Publicada la聽Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel com煤n de seguridad de las redes y sistemas de informaci贸n en la Uni贸n
En virtud de esta norma armonizadora, cada Estado miembro deber谩 contar con una estrategia nacional de seguridad de las redes y sistemas de informaci贸n en la que se fijen los objetivos estrat茅gicos y las medidas concretas que se pretenda aplicar.
Destacamos:
- (EM, 8-9) Se trata de una Directiva de 谩mbito o aplicaci贸n general. De m铆nimos en materia penal, de orden publico y seguridad. Los actos jur铆dicos sectoriales se aplican como聽聽lex聽specialis (comunic谩ndose a la Comisi贸n sus incidencias y aplicaci贸n conforme al ordenamiento sectorial)聽.
- (EM 12-14) La regulaci贸n y la supervisi贸n del sector bancario y de las infraestructuras de los mercados financieros han sido objeto de una elevada armonizaci贸n supervisada por el聽Mecanismo 脷nico de Supervisi贸n en la zona euro y, en los Estados miembros que no pertenecen a la聽Uni贸n Bancaria, sus reguladores bancarios supervisan la aplicaci贸n. El Sistema Europeo de Supervisi贸n Financiera (SESF) facilita una elevada uniformidad y convergencia de la supervisi贸n nacional y la AEVM supervisa directamente determinadas entidades, como las agencias de calificaci贸n crediticia y los registros de operaciones. Su ciberseguridad se rige por ley especial, aunque se ve reforzada por la nueva Directiva
- El riesgo operativo en los sectores de la banca y las infraestructuras del mercado financiero se extiende a todas las operaciones, incluidas la seguridad, la integridad y la resistencia de las redes y sistemas de informaci贸n. Los requisitos de estos sistemas, 聽-muy estrictos- se recogen en distintos actos jur铆dicos de la UE聽lex specialis (acceso a la actividad de las entidades de cr茅dito, a la supervisi贸n prudencial de entidades de cr茅dito y empresas de inversi贸n; normas sobre 聽requisitos prudenciales de聽entidades de cr茅dito y 聽empresas de inversi贸n, – inclu铆do el riesgo operativo-; normas sobre mercados de instrumentos financieros, – que incluyen requisitos sobre evaluaci贸n de riesgos para las empresas de inversi贸n y los mercados regulados-; normas sobre los derivados extraburs谩tiles, entidades de contrapartida central y registros de operaciones, – que incluyen requisitos sobre sus聽riesgos operativos-; normas sobre la mejora de la liquidaci贸n de valores y sobre depositarios centrales de valores, etc.
- Los requisitos de notificaci贸n de incidentes forman parte de la pr谩ctica normal en materia de supervisi贸n en el sector financiero y est谩n incluidos a menudo en los manuales de supervisi贸n. Los Estados miembros deben tener en cuenta dichas normas y requisitos a la hora de aplicar la lex specialis
- La Directiva no afecta al r茅gimen de supervisi贸n de los sistemas de pago y liquidaci贸n del Eurosistema en virtud del Derecho de la UE. Tampoco se aplica a los miembros del Sistema Europeo de Bancos Centrales que no sean miembros de la zona Euro y que ejerzan esa supervisi贸n de los sistemas de pago y liquidaci贸n sobre la base de leyes y reglamentos nacionales
- Afecta a la ciberseguridad banca y mercados financieros el desarrollo de la EM-28: En la identificaci贸n de riesgos, adem谩s de los聽generales, deben聽tenerse en cuenta los sectoriales por si 聽tendr铆an efecto perturbador significativo en la prestaci贸n de un servicio esencial.
- En el caso de los proveedores de energ铆a, sobre el volumen o la proporci贸n de la energ铆a nacional generada;
- en el caso de los proveedores de petr贸leo, el volumen diario;
- …
- en el caso de la banca o las infraestructuras del mercado financiero, su importancia sist茅mica, valorada seg煤n los activos totales o la raz贸n entre estos y el producto interior bruto;
Esta Directiva general聽 si afecta adem谩s a ciertas 聽definiciones que orientan la aplicaci贸n de la lex specialis en materia de banca y mercados:
- Operadores de servicios esenciales (Art 4.4-, anexo II): son entidades p煤blicas o privadas que prestan un servicio esencial para el mantenimiento de actividades sociales o econ贸micas cruciales; la prestaci贸n del cual depende de las redes y sistemas de informaci贸n; respecto del que un incidente tendr铆a efectos perturbadores significativos en la prestaci贸n de dicho servicio. 聽De conformidad con la nueva Directiva son Operadores de Servicios Esenciales en el 谩mbito bancario y de infraestructuras de mercados financieros:
- Gestores de centros de negociaci贸n (Art 4, punto聽24, de la Directiva聽2014/65/UE, Mifid2)
- Entidades de contrapartida central (CCP), tal como se definen en el art铆culo聽2, punto聽1, del Reglamento (UE) 648/2012 (EMIR)
- Entidades de cr茅dito, (Art 4, punto聽1, del Reglamento (UE) n.o聽575/2013)
Post scriptum.–
- Miriam guardiola para Derecho y Perspectiva
- Recopilaci贸n normativa BOE . C贸digo de Ciberseguridad
- Estrategia europea de ciberseguridad, (notas de prensa)
- Noticias Jur铆dicas
- CNMV, Plan de Actividades de 2016, incluyendo ciberseguridad. Anunciando para 2 semestre 2016 su 芦Estudio de los aspectos m谩s relevantes relacionados con la ciberseguridad en los mercados de valores禄