Ciberseguridad en el sector financiero. Propuesta DORA: Actualidad en la UE

Spread the love

聽DIGITAL OPERATIONAL RESILIENCE FRAMEWORK FOR FINANCIAL SERVICES: MAKING THE EU FINANCIAL SECTOR MORE SECURE

En abril de 2019, las Autoridades Europeas de Supervisi贸n hab铆an recomendado a la Comisi贸n Europea que propusiera mejoras espec铆ficas en el marco regulador financiero de la UE para desarrollar una normativa 煤nica de regulaci贸n y supervisi贸n para la resistencia operativa de las TIC en el sector financiero. Sobre tal base principal, la Comisi贸n Europea abri贸 un periodo de consultas sobre este documento (DIGITAL OPERATIONAL RESILIENCE FRAMEWORK FOR FINANCIAL SERVICES: MAKING THE EU FINANCIAL SECTOR MORE SECURE).聽El periodo de consultas聽 estuvo abierto desde 19.03.2019 hasta 19.03.2020.

En particular, la Comisi贸n recab贸 opiniones sobre: 1) requisitos sobre la gesti贸n de los riesgos de seguridad y las TIC en el acervo legislativo aplicable al sector financiero, 2) requisitos de notificaci贸n de incidentes, 3) marco de pruebas de resiliencia operativa digital y 4) supervisi贸n de los proveedores de terceros de TIC a las instituciones financieras.

De entre las respuestas recibidas, destacamos la de la Asociaci贸n Europea de Servicios Financieros (AFME), aqui.

Destacamos de esta respuesta:

NYC_by Jara IPM. One Trade Center Tower

  • En relaci贸n con la seguridad la AFME se muestra proclive a seguir utilizando los instrumentos desarrollados por la industria, como el Perfil de Seguridad Cibern茅tico del Sector de Servicios Financieros (FSSCP) para comparar los marcos de seguridad utilizados actualmente y establecer las mejores pr谩cticas en lugar de recurrir, como parece deducirse de la consulta, a legislaci贸n espec铆fica sobre Objetivos de Tiempo de Recuperaci贸n (OTR) y聽 Objetivos de Punto de Recuperaci贸n (OPR) , que a juicio de AFME se desviar铆an del enfoque basado en principios e incluso puede exacerbar el riesgo de un incidente cibern茅tico .
  • Sobre notificaciones, La AFME reconoce que existe un riesgo cada vez mayor de que proliferen los requisitos de notificaci贸n de incidentes en las empresas, lo que incrementa su carga administrativa y desv铆a a las entidades del objetivo de mitigar riesgos, por lo que recomienda estudiar la forma de apoyar mecanismos eficientes de presentaci贸n de informes 煤nicos para satisfacer distintos objetivos. Tambi茅n recomienda que se analicen modos en que las autoridades puedan agregar y compartir informaci贸n entre ellas y con la industria para aumentar la eficiencia, en lugar de introducir requisitos nuevos o que compitan entre s铆. En relaci贸n con los test de seguridad, AFME se manifiesta conforme con las propuestas de la Comisi贸n para desarrollar un marco coherente de pruebas en todo el sector financiero, y pide una gu铆a coherente tambi茅n para el reconocimiento mutuo de estas pruebas por parte de los supervisores.
  • En relaci贸n con requisitos estrictos que las entidades puedan verse obligadas a aplicar a terceras partes, la AFME advierte contra la cualquier cambio inmediato sobre la forma en que las empresas de servicios financieros gestionan聽 la subcontrataci贸n a terceros proveedores de TIC, y se apoya en la experiencia adquirida por las entidades, se帽alando adem谩s que cualquier marco normativo deber铆a ser adoptado a nivel mundial para evitar poner barreras a la innovaci贸n o crear fragmentaci贸n regulatoria.
  • En relaci贸n con otras 谩reas donde la acci贸n de la UE sea necesaria, la AFME apoyar铆a medidas para compartir informaci贸n y experiencias en el sector financiero, y m谩s en concreto apunta al intercambio de evaluaciones sobre c贸mo se ha aplicado el paquete normativo NIS en los distintos Estados y en las diferentes instituciones. Apunta adem谩s AFME a que,聽 estas medidas en ning煤n caso deben generar riesgos contrarios a la protecci贸n de datos personales y confidenciales en particular en zonas grises como pueden ser metadatos conducentes a la identificaci贸n de adquisiciones il铆citas.