principalmente en la necesidad de abordar los riesgos graves asociados a la gesti\u00f3n del riesgo de las TIC de una entidad concreta.<\/p>\n\n\n\n

Las autoridades competentes tambi\u00e9n deben mantener un enfoque vigilante pero proporcionado en relaci\u00f3n con la supervisi\u00f3n de los fondos de pensiones de empleo que, de conformidad con el art\u00edculo 31 de la Directiva (UE) 2016\/2341, externalicen una parte significativa de su actividad principal, como la gesti\u00f3n de activos, los c\u00e1lculos actuariales, la contabilidad y la gesti\u00f3n de datos, a proveedores de servicios.<\/p>\n\n\n\n

(22) Los umbrales de notificaci\u00f3n de incidentes relacionados con las TIC y las taxonom\u00edas var\u00edan significativamente a nivel nacional. Si bien puede alcanzarse un terreno com\u00fan a trav\u00e9s del trabajo pertinente realizado por la Agencia de Ciberseguridad de la Uni\u00f3n Europea (ENISA) establecida por el Reglamento (UE) 2019\/881 del Parlamento Europeo y del Consejo (11) y el Grupo de Cooperaci\u00f3n en virtud de la Directiva (UE) 2022\/2555, siguen existiendo, o pueden surgir, enfoques divergentes sobre el establecimiento de los umbrales y el uso de taxonom\u00edas para el resto de las entidades financieras. Debido a esas divergencias, son m\u00faltiples los requisitos que deben cumplir las entidades financieras, especialmente cuando operan en varios Estados miembros y cuando forman parte de un grupo financiero. Adem\u00e1s, esas divergencias pueden obstaculizar la creaci\u00f3n de nuevos mecanismos uniformes o centralizados de la Uni\u00f3n que agilicen el proceso de notificaci\u00f3n y favorezcan un intercambio r\u00e1pido y fluido de informaci\u00f3n entre las autoridades competentes, lo que resulta crucial para hacer frente al riesgo de las TIC en caso de ataques a gran escala con consecuencias potencialmente sist\u00e9micas.<\/p>\n\n\n\n

(23) A fin de reducir la carga administrativa y las obligaciones de notificaci\u00f3n potencialmente duplicadas para determinadas entidades financieras, el requisito de notificaci\u00f3n de incidentes con arreglo a la Directiva (UE) 2015\/2366 del Parlamento Europeo y del Consejo (12) debe dejar de aplicarse a los proveedores de servicios de pago que entren en el \u00e1mbito de aplicaci\u00f3n del presente Reglamento. En consecuencia, las entidades de cr\u00e9dito, las entidades de dinero electr\u00f3nico, las entidades de pago y los proveedores de servicios de informaci\u00f3n sobre cuentas, a que se refiere el art\u00edculo 33, apartado 1, de dicha Directiva, deben, a partir de la fecha de aplicaci\u00f3n del presente Reglamento, notificar con arreglo al presente Reglamento todos los incidentes operativos o relacionados con la seguridad de los pagos que hayan sido notificados previamente con arreglo a dicha Directiva, con independencia de que dichos incidentes est\u00e9n o no relacionados con las TIC.<\/p>\n\n\n\n

(24) Para que las autoridades competentes puedan desempe\u00f1ar sus funciones de supervisi\u00f3n adquiriendo una visi\u00f3n completa de la naturaleza, frecuencia, importancia e impacto de los incidentes relacionados con las TIC y para mejorar el intercambio de informaci\u00f3n entre las autoridades p\u00fablicas pertinentes, incluidas las autoridades policiales y las autoridades de resoluci\u00f3n, el presente Reglamento debe establecer un r\u00e9gimen s\u00f3lido de notificaci\u00f3n de incidentes relacionados con las TIC en el que los requisitos pertinentes aborden las actuales lagunas de la legislaci\u00f3n sobre servicios financieros y eliminen los solapamientos y duplicaciones existentes para aliviar los costes. Es esencial armonizar el r\u00e9gimen de notificaci\u00f3n de incidentes relacionados con las TIC exigiendo a todas las entidades financieras que informen a sus autoridades competentes a trav\u00e9s de un \u00fanico marco racionalizado, tal como se establece en el presente Reglamento. Adem\u00e1s, las AES deben estar facultadas para especificar con m\u00e1s detalle los elementos pertinentes para el marco de notificaci\u00f3n de incidentes relacionados con las TIC, como la taxonom\u00eda, los plazos, los conjuntos de datos, las plantillas y los umbrales aplicables. Para garantizar la plena coherencia con la Directiva (UE) 2022\/2555, debe permitirse a las entidades financieras, con car\u00e1cter voluntario, notificar las ciberamenazas significativas a la autoridad competente pertinente, cuando consideren que la amenaza cibern\u00e9ticaCiberamenazas<\/span> significa cualquier circunstancia, evento o acci\u00f3n potencial que pueda da\u00f1ar, interrumpir o afectar negativamente de otro modo a los sistemas de red y de informaci\u00f3n, a los usuarios de dichos sistemas y a otras personas - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto (8), Reglamento (UE) 2019\/881<\/span><\/span><\/span> sea relevante para el sistema financiero, los usuarios de los servicios o los clientes.<\/p>\n\n\n\n

(25) En determinados subsectores financieros se han desarrollado requisitos de pruebas de resistencia operativa digital que establecen marcos que no siempre est\u00e1n plenamente alineados. Esto da lugar a una posible duplicaci\u00f3n de costes para las entidades financieras transfronterizas y hace que el reconocimiento mutuo de los resultados de las pruebas de resistencia operativa digital sea complejo, lo que, a su vez, puede fragmentar el mercado interior.<\/p>\n\n\n\n

(26) Adem\u00e1s, cuando no se exigen pruebas de las TIC, las vulnerabilidades no se detectan, lo que expone a las entidades financieras a riesgos relacionados con las TIC y, en \u00faltima instancia, genera un mayor riesgo para la estabilidad y la integridad del sector financiero. Sin la intervenci\u00f3n de la Uni\u00f3n, las pruebas de resistencia operativa digital seguir\u00edan siendo incoherentes y carecer\u00edan de un sistema de reconocimiento mutuo de los resultados de las pruebas de TIC en las distintas jurisdicciones. Adem\u00e1s, como es poco probable que otros subsectores financieros adopten sistemas de pruebas a una escala significativa, se perder\u00edan los beneficios potenciales de un marco de pruebas, en t\u00e9rminos de revelar las vulnerabilidades y los riesgos de las TIC, y de probar las capacidades de defensa y la continuidad de las actividades, lo que contribuye a aumentar la confianza de los clientes, los proveedores y los socios comerciales. Para remediar esos solapamientos, divergencias y lagunas, es necesario establecer normas para un r\u00e9gimen coordinado de pruebas y facilitar as\u00ed el reconocimiento mutuo de las pruebas avanzadas para las entidades financieras que cumplan los criterios establecidos en el presente Reglamento.<\/p>\n\n\n\n

(27) La dependencia de las entidades financieras del uso de los servicios de TIC se debe en parte a su necesidad de adaptarse a una econom\u00eda global digital competitiva emergente, de aumentar la eficiencia de su negocio y de satisfacer la demanda de los consumidores. La naturaleza y el alcance de esta dependencia han evolucionado continuamente en los \u00faltimos a\u00f1os, impulsando la reducci\u00f3n de costes en la intermediaci\u00f3n financiera, permitiendo la expansi\u00f3n empresarial y la escalabilidad en el despliegue de las actividades financieras, al tiempo que ofrecen una amplia gama de herramientas TIC para gestionar procesos internos complejos.<\/p>\n\n\n\n

(28) El amplio uso de los servicios de TIC se pone de manifiesto en la complejidad de los acuerdos contractuales, en virtud de los cuales las entidades financieras encuentran a menudo dificultades para negociar condiciones contractuales adaptadas a las normas prudenciales u otros requisitos reglamentarios a los que est\u00e1n sujetas, o para hacer valer derechos espec\u00edficos, como los derechos de acceso o de auditor\u00eda, aun cuando estos \u00faltimos est\u00e9n consagrados en sus acuerdos contractuales. Adem\u00e1s, muchos de esos acuerdos contractuales no prev\u00e9n salvaguardias suficientes que permitan una supervisi\u00f3n completa de los procesos de subcontrataci\u00f3n, privando as\u00ed a la entidad financiera de su capacidad para evaluar los riesgos asociados. Adem\u00e1s, dado que los proveedores de servicios de TIC a terceros suelen prestar servicios normalizados a distintos tipos de clientes, dichos acuerdos contractuales no siempre responden adecuadamente a las necesidades individuales o espec\u00edficas de los agentes del sector financiero.<\/p>\n\n\n\n

(29) Aunque el Derecho de la Uni\u00f3n en materia de servicios financieros contiene ciertas normas generales sobre externalizaci\u00f3n, la supervisi\u00f3n de la dimensi\u00f3n contractual no est\u00e1 plenamente anclada en el Derecho de la Uni\u00f3n. A falta de normas claras y espec\u00edficas de la Uni\u00f3n aplicables a los acuerdos contractuales celebrados con terceros proveedores de servicios de TIC, la fuente externa de riesgo de las TIC no se aborda de manera exhaustiva. En consecuencia, es necesario establecer determinados principios clave para orientar la gesti\u00f3n por las entidades financieras del riesgo de terceros en materia de TIC, que revisten especial importancia cuando las entidades financieras recurren a terceros proveedores de servicios de TIC para respaldar sus funciones cr\u00edticas o importantes. Dichos principios deben ir acompa\u00f1ados de un conjunto de derechos contractuales b\u00e1sicos en relaci\u00f3n con varios elementos de la ejecuci\u00f3n y rescisi\u00f3n de los acuerdos contractuales con vistas a proporcionar ciertas salvaguardias m\u00ednimas a fin de reforzar la capacidad de las entidades financieras para supervisar eficazmente todo riesgo de TIC que surja a nivel de terceros proveedores de servicios. Estos principios son complementarios de la legislaci\u00f3n sectorial aplicable a la externalizaci\u00f3n.<\/p>\n\n\n\n

(30) En la actualidad es evidente una cierta falta de homogeneidad y convergencia en lo que respecta a la supervisi\u00f3n del riesgo de externalizaci\u00f3n de las TIC y de las dependencias de las TIC de terceros. A pesar de los esfuerzos por abordar la externalizaci\u00f3n, como las Directrices de la ABE sobre externalizaci\u00f3n de 2019 y las Directrices de la AEVM sobre externalizaci\u00f3n a proveedores de servicios en la nube de 2021, la cuesti\u00f3n m\u00e1s amplia de contrarrestar el riesgo sist\u00e9mico que puede desencadenar la exposici\u00f3n del sector financiero a un n\u00famero limitado de proveedores de servicios cr\u00edticos de TIC a terceros no se aborda suficientemente en el Derecho de la Uni\u00f3n. La falta de normas a escala de la Uni\u00f3n se ve agravada por la ausencia de normas nacionales sobre mandatos y herramientas que permitan a los supervisores financieros adquirir una buena comprensi\u00f3n de las dependencias de terceros en materia de TIC y vigilar adecuadamente los riesgos derivados de la concentraci\u00f3n de dependencias de terceros en materia de TIC.<\/p>\n\n\n\n

(31) Teniendo en cuenta el riesgo sist\u00e9mico potencial que entra\u00f1a el aumento de las pr\u00e1cticas de externalizaci\u00f3n y la concentraci\u00f3n de terceros proveedores de TIC, y consciente de la insuficiencia de los mecanismos nacionales para proporcionar a los supervisores financieros herramientas adecuadas para cuantificar, calificar y corregir las consecuencias del riesgo de TIC que se produce en los terceros proveedores de servicios de TIC cr\u00edticos, es necesario establecer un marco de supervisi\u00f3n adecuado que permita un seguimiento continuo de las actividades de los terceros proveedores de servicios de TIC que son terceros proveedores de servicios de TIC cr\u00edticos para las entidades financieras, garantizando al mismo tiempo que se preserven la confidencialidad y la seguridad de los clientes que no sean entidades financieras. Aunque la prestaci\u00f3n intragrupo de servicios de TIC conlleva riesgos y beneficios espec\u00edficos, no debe considerarse autom\u00e1ticamente menos arriesgada que la prestaci\u00f3n de servicios de TIC por proveedores externos a un grupo financiero y, por tanto, debe estar sujeta al mismo marco regulador. Sin embargo, cuando los servicios de TIC se prestan desde dentro del mismo grupo financiero, las entidades financieras podr\u00edan tener un mayor nivel de control sobre los proveedores intragrupo, lo que deber\u00eda tenerse en cuenta en la evaluaci\u00f3n global del riesgo.<\/p>\n\n\n\n

(32) Dado que los riesgos relacionados con las TIC son cada vez m\u00e1s complejos y sofisticados, la adopci\u00f3n de medidas adecuadas para su detecci\u00f3n y prevenci\u00f3n depende en gran medida de que las entidades financieras compartan peri\u00f3dicamente informaci\u00f3n sobre amenazas y vulnerabilidades. El intercambio de informaci\u00f3n contribuye a crear una mayor concienciaci\u00f3n sobre las ciberamenazas. A su vez, esto mejora la capacidad de las entidades financieras para evitar que las ciberamenazas se conviertan en incidentes reales relacionados con las TIC y permite a las entidades financieras contener m\u00e1s eficazmente el impacto de los incidentes relacionados con las TIC y recuperarse m\u00e1s r\u00e1pidamente. A falta de orientaciones a nivel de la Uni\u00f3n, varios factores parecen haber inhibido este intercambio de inteligencia, en particular la incertidumbre sobre su compatibilidad con las normas de protecci\u00f3n de datos, antimonopolio y de responsabilidad.<\/p>\n\n\n\n

(33) Adem\u00e1s, las dudas sobre el tipo de informaci\u00f3n que puede compartirse con otros participantes en el mercado, o con autoridades no supervisoras (como ENISA, con fines anal\u00edticos, o Europol, con fines policiales) hacen que se retenga informaci\u00f3n \u00fatil. Por lo tanto, el alcance y la calidad del intercambio de informaci\u00f3n siguen siendo actualmente limitados y fragmentados, siendo los intercambios pertinentes en su mayor\u00eda locales (a trav\u00e9s de iniciativas nacionales) y sin que existan acuerdos coherentes de intercambio de informaci\u00f3n a escala de la Uni\u00f3n adaptados a las necesidades de un sistema financiero integrado. Por lo tanto, es importante reforzar estos canales de comunicaci\u00f3n.<\/p>\n\n\n\n

(34) Debe alentarse a las entidades financieras a intercambiar entre s\u00ed informaci\u00f3n e inteligencia sobre ciberamenazas, y a aprovechar colectivamente sus conocimientos individuales y su experiencia pr\u00e1ctica a nivel estrat\u00e9gico, t\u00e1ctico y operativo con vistas a mejorar sus capacidades para evaluar, supervisar, defenderse y responder adecuadamente a las ciberamenazas, participando en acuerdos de intercambio de informaci\u00f3n. Por consiguiente, es necesario permitir la aparici\u00f3n, a escala de la Uni\u00f3n, de mecanismos de acuerdos voluntarios de intercambio de informaci\u00f3n que, cuando se lleven a cabo en entornos de confianza, ayuden a la comunidad del sector financiero a prevenir las ciberamenazas y a responder colectivamente a ellas, limitando r\u00e1pidamente la propagaci\u00f3n del riesgo de las TIC e impidiendo el posible contagio a trav\u00e9s de los canales financieros. Esos mecanismos deben cumplir las normas aplicables del Derecho de la competencia de la Uni\u00f3n establecidas en la Comunicaci\u00f3n de la Comisi\u00f3n de 14 de enero de 2011 titulada \"Directrices sobre la aplicabilidad del art\u00edculo 101 del Tratado de Funcionamiento de la Uni\u00f3n Europea a los acuerdos de cooperaci\u00f3n horizontal\", as\u00ed como las normas de protecci\u00f3n de datos de la Uni\u00f3n, en particular el Reglamento (UE) 2016\/679 del Parlamento Europeo y del Consejo (13). Deben funcionar sobre la base del uso de una o varias de las bases jur\u00eddicas que se establecen en el art\u00edculo 6 de dicho Reglamento, como en el contexto del tratamiento de datos personales que sea necesario a efectos del inter\u00e9s leg\u00edtimo perseguido por el responsable del tratamiento o por un tercero, tal como se contempla en el art\u00edculo 6, apartado 1, letra f), de dicho Reglamento, as\u00ed como en el contexto del tratamiento de datos personales necesario para el cumplimiento de una obligaci\u00f3n jur\u00eddica a la que est\u00e9 sujeto el responsable del tratamiento, necesario para el cumplimiento de una misi\u00f3n realizada en inter\u00e9s p\u00fablico o en el ejercicio del poder p\u00fablico conferido al responsable del tratamiento, tal como se contempla en el art\u00edculo 6, apartado 1, letras c) y e), respectivamente, de dicho Reglamento.<\/p>\n\n\n\n

(35) A fin de mantener un alto nivel de resistencia operativa digital para todo el sector financiero y, al mismo tiempo, seguir el ritmo de la evoluci\u00f3n tecnol\u00f3gica, el presente Reglamento debe abordar el riesgo derivado de todos los tipos de servicios de TIC. A tal fin, la definici\u00f3n de servicios de TIC en el contexto del presente Reglamento debe entenderse de manera amplia, abarcando los servicios digitales y de datos prestados a trav\u00e9s de sistemas de TIC a uno o varios usuarios internos o externos de forma permanente. Esta definici\u00f3n debe incluir, por ejemplo, los denominados servicios \"over the top\", que entran en la categor\u00eda de servicios de comunicaciones electr\u00f3nicas. S\u00f3lo deber\u00eda excluir la categor\u00eda limitada de los servicios telef\u00f3nicos anal\u00f3gicos tradicionales, calificados como servicios de red telef\u00f3nica p\u00fablica conmutada (RTPC), servicios de l\u00ednea fija, servicio telef\u00f3nico ordinario (POTS) o servicios telef\u00f3nicos de l\u00ednea fija.<\/p>\n\n\n\n

(36) A pesar de la amplia cobertura prevista por el presente Reglamento, la aplicaci\u00f3n de las normas de resistencia operativa digital debe tener en cuenta las diferencias significativas entre las entidades financieras en cuanto a su tama\u00f1o y perfil de riesgo global. Como principio general, a la hora de distribuir los recursos y capacidades para la aplicaci\u00f3n del marco de gesti\u00f3n del riesgo de las TIC, las entidades financieras deben equilibrar debidamente sus necesidades relacionadas con las TIC con su tama\u00f1o y perfil de riesgo global, y con la naturaleza, escala y complejidad de sus servicios, actividades y operaciones, mientras que las autoridades competentes deben seguir evaluando y revisando el enfoque de dicha distribuci\u00f3n.<\/p>\n\n\n\n

(37) Los proveedores de servicios de informaci\u00f3n sobre cuentas, a que se refiere el art\u00edculo 33, apartado 1, de la Directiva (UE) 2015\/2366, se incluyen expl\u00edcitamente en el \u00e1mbito de aplicaci\u00f3n del presente Reglamento, teniendo en cuenta la naturaleza espec\u00edfica de sus actividades y los riesgos derivados de las mismas. Adem\u00e1s, las entidades de dinero electr\u00f3nico y las entidades de pago exentas en virtud del art\u00edculo 9, apartado 1, de la Directiva 2009\/110\/CE del Parlamento Europeo y del Consejo (14) y del art\u00edculo 32, apartado 1, de la Directiva (UE) 2015\/2366 est\u00e1n incluidas en el \u00e1mbito de aplicaci\u00f3n del presente Reglamento aunque no se les haya concedido autorizaci\u00f3n de conformidad con la Directiva 2009\/110\/CE para emitir dinero electr\u00f3nico, o aunque no se les haya concedido autorizaci\u00f3n de conformidad con la Directiva (UE) 2015\/2366 para prestar y ejecutar servicios de pago. No obstante, quedan excluidas del \u00e1mbito de aplicaci\u00f3n del presente Reglamento las oficinas de cheques postales a que se refiere el art\u00edculo 2, apartado 5, punto 3, de la Directiva 2013\/36\/UE del Parlamento Europeo y del Consejo (15). La autoridad competente para las entidades de pago exentas en virtud de la Directiva (UE) 2015\/2366, las entidades de dinero electr\u00f3nico exentas en virtud de la Directiva 2009\/110\/CE y los proveedores de servicios de informaci\u00f3n sobre cuentas a que se refiere el art\u00edculo 33, apartado 1, de la Directiva (UE) 2015\/2366, debe ser la autoridad competente designada de conformidad con el art\u00edculo 22 de la Directiva (UE) 2015\/2366.<\/p>\n\n\n\n

(38) Dado que las entidades financieras de mayor tama\u00f1o pueden disponer de mayores recursos y desplegar r\u00e1pidamente fondos para desarrollar estructuras de gobernanza y establecer diversas estrategias corporativas, s\u00f3lo debe exigirse a las entidades financieras que no sean microempresas en el sentido del presente Reglamento que establezcan mecanismos de gobernanza m\u00e1s complejos. Dichas entidades est\u00e1n mejor preparadas, en particular, para establecer funciones de gesti\u00f3n espec\u00edficas para supervisar los acuerdos con terceros proveedores de servicios de TIC o para ocuparse de la gesti\u00f3n de crisis, organizar su gesti\u00f3n de riesgos en materia de TIC con arreglo al modelo de las tres l\u00edneas de defensa, o establecer un modelo interno de gesti\u00f3n y control de riesgos, y someter su marco de gesti\u00f3n de riesgos en materia de TIC a auditor\u00edas internas.<\/p>\n\n\n\n

(39) Algunas entidades financieras se benefician de exenciones o est\u00e1n sujetas a un marco reglamentario muy ligero en virtud de la legislaci\u00f3n sectorial pertinente de la Uni\u00f3n. Entre esas entidades financieras se encuentran los gestores de fondos de inversi\u00f3n alternativos a que se refiere el art\u00edculo 3, apartado 2, de la Directiva 2011\/61\/UE del Parlamento Europeo y del Consejo (16), las empresas de seguros y reaseguros a que se refiere el art\u00edculo 4 de la Directiva 2009\/138\/CE del Parlamento Europeo y del Consejo (17), y los fondos de pensiones de empleo que gestionan planes de pensiones que, en conjunto, no cuentan con m\u00e1s de 15 part\u00edcipes. A la luz de esas exenciones, no ser\u00eda proporcionado incluir a esas entidades financieras en el \u00e1mbito de aplicaci\u00f3n del presente Reglamento. Adem\u00e1s, el presente Reglamento reconoce las especificidades de la estructura del mercado de la mediaci\u00f3n de seguros, por lo que los mediadores de seguros, los mediadores de reaseguros y los mediadores de seguros auxiliares que tengan la consideraci\u00f3n de microempresas o de peque\u00f1as o medianas empresas no deben estar sujetos al presente Reglamento.<\/p>\n\n\n\n

(40) Dado que las entidades a que se refiere el art\u00edculo 2, apartado 5, puntos 4 a 23, de la Directiva 2013\/36\/UE est\u00e1n excluidas del \u00e1mbito de aplicaci\u00f3n de dicha Directiva, los Estados miembros deben poder optar, en consecuencia, por eximir de la aplicaci\u00f3n del presente Reglamento a dichas entidades situadas en sus respectivos territorios.<\/p>\n\n\n\n

(41) Del mismo modo, a fin de adaptar el presente Reglamento al \u00e1mbito de aplicaci\u00f3n de la Directiva 2014\/65\/UE del Parlamento Europeo y del Consejo (18), conviene tambi\u00e9n excluir del \u00e1mbito de aplicaci\u00f3n del presente Reglamento a las personas f\u00edsicas y jur\u00eddicas a que se refieren los art\u00edculos 2 y 3 de dicha Directiva, a las que se permite prestar servicios de inversi\u00f3n sin tener que obtener una autorizaci\u00f3n en virtud de la Directiva 2014\/65\/UE. No obstante, el art\u00edculo 2 de la Directiva 2014\/65\/UE tambi\u00e9n excluye del \u00e1mbito de aplicaci\u00f3n de dicha Directiva a las entidades que se consideran entidades financieras a efectos del presente Reglamento, como los depositarios centrales de valores, los organismos de inversi\u00f3n colectiva o las empresas de seguros y reaseguros. La exclusi\u00f3n del \u00e1mbito de aplicaci\u00f3n del presente Reglamento de las personas y entidades a que se refieren los art\u00edculos 2 y 3 de dicha Directiva no debe abarcar esos depositarios centrales de valores, organismos de inversi\u00f3n colectiva o empresas de seguros y reaseguros.<\/p>\n\n\n\n

(42) En virtud del Derecho sectorial de la Uni\u00f3n, algunas entidades financieras est\u00e1n sujetas a requisitos m\u00e1s ligeros o a exenciones por razones asociadas a su tama\u00f1o o a los servicios que prestan. En esa categor\u00eda de entidades financieras se incluyen las empresas de inversi\u00f3n peque\u00f1as y no interconectadas, los organismos de previsi\u00f3n para la jubilaci\u00f3n de tama\u00f1o reducido que pueden quedar excluidos del \u00e1mbito de aplicaci\u00f3n de la Directiva (UE) 2016\/2341 en las condiciones establecidas en el art\u00edculo 5 de dicha Directiva por el Estado miembro de que se trate y gestionan planes de pensiones que en conjunto no cuentan con m\u00e1s de 100 part\u00edcipes en total, as\u00ed como las entidades exentas en virtud de la Directiva 2013\/36\/UE. Por consiguiente, de conformidad con el principio de proporcionalidad y a fin de preservar el esp\u00edritu del Derecho sectorial de la Uni\u00f3n, tambi\u00e9n procede someter a dichas entidades financieras a un marco simplificado de gesti\u00f3n de riesgos en materia de TIC en virtud del presente Reglamento. El car\u00e1cter proporcionado del marco de gesti\u00f3n de riesgos en materia de TIC aplicable a dichas entidades financieras no debe verse alterado por las normas t\u00e9cnicas reglamentarias que han de elaborar las AES. Adem\u00e1s, de conformidad con el principio de proporcionalidad, procede someter tambi\u00e9n a las entidades de pago a que se refiere el art\u00edculo 32, apartado 1, de la Directiva (UE) 2015\/2366 y a las entidades de dinero electr\u00f3nico a que se refiere el art\u00edculo 9 de la Directiva 2009\/110\/CE exentas de conformidad con el Derecho nacional por el que se transponen dichos actos jur\u00eddicos de la Uni\u00f3n a un marco simplificado de gesti\u00f3n de riesgos en materia de TIC con arreglo al presente Reglamento, mientras que las entidades de pago y las entidades de dinero electr\u00f3nico que no hayan quedado exentas de conformidad con su respectivo Derecho nacional por el que se transpone el Derecho sectorial de la Uni\u00f3n deben cumplir el marco general establecido por el presente Reglamento.<\/p>\n\n\n\n

(43) Del mismo modo, no debe exigirse a las entidades financieras que re\u00fanan las condiciones para ser consideradas microempresas o que est\u00e9n sujetas al marco simplificado de gesti\u00f3n de riesgos en materia de TIC con arreglo al presente Reglamento que establezcan una funci\u00f3n de control de sus acuerdos celebrados con terceros proveedores de servicios de TIC sobre el uso de servicios de TIC; o que designen a un miembro de la alta direcci\u00f3n como responsable de supervisar la exposici\u00f3n al riesgo conexo y la documentaci\u00f3n pertinente; asignen la responsabilidad de gestionar y supervisar el riesgo de TIC a una funci\u00f3n de control y garanticen un nivel adecuado de independencia de dicha funci\u00f3n de control para evitar conflictos de intereses; documenten y revisen al menos una vez al a\u00f1o el marco de gesti\u00f3n del riesgo de TIC; sometan peri\u00f3dicamente a auditor\u00eda interna el marco de gesti\u00f3n del riesgo de TIC; realicen evaluaciones en profundidad tras cambios importantes en sus red y sistema de informaci\u00f3nRedes y sistemas de informaci\u00f3n<\/span> (a) una red de comunicaciones electr\u00f3nicas, tal como se define en el art\u00edculo 2, punto 1, de la Directiva (UE) 2018\/1972; b) cualquier dispositivo o grupo de dispositivos interconectados o relacionados entre s\u00ed, uno o varios de los cuales, con arreglo a un programa, lleven a cabo un tratamiento autom\u00e1tico de datos digitales; o c) datos digitales almacenados, tratados, recuperados o transmitidos por elementos contemplados en las letras a) y b) a efectos de su funcionamiento, uso, protecci\u00f3n y mantenimiento; - Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> infraestructuras y procesos; realizar peri\u00f3dicamente an\u00e1lisis de riesgos de los sistemas de TIC heredados; someter la aplicaci\u00f3n de los planes de respuesta y recuperaci\u00f3n en materia de TIC a revisiones de auditor\u00eda interna independientes; disponer de una funci\u00f3n de gesti\u00f3n de crisis, ampliar las pruebas de los planes de continuidad de las actividades y de respuesta y recuperaci\u00f3n para contemplar escenarios de conmutaci\u00f3n entre la infraestructura primaria de TIC y las instalaciones redundantes; comunicar a las autoridades competentes, a petici\u00f3n de estas, una estimaci\u00f3n de los costes y p\u00e9rdidas anuales agregados causados por incidentes graves relacionados con las TIC, mantener capacidades redundantes en materia de TIC; comunicar a las autoridades nacionales competentes los cambios aplicados tras las revisiones posteriores a incidentes relacionados con las TIC; realizar un seguimiento continuo de los avances tecnol\u00f3gicos pertinentes, establecer un programa completo de pruebas de resistencia operativa digital como parte integrante del marco de gesti\u00f3n de riesgos de las TIC previsto en el presente Reglamento, o adoptar y revisar peri\u00f3dicamente una estrategia sobre el riesgo de las TIC frente a terceros. Adem\u00e1s, solo debe exigirse a las microempresas que eval\u00faen la necesidad de mantener esas capacidades TIC redundantes en funci\u00f3n de su perfil de riesgo. Las microempresas deben beneficiarse de un r\u00e9gimen m\u00e1s flexible en lo que respecta a los programas de pruebas de resistencia operativa digital. Al considerar el tipo y la frecuencia de las pruebas que deben realizarse, deben equilibrar adecuadamente el objetivo de mantener una elevada resistencia operativa digital, los recursos disponibles y su perfil de riesgo global. Las microempresas y las entidades financieras sujetas al marco simplificado de gesti\u00f3n de riesgos de las TIC en virtud del presente Reglamento deben quedar exentas de la obligaci\u00f3n de realizar pruebas avanzadas de las herramientas, sistemas y procesos de las TIC basadas en pruebas de penetraci\u00f3n dirigidas por amenazas (TLPT), ya que solo las entidades financieras que cumplan los criterios establecidos en el presente Reglamento deben estar obligadas a realizar dichas pruebas. A la luz de sus capacidades limitadas, las microempresas deben poder acordar con el proveedor de servicios de TIC en calidad de tercero delegar los derechos de acceso, inspecci\u00f3n y auditor\u00eda de la entidad financiera en un tercero independiente, que ser\u00e1 designado por el proveedor de servicios de TIC en calidad de tercero, siempre que la entidad financiera pueda solicitar, en cualquier momento, toda la informaci\u00f3n pertinente y garant\u00edas sobre el rendimiento del proveedor de servicios de TIC en calidad de tercero al respectivo tercero independiente.<\/p>\n\n\n\n

(44) Dado que s\u00f3lo las entidades financieras identificadas a efectos de las pruebas avanzadas de resistencia digital deben estar obligadas a realizar pruebas de penetraci\u00f3n dirigidas por amenazas, los procesos administrativos y los costes financieros que conlleva la realizaci\u00f3n de dichas pruebas deben correr a cargo de un peque\u00f1o porcentaje de entidades financieras.<\/p>\n\n\n\n

(45) Para garantizar la plena armonizaci\u00f3n y coherencia general entre las estrategias empresariales de las entidades financieras, por una parte, y la gesti\u00f3n de los riesgos de las TIC, por otra, debe exigirse a los \u00f3rganos de direcci\u00f3n de las entidades financieras que desempe\u00f1en un papel central y activo en la direcci\u00f3n y adaptaci\u00f3n del marco de gesti\u00f3n de los riesgos de las TIC y de la estrategia general de resistencia operativa digital. El enfoque que deben adoptar los \u00f3rganos de direcci\u00f3n no s\u00f3lo debe centrarse en los medios para garantizar la resistencia de los sistemas de TIC, sino que tambi\u00e9n debe abarcar a las personas y los procesos a trav\u00e9s de un conjunto de pol\u00edticas que cultiven, en cada nivel corporativo, y para todo el personal, un fuerte sentido de conciencia sobre los riesgos cibern\u00e9ticos y el compromiso de observar una estricta higiene cibern\u00e9tica en todos los niveles. La responsabilidad \u00faltima del \u00f3rgano de direcci\u00f3n en la gesti\u00f3n del riesgo de las TIC de una entidad financiera debe ser un principio general de ese enfoque global, que se traduzca adem\u00e1s en el compromiso continuo del \u00f3rgano de direcci\u00f3n en el control de la supervisi\u00f3n de la gesti\u00f3n del riesgo de las TIC.<\/p>\n\n\n\n

(46) Adem\u00e1s, el principio de la responsabilidad plena y \u00faltima del \u00f3rgano de direcci\u00f3n en la gesti\u00f3n del riesgo de las TIC de la entidad financiera va de la mano de la necesidad de garantizar un nivel de inversiones relacionadas con las TIC y un presupuesto global para la entidad financiera que permita a \u00e9sta alcanzar un alto nivel de resistencia operativa digital.<\/p>\n\n\n\n

(47) Inspir\u00e1ndose en las mejores pr\u00e1cticas, directrices, recomendaciones y enfoques internacionales, nacionales y sectoriales pertinentes para la gesti\u00f3n del riesgo cibern\u00e9tico, el presente Reglamento promueve un conjunto de principios que facilitan la estructura general de la gesti\u00f3n del riesgo de las TIC. En consecuencia, siempre que las principales capacidades que las entidades financieras pongan en marcha aborden las distintas funciones de la gesti\u00f3n de riesgos de las TIC (identificaci\u00f3n, protecci\u00f3n y prevenci\u00f3n, detecci\u00f3n, respuesta y recuperaci\u00f3n, aprendizaje y evoluci\u00f3n y comunicaci\u00f3n) establecidas en el presente Reglamento, las entidades financieras deben seguir siendo libres de utilizar modelos de gesti\u00f3n de riesgos de las TIC que est\u00e9n enmarcados o categorizados de forma diferente.<\/p>\n\n\n\n

(48) Para seguir el ritmo de un panorama de ciberamenazas en evoluci\u00f3n, las entidades financieras deben mantener actualizados sistemas de TIC que sean fiables y capaces, no s\u00f3lo de garantizar el tratamiento de los datos necesarios para sus servicios, sino tambi\u00e9n de asegurar una resiliencia tecnol\u00f3gica suficiente que les permita hacer frente adecuadamente a necesidades adicionales de tratamiento debidas a condiciones de tensi\u00f3n en el mercado u otras situaciones adversas.<\/p>\n\n\n\n

(49) Es necesario contar con planes eficientes de continuidad de las actividades y de recuperaci\u00f3n para que las entidades financieras puedan resolver con prontitud y rapidez los incidentes relacionados con las TIC, en particular los ciberataques, limitando los da\u00f1os y dando prioridad a la reanudaci\u00f3n de las actividades y a las acciones de recuperaci\u00f3n de conformidad con sus pol\u00edticas de copias de seguridad. No obstante, dicha reanudaci\u00f3n no debe poner en peligro en modo alguno la integridad y seguridad de la red y de los sistemas de informaci\u00f3n ni la disponibilidad, autenticidad, integridad o confidencialidad de los datos.<\/p>\n\n\n\n

(50) Si bien el presente Reglamento permite a las entidades financieras determinar sus objetivos en materia de plazos y puntos de recuperaci\u00f3n de manera flexible y, por lo tanto, fijar dichos objetivos teniendo plenamente en cuenta la naturaleza y el car\u00e1cter cr\u00edtico de las funciones pertinentes y cualquier necesidad empresarial espec\u00edfica, debe exigirles, no obstante, que lleven a cabo una evaluaci\u00f3n del posible impacto global sobre la eficiencia del mercado a la hora de determinar dichos objetivos.<\/p>\n\n\n\n

(51) Los propagadores de los ciberataques tienden a perseguir beneficios econ\u00f3micos directamente en la fuente, exponiendo as\u00ed a las entidades financieras a importantes consecuencias. Para evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles y, por tanto, para evitar las violaciones de datos y los da\u00f1os a la infraestructura f\u00edsica de TIC, deber\u00eda mejorarse y racionalizarse significativamente la notificaci\u00f3n de los principales incidentes relacionados con las TIC por parte de las entidades financieras. La notificaci\u00f3n de incidentes relacionados con las TIC debe armonizarse mediante la introducci\u00f3n de la obligaci\u00f3n de que todas las entidades financieras informen directamente a sus autoridades competentes pertinentes. Cuando una entidad financiera est\u00e9 sujeta a la supervisi\u00f3n de m\u00e1s de una autoridad nacional competente, los Estados miembros deben designar a una \u00fanica autoridad competente como destinataria de dicha notificaci\u00f3n. Las entidades de cr\u00e9dito clasificadas como significativas de conformidad con el art\u00edculo 6, apartado 4, del Reglamento (UE) n\u00ba 1024\/2013 del Consejo (19) deben presentar dicha informaci\u00f3n a las autoridades nacionales competentes, que deben transmitirla posteriormente al Banco Central Europeo (BCE).<\/p>\n\n\n\n

(52) La notificaci\u00f3n directa debe permitir a los supervisores financieros tener acceso inmediato a la informaci\u00f3n sobre incidentes graves relacionados con las TIC. A su vez, los supervisores financieros deben transmitir los detalles de los incidentes graves relacionados con las TIC a las autoridades p\u00fablicas no financieras (como las autoridades competentes y los puntos de contacto \u00fanicos con arreglo a la Directiva (UE) 2022\/2555, las autoridades nacionales de protecci\u00f3n de datos, y a las autoridades policiales en el caso de incidentes graves relacionados con las TIC de car\u00e1cter delictivo) con el fin de aumentar el conocimiento de dichas autoridades sobre tales incidentes y, en el caso de los CSIRT, facilitar la r\u00e1pida asistencia que pueda prestarse a las entidades financieras, seg\u00fan proceda. Adem\u00e1s, los Estados miembros deben poder determinar que sean las propias entidades financieras las que faciliten dicha informaci\u00f3n a las autoridades p\u00fablicas fuera del \u00e1mbito de los servicios financieros. Estos flujos de informaci\u00f3n deber\u00edan permitir a las entidades financieras beneficiarse r\u00e1pidamente de cualquier aportaci\u00f3n t\u00e9cnica pertinente, asesoramiento sobre soluciones y seguimiento posterior por parte de dichas autoridades. La informaci\u00f3n sobre incidentes importantes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar toda la informaci\u00f3n u orientaci\u00f3n necesarias a la entidad financiera, mientras que las AES deben compartir datos anonimizados sobre ciberamenazas y vulnerabilidades relacionadas con un incidente, para contribuir a una defensa colectiva m\u00e1s amplia.<\/p>\n\n\n\n

(53) Si bien debe exigirse a todas las entidades financieras que notifiquen los incidentes, no se espera que esta obligaci\u00f3n afecte a todas ellas de la misma manera. De hecho, los umbrales de materialidad pertinentes, as\u00ed como los plazos de notificaci\u00f3n, deben ajustarse debidamente, en el contexto de los actos delegados basados en las normas t\u00e9cnicas reglamentarias que elaboren las AES, con vistas a cubrir \u00fanicamente los incidentes importantes relacionados con las TIC. Adem\u00e1s, deben tenerse en cuenta las especificidades de las entidades financieras a la hora de establecer plazos para las obligaciones de notificaci\u00f3n.<\/p>\n\n\n\n

(54) El presente Reglamento debe exigir a las entidades de cr\u00e9dito, las entidades de pago, los proveedores de servicios de informaci\u00f3n sobre cuentas y las entidades de dinero electr\u00f3nico que notifiquen todos los incidentes operativos o relacionados con la seguridad de los pagos -notificados previamente en virtud de la Directiva (UE) 2015\/2366-, con independencia de la naturaleza TIC del incidente.<\/p>\n\n\n\n

(55) Debe encargarse a las AES que eval\u00faen la viabilidad y las condiciones de una posible centralizaci\u00f3n de las notificaciones de incidentes relacionados con las TIC a nivel de la Uni\u00f3n. Dicha centralizaci\u00f3n podr\u00eda consistir en un \u00fanico centro de la UE para la notificaci\u00f3n de incidentes graves relacionados con las TIC que recibiera directamente las notificaciones pertinentes y las notificara autom\u00e1ticamente a las autoridades nacionales competentes, o que se limitara a centralizar las notificaciones pertinentes enviadas por las autoridades nacionales competentes y cumpliera as\u00ed una funci\u00f3n de coordinaci\u00f3n. Deber\u00eda encargarse a las AES que preparen, en consulta con el BCE y la ENISA, un informe conjunto en el que se estudie la viabilidad de crear un centro \u00fanico de la UE.<\/p>\n\n\n\n

(56) Con el fin de alcanzar un alto nivel de resistencia operativa digital, y en consonancia tanto con las normas internacionales pertinentes (por ejemplo, los Elementos Fundamentales del G7 para las Pruebas de Penetraci\u00f3n Basadas en Amenazas) como con los marcos aplicados en la Uni\u00f3n, como el TIBER-UE, las entidades financieras deben probar peri\u00f3dicamente sus sistemas de TIC y al personal que tenga responsabilidades relacionadas con las TIC en lo que respecta a la eficacia de sus capacidades de prevenci\u00f3n, detecci\u00f3n, respuesta y recuperaci\u00f3n, para descubrir y abordar las posibles vulnerabilidades de las TIC. Para reflejar las diferencias que existen entre los distintos subsectores financieros, y dentro de ellos, en cuanto al nivel de preparaci\u00f3n de las entidades financieras en materia de ciberseguridad, las pruebas deben incluir una amplia variedad de herramientas y acciones, que van desde la evaluaci\u00f3n de los requisitos b\u00e1sicos (por ejemplo, evaluaciones y an\u00e1lisis de vulnerabilidades, an\u00e1lisis de fuentes abiertas, evaluaciones de la seguridad de la red, an\u00e1lisis de deficiencias, revisiones de la seguridad f\u00edsica, cuestionarios y soluciones de software de escaneo, revisiones del c\u00f3digo fuente cuando sea factible, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento o pruebas de extremo a extremo) hasta pruebas m\u00e1s avanzadas mediante TLPT. Estas pruebas avanzadas s\u00f3lo deben exigirse a las entidades financieras que sean lo suficientemente maduras desde el punto de vista de las TIC como para llevarlas a cabo razonablemente. As\u00ed pues, las pruebas de resistencia operativa digital exigidas por el presente Reglamento deben ser m\u00e1s exigentes para las entidades financieras que cumplan los criterios establecidos en el presente Reglamento (por ejemplo, entidades de cr\u00e9dito grandes, sist\u00e9micas y maduras desde el punto de vista de las TIC, bolsas de valores, depositarios centrales de valores y entidades de contrapartida central) que para otras entidades financieras. Al mismo tiempo, las pruebas de resistencia operativa digital mediante TLPT deber\u00edan ser m\u00e1s relevantes para las entidades financieras que operan en subsectores de servicios financieros b\u00e1sicos y desempe\u00f1an un papel sist\u00e9mico (por ejemplo, pagos, banca y compensaci\u00f3n y liquidaci\u00f3n), y menos relevantes para otros subsectores (por ejemplo, gestores de activos y agencias de calificaci\u00f3n crediticia).<\/p>\n\n\n\n

(57) Las entidades financieras que participen en actividades transfronterizas y ejerzan las libertades de establecimiento o de prestaci\u00f3n de servicios dentro de la Uni\u00f3n deben cumplir un \u00fanico conjunto de requisitos de ensayo avanzados (es decir, TLPT) en su Estado miembro de origen, que debe incluir las infraestructuras de TIC en todas las jurisdicciones en las que el grupo financiero transfronterizo opere dentro de la Uni\u00f3n, permitiendo as\u00ed a dichos grupos financieros transfronterizos incurrir en los costes de ensayo de TIC relacionados en una sola jurisdicci\u00f3n.<\/p>\n\n\n\n

(58) Para aprovechar la experiencia ya adquirida por determinadas autoridades competentes, en particular en lo que respecta a la aplicaci\u00f3n del marco TIBER-UE, el presente Reglamento debe permitir a los Estados miembros designar a una \u00fanica autoridad p\u00fablica como responsable en el sector financiero, a escala nacional, de todos los asuntos relacionados con la TLPT, o a las autoridades competentes, delegar, en ausencia de tal designaci\u00f3n, el ejercicio de las tareas relacionadas con la TLPT en otra autoridad nacional competente en materia financiera.<\/p>\n\n\n\n

(59) Dado que el presente Reglamento no exige que las entidades financieras cubran todas las funciones cr\u00edticas o importantes en una \u00fanica prueba de penetraci\u00f3n basada en amenazas, las entidades financieras deben tener libertad para determinar cu\u00e1les y cu\u00e1ntas funciones cr\u00edticas o importantes deben incluirse en el alcance de dicha prueba.<\/p>\n\n\n\n

(60) Las pruebas agrupadas en el sentido del presente Reglamento -que implican la participaci\u00f3n de varias entidades financieras en un TLPT y para las que un proveedor de servicios TIC a terceros puede celebrar directamente acuerdos contractuales con un probador externo- solo deben permitirse cuando se prevea razonablemente que la calidad o la seguridad de los servicios prestados por el proveedor de servicios TIC a terceros a clientes que sean entidades no incluidas en el \u00e1mbito de aplicaci\u00f3n del presente Reglamento, o la confidencialidad de los datos relacionados con dichos servicios, puedan verse afectadas negativamente. Las pruebas agrupadas tambi\u00e9n deben estar sujetas a salvaguardas (direcci\u00f3n por parte de una entidad financiera designada, calibraci\u00f3n del n\u00famero de entidades financieras participantes) para garantizar un ejercicio de pruebas riguroso para las entidades financieras implicadas que cumplan los objetivos del TLPT de conformidad con el presente Reglamento.<\/p>\n\n\n\n

(61) Con el fin de aprovechar los recursos internos disponibles a nivel corporativo, el presente Reglamento debe permitir el uso de evaluadores internos a efectos de la realizaci\u00f3n del TLPT, siempre que exista la aprobaci\u00f3n del supervisor, no haya conflictos de intereses y se produzca una alternancia peri\u00f3dica del uso de evaluadores internos y externos (cada tres pruebas), al tiempo que exige que el proveedor de la inteligencia sobre amenazas en el TLPT sea siempre externo a la entidad financiera. La responsabilidad de llevar a cabo el TLPT debe seguir recayendo plenamente en la entidad financiera. Las certificaciones proporcionadas por las autoridades deben ser \u00fanicamente a efectos de reconocimiento mutuo y no deben excluir ninguna acci\u00f3n de seguimiento necesaria para abordar el riesgo de las TIC al que est\u00e1 expuesta la entidad financiera, ni deben considerarse como un respaldo de supervisi\u00f3n de las capacidades de gesti\u00f3n y mitigaci\u00f3n del riesgo de las TIC de una entidad financiera.<\/p>\n\n\n\n

(62) Para garantizar una supervisi\u00f3n s\u00f3lida del riesgo de las TIC frente a terceros en el sector financiero, es necesario establecer un conjunto de normas basadas en principios que sirvan de gu\u00eda a las entidades financieras a la hora de supervisar el riesgo que surge en el contexto de las funciones externalizadas a terceros proveedores de servicios de TIC, en particular para los servicios de TIC que apoyan funciones cr\u00edticas o importantes, as\u00ed como, de manera m\u00e1s general, en el contexto de todas las dependencias de las TIC frente a terceros.<\/p>\n\n\n\n

(63) A fin de abordar la complejidad de las diversas fuentes de riesgo en materia de TIC, teniendo en cuenta al mismo tiempo la multitud y diversidad de proveedores de soluciones tecnol\u00f3gicas que permiten una prestaci\u00f3n fluida de servicios financieros, el presente Reglamento debe abarcar una amplia gama de proveedores de servicios de TIC a terceros, incluidos los proveedores de servicios de computaci\u00f3n en nube, programas inform\u00e1ticos, servicios de an\u00e1lisis de datos y proveedores de servicios de centros de datos. Del mismo modo, dado que las entidades financieras deben identificar y gestionar de manera efectiva y coherente todos los tipos de riesgo, incluso en el contexto de los servicios de TIC adquiridos dentro de un grupo financiero, debe aclararse que las empresas que formen parte de un grupo financiero y presten servicios de TIC predominantemente a su empresa matriz, o a filiales o sucursales de su empresa matriz, as\u00ed como las entidades financieras que presten servicios de TIC a otras entidades financieras, tambi\u00e9n deben considerarse proveedores de servicios de TIC a terceros con arreglo al presente Reglamento. Por \u00faltimo, a la luz de la evoluci\u00f3n del mercado de servicios de pago, cada vez m\u00e1s dependiente de soluciones t\u00e9cnicas complejas, y en vista de los nuevos tipos de servicios de pago y soluciones relacionadas con los pagos, los participantes en el ecosistema de servicios de pago que presten actividades de procesamiento de pagos o exploten infraestructuras de pago tambi\u00e9n deben considerarse proveedores de servicios de TIC en calidad de terceros con arreglo al presente Reglamento, con excepci\u00f3n de los bancos centrales cuando exploten sistemas de pago o de liquidaci\u00f3n de valores, y de las autoridades p\u00fablicas cuando presten servicios relacionados con las TIC en el contexto del cumplimiento de funciones estatales.<\/p>\n\n\n\n

(64) Una entidad financiera debe seguir siendo en todo momento plenamente responsable del cumplimiento de sus obligaciones establecidas en el presente Reglamento. Las entidades financieras deben aplicar un enfoque proporcionado a la supervisi\u00f3n de los riesgos que surjan a nivel de los terceros proveedores de servicios de TIC, considerando debidamente la naturaleza, escala, complejidad e importancia de sus dependencias relacionadas con las TIC, la criticidad o importancia de los servicios, procesos o funciones sujetos a los acuerdos contractuales y, en \u00faltima instancia, sobre la base de una evaluaci\u00f3n cuidadosa de cualquier impacto potencial en la continuidad y calidad de los servicios financieros a nivel individual y de grupo, seg\u00fan proceda.<\/p>\n\n\n\n

(65) La realizaci\u00f3n de dicha supervisi\u00f3n debe seguir un enfoque estrat\u00e9gico del riesgo de terceros en el \u00e1mbito de las TIC formalizado mediante la adopci\u00f3n por el \u00f3rgano de direcci\u00f3n de la entidad financiera de una estrategia espec\u00edfica de riesgo de terceros en el \u00e1mbito de las TIC, basada en un examen continuo de todas las dependencias de terceros en el \u00e1mbito de las TIC. Para aumentar el conocimiento de los supervisores sobre las dependencias de terceros en materia de TIC, y con vistas a seguir apoyando el trabajo en el contexto del Marco de Supervisi\u00f3n establecido por el presente Reglamento, debe exigirse a todas las entidades financieras que mantengan un registro de informaci\u00f3n con todos los acuerdos contractuales sobre el uso de servicios de TIC prestados por terceros proveedores de servicios de TIC. Los supervisores financieros deben poder solicitar el registro completo, o pedir secciones espec\u00edficas del mismo, y obtener as\u00ed informaci\u00f3n esencial para adquirir una comprensi\u00f3n m\u00e1s amplia de las dependencias en materia de TIC de las entidades financieras.<\/p>\n\n\n\n

(66) Un an\u00e1lisis exhaustivo previo a la contrataci\u00f3n debe sustentar y preceder a la celebraci\u00f3n formal de los acuerdos contractuales, en particular centr\u00e1ndose en elementos como el car\u00e1cter cr\u00edtico o la importancia de los servicios respaldados por el contrato de TIC previsto, las autorizaciones de supervisi\u00f3n necesarias u otras condiciones, el posible riesgo de concentraci\u00f3n que conlleve, as\u00ed como aplicando la diligencia debida en el proceso de selecci\u00f3n y evaluaci\u00f3n de los terceros proveedores de servicios de TIC y evaluando los posibles conflictos de intereses. En el caso de los acuerdos contractuales relativos a funciones cr\u00edticas o importantes, las entidades financieras deben tener en cuenta el uso por parte de los terceros proveedores de servicios de TIC de las normas de seguridad de la informaci\u00f3n m\u00e1s actualizadas y exigentes. La rescisi\u00f3n de los acuerdos contractuales podr\u00eda estar motivada, como m\u00ednimo, por una serie de circunstancias que muestren deficiencias a nivel del proveedor de servicios de TIC a terceros, en particular infracciones significativas de la legislaci\u00f3n o de las cl\u00e1usulas contractuales, circunstancias que revelen una posible alteraci\u00f3n del desempe\u00f1o de las funciones previstas en los acuerdos contractuales, pruebas de deficiencias del proveedor de servicios de TIC a terceros en su gesti\u00f3n global del riesgo de las TIC, o circunstancias que indiquen la incapacidad de la autoridad competente pertinente para supervisar eficazmente a la entidad financiera.<\/p>\n\n\n\n

(67) Para hacer frente al impacto sist\u00e9mico del riesgo de concentraci\u00f3n de las TIC en terceros, el presente Reglamento promueve una soluci\u00f3n equilibrada mediante la adopci\u00f3n de un enfoque flexible y gradual de dicho riesgo de concentraci\u00f3n, ya que la imposici\u00f3n de l\u00edmites r\u00edgidos o limitaciones estrictas podr\u00eda obstaculizar el desarrollo de la actividad empresarial y restringir la libertad contractual. Las entidades financieras deben evaluar a fondo sus acuerdos contractuales previstos para identificar la probabilidad de que surja dicho riesgo, incluso mediante an\u00e1lisis en profundidad de los acuerdos de subcontrataci\u00f3n, en particular cuando se celebren con terceros proveedores de servicios de TIC establecidos en un tercer pa\u00eds. En esta fase, y con vistas a lograr un justo equilibrio entre el imperativo de preservar la libertad contractual y el de garantizar la estabilidad financiera, no se considera apropiado establecer normas sobre topes y l\u00edmites estrictos a las exposiciones de terceros en el \u00e1mbito de las TIC. En el contexto del marco de supervisi\u00f3n, un supervisor principal, designado de conformidad con el presente Reglamento, debe, con respecto a los terceros proveedores de servicios de TIC cr\u00edticos, prestar especial atenci\u00f3n a comprender plenamente la magnitud de las interdependencias, descubrir los casos espec\u00edficos en los que un alto grado de concentraci\u00f3n de terceros proveedores de servicios de TIC cr\u00edticos en la Uni\u00f3n pueda poner en peligro la estabilidad y la integridad del sistema financiero de la Uni\u00f3n y mantener un di\u00e1logo con los terceros proveedores de servicios de TIC cr\u00edticos cuando se identifique ese riesgo espec\u00edfico.<\/p>\n\n\n\n

(68) A fin de evaluar y supervisar peri\u00f3dicamente la capacidad de un proveedor de servicios de TIC en calidad de tercero para prestar servicios de forma segura a una entidad financiera sin efectos adversos en la resistencia operativa digital de la entidad financiera, deben armonizarse varios elementos contractuales clave con los proveedores de servicios de TIC en calidad de terceros. Dicha armonizaci\u00f3n debe cubrir \u00e1reas m\u00ednimas que son cruciales para permitir una supervisi\u00f3n completa por parte de la entidad financiera de los riesgos que podr\u00edan surgir del proveedor de servicios de TIC a terceros, desde la perspectiva de la necesidad de una entidad financiera de asegurar su resistencia digital, ya que depende profundamente de la estabilidad, funcionalidad, disponibilidad y seguridad de los servicios de TIC recibidos.<\/p>\n\n\n\n

(69) A la hora de renegociar los acuerdos contractuales para buscar la alineaci\u00f3n con los requisitos del presente Reglamento, las entidades financieras y los terceros proveedores de servicios de TIC deben garantizar la cobertura de las disposiciones contractuales clave previstas en el presente Reglamento.<\/p>\n\n\n\n

(70) La definici\u00f3n de \"funci\u00f3n cr\u00edtica o importante\" prevista en el presente Reglamento abarca las \"funciones cr\u00edticas\" definidas en el art\u00edculo 2, apartado 1, punto 35, de la Directiva 2014\/59\/UE del Parlamento Europeo y del Consejo (20). Por consiguiente, las funciones consideradas cr\u00edticas con arreglo a la Directiva 2014\/59\/UE se incluyen en la definici\u00f3n de funciones cr\u00edticas en el sentido del presente Reglamento.<\/p>\n\n\n\n

(71) Con independencia de la criticidad o importancia de la funci\u00f3n respaldada por los servicios de TIC, los acuerdos contractuales deben prever, en particular, una especificaci\u00f3n de las descripciones completas de las funciones y servicios, de los lugares en los que se prestan dichas funciones y en los que se van a tratar los datos, as\u00ed como una indicaci\u00f3n de las descripciones de los niveles de servicio. Otros elementos esenciales para permitir la supervisi\u00f3n por parte de una entidad financiera del riesgo de terceros en materia de TIC son: disposiciones contractuales que especifiquen c\u00f3mo garantiza el proveedor de servicios de TIC a terceros la accesibilidad, disponibilidad, integridad, seguridad y protecci\u00f3n de los datos personales, disposiciones que establezcan las garant\u00edas pertinentes para permitir el acceso, la recuperaci\u00f3n y la devoluci\u00f3n de los datos en caso de insolvencia, resoluci\u00f3n o interrupci\u00f3n de las operaciones comerciales del proveedor de servicios de TIC a terceros, as\u00ed como disposiciones que exijan al proveedor de servicios de TIC a terceros prestar asistencia en caso de incidentes de TIC en relaci\u00f3n con los servicios prestados, sin coste adicional o a un coste determinado ex ante; disposiciones sobre la obligaci\u00f3n del proveedor de servicios TIC a terceros de cooperar plenamente con las autoridades competentes y las autoridades de resoluci\u00f3n de la entidad financiera; y disposiciones sobre los derechos de rescisi\u00f3n y los plazos m\u00ednimos de preaviso correspondientes para la rescisi\u00f3n de los acuerdos contractuales, de conformidad con las expectativas de las autoridades competentes y las autoridades de resoluci\u00f3n.<\/p>\n\n\n\n

(72) Adem\u00e1s de estas disposiciones contractuales, y con vistas a garantizar que las entidades financieras mantengan el pleno control de todos los acontecimientos que se produzcan a nivel de terceros y que puedan menoscabar su seguridad en materia de TIC, los contratos para la prestaci\u00f3n de servicios de TIC que apoyen funciones cr\u00edticas o importantes tambi\u00e9n deben prever lo siguiente la especificaci\u00f3n de las descripciones completas del nivel de servicio, con objetivos de rendimiento cuantitativos y cualitativos precisos, para permitir sin demora indebida la adopci\u00f3n de medidas correctoras adecuadas cuando no se cumplan los niveles de servicio acordados; los plazos de notificaci\u00f3n pertinentes y las obligaciones de informaci\u00f3n del proveedor de servicios TIC a terceros en caso de que se produzcan acontecimientos con un impacto material potencial en la capacidad del proveedor de servicios TIC a terceros para prestar eficazmente sus respectivos servicios TIC; el requisito de que el proveedor de servicios TIC a terceros aplique y pruebe planes de contingencia empresariales y disponga de medidas, herramientas y pol\u00edticas de seguridad de las TIC que permitan la prestaci\u00f3n segura de servicios, y participe y coopere plenamente en el TLPT llevado a cabo por la entidad financiera.<\/p>\n\n\n\n

(73) Los contratos para la prestaci\u00f3n de servicios de TIC que apoyen funciones cr\u00edticas o importantes tambi\u00e9n deben contener disposiciones que permitan los derechos de acceso, inspecci\u00f3n y auditor\u00eda por parte de la entidad financiera, o de un tercero designado, y el derecho a hacer copias como instrumentos cruciales en la supervisi\u00f3n continua por parte de las entidades financieras del rendimiento del proveedor de servicios TIC tercero, junto con la plena cooperaci\u00f3n del proveedor de servicios durante las inspecciones. Del mismo modo, la autoridad competente de la entidad financiera debe tener derecho, sobre la base de notificaciones, a inspeccionar y auditar al proveedor de servicios de TIC tercero, sin perjuicio de la protecci\u00f3n de la informaci\u00f3n confidencial.<\/p>\n\n\n\n

(74) Dichos acuerdos contractuales tambi\u00e9n deben prever estrategias de salida espec\u00edficas para permitir, en particular, per\u00edodos de transici\u00f3n obligatorios durante los cuales los terceros proveedores de servicios de TIC deben seguir prestando los servicios pertinentes con vistas a reducir el riesgo de interrupciones a nivel de la entidad financiera, o para permitir a esta \u00faltima cambiar efectivamente al uso de otros terceros proveedores de servicios de TIC o, alternativamente, cambiar a soluciones internas, en consonancia con la complejidad de los servicios prestados. Servicio TICServicio TIC<\/span> Se entiende un servicio que consiste total o principalmente en la transmisi\u00f3n, el almacenamiento, la recuperaci\u00f3n o el tratamiento de informaci\u00f3n por medio de redes y sistemas de informaci\u00f3n - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto (13), Reglamento (UE) 2019\/881<\/span><\/span><\/span>. Adem\u00e1s, las entidades financieras incluidas en el \u00e1mbito de aplicaci\u00f3n de la Directiva 2014\/59\/UE deben garantizar que los contratos pertinentes de servicios de TIC sean s\u00f3lidos y plenamente ejecutables en caso de resoluci\u00f3n de dichas entidades financieras. Por lo tanto, en consonancia con las expectativas de las autoridades de resoluci\u00f3n, dichas entidades financieras deben garantizar que los contratos pertinentes de servicios de TIC sean resistentes a la resoluci\u00f3n. Mientras sigan cumpliendo sus obligaciones de pago, dichas entidades financieras deben garantizar, entre otros requisitos, que los contratos pertinentes de servicios de TIC contengan cl\u00e1usulas de no rescisi\u00f3n, no suspensi\u00f3n y no modificaci\u00f3n por motivos de reestructuraci\u00f3n o resoluci\u00f3n.<\/p>\n\n\n\n

(75) Por otra parte, el uso voluntario de cl\u00e1usulas contractuales tipo desarrolladas por las autoridades p\u00fablicas o las instituciones de la Uni\u00f3n, en particular el uso de cl\u00e1usulas contractuales desarrolladas por la Comisi\u00f3n para los servicios de computaci\u00f3n en nube, podr\u00eda proporcionar una mayor comodidad a las entidades financieras y a los terceros proveedores de servicios de TIC, al mejorar su nivel de seguridad jur\u00eddica en relaci\u00f3n con el uso de servicios de computaci\u00f3n en nube en el sector financiero, en plena consonancia con los requisitos y expectativas establecidos por la legislaci\u00f3n de la Uni\u00f3n en materia de servicios financieros. El desarrollo de cl\u00e1usulas contractuales tipo se basa en medidas ya previstas en el Plan de Acci\u00f3n Fintech de 2018, que anunciaba la intenci\u00f3n de la Comisi\u00f3n de fomentar y facilitar el desarrollo de cl\u00e1usulas contractuales tipo para el uso de la externalizaci\u00f3n de servicios de computaci\u00f3n en nube por parte de las entidades financieras, aprovechando los esfuerzos intersectoriales de las partes interesadas en los servicios de computaci\u00f3n en nube, que la Comisi\u00f3n ha facilitado con la ayuda de la participaci\u00f3n del sector financiero.<\/p>\n\n\n\n

(76) Con vistas a promover la convergencia y la eficiencia en relaci\u00f3n con los enfoques de supervisi\u00f3n al abordar el riesgo de terceros en el \u00e1mbito de las TIC en el sector financiero, as\u00ed como a reforzar la resistencia operativa digital de las entidades financieras que dependen de terceros proveedores de servicios de TIC cr\u00edticos para la prestaci\u00f3n de servicios de TIC que apoyan la prestaci\u00f3n de servicios financieros, y contribuir as\u00ed a preservar la estabilidad del sistema financiero de la Uni\u00f3n y la integridad del mercado interior de servicios financieros, los terceros proveedores de servicios de TIC cr\u00edticos deben estar sujetos a un Marco de Supervisi\u00f3n de la Uni\u00f3n. Si bien la creaci\u00f3n del Marco de Supervisi\u00f3n se justifica por el valor a\u00f1adido de actuar a escala de la Uni\u00f3n y en virtud del papel inherente y las especificidades del uso de los servicios de TIC en la prestaci\u00f3n de servicios financieros, debe recordarse, al mismo tiempo, que esta soluci\u00f3n solo parece adecuada en el contexto del presente Reglamento, que trata espec\u00edficamente de la resistencia operativa digital en el sector financiero. Sin embargo, dicho marco de supervisi\u00f3n no debe considerarse un nuevo modelo para la supervisi\u00f3n de la Uni\u00f3n en otros \u00e1mbitos de los servicios y actividades financieros.<\/p>\n\n\n\n

(77) El Marco de Supervisi\u00f3n debe aplicarse \u00fanicamente a los terceros proveedores de servicios de TIC cr\u00edticos. Por consiguiente, debe existir un mecanismo de designaci\u00f3n que tenga en cuenta la dimensi\u00f3n y la naturaleza de la dependencia del sector financiero de dichos terceros proveedores de servicios de TIC. Dicho mecanismo debe implicar un conjunto de criterios cuantitativos y cualitativos para establecer los par\u00e1metros de criticidad como base para la inclusi\u00f3n en el Marco de Supervisi\u00f3n. A fin de garantizar la exactitud de dicha evaluaci\u00f3n, e independientemente de la estructura corporativa del proveedor de servicios de TIC en calidad de tercero, dichos criterios deben tener en cuenta, en el caso de un proveedor de servicios de TIC en calidad de tercero que forme parte de un grupo m\u00e1s amplio, toda la estructura del grupo del proveedor de servicios de TIC en calidad de tercero. Por una parte, los terceros proveedores de servicios de TIC cr\u00edticos, que no sean designados autom\u00e1ticamente en virtud de la aplicaci\u00f3n de dichos criterios, deben tener la posibilidad de optar voluntariamente por el marco de supervisi\u00f3n; por otra parte, los terceros proveedores de servicios de TIC que ya est\u00e9n sujetos a marcos de mecanismos de supervisi\u00f3n que apoyen el cumplimiento de las funciones del Sistema Europeo de Bancos Centrales a que se refiere el art\u00edculo 127, apartado 2, del TFUE, deben quedar exentos.<\/p>\n\n\n\n

(78) Del mismo modo, las entidades financieras que presten servicios de TIC a otras entidades financieras, aunque pertenezcan a la categor\u00eda de proveedores de servicios de TIC en calidad de terceros con arreglo al presente Reglamento, tambi\u00e9n deben quedar exentas del Marco de Supervisi\u00f3n, puesto que ya est\u00e1n sujetas a los mecanismos de supervisi\u00f3n establecidos por la legislaci\u00f3n pertinente de la Uni\u00f3n en materia de servicios financieros. Cuando proceda, las autoridades competentes deben tener en cuenta, en el contexto de sus actividades de supervisi\u00f3n, el riesgo en materia de TIC que suponen para las entidades financieras las entidades financieras que prestan servicios de TIC. Asimismo, debido a los mecanismos de supervisi\u00f3n de riesgos existentes a nivel de grupo, debe introducirse la misma exenci\u00f3n para los terceros proveedores de servicios de TIC que presten servicios predominantemente a las entidades de su propio grupo. Los terceros prestadores de servicios de TIC que presten servicios de TIC \u00fanicamente en un Estado miembro a entidades financieras que solo operen en ese Estado miembro tambi\u00e9n deben quedar exentos del mecanismo de designaci\u00f3n debido a sus actividades limitadas y a la falta de impacto transfronterizo.<\/p>\n\n\n\n

(79) La transformaci\u00f3n digital experimentada en los servicios financieros ha dado lugar a un nivel sin precedentes de uso y dependencia de los servicios de TIC. Dado que se ha hecho inconcebible prestar servicios financieros sin utilizar servicios de computaci\u00f3n en nube, soluciones inform\u00e1ticas y servicios relacionados con los datos, el ecosistema financiero de la Uni\u00f3n se ha hecho intr\u00ednsecamente codependiente de determinados servicios de TIC prestados por proveedores de servicios de TIC. Algunos de estos proveedores, innovadores en el desarrollo y la aplicaci\u00f3n de tecnolog\u00edas basadas en las TIC, desempe\u00f1an un papel importante en la prestaci\u00f3n de servicios financieros o se han integrado en la cadena de valor de los servicios financieros. Se han convertido as\u00ed en elementos cr\u00edticos para la estabilidad e integridad del sistema financiero de la Uni\u00f3n. Esta dependencia generalizada de los servicios prestados por terceros proveedores de servicios de TIC cr\u00edticos, combinada con la interdependencia de los sistemas de informaci\u00f3n de varios operadores del mercado, crea un riesgo directo, y potencialmente grave, para el sistema de servicios financieros de la Uni\u00f3n y para la continuidad de la prestaci\u00f3n de servicios financieros si los terceros proveedores de servicios de TIC cr\u00edticos se vieran afectados por interrupciones operativas o incidentes cibern\u00e9ticos graves. Los incidentes cibern\u00e9ticos tienen una capacidad distintiva para multiplicarse y propagarse por todo el sistema financiero a un ritmo considerablemente m\u00e1s r\u00e1pido que otros tipos de riesgos vigilados en el sector financiero y pueden extenderse a trav\u00e9s de los sectores y m\u00e1s all\u00e1 de las fronteras geogr\u00e1ficas. Tienen el potencial de evolucionar hacia una crisis sist\u00e9mica, en la que la confianza en el sistema financiero se ha visto erosionada debido a la interrupci\u00f3n de las funciones de apoyo a la econom\u00eda real, o a p\u00e9rdidas financieras sustanciales, alcanzando un nivel que el sistema financiero es incapaz de soportar, o que requiere el despliegue de fuertes medidas de absorci\u00f3n de impactos. Para evitar que estas situaciones se produzcan y pongan as\u00ed en peligro la estabilidad y la integridad financieras de la Uni\u00f3n, es esencial facilitar la convergencia de las pr\u00e1cticas de supervisi\u00f3n relativas al riesgo de terceros en el \u00e1mbito de las TIC en las finanzas, en particular mediante nuevas normas que permitan la supervisi\u00f3n por la Uni\u00f3n de los proveedores de servicios cr\u00edticos de terceros en el \u00e1mbito de las TIC.<\/p>\n\n\n\n

(80) El marco de supervisi\u00f3n depende en gran medida del grado de colaboraci\u00f3n entre el supervisor principal y el proveedor de servicios cr\u00edticos de TIC a terceros que presta a las entidades financieras servicios que afectan a la prestaci\u00f3n de servicios financieros. El \u00e9xito de la supervisi\u00f3n se basa, entre otras cosas, en la capacidad del Supervisor Principal para llevar a cabo eficazmente misiones de supervisi\u00f3n e inspecciones con el fin de evaluar las normas, controles y procesos utilizados por los proveedores de servicios de terceros de TIC cr\u00edticos, as\u00ed como para evaluar el posible impacto acumulativo de sus actividades sobre la estabilidad financiera y la integridad del sistema financiero. Al mismo tiempo, es crucial que los proveedores de servicios cr\u00edticos de TIC a terceros sigan las recomendaciones del supervisor principal y aborden sus preocupaciones. Dado que la falta de cooperaci\u00f3n por parte de un proveedor de servicios de terceros de TIC cr\u00edticos que preste servicios que afecten a la prestaci\u00f3n de servicios financieros, como la negativa a permitir el acceso a sus locales o a presentar informaci\u00f3n, privar\u00eda en \u00faltima instancia al Supervisor principal de sus herramientas esenciales para evaluar el riesgo de terceros de TIC, y podr\u00eda afectar negativamente a la estabilidad financiera y a la integridad del sistema financiero, es necesario prever tambi\u00e9n un r\u00e9gimen sancionador proporcionado.<\/p>\n\n\n\n

(81) En este contexto, la necesidad de que el supervisor principal imponga multas coercitivas para obligar a los proveedores de servicios cr\u00edticos de TIC en calidad de terceros a cumplir las obligaciones en materia de transparencia y acceso establecidas en el presente Reglamento no debe verse comprometida por las dificultades que plantee la ejecuci\u00f3n de dichas multas coercitivas en relaci\u00f3n con los proveedores de servicios cr\u00edticos de TIC en calidad de terceros establecidos en terceros pa\u00edses. A fin de garantizar la ejecutabilidad de dichas sanciones y permitir un r\u00e1pido despliegue de los procedimientos que defienden los derechos de defensa de los proveedores de servicios cr\u00edticos de TIC en calidad de terceros en el contexto del mecanismo de designaci\u00f3n y la emisi\u00f3n de recomendaciones, debe exigirse a dichos proveedores de servicios cr\u00edticos de TIC en calidad de terceros, que prestan servicios a entidades financieras que afectan a la prestaci\u00f3n de servicios financieros, que mantengan una presencia empresarial adecuada en la Uni\u00f3n. Debido a la naturaleza de la supervisi\u00f3n, y a la ausencia de acuerdos comparables en otras jurisdicciones, no existen mecanismos alternativos adecuados que garanticen este objetivo mediante una cooperaci\u00f3n efectiva con los supervisores financieros de terceros pa\u00edses en relaci\u00f3n con el seguimiento del impacto de los riesgos operativos digitales que plantean los proveedores de servicios sist\u00e9micos de TIC en calidad de proveedores de servicios cr\u00edticos de TIC en calidad de terceros proveedores establecidos en terceros pa\u00edses. Por consiguiente, a fin de seguir prestando servicios de TIC a entidades financieras de la Uni\u00f3n, un proveedor de servicios de TIC en calidad de tercero establecido en un tercer pa\u00eds que haya sido designado como cr\u00edtico de conformidad con el presente Reglamento debe adoptar, en un plazo de 12 meses a partir de dicha designaci\u00f3n, todas las medidas necesarias para garantizar su incorporaci\u00f3n a la Uni\u00f3n, mediante la creaci\u00f3n de una filial, tal como se define en el acervo de la Uni\u00f3n, a saber, en la Directiva 2013\/34\/UE del Parlamento Europeo y del Consejo (21).<\/p>\n\n\n\n

(82) El requisito de crear una filial en la Uni\u00f3n no debe impedir que el proveedor de servicios cr\u00edticos de TIC a terceros preste servicios de TIC y el correspondiente apoyo t\u00e9cnico desde instalaciones e infraestructuras situadas fuera de la Uni\u00f3n. El presente Reglamento no impone una obligaci\u00f3n de localizaci\u00f3n de datos, ya que no exige que el almacenamiento o el tratamiento de datos se realice en la Uni\u00f3n.<\/p>\n\n\n\n

(83) Los proveedores de servicios cr\u00edticos de TIC en calidad de terceros deben poder prestar servicios de TIC desde cualquier lugar del mundo, no necesariamente o no solo desde locales situados en la Uni\u00f3n. Las actividades de supervisi\u00f3n deben llevarse a cabo en primer lugar en locales situados en la Uni\u00f3n e interactuando con entidades situadas en la Uni\u00f3n, incluidas las filiales establecidas por los proveedores de servicios cr\u00edticos de TIC en calidad de terceros con arreglo al presente Reglamento. Sin embargo, estas actuaciones dentro de la Uni\u00f3n podr\u00edan ser insuficientes para que el Supervisor Principal desempe\u00f1e plena y eficazmente sus funciones con arreglo al presente Reglamento. Por consiguiente, el supervisor principal debe poder ejercer tambi\u00e9n sus competencias de supervisi\u00f3n pertinentes en terceros pa\u00edses. El ejercicio de estas competencias en terceros pa\u00edses debe permitir al Supervisor Principal examinar las instalaciones desde las que el proveedor tercero de servicios de TIC cr\u00edticos presta o gestiona realmente los servicios de TIC o los servicios de apoyo t\u00e9cnico, y debe proporcionar al Supervisor Principal una comprensi\u00f3n completa y operativa de la gesti\u00f3n de riesgos en materia de TIC del proveedor tercero de servicios de TIC cr\u00edticos. La posibilidad de que el Supervisor Principal, como agencia de la Uni\u00f3n, ejerza competencias fuera del territorio de la Uni\u00f3n debe estar debidamente enmarcada por las condiciones pertinentes, en particular el consentimiento del proveedor de servicios TIC cr\u00edticos en cuesti\u00f3n. Del mismo modo, las autoridades pertinentes del tercer pa\u00eds deben ser informadas del ejercicio en su propio territorio de las actividades del Supervisor Principal y no oponerse a ello. No obstante, a fin de garantizar una aplicaci\u00f3n eficaz, y sin perjuicio de las competencias respectivas de las instituciones de la Uni\u00f3n y de los Estados miembros, dichas facultades tambi\u00e9n deben estar plenamente ancladas en la celebraci\u00f3n de acuerdos de cooperaci\u00f3n administrativa con las autoridades pertinentes del tercer pa\u00eds de que se trate. Por consiguiente, el presente Reglamento debe permitir a las AES celebrar acuerdos de cooperaci\u00f3n administrativa con las autoridades pertinentes de terceros pa\u00edses, que no deben crear obligaciones jur\u00eddicas respecto de la Uni\u00f3n y sus Estados miembros.<\/p>\n\n\n\n

(84) Para facilitar la comunicaci\u00f3n con el supervisor principal y garantizar una representaci\u00f3n adecuada, los proveedores de servicios cr\u00edticos de TIC a terceros que formen parte de un grupo deber\u00e1n designar a una persona jur\u00eddica como punto de coordinaci\u00f3n.<\/p>\n\n\n\n

(85) El marco de supervisi\u00f3n debe entenderse sin perjuicio de la competencia de los Estados miembros para llevar a cabo sus propias misiones de supervisi\u00f3n o control con respecto a terceros proveedores de servicios de TIC que no hayan sido designados como cr\u00edticos con arreglo al presente Reglamento, pero que se consideren importantes a nivel nacional.<\/p>\n\n\n\n

(86) Para aprovechar la arquitectura institucional a varios niveles en el \u00e1mbito de los servicios financieros, el Comit\u00e9 Mixto de las AES debe seguir garantizando la coordinaci\u00f3n intersectorial general en relaci\u00f3n con todas las cuestiones relativas al riesgo de las TIC, de conformidad con sus tareas en materia de ciberseguridad. Debe contar con el apoyo de un nuevo Subcomit\u00e9 (el \"Foro de Supervisi\u00f3n\") que lleve a cabo los trabajos preparatorios tanto para las decisiones individuales dirigidas a los terceros proveedores de servicios de TIC cr\u00edticos, como para la emisi\u00f3n de recomendaciones colectivas, en particular en relaci\u00f3n con la evaluaci\u00f3n comparativa de los programas de supervisi\u00f3n de terceros proveedores de servicios de TIC cr\u00edticos, y la identificaci\u00f3n de las mejores pr\u00e1cticas para abordar los problemas de riesgo de concentraci\u00f3n de las TIC.<\/p>\n\n\n\n

(87) Para garantizar que los proveedores de servicios cr\u00edticos de TIC en calidad de terceros sean supervisados adecuada y eficazmente a escala de la Uni\u00f3n, el presente Reglamento prev\u00e9 que cualquiera de las tres AES pueda ser designada Supervisor Principal. La asignaci\u00f3n individual de un proveedor de servicios cr\u00edticos de TIC en calidad de tercero a una de las tres AES debe resultar de una evaluaci\u00f3n de la preponderancia de las entidades financieras que operan en los sectores financieros para los que dicha AES tiene responsabilidades. Este planteamiento debe conducir a una asignaci\u00f3n equilibrada de tareas y responsabilidades entre las tres AES, en el contexto del ejercicio de las funciones de supervisi\u00f3n, y debe aprovechar al m\u00e1ximo los recursos humanos y los conocimientos t\u00e9cnicos disponibles en cada una de las tres AES.<\/p>\n\n\n\n

(88) Deben otorgarse a los Supervisores Principales las competencias necesarias para llevar a cabo investigaciones, realizar inspecciones in situ y a distancia en los locales y ubicaciones de los proveedores de servicios de TIC a terceros cr\u00edticos y obtener informaci\u00f3n completa y actualizada. Estas competencias deben permitir al supervisor principal adquirir una visi\u00f3n real del tipo, la dimensi\u00f3n y el impacto del riesgo que plantean los terceros proveedores de TIC para las entidades financieras y, en \u00faltima instancia, para el sistema financiero de la Uni\u00f3n. Confiar a las AES la funci\u00f3n de supervisor principal es un requisito previo para comprender y abordar la dimensi\u00f3n sist\u00e9mica del riesgo de las TIC en las finanzas. El impacto de los proveedores de servicios cr\u00edticos de TIC a terceros en el sector financiero de la Uni\u00f3n y los problemas potenciales causados por el riesgo de concentraci\u00f3n de TIC que conlleva exigen la adopci\u00f3n de un enfoque colectivo a escala de la Uni\u00f3n. La realizaci\u00f3n simult\u00e1nea de m\u00faltiples auditor\u00edas y derechos de acceso, llevadas a cabo por separado por numerosas autoridades competentes, con escasa o nula coordinaci\u00f3n entre ellas, impedir\u00eda a los supervisores financieros obtener una visi\u00f3n completa y exhaustiva del riesgo de terceros en el \u00e1mbito de las TIC en la Uni\u00f3n, al tiempo que crear\u00eda redundancia, carga y complejidad para los proveedores de servicios cr\u00edticos de TIC a terceros si fueran objeto de numerosas solicitudes de supervisi\u00f3n e inspecci\u00f3n.<\/p>\n\n\n\n

(89) Debido al importante impacto de ser designado como cr\u00edtico, el presente Reglamento debe garantizar que se respeten los derechos de los proveedores de servicios cr\u00edticos de TIC a terceros a lo largo de la aplicaci\u00f3n del Marco de Supervisi\u00f3n. Antes de ser designados como cr\u00edticos, dichos proveedores deben, por ejemplo, tener derecho a presentar al Supervisor Jefe una declaraci\u00f3n motivada que contenga cualquier informaci\u00f3n pertinente a efectos de la evaluaci\u00f3n relacionada con su designaci\u00f3n. Dado que el Supervisor Principal debe estar facultado para presentar recomendaciones en materia de riesgos de las TIC y soluciones adecuadas a los mismos, que incluyan la facultad de oponerse a determinados acuerdos contractuales que afecten en \u00faltima instancia a la estabilidad de la entidad financiera o del sistema financiero, los proveedores de servicios de TIC terceros en situaci\u00f3n cr\u00edtica tambi\u00e9n deben tener la oportunidad de proporcionar, antes de la finalizaci\u00f3n de dichas recomendaciones, explicaciones sobre el impacto previsto de las soluciones, contempladas en las recomendaciones, en los clientes que sean entidades que queden fuera del \u00e1mbito de aplicaci\u00f3n del presente Reglamento y de formular soluciones para mitigar los riesgos. Los terceros proveedores de servicios de TIC cr\u00edticos que no est\u00e9n de acuerdo con las recomendaciones deber\u00e1n presentar una explicaci\u00f3n motivada de su intenci\u00f3n de no respaldar la recomendaci\u00f3n. Cuando no se presente dicha explicaci\u00f3n motivada o cuando se considere insuficiente, el supervisor principal debe publicar un anuncio en el que se describa sumariamente el asunto del incumplimiento.<\/p>\n\n\n\n

(90) Las autoridades competentes deben incluir debidamente la tarea de verificar el cumplimiento sustantivo de las recomendaciones emitidas por el Supervisor Principal en sus funciones relativas a la supervisi\u00f3n prudencial de las entidades financieras. Las autoridades competentes deben poder exigir a las entidades financieras que adopten medidas adicionales para hacer frente a los riesgos identificados en las recomendaciones del Supervisor Principal y, en su momento, deben emitir notificaciones a tal efecto. Cuando el supervisor principal dirija sus recomendaciones a proveedores de servicios cr\u00edticos de TIC en calidad de terceros supervisados con arreglo a la Directiva (UE) 2022\/2555, las autoridades competentes deben poder, con car\u00e1cter voluntario y antes de adoptar medidas adicionales, consultar a las autoridades competentes con arreglo a dicha Directiva a fin de fomentar un enfoque coordinado para tratar con los proveedores de servicios cr\u00edticos de TIC en calidad de terceros de que se trate.<\/p>\n\n\n\n

(91) El ejercicio de la supervisi\u00f3n debe guiarse por tres principios operativos destinados a garantizar (a) una estrecha coordinaci\u00f3n entre las AES en sus funciones de Supervisor Principal, a trav\u00e9s de una red de supervisi\u00f3n conjunta (JON), (b) la coherencia con el marco establecido por la Directiva (UE) 2022\/2555 (a trav\u00e9s de una consulta voluntaria de los organismos con arreglo a dicha Directiva para evitar la duplicaci\u00f3n de medidas dirigidas a los proveedores de servicios cr\u00edticos de TIC a terceros), y (c) la aplicaci\u00f3n de diligencia para minimizar el riesgo potencial de interrupci\u00f3n de los servicios prestados por los proveedores de servicios cr\u00edticos de TIC a terceros a clientes que sean entidades que queden fuera del \u00e1mbito de aplicaci\u00f3n del presente Reglamento.<\/p>\n\n\n\n

(92) El marco de supervisi\u00f3n no debe sustituir, en modo alguno ni en parte alguna, a la obligaci\u00f3n de las entidades financieras de gestionar ellas mismas los riesgos que conlleva el uso de terceros proveedores de servicios de TIC, incluida su obligaci\u00f3n de mantener un control permanente de los acuerdos contractuales celebrados con terceros proveedores de servicios de TIC cr\u00edticos. Del mismo modo, el Marco de Supervisi\u00f3n no debe afectar a la plena responsabilidad de las entidades financieras en el cumplimiento y ejecuci\u00f3n de todas las obligaciones legales establecidas en el presente Reglamento y en la legislaci\u00f3n pertinente en materia de servicios financieros.<\/p>\n\n\n\n

(93) Para evitar duplicaciones y solapamientos, las autoridades competentes deben abstenerse de adoptar individualmente medidas destinadas a supervisar los riesgos de los proveedores de servicios cr\u00edticos de TIC a terceros y, a este respecto, deben basarse en la evaluaci\u00f3n del Supervisor Principal pertinente. En cualquier caso, las medidas deber\u00e1n coordinarse y acordarse previamente con el Supervisor Principal en el contexto del ejercicio de las funciones del Marco de Supervisi\u00f3n.<\/p>\n\n\n\n

(94) Para promover la convergencia a escala internacional en lo que respecta al uso de las mejores pr\u00e1cticas en la revisi\u00f3n y el control de la gesti\u00f3n del riesgo digital de los proveedores de servicios de TIC a terceros, debe animarse a las AES a celebrar acuerdos de cooperaci\u00f3n con las autoridades supervisoras y reguladoras pertinentes de terceros pa\u00edses.<\/p>\n\n\n\n

(95) Para aprovechar las competencias espec\u00edficas, los conocimientos t\u00e9cnicos y la experiencia del personal especializado en riesgos operativos y de TIC de las autoridades competentes, las tres AES y, con car\u00e1cter voluntario, las autoridades competentes en virtud de la Directiva (UE) 2022\/2555, el supervisor principal debe basarse en las capacidades y conocimientos nacionales en materia de supervisi\u00f3n y crear equipos de examen espec\u00edficos para cada proveedor de servicios de TIC a terceros en situaci\u00f3n cr\u00edtica, agrupando equipos multidisciplinares en apoyo de la preparaci\u00f3n y ejecuci\u00f3n de las actividades de supervisi\u00f3n, incluidas las investigaciones e inspecciones generales de los proveedores de servicios de TIC a terceros en situaci\u00f3n cr\u00edtica, as\u00ed como para cualquier seguimiento necesario de las mismas.<\/p>\n\n\n\n

(96) Mientras que los costes derivados de las tareas de supervisi\u00f3n se financiar\u00edan \u00edntegramente mediante tasas cobradas a los terceros proveedores de servicios de TIC cr\u00edticos, es probable, sin embargo, que las AES incurran, antes del inicio del marco de supervisi\u00f3n, en costes de aplicaci\u00f3n de sistemas de TIC espec\u00edficos que apoyen la futura supervisi\u00f3n, ya que los sistemas de TIC espec\u00edficos tendr\u00edan que desarrollarse y desplegarse de antemano. Por consiguiente, el presente Reglamento prev\u00e9 un modelo de financiaci\u00f3n h\u00edbrido, seg\u00fan el cual el marco de supervisi\u00f3n, como tal, se financiar\u00eda \u00edntegramente mediante tasas, mientras que el desarrollo de los sistemas de TIC de las AES se financiar\u00eda con cargo a las contribuciones de la Uni\u00f3n y de las autoridades nacionales competentes.<\/p>\n\n\n\n

(97) Las autoridades competentes deben disponer de todas las facultades de supervisi\u00f3n, investigaci\u00f3n y sanci\u00f3n necesarias para garantizar el correcto ejercicio de sus funciones con arreglo al presente Reglamento. En principio, deben publicar anuncios de las sanciones administrativas que impongan. Dado que las entidades financieras y los terceros proveedores de servicios de TIC pueden estar establecidos en distintos Estados miembros y ser supervisados por distintas autoridades competentes, la aplicaci\u00f3n del presente Reglamento debe facilitarse, por una parte, mediante una estrecha cooperaci\u00f3n entre las autoridades competentes pertinentes, incluido el BCE en lo que respecta a las funciones espec\u00edficas que le atribuye el Reglamento (UE) n.\u00ba 1024\/2013 del Consejo, y, por otra, mediante consultas con las AES a trav\u00e9s del intercambio mutuo de informaci\u00f3n y la prestaci\u00f3n de asistencia en el contexto de las actividades de supervisi\u00f3n pertinentes.<\/p>\n\n\n\n

(98) A fin de cuantificar y matizar en mayor medida los criterios para la designaci\u00f3n de los proveedores de servicios de TIC en calidad de cr\u00edticos y armonizar las tasas de supervisi\u00f3n, deben delegarse en la Comisi\u00f3n los poderes para adoptar actos con arreglo al art\u00edculo 290 del TFUE a fin de complementar el presente Reglamento especificando en mayor medida el impacto sist\u00e9mico que un fallo o una interrupci\u00f3n operativa de un proveedor de servicios de TIC en calidad de tercero podr\u00eda tener en las entidades financieras a las que presta servicios de TIC, el n\u00famero de entidades de importancia sist\u00e9mica mundial (EISM), u otras entidades de importancia sist\u00e9mica (OEIS), que dependen del proveedor de servicios de TIC tercero en cuesti\u00f3n, el n\u00famero de proveedores de servicios de TIC tercero activos en un mercado determinado, los costes de migraci\u00f3n de datos y cargas de trabajo de TIC a otros proveedores de servicios de TIC tercero, as\u00ed como el importe de las tasas de supervisi\u00f3n y la forma en que deben abonarse. Reviste especial importancia que la Comisi\u00f3n lleve a cabo las consultas oportunas durante sus trabajos preparatorios, incluso a nivel de expertos, y que dichas consultas se realicen de conformidad con los principios establecidos en el Acuerdo Interinstitucional de 13 de abril de 2016 \"Legislar mejor\" (22). En particular, para garantizar la igualdad de participaci\u00f3n en la preparaci\u00f3n de los actos delegados, el Parlamento Europeo y el Consejo deben recibir todos los documentos al mismo tiempo que los expertos de los Estados miembros, y sus expertos deben tener acceso sistem\u00e1ticamente a las reuniones de los grupos de expertos de la Comisi\u00f3n que se ocupen de la preparaci\u00f3n de los actos delegados.<\/p>\n\n\n\n

(99) Las normas t\u00e9cnicas de regulaci\u00f3n deben garantizar la armonizaci\u00f3n coherente de los requisitos establecidos en el presente Reglamento. En su calidad de organismos dotados de conocimientos altamente especializados, las AES deben elaborar proyectos de normas t\u00e9cnicas de regulaci\u00f3n que no impliquen opciones pol\u00edticas, para su presentaci\u00f3n a la Comisi\u00f3n. Deben elaborarse normas t\u00e9cnicas reglamentarias en los \u00e1mbitos de la gesti\u00f3n de riesgos de las TIC, la notificaci\u00f3n de incidentes graves relacionados con las TIC, los ensayos, as\u00ed como en relaci\u00f3n con los requisitos clave para una supervisi\u00f3n s\u00f3lida del riesgo de las TIC frente a terceros. La Comisi\u00f3n y las AES deben garantizar que esas normas y requisitos puedan ser aplicados por todas las entidades financieras de manera proporcionada a su tama\u00f1o y perfil de riesgo global, y a la naturaleza, escala y complejidad de sus servicios, actividades y operaciones. Deben otorgarse a la Comisi\u00f3n poderes para adoptar esas normas t\u00e9cnicas reglamentarias mediante actos delegados con arreglo al art\u00edculo 290 del TFUE y de conformidad con los art\u00edculos 10 a 14 de los Reglamentos (UE) n\u00ba 1093\/2010, (UE) n\u00ba 1094\/2010 y (UE) n\u00ba 1095\/2010.<\/p>\n\n\n\n

(100) Para facilitar la comparabilidad de las notificaciones de incidentes graves relacionados con las TIC y de incidentes graves relacionados con pagos operativos o de seguridad, as\u00ed como para garantizar la transparencia en relaci\u00f3n con los acuerdos contractuales para el uso de servicios de TIC prestados por terceros proveedores de servicios de TIC, las AES deben elaborar proyectos de normas t\u00e9cnicas de ejecuci\u00f3n que establezcan plantillas, formularios y procedimientos normalizados para que las entidades financieras notifiquen un incidente grave relacionado con las TIC y un incidente grave relacionado con pagos operativos o de seguridad, as\u00ed como plantillas normalizadas para el registro de la informaci\u00f3n. Al elaborar esas normas, las AES deben tener en cuenta el tama\u00f1o y el perfil de riesgo global de la entidad financiera, as\u00ed como la naturaleza, la escala y la complejidad de sus servicios, actividades y operaciones. Conviene conferir competencias a la Comisi\u00f3n para que adopte dichas normas t\u00e9cnicas de ejecuci\u00f3n mediante actos de ejecuci\u00f3n con arreglo al art\u00edculo 291 del TFUE y de conformidad con el art\u00edculo 15 de los Reglamentos (UE) no 1093\/2010, (UE) no 1094\/2010 y (UE) no 1095\/2010.<\/p>\n\n\n\n

(101) Dado que ya se han especificado otros requisitos mediante actos delegados y de ejecuci\u00f3n basados en normas t\u00e9cnicas de regulaci\u00f3n y de ejecuci\u00f3n en los Reglamentos (CE) n\u00ba 1060\/2009 (23), (UE) n\u00ba 648\/2012 (24), (UE) n\u00ba 600\/2014 (25) y (UE) n\u00ba 909\/2014 (26) del Parlamento Europeo y del Consejo, procede encargar a las AES, individualmente o conjuntamente a trav\u00e9s del Comit\u00e9 Mixto, que presenten a la Comisi\u00f3n normas t\u00e9cnicas de regulaci\u00f3n y de ejecuci\u00f3n para la adopci\u00f3n de actos delegados y de ejecuci\u00f3n que incorporen y actualicen las normas existentes sobre gesti\u00f3n de riesgos de las TIC.<\/p>\n\n\n\n

(102) Dado que el presente Reglamento, junto con la Directiva (UE) 2022\/2556 del Parlamento Europeo y del Consejo (27), supone una consolidaci\u00f3n de las disposiciones sobre gesti\u00f3n de riesgos de las TIC en m\u00faltiples reglamentos y directivas del acervo de la Uni\u00f3n en materia de servicios financieros, incluidos los Reglamentos (CE) n.\u00ba 1060\/2009, (UE) n.\u00ba 648\/2012, (UE) n.\u00ba 600\/2014 y (UE) n.\u00ba 909\/2014, y el Reglamento (UE) 2016\/1011 del Parlamento Europeo y del Consejo (28), a fin de garantizar la plena coherencia, dichos Reglamentos deben modificarse para aclarar que las disposiciones aplicables relacionadas con el riesgo de las TIC se establecen en el presente Reglamento.<\/p>\n\n\n\n

(103) En consecuencia, el \u00e1mbito de aplicaci\u00f3n de los art\u00edculos pertinentes relacionados con el riesgo operativo, sobre los que las habilitaciones establecidas en los Reglamentos (CE) n.\u00ba 1060\/2009, (UE) n.\u00ba 648\/2012, (UE) n.\u00ba 600\/2014, (UE) n.\u00ba 909\/2014 y (UE) 2016\/1011 hab\u00edan ordenado la adopci\u00f3n de actos delegados y de ejecuci\u00f3n, debe reducirse con vistas a trasladar al presente Reglamento todas las disposiciones que cubren los aspectos de resiliencia operativa digital que hoy forman parte de dichos Reglamentos.<\/p>\n\n\n\n

(104) El ciberriesgo sist\u00e9mico potencial asociado al uso de infraestructuras de TIC que permiten el funcionamiento de los sistemas de pago y la prestaci\u00f3n de actividades de procesamiento de pagos debe abordarse debidamente a escala de la Uni\u00f3n mediante normas armonizadas de resiliencia digital. A tal efecto, la Comisi\u00f3n debe evaluar r\u00e1pidamente la necesidad de revisar el \u00e1mbito de aplicaci\u00f3n del presente Reglamento, alineando al mismo tiempo dicha revisi\u00f3n con el resultado de la revisi\u00f3n global prevista en virtud de la Directiva (UE) 2015\/2366. Numerosos ataques a gran escala en la \u00faltima d\u00e9cada demuestran c\u00f3mo los sistemas de pago han quedado expuestos a las ciberamenazas. Situados en el centro de la cadena de servicios de pago y mostrando fuertes interconexiones con el sistema financiero global, los sistemas de pago y las actividades de procesamiento de pagos han adquirido una importancia cr\u00edtica para el funcionamiento de los mercados financieros de la Uni\u00f3n. Los ciberataques a estos sistemas pueden causar graves perturbaciones operativas, con repercusiones directas en funciones econ\u00f3micas clave, como la facilitaci\u00f3n de pagos, e indirectas en los procesos econ\u00f3micos conexos. Hasta que se establezca un r\u00e9gimen armonizado y la supervisi\u00f3n de los operadores de sistemas de pago y entidades de procesamiento a escala de la Uni\u00f3n, los Estados miembros podr\u00e1n, con vistas a aplicar pr\u00e1cticas de mercado similares, inspirarse en los requisitos de resistencia operativa digital establecidos por el presente Reglamento, a la hora de aplicar normas a los operadores de sistemas de pago y entidades de procesamiento supervisados bajo sus propias jurisdicciones.<\/p>\n\n\n\n

(105) Dado que el objetivo del presente Reglamento, a saber, lograr un elevado nivel de resistencia operativa digital para las entidades financieras reguladas, no puede ser alcanzado de manera suficiente por los Estados miembros, ya que requiere la armonizaci\u00f3n de diversas normas diferentes del Derecho de la Uni\u00f3n y nacional, sino que, debido a su dimensi\u00f3n y efectos, puede lograrse mejor a escala de la Uni\u00f3n, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el art\u00edculo 5 del Tratado de la Uni\u00f3n Europea. De conformidad con el principio de proporcionalidad enunciado en dicho art\u00edculo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.<\/p>\n\n\n\n

(106) El Supervisor Europeo de Protecci\u00f3n de Datos fue consultado de conformidad con el art\u00edculo 42, apartado 1, del Reglamento (UE) 2018\/1725 del Parlamento Europeo y del Consejo (29) y emiti\u00f3 un dictamen el 10 de mayo de 2021 (30),<\/p>\n\n\n\n

HAN ADOPTADO ESTE REGLAMENTO:<\/p>","protected":false},"excerpt":{"rendered":"

Whereas: of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060\/2009, (EU) No 648\/2012, (EU) No 600\/2014, (EU) No 909\/2014 and (EU) 2016\/1011 (Text with EEA relevance) THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, Having regard to the Treaty on the Functioning of the […]<\/p>","protected":false},"author":1,"featured_media":0,"parent":1133,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_gspb_post_css":".gspb_container-id-gsbp-b565ac4{flex-direction:column;box-sizing:border-box}#gspb_container-id-gsbp-b565ac4.gspb_container>p:last-of-type{margin-bottom:0}.gspb_container{position:relative}#gspb_container-id-gsbp-b565ac4.gspb_container{display:flex;flex-direction:column;align-items:center;margin-bottom:40px}@media (max-width:991.98px){#gspb_container-id-gsbp-b565ac4.gspb_container{margin-bottom:40px}}#gspb_heading-id-gsbp-d1b4c76{font-size:30px}@media (max-width:991.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:30px}}@media (max-width:575.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:25px}}#gspb_heading-id-gsbp-d1b4c76,#gspb_heading-id-gsbp-d1b4c76 .gsap-g-line,.gspb_text-id-gsbp-2c13756,.gspb_text-id-gsbp-2c13756 .gsap-g-line{text-align:center!important}#gspb_heading-id-gsbp-d1b4c76{margin-top:0;margin-bottom:10px}.gspb_text-id-gsbp-2c13756{max-width:800px}","footnotes":""},"class_list":["post-1134","page","type-page","status-publish","hentry"],"blocksy_meta":{"has_hero_section":"enabled","styles_descriptor":{"styles":{"desktop":"[data-prefix=\"single_page\"] .entry-header .page-title {--theme-font-size:30px;} [data-prefix=\"single_page\"] .entry-header .entry-meta {--theme-font-weight:600;--theme-text-transform:uppercase;--theme-font-size:12px;--theme-line-height:1.3;}","tablet":"","mobile":""},"google_fonts":[],"version":6},"vertical_spacing_source":"custom","content_area_spacing":"none","page_structure_type":"type-2","hero_elements":[{"id":"custom_title","enabled":true,"heading_tag":"h1","title":"Inicio","__id":"zUAv84-iCqwWhwHz_7eMU"},{"id":"custom_description","enabled":false,"description_visibility":{"desktop":true,"tablet":true,"mobile":false},"__id":"q0z81OBwVS1eiBNwQJZ31"},{"id":"custom_meta","enabled":false,"meta_elements":[{"id":"author","enabled":true,"label":"By","has_author_avatar":"yes","avatar_size":25},{"id":"post_date","enabled":true,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"updated_date","enabled":false,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"categories","enabled":false,"label":"In","style":"simple"},{"id":"comments","enabled":true}],"page_meta_elements":{"joined":true,"articles_count":true,"comments":true},"__id":"908KnW1IQtQMH2CkUzVag"},{"id":"breadcrumbs","enabled":true,"__id":"gyh2MB_UdPumL0ReCyfHv"},{"id":"content-block","enabled":false,"__id":"RhhTfxRztIm-fh5C63-qH"}]},"_links":{"self":[{"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/pages\/1134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/comments?post=1134"}],"version-history":[{"count":0,"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/pages\/1134\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/pages\/1133"}],"wp:attachment":[{"href":"https:\/\/nis2resources.eu\/es\/wp-json\/wp\/v2\/media?parent=1134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}