Antecedentes
El 27 de noviembre de 2019, la ABE publicó las Directrices sobre gestión de riesgos de seguridad y TIC (EBA/GL/2019/04) («Directrices»), que se basaron en las disposiciones del artículo 74 de la Directiva 2013/36/UE (LA LEY 10339/2013) (CRD) [1] y el artículo 95 (LA LEY 20018/2015)(3) de la Directiva (UE) 2015/2366 (LA LEY 20018/2015) (PSD2). Estas Directrices establecieron requisitos para las entidades de crédito, empresas de inversión y proveedores de servicios de pago sobre la mitigación y gestión de sus riesgos de seguridad y TIC y tienen como objetivo garantizar un enfoque coherente y sólido en todo el mercado único. Las Directrices entraron en vigor en 2020 y reemplazaron y derogaron las Directrices anteriores sobre medidas de seguridad para riesgos operativos y de seguridad que la ABE había publicado tres años antes en cumplimiento de un mandato en virtud de la PSD2 (LA LEY 20018/2015) (EBA GL/2017/17).
A partir del 17 de enero de 2025, DORA se aplica e introduce, entre otras cosas, requisitos armonizados para el marco de gestión de riesgos de las TIC (RMF), la notificación de incidentes y la gestión y prueba de riesgos de terceros.
Justificación de la modificación
DORA ha introducido requisitos armonizados sobre la gestión de riesgos de las TIC que se aplican a las entidades financieras de los sectores bancario, de valores/mercados, de seguros y de pensiones.
Para evitar la duplicación de requisitos y aportar claridad jurídica al mercado, la EBA ha modificado sus directrices sobre gestión de riesgos de seguridad y TIC. En particular, la EBA ha concretado:
- — el ámbito de aplicación de las Directrices se limita únicamente a aquellas entidades que están cubiertas por la DORA, a saber, las instituciones de crédito, las instituciones de pago, los proveedores de servicios de información de cuentas, las instituciones de pago exentas y las instituciones de dinero electrónico exentas; y
- — el ámbito de aplicación de las Directrices a los requisitos sobre la gestión de las relaciones de los usuarios de servicios de pago en relación con la prestación de servicios de pago.
Es importante señalar que los requisitos de seguridad y gestión del riesgo operativo establecidos en la Directiva sobre servicios de pago (PSD2) (LA LEY 20018/2015), que son aplicables desde marzo de 2018, siguen aplicándose a otros tipos de proveedores de servicios de pago (PSP), como las instituciones de giro postal y las cooperativas de crédito, que no están cubiertos por la DORA. Los PSP que todavía están sujetos a la gestión de la seguridad y el riesgo operativo en virtud de la PSD2 (LA LEY 20018/2015) pueden estar sujetos a requisitos nacionales adicionales, independientemente de la existencia de las Directrices de la ABE que se les aplicarían. Las autoridades competentes o los gobiernos de los Estados miembros que deseen mantener el enfoque establecido en las Directrices de la ABE para esos PSP pueden seguir haciéndolo en virtud de su marco jurídico nacional o de las medidas de supervisión.
Actuaciones futuras
Las Directrices modificadas se aplicarán dentro de los dos meses siguientes a la publicación de las versiones traducidas.