Publicada la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión

• (EM, 8-9) Se trata de una Directiva de ámbito o aplicación general. De mínimos en materia penal, de orden publico y seguridad. Los actos jurídicos sectoriales se aplican como  lex specialis (comunicándose a la Comisión sus incidencias y aplicación conforme al ordenamiento sectorial) .
• (EM 12-14) La regulación y la supervisión del sector bancario y de las infraestructuras de los mercados financieros han sido objeto de una elevada armonización supervisada por el Mecanismo Único de Supervisión en la zona euro y, en los Estados miembros que no pertenecen a la Unión Bancaria, sus reguladores bancarios supervisan la aplicación. El Sistema Europeo de Supervisión Financiera (SESF) facilita una elevada uniformidad y convergencia de la supervisión nacional y la AEVM supervisa directamente determinadas entidades, como las agencias de calificación crediticia y los registros de operaciones. Su ciberseguridad se rige por ley especial, aunque se ve reforzada por la nueva Directiva
  • El riesgo operativo en los sectores de la banca y las infraestructuras del mercado financiero se extiende a todas las operaciones, incluidas la seguridad, la integridad y la resistencia de las redes y sistemas de información. Los requisitos de estos sistemas,  -muy estrictos- se recogen en distintos actos jurídicos de la UE lex specialis (acceso a la actividad de las entidades de crédito, a la supervisión prudencial de entidades de crédito y empresas de inversión; normas sobre  requisitos prudenciales de entidades de crédito y  empresas de inversión, – incluído el riesgo operativo-; normas sobre mercados de instrumentos financieros, – que incluyen requisitos sobre evaluación de riesgos para las empresas de inversión y los mercados regulados-; normas sobre los derivados extrabursátiles, entidades de contrapartida central y registros de operaciones, – que incluyen requisitos sobre sus riesgos operativos-; normas sobre la mejora de la liquidación de valores y sobre depositarios centrales de valores, etc.
  • Los requisitos de notificación de incidentes forman parte de la práctica normal en materia de supervisión en el sector financiero y están incluidos a menudo en los manuales de supervisión. Los Estados miembros deben tener en cuenta dichas normas y requisitos a la hora de aplicar la lex specialis
  • La Directiva no afecta al régimen de supervisión de los sistemas de pago y liquidación del Eurosistema en virtud del Derecho de la UE. Tampoco se aplica a los miembros del Sistema Europeo de Bancos Centrales que no sean miembros de la zona Euro y que ejerzan esa supervisión de los sistemas de pago y liquidación sobre la base de leyes y reglamentos nacionales
• Afecta a la ciberseguridad banca y mercados financieros el desarrollo de la EM-28: En la identificación de riesgos, además de los generales, deben tenerse en cuenta los sectoriales por si  tendrían efecto perturbador significativo en la prestación de un servicio esencial.
  • En el caso de los proveedores de energía, sobre el volumen o la proporción de la energía nacional generada;
  • en el caso de los proveedores de petróleo, el volumen diario;
  • …
  • en el caso de la banca o las infraestructuras del mercado financiero, su importancia sistémica, valorada según los activos totales o la razón entre estos y el producto interior bruto;

Esta Directiva general  si afecta además a ciertas  definiciones que orientan la aplicación de la lex specialis en materia de banca y mercados:

• Operadores de servicios esenciales (Art 4.4-, anexo II): son entidades públicas o privadas que prestan un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales; la prestación del cual depende de las redes y sistemas de información; respecto del que un incidente tendría efectos perturbadores significativos en la prestación de dicho servicio.  De conformidad con la nueva Directiva son Operadores de Servicios Esenciales en el ámbito bancario y de infraestructuras de mercados financieros:
  • Gestores de centros de negociación (Art 4, punto 24, de la Directiva 2014/65/UE, Mifid2)
  • Entidades de contrapartida central (CCP), tal como se definen en el artículo 2, punto 1, del Reglamento (UE) 648/2012 (EMIR)
  • Entidades de crédito, (Art 4, punto 1, del Reglamento (UE) n.o 575/2013)

Post scriptum.–

• Miriam guardiola para Derecho y Perspectiva
• Recopilación normativa BOE . Código de Ciberseguridad
• Estrategia europea de ciberseguridad, (notas de prensa)
• Noticias Jurídicas
• CNMV, Plan de Actividades de 2016, incluyendo ciberseguridad. Anunciando para 2 semestre 2016 su «Estudio de los aspectos más relevantes relacionados con la ciberseguridad en los mercados de valores»