Principios (UE) sobre Derechos Digitales. Declaración de 2022 y Brújula Digital de 2021

La Declaración Europea sobre los Derechos y Principios Digitales fue suscrita en 2022 por los presidentes de la Comisión Europea, del Parlamento Europeo y del Consejo de la Unión Europea, como instrumento solemne, de naturaleza orientadora o eje vertebrador de la acción digital de la Unión.

Market Street – Cornmarket Street Old tavern, Ox

Esta Declaración se fundamenta, de forma destacada, en la Carta de los Derechos Fundamentales de la Unión Europea, y remite expresamente a aquellos derechos particularmente relevantes en el contexto de la transformación digital, tales como la libertad de expresión e información, la protección de los datos personales (art. 8), y la garantía de la vida privada (art. 7). Así, los derechos y principios digitales que en ella se recogen se integran plenamente en el acervo normativo de la Unión y en sus políticas públicas.  Debe también leerse en coherencia con la Brújula Digital 2030, Comunicación de la Comisión Europea  publicada en 2021 como hoja de ruta estratégica para alcanzar una década digital centrada en las personas, articulada en torno a cuatro grandes objetivos: competencias digitales, infraestructuras digitales seguras y sostenibles, digitalización de empresas, y transformación digital de los servicios públicos. La Brújula no solo fija metas medibles, sino que actúa como eje de coherencia entre los valores proclamados en la Declaración y su materialización operativa en la Unión.

A través de la Declaración Europea sobre los Derechos y Principios Digitales, la Unión Europea y sus Estados miembros reafirman su compromiso con una transformación digital centrada en el ser humano. En este sentido, ofrece un puente entre los valores fundamentales y la legislación y estrategias digitales de la Unión, orientando la acción pública en el marco de la Década Digital 2030. En esta Declaración,  se  opera una cierta centralización supervisoria, ya que la Comisión Europea asume la función de supervisión del cumplimiento y desarrollo de los derechos y principios digitales en todo el territorio de la Unión, mediante informes anuales y mecanismos de evaluación que permiten articular su progresiva implementación.

London's Eye

London’s Eye

Este enfoque de integración normativa y política encuentra concreción en iniciativas regulatorias recientes como el Reglamento (UE) 2022/2554, relativo a la resiliencia operativa digital del sector financiero (DORA),  que ha sido objeto de atención en este blog en reiteradas ocasiones. O en  el Reglamento (UE) 2022/868, sobre la gobernanza europea de datos (Data Governance Act).

Ambos textos, de una u otra forma, materializan los objetivos proclamados en la Declaración. Y, los dos prevén la participación activa de autoridades competentes en lo que se puede denominar como gobernanza , con centralización- y vocación multinivel  —como la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA), en el caso de DORA (art. 49), o el Comité Europeo de Innovación de Datos, en el caso del DGA (art. 29)—.

  • El Reglamento DORA establece un marco armonizado que impone a las entidades financieras obligaciones estrictas en materia de gestión de riesgos TIC (arts. 5 a 16), notificación de incidentes significativos (arts. 17 a 23) y resiliencia frente a pruebas de penetración (arts. 24 a 27). La norma refuerza así la obligación de garantizar la seguridad, continuidad y robustez tecnológica en los servicios financieros, en consonancia con los principios de confianza digital y protección del interés general presentes en la Declaración.

  • El Reglamento de Gobernanza de Datos (DGA), por su parte, refuerza el principio de empoderamiento y control individual sobre los datos, al establecer, entre otras figuras, la del intermediario de datos (arts. 10 a 14) y los organismos en la cesión altruista datos (arts. 16 a 25), creando estructuras institucionales que permiten la cesión voluntaria y responsable de datos con fines de interés general. Además, el artículo 5 del DGA prevé normas para la reutilización de datos protegidos del sector público, contribuyendo a la apertura ética y controlada de la información pública sin vulnerar derechos fundamentales.

Digitalización a la medida de las personas

  • En cuanto a la digitalización «humanizada» o centrada en las personas, la Declaración proclama, de forma expresa, que el desarrollo tecnológico debe respetar los derechos fundamentales, reforzar la democracia y fomentar una cultura de responsabilidad digital entre todos los actores. La persona se erige así en el centro de la arquitectura digital europea, con un modelo normativo orientado a garantizar que el progreso tecnológico sea compatible con la dignidad humana, los valores democráticos y el Estado de Derecho. Este principio encuentra una concreción directa en la primera meta de la Brújula Digital: asegurar que, para 2030, al menos el 80 % de los adultos en la UE dispongan de competencias digitales básicas, promoviendo así la participación efectiva en la vida económica y democrática.

Cohesión social digital

  • Por lo que respecta a la cohesión social, la Declaración establece que la tecnología debe actuar como instrumento de cohesión social, evitando la exclusión digital. En esta línea, la Unión promueve el acceso universal a internet, el desarrollo de competencias digitales inclusivas, la disponibilidad de servicios públicos digitales accesibles y la garantía de condiciones laborales justas en los entornos digitales.  También aquí, la Brújula Digital 2030 estableció como objetivo el acceso a conectividad de gigabit para todos los hogares europeos y la cobertura 5G en todas las zonas pobladas, como condición para garantizar la inclusión efectiva.

Libertad personal de elección y control sobre los propios datos

  • Un elemento muy importante en esta Declaración es el de la libertad de elección. El entorno digital debe configurarse como un espacio abierto y justo, en el que los ciudadanos puedan ejercer sus libertades sin ser objeto de manipulaciones ni de exposiciones a contenidos ilícitos o perjudiciales. Se subraya especialmente la necesidad de garantizar la transparencia, responsabilidad y control humano en el uso de tecnologías emergentes, como la inteligencia artificial.
  • Los ciudadanos y la participación son otro elemento fundamental. Según establece la Comisión Europea en esta Declaración, la transformación digital debe fortalecer, y no debilitar, la participación democrática y el control de sus datos por parte de los ciudadanos, condición indispensable para el ejercicio de la autonomía individual y la protección de la privacidad. En este mismo contexto, la Brújula abogó por el desarrollo de una identidad digital europea segura y voluntaria, que permita a todos los ciudadanos acceder a servicios esenciales y ejercer sus derechos con garantías de autenticidad, privacidad y seguridad.

Seguridad

  • Por lo que respecta a la seguridad, un entorno digital seguro es un requisito básico para la confianza en las tecnologías. En la Declaración, la UE se compromete a proteger a todos los usuarios —incluidos los menores, las personas mayores y los colectivos vulnerables— frente a riesgos como el fraude, el ciberacoso o la desinformación, y a promover un uso consciente, seguro y empoderado de las herramientas digitales en todos los tramos de edad. Este principio se alinea con el compromiso de la Brújula de crear un marco europeo común de ciberseguridad, y de impulsar una mayor resiliencia tecnológica en sectores críticos, a través de regulaciones como el Reglamento DORA.

Sostenibilidad

  • Por lo que respecta a la relación entre digitalización y sostenibilidad, el ecosistema digital europeo debe contribuir activamente a los objetivos de sostenibilidad ambiental. Para ello, se promueve el uso de dispositivos y servicios digitales energéticamente eficientes, el fomento de la economía circular, y la disponibilidad de información clara sobre el impacto ambiental de los productos tecnológicos, de forma que los usuarios puedan tomar decisiones informadas. La transición ecológica estaba también integrada transversalmente en la Brújula, que destaca el papel de la digitalización como habilitadora de eficiencia energética, gestión inteligente de recursos y monitorización ambiental, en línea con los compromisos del Pacto Verde Europeo.

Ciberseguridad en la Unión Europea: Estado Actual y Retos Prioritarios

La Comisión Europea  ha realizado una revisión de la situación de la ciberseguridad en la UE, incluyendo la ciberseguridad de las empresas (Comunicación COM(2025) 290)

 

Panorama general de la ciberseguridad en la Unión Europea

Compostela

Las políticas y acciones  ciberseguridad en la Unión Europea estás  cada vez más condicionada por el aumento de tensiones geopolíticas y económicas: Los ciberataques se han convertido en herramientas estratégicas para el espionaje, el sabotaje y las campañas de desinformación. Los ataques dirigidos contra los Estados miembros y las instituciones europeas son constantes, representando una amenaza grave y sostenida. El ransomware sigue siendo uno de los riesgos más dañinos, cuya evolución va más allá de simplemente encriptar datos, ya que ahora se combina con la exfiltración de información sensible y con extorsión.

Las pequeñas y medianas empresas son objetivos frecuentes de los hackers. Por ejemplo,  señala la  (Comunicación COM(2025) 290), que en 2024 el sector sanitario sufrió un impacto especialmente alto: el 71 % de los incidentes que afectaron la atención al paciente estuvieron relacionados con ransomware. Aunque estos ataques aumentaron un 11 % respecto al año anterior, la presión sobre grupos como LockBit ha fragmentado el panorama, surgiendo 46 nuevos grupos de ransomware en ese mismo año.

Los ataques a la cadena de suministro también han aumentado de forma notable, conforme a lo indicado por la Comisión Europea. Los ciberdelincuentes aprovechan las vulnerabilidades de proveedores externos, especialmente cuando estos dependen de tecnologías o proveedores considerados de riesgo o sujetos a legislaciones que obligan a reportar vulnerabilidades a sus autoridades antes que al público. Además, estos criminales pueden aprovecharse de la dependencia de infraestructuras críticas para generar interrupciones de sus servicios en momentos clave. Entre otros ejemplos, indica la Comisión que los ataques a dispositivos conectados al Internet de las Cosas (IoT) crecieron un 107 % en la primera mitad de 2024.

A nivel social, la percepción pública sobre la ciberseguridad está empeorando, con una disminución de la confianza en la capacidad propia para protegerse y un bajo conocimiento de los mecanismos de denuncia de incidentes. Además, la dependencia excesiva de proveedores tecnológicos únicos y no europeos plantea riesgos considerables para la economía, como demostró la interrupción del servicio de CrowdStrike en 2024.

Otro reto estructural importante al que apunta la mencionada Comunicación es el de la escasez de talento especializado. La Unión Europea enfrenta un déficit de aproximadamente 299.000 profesionales en ciberseguridad. Para abordar este problema, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) impulsa iniciativas como el Marco Europeo de Competencias en Ciberseguridad (ECSF), que busca facilitar la formación, certificación y movilidad profesional en este ámbito.

Empresas y su ciberseguridad

Camelia blanca

Explica la Comisión que en 2024, la gran mayoría de las empresas europeas con más de 10 empleados (el 92,8 %) implementaron al menos una medida básica de seguridad TIC. Sin embargo, solo un tercio de esas empresas contaba con documentación formal o realizaba evaluaciones de riesgos periódicas.

Las prácticas de ciberseguridad más habituales fueron el uso de contraseñas más o menos robustas (83,7 %) y la realización de copias de seguridad en ubicaciones separadas (79,2 %). Aun así, el 21,5 % de las empresas sufrió incidentes de seguridad con consecuencias negativas.

Conforme a la Comunicación, el presupuesto dedicado a la seguridad informática creció, llegando a representar un promedio del 9 % del total de TI, especialmente en sectores regulados por la Directiva NIS, donde la madurez en ciberseguridad es más avanzada. El sector de telecomunicaciones destaca por su nivel de preparación.

Los Estados miembros han incluido en sus Planes Nacionales unas 38 medidas para reforzar la ciberseguridad, con un presupuesto conjunto cercano a los 7.000 millones de euros, orientados a fortalecer la formación, crear centros especializados y mejorar las capacidades tanto públicas como privadas. Pero, según la Comisión Europea resulta preocupante la lenta y desigual adopción de tecnologías clave como IPv6, con una penetración superior al 40 % en países como Bélgica, Francia o Alemania, pero inferior al 10 % en otros como Croacia, Chipre o Malta. IPv6   (Internet Protocol version 6) es la versión más reciente del protocolo de Internet, que es el sistema que permite identificar y localizar dispositivos en una red —especialmente en Internet— y facilitar su comunicación

Marco legislativo y regulatorio europeo

Entre 2024 y 2025, la UE ha dado pasos importantes en su agenda legislativa y regulatoria de ciberseguridad.

  • La Directiva NIS2, respecto de la cual hay obligación de transposición en octubre de 2024, establece estándares estrictos para 18 sectores críticos.
  • También en octubre 2024, la Comisión Europea aprobó el primer acto delegado bajo NIS2, que detalla las medidas de gestión de riesgos y los criterios para la notificación de incidentes importantes.
  • El Cyber Resilience Act ,  o Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo de 23 de octubre de 2024 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.o 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia)
     introduce requisitos de seguridad para productos digitales.
  • En cuanto al Cyber Solidarity Act, Reglamento (UE) 2025/38 del Parlamento Europeo y del Consejo de 19 de diciembre de 2024, por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos y por el que se modifica el Reglamento (UE) 2021/694 (Reglamento de Cibersolidaridad)
    estableció un sistema europeo de alerta en ciberseguridad, así como mecanismos de respuesta rápida ante incidentes, apoyados en inteligencia artificial.
  • Con el modificado Cybersecurity Act , Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») ,se permite la certificación de servicios gestionados de seguridad.
  • Por otro lado, en enero de 2025 se adoptó un Plan de Acción para mejorar la ciberseguridad en hospitales y proveedores de salud.
  • En febrero de 2025 se propuso un nuevo Cybersecurity Blueprint que integra la cooperación civil-militar y mejora la capacidad de respuesta a crisis.

Por otro lado, en el ámbito de  las tecnologías emergentes, el  desarrollo de la Infraestructura Europea de Comunicación Cuántica (EuroQCI), dentro del programa IRIS 2 (2023-2027), busca ofrecer servicios altamente seguros para el intercambio de claves criptográficas y la protección de infraestructuras críticas. En 2024, el foco estuvo en el desarrollo de redes nacionales cuánticas y la previsión de conexiones transfronterizas en 2026. La computación cuántica trasformará o desplazará la criptografía actual, por lo que la Comisión Europea recomendó (ya en 2024) que los Estados miembros preparen hojas de ruta sincronizadas para la transición a criptografía post-cuántica, especialmente en administraciones públicas e infraestructuras críticas, con objetivos a corto y medio plazo.

En esta Comunicación, la Comisión aconseja a los Estados miembros:

..

  • Transponer la Directiva NIS2 y adoptar medidas adicionales para asegurar la implementación plena de los marcos europeos, incluyendo la caja de herramientas para seguridad 5G y restricciones a proveedores de alto riesgo.
  • Fortalecer la formación y las capacidades del personal en ciberseguridad, aprovechando recursos como el Marco Europeo de Competencias.
  • Elaborar, dentro del Grupo de Cooperación NIS, hojas de ruta para la transición sincronizada a criptografía post-cuántica en sectores públicos y críticos.
  • Avanzar en la migración de sistemas criptográficos actuales a tecnologías post-cuánticas, con metas parciales para 2030 y finalización prevista para 2035.

 

Bloomberg 21 mayo 2025 ¿Caída accidental por sobrecarga, ataque cibernético, o consecuencia de la algoritmización veloz?

Paraninfo Gordón Ordás. Universidad de León

El miércoles 21 de mayo de 2025, Bloomberg sufrió una interrupción técnica importante que afectó a sus terminales financieras en todo el mundo. Durante aproximadamente tres horas, los terminales dejaron de proporcionar datos en tiempo real, lo que afectó las operaciones en los mercados financieros y provocó retrasos en subastas de deuda pública, como las del Reino Unido y Portugal.

Según informó Financial Times el mismo día, la caída interrumpió las subastas de deuda de ambos emisores, lo que llevó a la Debt Management Office (Oficina de Gestión de Deuda del Reino Unido) a ampliar el periodo de pujas para una subasta de «gilts» (bonos del Estado de RU) en 90 minutos, mientras que la Comisión Europea amplió en una hora el plazo para una subasta de bonos emitidos por la Unión Europea en el marco de su programa de financiación conjunta. Dos grandes bancos de inversión confirmaron que sus operaciones de compraventa se vieron interrumpidas. En uno de ellos, que los operadores no pudieron acceder a los datos de precios de la subasta de deuda británica, por lo que no se tramitaron órdenes de clientes. Un gestor de carteras de una gran gestora de activos señaló que no solo las operaciones de compraventa, sino todo su flujo de trabajo, se vio paralizado por el fallo.

A las 9:55 h de ese mismo día, el servicio de soporte técnico de Bloomberg emitió un comunicado reconociendo «un problema global con los terminales» e informando de que su equipo de ingeniería estaba trabajando activamente en identificar y resolver la causa. Bloomberg se disculpó públicamente y más tarde descartó que se tratara de un ciberataque o de un fallo provocado por algoritmos de alta frecuencia (HFT). Según la empresa, el incidente fue causado por una combinación de errores de hardware y software que generaron un tráfico anómalo en su red interna.

A estas altunas cabe preguntarse si se trató de un ataque de hacking (Bloomberg declaró que no lo fue), o de un fallo interno de hardware y software que provocó un tráfico excesivo en su red, haciendo que las máquinas colapsaran y los usuarios quedaran desconectados (explicación de Bloomberg). Esta explicación sería compatible con la intervención de HFT agents que pudieran sobrecargar los sistemas de la intermediaria.

El servicio de mensajería interna de Bloomberg siguió funcionando durante la interrupción, pero la caída de los datos en tiempo real puso en evidencia la alta dependencia de los mercados respecto a esta plataforma.  Y, aunque verdaderamente fuera atribuible a causas técnicas internas y no a un ciberataque externo, plantea importantes implicaciones desde el punto de vista regulatorio y jurídico.

  • En primer lugar, subraya la relevancia de los proveedores de servicios de datos financieros como infraestructuras críticas para el funcionamiento ordenado del mercado. Ello, podría motivar una revisión de su supervisión bajo el marco del Reglamento (UE) 2022/2554 (DORA), que establece requisitos de resiliencia operativa digital para entidades financieras y terceros proveedores esenciales.
  • También, subraya la relevancia de los proveedores de servicios de datos financieros como infraestructuras críticas para el funcionamiento ordenado del mercado, lo que podría motivar una revisión de su supervisión en relación con el marco del Reglamento (UE) 2022/2554 (DORA). Es decir, aunque, a día de hoy Bloomberg no está sujeto directamente a la regulación financiera como una entidad supervisada,  su papel estructural como proveedor de datos esenciales podría justificar, en un futuro, su inclusión en el perímetro regulatorio como proveedor de servicios TIC críticos, en línea con el espíritu amplio de DORA.
    • Recuérdese que el artículo 31 de DORA permite que las autoridades competentes identifiquen a determinados proveedores de servicios TIC como «proveedores terceros críticos» cuando presten servicios a un número significativo de entidades financieras o cuando el tipo de servicios prestados sea esencial para el mantenimiento de funciones críticas del sector financiero. Aunque el artículo se centra en proveedores contratados por entidades financieras sujetas a supervisión, y requiere un procedimiento formal de evaluación y designación por parte de las autoridades europeas, sugiere un marco regulatorio que podría, al menos en teoría, extenderse a plataformas como Bloomberg en la medida en que su interrupción pueda poner en riesgo la estabilidad de los mercados financieros.
  • Por otro lado, la interrupción afectó a la correcta formación de precios y ejecución de operaciones, lo que conecta con el marco del Reglamento (UE) 600/2014 (MiFIR) -en particular con los artículos 10 y 12, que regulan la transparencia pre y post-negociación para los centros de negociación y sistemas organizados de negociación, y con el artículo 18 sobre el acceso equitativo a las infraestructuras de mercado. Asimismo, el artículo 65 de la Directiva 2014/65/UE (MiFID II) exige que los centros de negociación dispongan de mecanismos eficaces para garantizar la continuidad y regularidad de la prestación de servicios y actividades de inversión, incluyendo planes de contingencia y sistemas resilientes. La disrupción plantea dudas sobre si la falta de disponibilidad de datos puede considerarse una forma indirecta de asimetría informativa o incluso de disfunción de mercado, cuya gestión podría ser exigible a los operadores en virtud de las obligaciones mencionadas . Sin olvidar el Reglamento (UE) 596/2014 (MAR), en cuanto a la obligación de transparencia pre y post negociación, así como al acceso equitativo y no discriminatorio a la información de mercado.
  • En conjunto, la situación plantea dudas sobre si la falta de disponibilidad de datos puede considerarse una forma indirecta de asimetría informativa o incluso de disfunción de mercado, cuya gestión podría ser exigible a los operadores en virtud de las obligaciones de «sistemas resilientes» previstas en MiFID II.

 

Aunque Bloomberg ha comunicado que no hubo intervención externa, este tipo de eventos podría tener repercusiones regulatorias importantes.

    • Así, la obligación de notificación de incidentes operativos mayores conforme a DORA, o el deber de comunicación inmediata a clientes institucionales, podrían convertirse en exigencias prácticas para este tipo de actores clave, aunque hoy no estén sujetos formalmente a esa normativa.
    • Además, el evento puede abrir la puerta a potenciales responsabilidades contractuales o extracontractuales por daños causados a operadores y entidades que, al carecer de acceso a datos fiables en tiempo real, pudieron tomar decisiones erróneas o incurrir en pérdidas.

Ver:

DORA en profundidad: El Reglamento Delegado (UE) 2024/1774 y la continuidad operativa en el sector financiero

En un entorno financiero profundamente digitalizado, la resiliencia operativa digital es crucial para la estabilidad del sistema y la protección de los servicios esenciales. El Reglamento Delegado (UE) 2024/1774, de 13 de marzo de 2024, desarrolla el Reglamento DORA (UE) 2022/2554, estableciendo normas técnicas de regulación (RTS) relativas a la gestión del riesgo de las TIC, la continuidad operativa y la gobernanza interna.

Objetivo y Alcance del Reglamento Delegado. 

Este desarrollo Reglamentario está orientado a garantizar la proporcionalidad y eficacia en la aplicación del DORA, con especial atención a la diversidad estructural de las entidades financieras.

Según su artículo 1, este Reglamento tiene por objeto especificar los requisitos detallados sobre:

  • Herramientas, métodos y políticas para la gestión del riesgo de las TIC (art. 4-24).
  • Estrategias y planes de continuidad operativa y recuperación (art. 2 y 3, y 25-27).
  • Gobernanza interna en relación con los riesgos TIC (art. 28-30).

Estrategia de Continuidad Operativa TIC . Los artículos 2 y 3 exigen a las entidades:

  • Identificar funciones críticas o importantes (CFI) y sus dependencias.
  • Determinar los recursos TIC necesarios y los riesgos derivados de la dependencia tecnológica.
  • Establecer mecanismos de revisión y aprobación periódica por parte del órgano de dirección.
  • Integrar la estrategia de continuidad TIC en el marco general de gestión de riesgos.

Gestión integral del riesgo TIC

Los artículos 4 a 23 del Reglamento Delegado (UE) 2024/1774 articulan un marco integral para la gestión del riesgo relacionado con las TIC, estructurado en distintos bloques temáticos que abarcan todo el ciclo de vida de los activos digitales.

En primer lugar, los artículos 5 a 11 se centran en la gestión del ciclo de vida de los activos TIC, incluyendo aspectos como el control de accesos, la segmentación de entornos, las políticas de configuración, la gestión de parches y actualizaciones, el registro de eventos, la planificación de capacidad y el uso seguro de técnicas criptográficas.

El art 9 establece que las entidades financieras deben desarrollar procedimientos específicos para la gestión de la capacidad y el rendimiento de sus sistemas TIC.

  • Estos procedimientos deben permitir determinar los requisitos de capacidad, optimizar el uso de recursos y mantener o mejorar la disponibilidad, eficiencia y previsión de necesidades tecnológicas.
  • Además, deben adaptarse a las particularidades de los sistemas que requieren procesos de adquisición complejos o que hacen un uso intensivo de recursos, garantizando así una planificación adecuada y resiliente

El Reglamento Delegado (UE) 2024/1774 profundiza en las obligaciones de seguridad que deben adoptar las entidades financieras en relación con los datos y sistemas TIC.

El artículo 10 regula la gestión de vulnerabilidades y parches.

  • En primer lugar, exige que las entidades financieras elaboren procedimientos para identificar, evaluar y mitigar vulnerabilidades, incluyendo la actualización constante de fuentes de información fiables, la realización de escaneos automatizados (al menos semanales para activos críticos), y la verificación de que los proveedores TIC gestionan adecuadamente sus propias vulnerabilidades. También se requiere el seguimiento del uso de bibliotecas de terceros, especialmente en servicios TIC esenciales, y la divulgación responsable de vulnerabilidades cuando sea necesario. Además, se deben priorizar los parches según la gravedad de la vulnerabilidad y el perfil de riesgo del activo afectado, y registrar todas las vulnerabilidades detectadas junto con su resolución.
  • En cuanto a la gestión de parches, el artículo exige procedimientos que permitan identificar y evaluar actualizaciones mediante herramientas automatizadas, establecer protocolos de emergencia, probar e implementar los parches conforme a las normas de seguridad y definir plazos claros para su instalación. En caso de incumplimiento de estos plazos, deben existir mecanismos de escalado jerárquico para su resolució

Además, concreta en su artículo 11 la necesidad de establecer procedimientos específicos para salvaguardar la integridad, confidencialidad y disponibilidad de la información.

  • Dichos procedimientos deben ser coherentes con la clasificación de datos establecida conforme al Reglamento DORA e incluir medidas técnicas y organizativas que garanticen configuraciones seguras, restricción de accesos, control de software autorizado, protección frente a códigos maliciosos y uso controlado de dispositivos.
  • También se exige prestar especial atención a entornos de teletrabajo y a la gestión de activos operados por terceros, respetando en todo momento el principio de responsabilidad plena de la entidad financiera respecto de sus proveedores de servicios TIC.
  • Asimismo, se prevén requisitos precisos sobre la eliminación segura de datos y soportes, así como sobre la prevención de fugas de información y el aseguramiento de la resiliencia digital.

Complementariamente, el artículo 12 impone un marco riguroso para la gestión de registros, como salvaguarda frente a intrusiones y usos indebidos. Las entidades deben identificar qué hechos registrar, han de proteger la integridad de los datos y tienen que garantizar su conservación durante periodos adecuados, en función de la finalidad del registro y del nivel de riesgo asociado. La trazabilidad debe extenderse al acceso lógico y físico, al rendimiento de redes, a la gestión de la capacidad y al ciclo de vida de los sistemas TIC. Para asegurar la fiabilidad y utilidad de estos registros, el Reglamento exige mecanismos contra la manipulación o el acceso no autorizado, así como la sincronización precisa del tiempo en todos los sistemas, asegurando su coherencia con fuentes de referencia fiables.

 En los artículos 17 a 19, el Reglamento trata específicamente la seguridad de redes y sistemas de información (SGSI), con énfasis en la protección frente a ciberamenazas, la implementación de mecanismos de autenticación robusta y el despliegue de medidas de defensa en profundidad. Por su parte, los artículos 20 a 23 regulan la gestión del desarrollo y mantenimiento de software, exigiendo procedimientos seguros durante las fases de desarrollo, prueba y modificación tanto de software propio como de soluciones de terceros.

Políticas y  Planes de continuidad operativa.

Los artículos 24 a 26 del Reglamento Delegado (UE) 2024/1774 desarrollan de forma precisa los requisitos que deben cumplir las políticas y planes de continuidad operativa en materia de TIC.

  • El artículo 24 establece el contenido mínimo que deben incluir dichas políticas, tales como los objetivos perseguidos, sus eventuales limitaciones, los criterios para su activación y desactivación, así como los procedimientos de comunicación tanto interna como externa en situaciones de crisis. Asimismo, exige la definición de escenarios de disrupción y de objetivos concretos de recuperación, la planificación de pruebas periódicas y su validación documental.
    • Estas políticas deben estar armonizadas con las relativas a la subcontratación, en línea con lo dispuesto en el artículo 28 del propio Reglamento.
  • Por su parte, el artículo 25 impone la obligación de realizar pruebas de los planes de continuidad TIC al menos una vez al año. Estas pruebas deben estar basadas en análisis de impacto en el negocio y contemplar escenarios graves pero verosímiles. Además, deben incluir simulaciones que involucren a terceros proveedores de servicios TIC, lo que refuerza la preparación frente a fallos externos. Es fundamental que los resultados de estas pruebas se documenten adecuadamente, que se subsanen las deficiencias detectadas y que cualquier fallo material se comunique sin demora al órgano de dirección.
  • El artículo 26 exige que las entidades dispongan de planes de respuesta y recuperación ante incidentes TIC que definan con claridad las condiciones de activación, aseguren la restauración de la disponibilidad e integridad de los sistemas críticos y contemplen alternativas operativas cuando las medidas primarias no sean viables. Estos planes deben abordar también la respuesta ante incidentes complejos como fallos de infraestructuras, ciberataques o pandemias, e incluir tiempos objetivos de recuperación (RTOs) claramente definidos para cada función crítica o importante (CFI).

Mongolfiera

Los requisitos reforzados para ciertas entidades se contemplan en el art 27:

  • Contrapartes centrales (CCPs): recuperación de servicios esenciales en un máximo de 2 horas, con centros de respaldo en ubicaciones geográficas con riesgo diferenciado.
  • Depositarios centrales de valores (CSDs): enfoque de continuidad con especial atención a sus interdependencias sistémicas.
  • Centros de negociación: capacidad de reanudar operaciones en menos de 2 horas, con pérdida mínima de datos.

Por otro lado, los artículos 28 a 30 establecen las bases de la gobernanza interna y el control del riesgo TIC, señalando que el órgano de dirección de cada entidad es el responsable último del marco de gestión implantado. Este marco debe estar respaldado por una clara asignación y documentación de funciones, garantizar la formación continua y la competencia técnica del personal implicado, así como prever la existencia de una función de auditoría interna independiente que verifique regularmente el cumplimiento de las obligaciones establecidas en materia de riesgo TIC.

Gobernanza Interna y control 

Los artículos 28 a 30 del Reglamento Delegado (UE) 2024/1774 establecen los principios de gobernanza y supervisión interna del marco de gestión del riesgo relacionado con las TIC en las entidades financieras.

  • En primer lugar, el artículo 28 atribuye al órgano de dirección la responsabilidad última sobre la gestión del riesgo TIC. Este órgano debe aprobar y revisar periódicamente el marco de gestión del riesgo, asegurando su adecuación a la naturaleza, escala y complejidad de la entidad. Además, debe supervisar su aplicación efectiva y garantizar que se disponga de los recursos necesarios para su implementación.
  • El artículo 29 exige que las funciones y responsabilidades relacionadas con la gestión del riesgo TIC estén claramente asignadas, documentadas y comunicadas dentro de la organización. Esto incluye tanto a los niveles operativos como a los de supervisión, con el fin de evitar solapamientos o lagunas en la gestión. Asimismo, se establece que el personal implicado debe contar con la formación continua y la competencia técnica adecuadas, lo que implica programas de capacitación adaptados a los riesgos y tecnologías emergentes.
  • Por último, el artículo 30 impone la obligación de contar con una función de auditoría interna independiente, encargada de evaluar periódicamente la eficacia del marco de gestión del riesgo TIC. Esta auditoría debe ser objetiva, estar debidamente documentada y sus resultados deben comunicarse al órgano de dirección. Además, debe incluir recomendaciones para corregir deficiencias y hacer seguimiento de su implementación.

Entidades esenciales y entidades importantes en el marco DNIS2

El 14 de septiembre de 2023, la Comisión Europea publicó las directrices sobre la aplicación del artículo 3, apartado 4, de la Directiva (UE) 2022/2555, también conocida como Directiva NIS 2 o SRI 2. Descargables aquí.

  • El objetivo de estas directrices es asistir a los Estados miembros en la identificación y registro de las entidades esenciales e importantes en materia de ciberseguridad, contribuyendo al cumplimiento del artículo 3, apartado 3, de la Directiva NIS 2 que establece que, como muy tarde el 17 de abril de 2025, los Estados miembros deben elaborar una lista de entidades esenciales e importantes, así como de entidades que prestan servicios de registro de nombres de dominio. La revisión y actualización de esta lista es un requisito indispensable, y debe llevarse a cabo al menos cada dos años.
  • El apartado 4 del mismo artículo detalla que, para elaborar dicha lista, los Estados miembros requerirán a las entidades pertinentes que proporcionen información específica
  • Las entidades deben notificar cualquier cambio que altere el contenido de  la información proporcionada y, en todo caso, en un plazo máximo de dos semanas desde que se produzca el cambio.

Paraninfo Gordón Ordás. Universidad de León

Conforme a NIS2, la Comisión, asistida por la Agencia de la Unión Europea para la Ciberseguridad (ENISA), ha de redactar sus directrices, con las correspondientes plantillas relativas a estas obligaciones.

Contenido de las directrices:

  • Orientaciones sobre las obligaciones de los Estados miembros y de las entidades afectadas en relación con la recopilación y actualización de la información requerida.
  • Orientaciones sobre el funcionamiento de los sistemas de información
  • Aclaraciones sobre las obligaciones tanto de los Estados miembros como de las entidades afectadas en lo que respecta a la recopilación y actualización de la información requerida.
  • Orientaciones sobre el formato y los procedimientos para la presentación de la información.
  • Pautas para facilitar la coherencia y similitud entre de los enfoques nacionales para identificar y registrar las entidades esenciales e importantes.Estas directrices son fundamentales para garantizar una aplicación coherente y eficaz de la Directiva NIS 2 en todos los Estados miembros y, por tanto, para fortalecer la ciberseguridad en la Unión Europea.
    Directiva NIS2 (UE) 2022/2555

 

Externalización de servicios «nube» en el sector financiero. Directrices ESMA

Las Directrices de Externalización a Proveedores de Servicios en la Nube publicado por la Autoridad Europea de Valores y Mercados (ESMA) (10.05.2021)  tienen como objetivo principal ayudar a las empresas financieras a identificar, abordar y supervisar los riesgos derivados de la externalización de servicios a proveedores de la nube. Estas directrices buscan garantizar que las entidades mantengan un marco sólido de gobernanza y control al adoptar servicios en la nube, promoviendo una convergencia supervisora en toda la Unión Europea.

Las directrices de ESMA aplican a todas las entidades bajo su supervisión, incluyendo:

        • Empresas de inversión
        • Entidades de crédito que ofrecen servicios de inversión
        • Contrapartes Centrales (CCPs)
        • Depósitos Centrales de Valores (CSDs)
        • Gestores de fondos de inversión (UCITS y AIFMs)

Estas entidades deben cumplir con las directrices cuando externalizan funciones críticas o importantes a proveedores de servicios en la nube.

Azaleas

Los aspectos y orientaciones principales en estas Directrices son:

1.- Evaluación de riesgos y diligencia debida: Las empresas deben realizar una evaluación exhaustiva de riesgos y una diligencia sobre el futuro proveedor debida antes de contratar a tal proveedor de servicios en la nube (CSP). Esto implica analizar la capacidad del CSP para cumplir con los requisitos legales y regulatorios, así como su solidez financiera y medidas de seguridad.

  • En relación con la debida diligencia: Se deben evaluar los riesgos del proveedor antes de la contratación, considerando su solidez financiera, capacidad técnica, ubicación y cumplimiento normativo. Ello incluye:

        • Solidez financiera y estabilidad del proveedor.
        • Capacidad técnica y cumplimiento con estándares de seguridad y normativas.
        • Ubicación de los servidores y jurisdicciones aplicables.
        • Historial de incidentes de seguridad o interrupciones del servicio.
        • Cumplimiento normativo con GDPR y regulaciones financieras.
  • Por lo que respecta a la gobernanza interna (y al control sobre el proveedor): Se requiere una estrategia clara de externalización y una supervisión adecuada por parte del consejo de administración. Se debe deben establecer un marco claro para gestionar la externalización, que incluya:

        • Un proceso formal de aprobación para externalizar funciones críticas.
        • Supervisión continua del proveedor mediante revisiones periódicas.
        • Una estrategia para garantizar la continuidad del negocio en caso de interrupciones en el servicio.
        • Roles y responsabilidades definidos para la gestión de los servicios en la nube.
        • Aprobación y puesta en marcha de  políticas y procedimientos adecuados para la gestión de la externalización en la nube.

3.- Elementos contractuales esenciales en la externalización de servicios: Los acuerdos de externalización deben contener cláusulas específicas que aborden aspectos como la confidencialidad, la integridad y la disponibilidad de los datos, los niveles de servicio esperados, los derechos de auditoría y el cumplimiento de las normativas aplicables. Además deben:

        • Definir los niveles de servicio (alcance  y niveles de servicio (SLAs), incluyendo tiempos de respuesta y disponibilidad).
        • Responsabilidades de ambas partes en caso de incidentes de seguridad o fallos en el servicio y penalizaciones
        • Garantizar acceso, auditoría y supervisión por parte de la entidad y de las autoridades regulatorias.
        • Planes de continuidad, de terminación y de salida con cláusulas adecuadas para minimizar riesgos en caso de finalización del contrato (ver apartado 4).
        • Medidas para la  confidencialidad, integridad y disponibilidad de los datos externalizados.
        • Sistemas para verificar el cumplimiento normativo por parte del proveedor.

4.- Estrategias de salida: Las empresas del sector deben desarrollar planes de salida que aseguren una transición ordenada y minimicen la interrupción de los servicios en caso de finalizar la relación con el CSP. Estos planes deben contemplar la recuperación de datos y la continuidad operativa, así como:

        • Establecer mecanismos para recuperar datos y sistemas en caso de terminación del servicio.
        • Definir estrategias de transición a otros proveedores o reinternalización de los servicios.

5.- Notificación a las autoridades competentes: Conforme a DORA, existe obligación de notificar a las autoridades competentes sobre los acuerdos de externalización en la nube que involucren funciones críticas o importantes. En las directrices se señala que la notificación debe incluir información detallada sobre la naturaleza de los servicios externalizados y las medidas de control implementadas.

 

Primeros desarrollos reglamentarios y de normas técnicas de DORA. Listados

Las normas de desarrollo del DORA, aprobadas por la Comisión Europea  con el apoyo en las normas técnicas de las autoridades independientes financieras  han sido ya en su mayoría  adoptadas, o al menos han sido publicadas los borradores finales de normas técnicas:

Rio Arno, Luminaria, di San Rainieri, 2024

 

 

Sobre la Directiva DORA, (complementa al Reglamento DORA) y las cadenas de proveedores TIC en el sector financiero

La Directiva (UE) 2022/2556 del Parlamento Europeo y del Consejo, adoptada el 14 de diciembre de 2022, introduce modificaciones en varias directivas clave para fortalecer la resiliencia operativa digital del sector financiero en la Unión Europea.

Il Giardino II

Il Giardino II

Forma parte del paquete de medidas conocido como Digital Operational Resilience Act (DORA), que busca garantizar que todas las entidades financieras puedan resistir y recuperarse de cualquier tipo de perturbación relacionada con las tecnologías de la información y la comunicación (TIC). Además, introduce un enfoque integral sobre las cadenas de valor en el sector financiero, especialmente en lo que se refiere a la gestión de riesgos derivados de las terceras partes que proveen servicios tecnológicos esenciales para el funcionamiento de las entidades financieras. Su plazo de trasposición concluyó el pasado 17.01.2025

Principales Modificaciones Introducidas por la Directiva (UE) 2022/2556

  • Directiva 2009/65/CE: relativa a la coordinación de las disposiciones legales, reglamentarias y administrativas en materia de organismos de inversión colectiva en valores mobiliarios (OICVM).
  • Directiva 2009/138/CE: sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II).
  • Directiva 2011/61/UE: relativa a los gestores de fondos de inversión alternativos.
  • Directiva 2013/36/UE: sobre el acceso a la actividad de las entidades de crédito y la supervisión prudencial de las entidades de crédito y las empresas de inversión.
  • Directiva 2014/59/UE: por la que se establece un marco para la recuperación y la resolución de entidades de crédito y empresas de servicios de inversión.
  • Directiva 2014/65/UE: relativa a los mercados de instrumentos financieros (MiFID II).
  • Directiva (UE) 2015/2366: sobre servicios de pago en el mercado interior (PSD2).
  • Directiva (UE) 2016/2341 relativa a las actividades y la supervisión de los fondos de pensiones de empleo.

Objetivos de la directiva:

Camminare sopra le mura pisane

  1. Fortalecer la Resiliencia Operativa Digital: Garantizar que las entidades financieras de la UE posean las capacidades necesarias para prevenir, detectar, contener, reparar y recuperarse de incidentes relacionados con las TIC.
  2.  Establecer un marco coherente y uniforme en toda la UE respecto a los requisitos de resiliencia operativa digital, evitando discrepancias entre Estados miembros.
  3. Supervisión y gestión de riesgos: Implementar mecanismos robustos de gestión de riesgos de las TIC y establecer procesos de notificación de incidentes significativos.
  4. Terceras Partes Críticas: Regular la supervisión de proveedores externos de servicios TIC que sean críticos para el funcionamiento de las entidades financieras, asegurando que también cumplan con los estándares de resiliencia operativa.

En relación con este último aspecto,  las cadenas de suministros TIC más importantes (cadenas de valor) esta directiva ofrece pautas importantes

4.1 Gestión de Riesgos de Terceras Partes Críticas

La directiva enfatiza la importancia de gestionar los riesgos asociados con las terceras partes que proporcionan servicios críticos, como los proveedores de tecnología, de infraestructura digital y de servicios en la nube. Estos proveedores son fundamentales en las cadenas de valor del sector financiero, y su fallo puede tener impactos significativos en la resiliencia operativa de las entidades financieras. El Artículo 28 de la Directiva establece que las entidades financieras deben asegurarse de que sus proveedores de servicios críticos cumplan con los requisitos de resiliencia operativa digital establecidos por DORA. Por ello, estas terceras partes deben ser monitorizadas y evaluadas en cuanto a su capacidad para gestionar los riesgos operativos y cibernéticos. En particular, se exige que las entidades financieras evalúen la concentración de sus proveedores, para evitar dependencias excesivas de un único proveedor o de una región geográfica vulnerable.

4.2 Supervisión de las Cadenas de Valor Externas

La directiva establece una obligación de transparencia y supervisión de las cadenas de valor externas, es decir, las relaciones que las entidades financieras tienen con sus proveedores externos en el marco de las operaciones tecnológicas y de infraestructura. Las entidades deben documentar y gestionar los riesgos asociados a su entorno externo, realizando evaluaciones de impacto en caso de incidentes que afecten a los proveedores clave en sus cadenas de suministro. Esto incluye incidentes cibernéticos, tecnológicos o de infraestructura que afecten a los servicios críticos.

4.3 Requisitos de Notificación de Incidentes de Terceras Partes

El Artículo 31 de la Directiva establece que las entidades financieras deben notificar los incidentes graves que ocurran a través de sus proveedores externos si estos afectan la capacidad operativa de la entidad. Además, las autoridades competentes deben tener acceso a esta información para evaluar el impacto de tales incidentes en la cadena de valor global del sector financiero. Las entidades deberán informar de los incidentes que hayan tenido un impacto significativo en su operación o en sus relaciones con proveedores, sobre todo si estos incidentes afectan a la resiliencia digital.

4.4 Evaluación y Mitigación de Riesgos en las Cadenas de Valor

  • La directiva también obliga a las entidades financieras a llevar a cabo evaluaciones continuas de los riesgos sistémicos derivados de sus cadenas de valor. Las entidades deben garantizar que los servicios esenciales no se vean interrumpidos en caso de fallos de sus proveedores de tecnología.
  • Las medidas de mitigación pueden incluir la diversificación de proveedores y la gestión de contratos con cláusulas específicas que aseguren la continuidad de los servicios en caso de crisis.

  4.5 Intervención de las Autoridades de Supervisión

  • Si una entidad financiera identifica un riesgo significativo derivado de un proveedor en su cadena de valor, las autoridades de supervisión pueden intervenir y ordenar medidas correctivas para prevenir posibles disrupciones en el mercado.

¿Qué relación tiene esta directiva con el Reglamento DORA, en especial en lo relativo a las cadenas ?

La Directiva DORA (Digital Operational Resilience Act) y su correspondiente Reglamento DORA abordan la resiliencia operativa digital en el sector financiero europeo, pero de manera diferente en cuanto a los ámbitos que regulan. La Directiva DORA se centra principalmente en establecer las bases generales para la resiliencia operativa digital del sector financiero, con un énfasis en la gestión de riesgos de las cadenas de valor externas y la supervisión de las relaciones con terceros. Se ocupa de los siguientes aspectos de las cadenas de valor:

  • La Directiva se enfoca en la gestión de riesgos derivados de los proveedores de servicios tecnológicos críticos para las entidades financieras. Esto incluye, por ejemplo, los proveedores de servicios en la nube, las infraestructuras de TI y otros servicios de tecnología. Su art 28 impone a las entidades financieras a asegurar que sus proveedores de servicios críticos en las cadenas de valor cumplan con los requisitos de resiliencia operativa. Las entidades deben identificar, gestionar y reducir los riesgos asociados a estos proveedores.
  • En cuanto a la evaluación de riesgos y continuidad de los servicios, la Directiva DORA regula la necesidad de que las entidades financieras realicen evaluaciones de riesgos sobre sus proveedores externos y que mitiguen los posibles impactos derivados de disrupciones en la cadena de valor. También exige que las entidades informen sobre incidentes graves de terceros que afecten su operación.
  • Por lo que respecta a la supervisión y transparencia,: exige que las entidades informen a las autoridades competentes sobre riesgos operativos significativos en sus relaciones con los proveedores y sobre incidentes cibernéticos o tecnológicos que puedan afectar la cadena de valor.

Teverga

Por su parte, el Reglamento DORA complementa la Directiva DORA proporcionando detalles más técnicos y operativos sobre la implementación de las medidas de resiliencia operativa. Mientras que la Directiva establece el marco legal, el Reglamento detalla los requisitos específicos y los procedimientos.

  • El Reglamento DORA establece los detalles operativos para la evaluación de proveedores de servicios críticos (terceras partes). En él, se encuentran las especificaciones para la supervisión de los proveedores de servicios tecnológicos y los requisitos detallados sobre cómo las entidades financieras deben gestionar su relación con estos proveedores.
  • El artículo 28 del Reglamento detalla cómo deben gestionarse las relaciones contractuales con los proveedores críticos, asegurando que las cláusulas contractuales garanticen que los proveedores de servicios puedan soportar los requisitos de resiliencia operativa exigidos por la Directiva DORA.
  • El Reglamento DORA define los requisitos más detallados para la evaluación de riesgos y la mitigación de disrupciones que puedan surgir en la cadena de valor externa, sobre todo de los proveedores de servicios tecnológicos.
  • Establece las obligaciones de monitoreo y gestión continua de las relaciones con terceros y cómo las entidades deben gestionar los riesgos de concentración, es decir, evitar una excesiva dependencia de un solo proveedor.

Por tanto, la  Directiva DORA proporciona el marco legal general para la gestión de riesgos de las cadenas de valor en el sector financiero, enfocándose en las relaciones con proveedores externos (servicios críticos) y la obligación de gestionar y mitigar los riesgos asociados a estos proveedores. Mientras, el Reglamento DORA ofrece los detalles operativos y específicos sobre cómo deben implementarse las exigencias de la Directiva, particularmente con respecto a la evaluación de riesgos, contratos con proveedores y supervisión continua de las relaciones externas. Es decir, la Directiva establece los principios fundamentales, y el Reglamento ofrece las herramientas y procedimientos específicos para llevar a cabo esos principios en la práctica, garantizando una resiliencia operativa efectiva en toda la cadena de valor del sector financiero.

 

¿Es viable una supervisión centralizada de los proveedores TIC para sector financiero? Informe ESMA

La creciente dependencia de las entidades financieras en tecnologías digitales ha incrementado la exposición a riesgos cibernéticos. Como es sabido, el Reglamento (UE) sobre Resiliencia Digital Operativa (DORA) establece un marco regulatorio para reforzar la resiliencia digital del sector financiero, exigiendo la notificación de incidentes TIC significativos a las autoridades competentes. Actualmente, estas notificaciones se realizan a nivel nacional, lo que puede generar dificultades en la supervisión que de lugar a respuestas descoordinadas dentro de la UE. En cambio, parecería que la centralización de la notificación de incidentes TIC tendría impacto significativo en la resiliencia digital del sector financiero especialmente en el sentido de fortalecer la confianza en la seguridad de los sistemas financieros europeos.

Sanabria. Desde el restaurante del camping

Sobre la base de tales reflexiones, el 17 de enero de 2025, las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) publicaron un informe conjunto sobre la viabilidad de una mayor centralización en la notificación de incidentes importantes relacionados con las Tecnologías de la Información y la Comunicación (TIC) . El informe plantea la pregunta de si sería viable una mayor centralización en la notificación de incidentes significativos relacionados con las Tecnologías de la Información y la Comunicación (TIC) dentro del sector financiero de la Unión Europea (UE). Esta evaluación se lleva a cabo en el marco del Artículo 21 de la Ley de Resiliencia Operativa Digital (DORA) . Destaca la necesidad de mejorar la eficiencia y coherencia en la notificación de incidentes TIC dentro del sector financiero a cuyos efectos formula tres posibles modelos sobre los que analiza su viabilidad:

  • Modelo de referencia básica (baseline): consiste en mantener las estructuras actuales de notificación de incidentes sin cambios significativos, aunque con ciertas mejoras en los estándares de notificación. En este modelo, cada entidad financiera continuaría notificando incidentes TIC a su autoridad nacional competente, que luego transmitiría la información a las autoridades europeas de supervisión. Aunque este modelo respeta la estructura regulatoria actual, su principal desventaja es la falta de una respuesta coordinada a nivel europeo y posibles duplicaciones en la notificación.
  • Modelo mejorado intercambio de datos: cuya esencia radica en la introducción de mecanismos avanzados para compartir información entre las autoridades competentes. Resultaría aparentemente sencillo de poner en marcha , dado que no exige grandes cambios en la arquitectura de las notificaciones. Sin embargo, su mayor coste y dificultad técnica deriva de que actualmente existen distintos modelos y estándares nacionales cuya armonización exige esfuerzos e inversión. Y cuya perfecta compatibilidad no está garantizada a día de hoy.
  • Modelo totalmente centralizado que plantea la creación de una plataforma única en toda la Unión Europea para la recopilación y gestión de informes de incidentes relacionados con las TIC. Conforme a este planteamiento, las entidades financieras reportarían directamente a un organismo central, eliminando la necesidad de notificaciones a nivel nacional. La mayor centralización, además de viable, ofrece ciertos beneficios. Con todo, también identifica que la alta concentración de información sensible conlleva un mayor riesgo de pérdida de datos, lo que requeriría la puesta en marcha de controles integrales de seguridad de la información en una solución centralizada. Y, que implica retos significativos en términos de costos y armonización regulatoria.

El estudio, que  ha sido remitido al Parlamento Europeo, al Consejo Europeo y a la Comisión Europea para su consideración en futuros desarrollos regulatorios formula recomendaciones clave, que incluyen:

  • Evaluación de costos y beneficios antes de poner en marcha cualquier cambio en la estructura de notificación.
  • Desarrollo de infraestructura tecnológica que facilite la interoperabilidad entre sistemas nacionales y europeos.
  • Promoción de la cooperación regulatoria para garantizar una transición eficiente hacia modelos más centralizados.

La Comisión Nacional del Mercado de Valores (CNMV) de España realizó (poco antes de haberse hecho público el informe mencionado, un ejercicio de autoevaluación con 245 entidades financieras para evaluar su preparación ante la entrada en vigor de DORA. El informe reveló buenas medidas de gobernanza y ciberseguridad en general, pero también identificó carencias en la gestión de incidentes y en la gestión del riesgo de proveedores de servicios TIC, especialmente en entidades de menor tamaño que no pertenecen a un grupo.

 

 

Conformidad de los Productos con Elementos Digitales en el Reglamento de Ciberresiliencia

El Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.° 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia, CRA por sus siglas en inglés) introduce un sistema escalonado de verificación de conformidad, para que los productos con elementos digitales cumplen con estándares de ciberseguridad antes de su comercialización en la UE. La combinación de la declaración de conformidad, la certificación y el marcado CE refuerza la seguridad en el ecosistema digital europeo

1. Declaración UE de Conformidad (Artículo 20 CRA)

Es un documento obligatorio que el fabricante debe emitir para confirmar que su producto cumple con los requisitos esenciales de ciberseguridad establecidos en el Anexo I del Reglamento.

  • Es exigida para todos los productos con elementos digitales que entran en el mercado de la UE.
  • Permite la libre circulación de estos productos dentro del mercado único europeo.
  • Debe mantenerse actualizada y accesible para las autoridades nacionales competentes durante al menos 10 años después de que el producto haya sido comercializado.
  • Su contenido mínimo está detallado en el Anexo V del Reglamento.

2. Certificación Europea de Ciberseguridad (Artículo 21 CRA)

Para productos considerados de mayor riesgo, el Reglamento exige una certificación de ciberseguridad que verifique su conformidad con los estándares europeos.

  • Aplica a los productos críticos con elementos digitales enumerados en el Anexo IV del CRA.
  • La certificación se realiza bajo esquemas europeos de certificación regulados por el Reglamento (UE) 2019/881 sobre ciberseguridad.
  • Existen tres niveles de garantía, en función del riesgo:
    • Básico: Protección contra riesgos mínimos.
    • Sustancial: Protección frente a ataques más sofisticados.
    • Alto: Garantiza un alto nivel de resistencia ante amenazas avanzadas.
  • La certificación debe ser realizada por Organismos de Evaluación de la Conformidad, acreditados por los Estados miembros y supervisados por la Agencia de la Unión Europea para la Ciberseguridad (ENISA).

3. Marcado CE y Obligaciones del Fabricante (Artículos 18 y 19 CRA)

El marcado CE indica que un producto cumple con los requisitos del CRA y que puede comercializarse en la UE.

  • Con el marcado, el fabricante garantiza que el producto ha pasado los procedimientos de evaluación de conformidad.
  • Debe ser visible, legible e indeleble en el propio producto, su embalaje o su documentación.
  • Las autoridades nacionales pueden solicitar pruebas de conformidad y, en caso de incumplimiento, exigir la retirada del producto del mercado.

4. Procedimientos de Evaluación de la Conformidad (Artículo 22 CRA)

El CRA establece diferentes procedimientos para evaluar si un producto cumple con los requisitos de ciberseguridad:

      1. Control interno de la producción:

        • Aplicable a productos con menor impacto en la ciberseguridad.
        • El fabricante realiza una autoevaluación y emite la Declaración UE de Conformidad.
      2. Gestión de calidad total:

        • Aplicable a productos con mayor impacto en la ciberseguridad (por ejemplo, los del Anexo III del Reglamento).
        • Requiere que un organismo independiente supervise el sistema de gestión de calidad del fabricante.
      3. Evaluación por un organismo notificado:

        • Obligatorio para productos críticos incluidos en el Anexo IV.
        • Un organismo de certificación independiente (acreditado para certificar) verifica la conformidad antes de su comercialización.

Reglamento de Ciberresiliencia (CRA): Nuevas Obligaciones en Materia de Ciberseguridad para Productos con Elementos Digitales

El 10 de diciembre de 2024 entró en vigor el Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, más conocido como Reglamento de Ciberresiliencia (CRA, por sus siglas en inglés). Establece requisitos de ciberseguridad para los productos con elementos digitales y modifica el ordenamiento anterior, principalmente el Reglamento (UE) n.º 168/2013, el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828.

El Reglamento de Ciberresiliencia representa un cambio significativo en la normativa de ciberseguridad en la UE con obligaciones claras para fabricantes y distribuidores, que repercuten en la mejor protección de consumidores y empresas al exigir productos más seguros en el mercado. En este blog ya se había prestado atención a la Propuesta de la Comisión

El Reglamento de Ciberresiliencia introduce normas horizontales aplicables a múltiples sectores, estableciendo requisitos mínimos de ciberseguridad en toda la UE para

  • Mejorar la ciberseguridad de muchos productos y evitar la falta de actualizaciones de seguridad oportunas.
  • Facilitar que los productos digitales sean seguros a lo largo de su ciclo de vida.
  • Exigir a los fabricantes una supervisión continua de sus productos tras su comercialización.
  • Obligar a la certificación de productos críticos mediante organismos de certificación especializados.

Tambre

El CRA define los productos digitales en su artículo 3, como: «Programas informáticos o equipos informáticos y sus soluciones de procesamiento de datos remoto, incluidos los componentes consistentes en programas informáticos o equipos informáticos que se introduzcan en el mercado por separado.»

En términos simples, los productos digitales son cualquier producto de software o hardware que incorpore elementos digitales y esté conectado directa o indirectamente a otro dispositivo o red.

El Reglamento se aplica a todos los productos digitales que puedan suponer un riesgo para la ciberseguridad dentro del mercado de la UE. No obstante, establece excepciones para algunos sectores ya regulados, como los productos sanitarios, la aviación y la automoción. También quedan excluidos ciertos productos de software de código abierto que ya cuentan con normas específicas. Además, introduce disposiciones particulares para repuestos de componentes, estableciendo que estos quedan exentos de los requisitos del CRA si cumplen dos condiciones:

  • Ser utilizados para reparar productos comercializados antes de la entrada en vigor del CRA.
  • Haber sido ya sometidos a un procedimiento de evaluación de conformidad compatible con el CRA.

En relación con los fabricantes, los principales (no los únicos) sometidos al Reglamento, los artículos 13 a 15 detallan sus principales obligaciones:

 

  • Evaluación de riesgos de ciberseguridad: Los fabricantes deben realizar una evaluación integral de riesgos en todas las fases del ciclo de vida del producto, desde su planificación hasta su mantenimiento. Esta evaluación debe documentarse y actualizarse periódicamente.
  • Diseño seguro desde el origen: Los productos deben desarrollarse con medidas de ciberseguridad adecuadas desde su concepción, asegurando que las posibles amenazas sean identificadas y mitigadas.
  • Gestión de vulnerabilidades: Los fabricantes deben detectar, notificar y corregir vulnerabilidades en sus productos, incluyendo componentes de terceros o de código abierto.
  • Documentación técnica: Toda la información sobre la gestión de ciberseguridad debe estar registrada y justificada en la documentación del producto.
  • Certificación de productos críticos: Aquellos productos con especial relevancia para la ciberseguridad deberán someterse a una evaluación por parte de Organismos de Certificación de la Conformidad acreditados en cada Estado miembro.

Marcado CE y conformidad (desarrollado en siguientes entradas)

Los productos con especial relevancia para la ciberseguridad deberán llevar el marcado CE (Conformité Européene), indicando su conformidad con los requisitos del CRA. Para ello, los fabricantes deberán (de modo previo y como requisito para la comercialización en la UE de ese producto):

  • Realizar una evaluación de conformidad para demostrar que el producto cumple con los estándares de ciberseguridad.
  • Emitir una Declaración UE de conformidad, un documento que certifica el cumplimiento del reglamento.
  • Insertar un marcado o certificado 

Conexión con la Directiva sobre responsabilidad por productos defectuosos

Fiume Arno, traversata di Pisa

El CRA complementa lo dispuesto en la Directiva (UE) 2024/2853 sobre responsabilidad por los daños causados por productos defectuosos, que establece la responsabilidad objetiva del fabricante. Esto significa que, conforme a la Directiva, los fabricantes serán responsables de los daños derivados de fallos de seguridad en sus productos, incluso sin necesidad de demostrar culpa o falta de diligencia. Por tanto, si un producto presenta vulnerabilidades tras su comercialización debido a fallos de seguridad, el fabricante podría ser considerado responsable conforme a la Directiva, sin embargo, las obligaciones relativas a actualizaciones de seguridad están definidas específicamente en el CRA.

Entrada en vigor y aplicación

Si bien el CRA entró en vigor el 10 de diciembre de 2024, sus principales requisitos serán exigibles a partir del 27 de diciembre de 2027. Esto brinda a las empresas un período de adaptación para cumplir con las nuevas obligaciones.

¿Robot inventor? A propósito del caso DABUS puesto a prueba ante la USPTO, la OEP, la UKIPO y ante otras Oficinas ( y algunos Tribunales de Justicia)

Es relativamente frecuente escuchar,  en conversación ligera, que ya existen invenciones realizadas por máquinas. O que a éstas se deberían ciertas aportaciones reflejadas en reivindicaciones que forman parte de solicitudes de patentes.   Pues bien, en agosto de 2019, un equipo de investigadores presentó solicitudes de patentes en las que designaba como inventor a una Inteligencia Artificial, el DABUS. A través del procedimiento de solicitud internacional del PCT y la designación de diversos países, las solicitudes representan test de interés para avanzar en la posibilidad de reconocer (o no) algún margen de atribución a la IA en el derecho de patentes.

En tanto tenemos conocimiento, únicamente la Oficina de Patentes de Surafrica ha admitido (en 2021) la condición de inventor a esa IA (en Australia, tras un singular veredicto favorable del Tribunal Federal en 2021, el Tribunal Supremo de ese país desestimó la petición).

 

By A. Zorita

By A. Zorita

Antecedentes.

El Dr Steven Thaler presentó dos solicitudes de patente en las que aparecía el nombre de «Device for the Autonomous Bootstrapping of Unified Science» (DABUS) como único inventor, siendo DABUS un sistema de software de inteligencia artificial.

DABUS, en realidad, era resultado y se integraba en un amplio proyecto de investigación en el que participaron renombrados científicos como Ryan Abbott, Robert Jehan, Malte Koellner, Reuven Mouallem, Markus Rieck, Peggy Wu. El desarrollador de DABUS fue el propio Dr  Stephen Thaler (y equipo).

DABUS

DABUS (device and method for the autonomous bootstrapping of unified sentience) es un sistema deinteligencia artificial programado como una serie de redes neuronales artificiales. Estas redes fueron entrenadas con conocimientos generales de diferentes campos, y para poder identificar contenidos novedosos en distintos campos. Se les pidió crear invenciones de manera independiente.

DABUS ante la USPTO y ante los Tribunales de Estados Unidos

La Oficina de Patentes y Marcas de Estados Unidos (USPTO) determinó que dos   solicitudes de patente carecían de un inventor válido, y solicitó la identificación de los inventores. El Sr Thaler instó la anulación de las notificaciones, pero su pretensión fue denegada por parte de la USPTO y la solicitud de patente rechazada.  El Dr Thaler inició procedimientos ante el Tribunal de Distrito de EE.UU. para el Distrito Este de Virginia. Este Tribunal concluyó (en un procedimiento sumario) que las solicitudes carecían de inventor porque, según la ley estadounidense de patentes, un «inventor» debe ser una «persona física», y porque el significado llano de «persona física» en la ley equivale a «ser humano».

Guess who

El Sr Thaler recurrió ante el Circuito Federal. En su sentencia de 2022, Thaler v. Vidal, 43 F.4th,  1207, se inadmitió la posibilidad de que la IA fueran reconocida como inventora en sendas solicitudes de patente. rEl Circuito Federal comenzó su análisis revisando el lenguaje de la Ley de Patentes, que define a un «inventor», en 35 U.S.C. § 100(f), como el «individuo». (O individuos en las invenciones conjuntas). El Tribunal del Circuito Federal sostuvo que, aunque la Ley de Patentes no define «individuo», del lenguaje de sus disposiciones se desprende claramente que alude a una persona física, es decir, un ser humano. Y que, a menos que haya una indicación de que el Congreso que establezca algo distinto, la palabra «individuo» en la Ley de Patentes significa ser humano. Añadió, que exigir que un «inventor» sea un ser humano es coherente con los precedentes jurisprudenciales que sostienen que, ni las corporaciones o personas jurídicas, ni los Estados soberanos pueden ser inventores, porque no son personas físicas.  Por último, dijo también que en el lenguaje común, los diccionarios confirman que la palabra «individuo» utilizada por el legislador corresponde a un «ser humano».

Sin embargo,  el Tribunal del Circuito Federal no cerró totalmente el debate pues, para finalizar su sentencia, recordó que no se le había planteado directamente la cuestión de si las invenciones realizadas por seres humanos con la ayuda de inteligencia artificial pueden ser objeto de protección mediante patente .

  • El Tribunal del Circuito Federal se apoyó en algunos precedentes, como Univ. of Utah v. Max-Planck-Gesellschaft Zur Forderung Der Wissenschaften E.V. and Beech Aircraft Corp. v. EDO Corp., (Univ. of Utah v. Max-Planck-Gesellschaft Zur Forderung Der Wissenschaften E.V., 734 F.3d 1315, 1323 (Fed. Cir. 2013); Beech Aircraft Corp. v. EDO Corp., 990 F.2d 1237, 1248 (Fed. Cir. 1993). En esos asuntos se había afirmado que los inventores deben ser personas físicas, y que no pueden ser ni personas jurídicas de tipo corporativo (corporations) ni Estados soberanos
  • La USPTO se apoyó también en los test y criterios establecidos en  Pannu v. Iolab Corp96 F. Supp. 2d 1359 (S.D. Fla. 2000) en relación con el reconocimiento de la condición de co-inventor. En este caso se afirmó que, para ser reconocida entre los inventores en una solicitud de patente, la persona (física) inventora o co-inventora debe contribuir de alguna manera significativa a la concepción o a la concreción práctica de la invención. A partir de ese principio, se concluyó que en aquellas invenciones en las que participa una IA, los humanos que sean designados como inventores individual o colectivamente deben poder evidenciar una relevante aportación o contribución humana a la invención reivindicada . La contribución del inventor o co-inventor en ningún caso puede ser insignificante en relación con la dimensión de la invención completa. Esa aportación de un humano que aspira a ser reconocido como coinventor o como inventor, no puede consistir, simplemente, en explicar a los  otros inventores  conceptos que ya son bien conocidos o que se encuentran en el estado actual de la técnica” (eso es lo que había hecho quien inicialmente fue reconocido inventor en Pannu v OILAV Corp). Además, el análisis de la aportación de la persona inventora se realiza reivindicación por reivindicación y nunca de modo general.

Pisa di notte

Seguimiento y desarrollos en Estados Unidos

 

DABUS ante la UKIPO

La solicitud de patentes a favor de DABUS también se presentó ante la Oficina de Patentes de Reino Unido, fue rechazada y recurrida ante el Tribunal Supremo de ese país

  • En Inglaterra el rechazo se produjo mediante Decisión de la UKIPO de 4.12.2019. En su respuesta inicial pidió «declaraciones de invención» para que el solicitante, Dr. Thaler, indicase cómo había obtenido la invención otorgándole un plazo de 16 meses, con el apercibimiento de que en caso de no hacerlo, las solicitudes de patente se considerarían retiradas (Rule 10(3) /de las Reglas de Patentes de 2007.El 23 de julio de 2019, el Dr. Thaler presentó sus declaraciones de invención, en las que exponía su postura: las invenciones fueron creadas por su máquina de inteligencia artificial DABUS y el Dr. Thaler había adquirido el derecho a la concesión de las patentes como propietario de la máquina. La solicitud de patente fue rechazada
  • Este informe UKIPO da forma a la visión actual desde esa oficina

Recursos ante los Tribunales de Justicia de Reino Unido

Tras las negativas de la High Court y de la Court of Appeal a reconocer a DABUS como inventor, este asunto fue dirimido finalmente ante la Supreme Court. El Tribunal Supremo del Reino Unido. El recurso fue examinado el 2 de marzo de 2023 por Lord Hodge, Lord Kitchen (ponente), Lord Hamblen, Lord Leggat y Lord Richards.

  • La sentencia señala expresamente que no se ocupa de la cuestión de si los avances técnicos generados por máquinas autónomas impulsadas por IA deberían ser patentables o de si el término «inventor» debería ampliarse para incluir a las máquinas impulsadas por IA.  Por el contrario se apoya en la interpretación de la Ley de Patentes de 1977 y ajustándose a su texto da respuesta a una serie de cuestiones muy interesantesPor una parte, se fija en el alcance y en el significado de  la palabra «inventor»  , por relación a los artículos 7 y 13 de la Ley de Patentes de 1977: un inventor es el creador de la invención, que, según su significado ordinario esuna persona que crea un producto o proceso nuevo. Por lo tanto DABUS no es inventor en el sentido de los arts 7 a 13 de esa LeyPor otro lado, el Tribunal responde a la cuestión de si el Sr Thaler, en tanto que dueño de DABUS podía solicitar patente a su propio nombre. A este respecto,  los Lores recordaron que si bien el solicitante no tiene porque ser inventor si que debe ser una de las personas legitimadas (art 7-2-b y 7-2-c) o el cusahabiente del inventor. Pero, la condición de dueño no justifica el derecho a solicitar la patente, ni de los frutos de su propiedad (rechaza la teoría de la adhesión): que Thaler sea dueño de DABUS no le legitima tampoco para ser él mismo el titular de la patente)

DABUS ante la OEP

  • La OEP se pronunció en Múnichel 27 de enero de 2020., en relación con dos solicitudes de patente, la EP 18 275 163 (contenedor de comida que utiliza diseños fractales para crear hendiduras y bultos) y la EP 18 275 174 ( dispositivo y método para atraer atención óptica mejorada). En las dos solicitudes de patentes se designaba a DABUS como su inventor único, y como solicitante (y potencial titular de las patentes) constar al Dr. Thaler,  dueño de la máquina.
  • Ante la OEP, la respuesta al Caso Dabus  fue que la mera alusión formal del robot como inventor es insuficiente, pues la exigenca de mencionar al autor no es un mero formalismo, sino que es manifestación de un derecho de la personalidad. La OEP indicó así que los nombres otorgados a las personas no solo sirven para identificarlos, sino también para ejercitar unos derechos que pueden corresponder únicamente a seres humanos.l
  • La OEP señaló que el  inventor debe ostentar personalidad, pues solo de esta forma tendrá capacidad legal para ejercer los derechos que la legislación de patentes concede al inventor, como ser designado, ser mencionado o ser notificado de dicha designación. La OEP subraya que el inventor es la persona que contribuye al diseño, desarrollo o implementación de la idea inventiva.

A través del PTO han sido muchas otras las oficinas y tribunales que deniegan la posibilidad de reconocer la condición de inventor a la IA (con la excepción de Suráfrica, hasta el momento)

 

Ver también:

 

Entrada realizada con el apoyo del Proyecto (nacional)TED2021-130344B-100, DESAFÍOS Y RETOS DE LA ORDENACIÓN DE LAS INNOVACIONES DE CAMBIO CLIMÁTICO financiado por MCIN/AEI/10.13039/501100011033 y por la UE NextGenerationEU/PRTR