“Direito Comercial na Era Digital”, Universidade Lusófona, Porto 22 abril 2026

Posted on 22 abril, 2026 por Elena F Pérez Carrillo

El 22 de abril, se celebra el coloquio “Direito Comercial na Era Digital”, una jornada académica dedicada al análisis de los principales desafíos que plantea la transformación digital en el ámbito del derecho comercial. El encuentro tiene lugar en la Universidade Lusófona – Centro Universitário do Porto

Participan como ponentes y moderadores los profesores Marcos Cruz González (Universidad de Salamanca), Pedro Dias Venâncio (Universidade do Minho), César Pires (Instituto Politécnico de Bragança), Fernanda Rebelo (Universidade Portucalense), Carlos Filipe Costa (Dower Law Firm), Elena Pérez Carrillo (Universidad de León), Pedro Pablo Pérez Carbó (Universidad de los Andes), Ana Gonçalves, Mário Lourenço, Ana Isabel Guerra y João Tavares (Universidade Lusófona). La actividad cuenta, además, con la colaboración institucional de la Universidade Lusófona – Centro Universitário Porto, la Faculdade de Direito e de Ciência Política (FDCP), el CEAD – Centro de Estudos Avançados em Direito “Francisco Suárez”, la Fundação para a Ciência e a Tecnologia (FCT) y la firma Dower Law Firm.

El programa aborda cuestiones como la competencia en mercados digitales, los contratos celebrados a distancia, la desmaterialización de títulos de transporte, la responsabilidad de los administradores en entornos digitales y la evolución del derecho industrial en la era tecnológica

Expo. Cidade da Cultura. Santiago de Compostela. 2021–

En mi ponencia, “O Direito Industrial na era Digital”, examino cómo la ciberseguridad y los sistemas de trazabilidad digital se han convertido en herramientas clave para proteger la propiedad industrial frente a la falsificación y la exfiltración de información estratégica.. Las infraestructuras seguras, los registros electrónicos robustos y los estándares de seguridad son hoy fundamentales en la tutela efectiva de marcas, diseños, patentes y secretos empresariales en las cadenas de suministro físicas y digitales.

En la economía digital, la lucha contra la falsificación ya no se limita al control físico de mercancías en fronteras o almacenes: es un problema de ciberseguridad y de gestión de datos. Las cadenas de suministro son cada vez más digitales, conectadas y distribuidas, y los falsificadores aprovechan esa complejidad para insertar productos ilícitos, manipular información de origen o explotar vulnerabilidades en los sistemas de trazabilidad. Las consecuencias son diversas: se ponen en riesgo la salud y seguridad de los consumidores, pero también el valor económico de las marcas, diseños y demás activos de propiedad industrial.
- En este contexto, las soluciones tecnológicas de seguridad pasan a funcionar como instrumentos jurídicos indirectos de protección de la propiedad industrial: contribuyen a demostrar autenticidad, a documentar el recorrido de los bienes y a acreditar que la empresa ha actuado con la diligencia exigible frente a la falsificación
- La trazabilidad digital basada en infraestructuras seguras permite rastrear el bien desde su origen hasta el consumidor final, detectar puntos de desviación en la cadena de suministro, o acreditar la autenticidad frente a falsificaciones que vulneran marcas, diseños o indicaciones geográficas. Esta trazabilidad deja de ser una mera herramienta logística para convertirse en un mecanismo de control jurídico del ciclo de vida del producto.

2. Las obligaciones regulatorias recientes en materia de ciberseguridad y servicios digitales refuerzan esta convergencia entre seguridad informática y protección de la propiedad industrial, incrementan el coste y la dificultad de introducir productos falsificados en los canales legítimos de distribución y reducen las asimetrías de información entre empresas, titulares de derechos y consumidores.

Así, la Directiva (UE) 2022/2555 (NIS2) exige a operadores esenciales y entidades importantes una gestión del riesgo que cubra toda la cadena de suministro digital, incluidos proveedores críticos, integridad y disponibilidad de datos, y seguridad de sistemas industriales y logísticos. Ver esta entrada
O, el Reglamento (UE) 2022/2065 (Digital Services Act, DSA) impone a plataformas y otros intermediarios obligaciones de trazabilidad de comerciantes, verificación de identidad, retirada de contenidos ilícitos y cooperación con titulares de derechos, lo que se traduce en mejores herramientas para localizar vendedores de falsificados y retirar ofertas que infringen marcas y otros derechos de PI. Ver el tag DSA
- El DSA introduce la figura de los denominados alertadores fiables (trusted flaggers), con una incidencia relevante en la tutela de los derechos de propiedad industrial en el entorno digital. Estos sujetos, designados por los Coordinadores de Servicios Digitales de los Estados miembros, deben reunir requisitos de especialización, independencia y fiabilidad, actuando en la identificación y notificación de contenidos ilícitos.Entre los actos ilícitos que identifican se incluyen, de manera destacada, aquellos que supongan infracciones de derechos de propiedad industrial, tales como el uso no autorizado de signos distintivos, la comercialización de productos falsificados o la vulneración de derechos de diseño o patente en plataformas en línea.
- Las plataformas digitales están obligadas a otorgar prioridad al tratamiento de las notificaciones emitidas por estos alertadores cualificados, lo que refuerza la eficacia de los mecanismos de retirada o bloqueo de contenidos ilícitos, en línea con los sistemas de notice and action.
- Desde la perspectiva de la protección de la propiedad industrial, esta figura contribuye a una detección más ágil y cualificada de infracciones, especialmente en contextos de comercialización digital a gran escala, donde la difusión de productos que vulneran marcas, diseños o patentes puede producirse de forma rápida y masiva. En consecuencia, los trusted flaggers se integran en un modelo de diligencia debida reforzada y corregulación, que fortalece la tutela de los derechos de propiedad industrial y mejora la eficacia de los mecanismos de reacción frente a infracciones en el entorno digital.

3. Los estándares de ciberseguridad pasan a formar parte de los instrumentos de tutela de activos industriales

Rododendros y azaleas

Los estándares como la familia ISO/IEC 27000 y el NIST Cybersecurity Framework— se consolidan como el baseline técnico‑organizativa para proteger documentación de propiedad industrial y secretos empresariales. Concretamente, su la versión de 2022 del NISY Cybersecurity incorpora el control 5.32 “Intellectual property rights”, que obliga a identificar y cumplir los requisitos legales, reglamentarios, contractuales y estatutarios aplicables a los derechos de propiedad intelectual e industrial.
- La implantación de un SGSI alineado con ISO/IEC 27001, auditado y documentado, se convierteen prueba de diligencia organizativa en litigios por apropiación indebida de secretos empresariales. No solo muestra que existen controles formales, sino que la protección de activos de PI se integra en la gobernanza corporativa y en la gestión del riesgo.
- ISO/IEC 27002 complementa este enfoque con un catálogo detallado de controles para clasificación de la información, gestión de identidades, cifrado, seguridad en el ciclo de vida de activos y protección frente a fugas de información; todo ello especialmente relevante para documentación de invenciones, diseños y procesos industriales
- NIST Cybersecurity Framework 2.0 incorpora, en la función PROTECT, la subcategoría PR.DS‑10, relativa a la protección de la confidencialidad, integridad y disponibilidad de los datos en uso. cuya aplicación práctica se vincula directamente a la protección de activos de PI, porque código fuente, diseños en desarrollo, expedientes de patente o documentación de I+D son precisamente datos que están en uso y, por tanto, en el momento de máxima exposición. Esta subcategoría se utiliza como ancla para justificar controles reforzados sobre repositorios de PI (código, diseños, know‑how), especialmente durante las fases de edición, revisión y transferencia interna o externa.
- Lo anterior se completa con referencias a las aportaciones desde ENISA a la seguridad digital de activos de PI como elemento del Derecho Comercial en la Era Digital en la Unión Europea

4. El ordenamiento industrial merece una reinterpretación a la luz de los riesgos digitales

La articulación conjunta de la Directiva 2016/943 sobre secretos comerciales y de la Directiva 2004/48/CE sobre enforcement de los derechos de propiedad intelectual conduce, en la práctica, a una juridificación de la ciberseguridad en las empresas titulares.
- La primera condiciona el acceso al estatuto de secreto empresarial a la existencia de “medidas razonables” para mantener la información en secreto, lo que obliga a desplegar políticas internas de clasificación y confidencialidad, controles de acceso, medidas técnicas de protección y mecanismos de trazabilidad verificables. Ver esta entrada
- La segunda exige que el titular esté en condiciones de preservar y presentar pruebas fiables en litigios de infracción , sin poner en riesgo la confidencialidad del resto de su know‑how, lo que presupone sistemas robustos de registro, archivo seguro y gestión controlada de la información protegida.
La lógica es muy similar cuando se amplía la mirada a la Directiva y el Reglamento de marcas de la UE, así como a las leyes de patentes nacionales y el CPE.
- Estos instrumentos reconocen derechos exclusivos sobre signos distintivos e invenciones, pero su eficacia real depende de que el titular sea capaz de identificar, gestionar y probar el uso legítimo de sus marcas y la explotación de sus patentes, así como de localizar y documentar las infracciones. Todo ello presupone sistemas de información seguros, trazables y organizados. Ver el tag marcas
- Téngase en cuenta los regímenes de licencia obligatoria y de Licencias Justas y no discriminatoria en caso de patentes esenciales o para estándares (PEN)
En la práctica, la propiedad industrial digital se ve completada con deberes de los titulares. Es posible que ello lleve una relativización. Es decir, a limitar la preocupación a supuestos concretos y . A la luz de los costes que la propia protección lleva

DORA en profundidad: El Reglamento Delegado (UE) 2024/1774 y la continuidad operativa en el sector financiero

Posted on 26 mayo, 2025 por Elena F Pérez Carrillo

En un entorno financiero profundamente digitalizado, la resiliencia operativa digital es crucial para la estabilidad del sistema y la protección de los servicios esenciales. El Reglamento Delegado (UE) 2024/1774, de 13 de marzo de 2024, desarrolla el Reglamento DORA (UE) 2022/2554, estableciendo normas técnicas de regulación (RTS) relativas a la gestión del riesgo de las TIC, la continuidad operativa y la gobernanza interna.

Objetivo y Alcance del Reglamento Delegado.

Este desarrollo Reglamentario está orientado a garantizar la proporcionalidad y eficacia en la aplicación del DORA, con especial atención a la diversidad estructural de las entidades financieras.

Según su artículo 1, este Reglamento tiene por objeto especificar los requisitos detallados sobre:

Herramientas, métodos y políticas para la gestión del riesgo de las TIC (art. 4-24).
Estrategias y planes de continuidad operativa y recuperación (art. 2 y 3, y 25-27).
Gobernanza interna en relación con los riesgos TIC (art. 28-30).

Estrategia de Continuidad Operativa TIC . Los artículos 2 y 3 exigen a las entidades:

Identificar funciones críticas o importantes (CFI) y sus dependencias.
Determinar los recursos TIC necesarios y los riesgos derivados de la dependencia tecnológica.
Establecer mecanismos de revisión y aprobación periódica por parte del órgano de dirección.
Integrar la estrategia de continuidad TIC en el marco general de gestión de riesgos.

Gestión integral del riesgo TIC

Los artículos 4 a 23 del Reglamento Delegado (UE) 2024/1774 articulan un marco integral para la gestión del riesgo relacionado con las TIC, estructurado en distintos bloques temáticos que abarcan todo el ciclo de vida de los activos digitales.

En primer lugar, los artículos 5 a 11 se centran en la gestión del ciclo de vida de los activos TIC, incluyendo aspectos como el control de accesos, la segmentación de entornos, las políticas de configuración, la gestión de parches y actualizaciones, el registro de eventos, la planificación de capacidad y el uso seguro de técnicas criptográficas.

El art 9 establece que las entidades financieras deben desarrollar procedimientos específicos para la gestión de la capacidad y el rendimiento de sus sistemas TIC.

Estos procedimientos deben permitir determinar los requisitos de capacidad, optimizar el uso de recursos y mantener o mejorar la disponibilidad, eficiencia y previsión de necesidades tecnológicas.
Además, deben adaptarse a las particularidades de los sistemas que requieren procesos de adquisición complejos o que hacen un uso intensivo de recursos, garantizando así una planificación adecuada y resiliente

El Reglamento Delegado (UE) 2024/1774 profundiza en las obligaciones de seguridad que deben adoptar las entidades financieras en relación con los datos y sistemas TIC.

El artículo 10 regula la gestión de vulnerabilidades y parches.

En primer lugar, exige que las entidades financieras elaboren procedimientos para identificar, evaluar y mitigar vulnerabilidades, incluyendo la actualización constante de fuentes de información fiables, la realización de escaneos automatizados (al menos semanales para activos críticos), y la verificación de que los proveedores TIC gestionan adecuadamente sus propias vulnerabilidades. También se requiere el seguimiento del uso de bibliotecas de terceros, especialmente en servicios TIC esenciales, y la divulgación responsable de vulnerabilidades cuando sea necesario. Además, se deben priorizar los parches según la gravedad de la vulnerabilidad y el perfil de riesgo del activo afectado, y registrar todas las vulnerabilidades detectadas junto con su resolución.
En cuanto a la gestión de parches, el artículo exige procedimientos que permitan identificar y evaluar actualizaciones mediante herramientas automatizadas, establecer protocolos de emergencia, probar e implementar los parches conforme a las normas de seguridad y definir plazos claros para su instalación. En caso de incumplimiento de estos plazos, deben existir mecanismos de escalado jerárquico para su resolució

Además, concreta en su artículo 11 la necesidad de establecer procedimientos específicos para salvaguardar la integridad, confidencialidad y disponibilidad de la información.

Dichos procedimientos deben ser coherentes con la clasificación de datos establecida conforme al Reglamento DORA e incluir medidas técnicas y organizativas que garanticen configuraciones seguras, restricción de accesos, control de software autorizado, protección frente a códigos maliciosos y uso controlado de dispositivos.
También se exige prestar especial atención a entornos de teletrabajo y a la gestión de activos operados por terceros, respetando en todo momento el principio de responsabilidad plena de la entidad financiera respecto de sus proveedores de servicios TIC.
Asimismo, se prevén requisitos precisos sobre la eliminación segura de datos y soportes, así como sobre la prevención de fugas de información y el aseguramiento de la resiliencia digital.

Complementariamente, el artículo 12 impone un marco riguroso para la gestión de registros, como salvaguarda frente a intrusiones y usos indebidos. Las entidades deben identificar qué hechos registrar, han de proteger la integridad de los datos y tienen que garantizar su conservación durante periodos adecuados, en función de la finalidad del registro y del nivel de riesgo asociado. La trazabilidad debe extenderse al acceso lógico y físico, al rendimiento de redes, a la gestión de la capacidad y al ciclo de vida de los sistemas TIC. Para asegurar la fiabilidad y utilidad de estos registros, el Reglamento exige mecanismos contra la manipulación o el acceso no autorizado, así como la sincronización precisa del tiempo en todos los sistemas, asegurando su coherencia con fuentes de referencia fiables.

En los artículos 17 a 19, el Reglamento trata específicamente la seguridad de redes y sistemas de información (SGSI), con énfasis en la protección frente a ciberamenazas, la implementación de mecanismos de autenticación robusta y el despliegue de medidas de defensa en profundidad. Por su parte, los artículos 20 a 23 regulan la gestión del desarrollo y mantenimiento de software, exigiendo procedimientos seguros durante las fases de desarrollo, prueba y modificación tanto de software propio como de soluciones de terceros.

Políticas y Planes de continuidad operativa.

Los artículos 24 a 26 del Reglamento Delegado (UE) 2024/1774 desarrollan de forma precisa los requisitos que deben cumplir las políticas y planes de continuidad operativa en materia de TIC.

El artículo 24 establece el contenido mínimo que deben incluir dichas políticas, tales como los objetivos perseguidos, sus eventuales limitaciones, los criterios para su activación y desactivación, así como los procedimientos de comunicación tanto interna como externa en situaciones de crisis. Asimismo, exige la definición de escenarios de disrupción y de objetivos concretos de recuperación, la planificación de pruebas periódicas y su validación documental.
- Estas políticas deben estar armonizadas con las relativas a la subcontratación, en línea con lo dispuesto en el artículo 28 del propio Reglamento.
Por su parte, el artículo 25 impone la obligación de realizar pruebas de los planes de continuidad TIC al menos una vez al año. Estas pruebas deben estar basadas en análisis de impacto en el negocio y contemplar escenarios graves pero verosímiles. Además, deben incluir simulaciones que involucren a terceros proveedores de servicios TIC, lo que refuerza la preparación frente a fallos externos. Es fundamental que los resultados de estas pruebas se documenten adecuadamente, que se subsanen las deficiencias detectadas y que cualquier fallo material se comunique sin demora al órgano de dirección.
El artículo 26 exige que las entidades dispongan de planes de respuesta y recuperación ante incidentes TIC que definan con claridad las condiciones de activación, aseguren la restauración de la disponibilidad e integridad de los sistemas críticos y contemplen alternativas operativas cuando las medidas primarias no sean viables. Estos planes deben abordar también la respuesta ante incidentes complejos como fallos de infraestructuras, ciberataques o pandemias, e incluir tiempos objetivos de recuperación (RTOs) claramente definidos para cada función crítica o importante (CFI).

Mongolfiera

Los requisitos reforzados para ciertas entidades se contemplan en el art 27:

Contrapartes centrales (CCPs): recuperación de servicios esenciales en un máximo de 2 horas, con centros de respaldo en ubicaciones geográficas con riesgo diferenciado.
Depositarios centrales de valores (CSDs): enfoque de continuidad con especial atención a sus interdependencias sistémicas.
Centros de negociación: capacidad de reanudar operaciones en menos de 2 horas, con pérdida mínima de datos.

Por otro lado, los artículos 28 a 30 establecen las bases de la gobernanza interna y el control del riesgo TIC, señalando que el órgano de dirección de cada entidad es el responsable último del marco de gestión implantado. Este marco debe estar respaldado por una clara asignación y documentación de funciones, garantizar la formación continua y la competencia técnica del personal implicado, así como prever la existencia de una función de auditoría interna independiente que verifique regularmente el cumplimiento de las obligaciones establecidas en materia de riesgo TIC.

Gobernanza Interna y control

Los artículos 28 a 30 del Reglamento Delegado (UE) 2024/1774 establecen los principios de gobernanza y supervisión interna del marco de gestión del riesgo relacionado con las TIC en las entidades financieras.

En primer lugar, el artículo 28 atribuye al órgano de dirección la responsabilidad última sobre la gestión del riesgo TIC. Este órgano debe aprobar y revisar periódicamente el marco de gestión del riesgo, asegurando su adecuación a la naturaleza, escala y complejidad de la entidad. Además, debe supervisar su aplicación efectiva y garantizar que se disponga de los recursos necesarios para su implementación.
El artículo 29 exige que las funciones y responsabilidades relacionadas con la gestión del riesgo TIC estén claramente asignadas, documentadas y comunicadas dentro de la organización. Esto incluye tanto a los niveles operativos como a los de supervisión, con el fin de evitar solapamientos o lagunas en la gestión. Asimismo, se establece que el personal implicado debe contar con la formación continua y la competencia técnica adecuadas, lo que implica programas de capacitación adaptados a los riesgos y tecnologías emergentes.
Por último, el artículo 30 impone la obligación de contar con una función de auditoría interna independiente, encargada de evaluar periódicamente la eficacia del marco de gestión del riesgo TIC. Esta auditoría debe ser objetiva, estar debidamente documentada y sus resultados deben comunicarse al órgano de dirección. Además, debe incluir recomendaciones para corregir deficiencias y hacer seguimiento de su implementación.

Externalización de servicios «nube» en el sector financiero. Directrices ESMA

Posted on 2 abril, 2025 por Elena F Pérez Carrillo

Las Directrices de Externalización a Proveedores de Servicios en la Nube publicado por la Autoridad Europea de Valores y Mercados (ESMA) (10.05.2021) tienen como objetivo principal ayudar a las empresas financieras a identificar, abordar y supervisar los riesgos derivados de la externalización de servicios a proveedores de la nube. Estas directrices buscan garantizar que las entidades mantengan un marco sólido de gobernanza y control al adoptar servicios en la nube, promoviendo una convergencia supervisora en toda la Unión Europea.

Las directrices de ESMA aplican a todas las entidades bajo su supervisión, incluyendo:

- - - Empresas de inversión
    - Entidades de crédito que ofrecen servicios de inversión
    - Contrapartes Centrales (CCPs)
    - Depósitos Centrales de Valores (CSDs)
    - Gestores de fondos de inversión (UCITS y AIFMs)

Estas entidades deben cumplir con las directrices cuando externalizan funciones críticas o importantes a proveedores de servicios en la nube.

Azaleas

Los aspectos y orientaciones principales en estas Directrices son:

1.- Evaluación de riesgos y diligencia debida: Las empresas deben realizar una evaluación exhaustiva de riesgos y una diligencia sobre el futuro proveedor debida antes de contratar a tal proveedor de servicios en la nube (CSP). Esto implica analizar la capacidad del CSP para cumplir con los requisitos legales y regulatorios, así como su solidez financiera y medidas de seguridad.

En relación con la debida diligencia: Se deben evaluar los riesgos del proveedor antes de la contratación, considerando su solidez financiera, capacidad técnica, ubicación y cumplimiento normativo. Ello incluye:
- - - Solidez financiera y estabilidad del proveedor.
    - Capacidad técnica y cumplimiento con estándares de seguridad y normativas.
    - Ubicación de los servidores y jurisdicciones aplicables.
    - Historial de incidentes de seguridad o interrupciones del servicio.
    - Cumplimiento normativo con GDPR y regulaciones financieras.
Por lo que respecta a la gobernanza interna (y al control sobre el proveedor): Se requiere una estrategia clara de externalización y una supervisión adecuada por parte del consejo de administración. Se debe deben establecer un marco claro para gestionar la externalización, que incluya:
- - - Un proceso formal de aprobación para externalizar funciones críticas.
    - Supervisión continua del proveedor mediante revisiones periódicas.
    - Una estrategia para garantizar la continuidad del negocio en caso de interrupciones en el servicio.
    - Roles y responsabilidades definidos para la gestión de los servicios en la nube.
    - Aprobación y puesta en marcha de políticas y procedimientos adecuados para la gestión de la externalización en la nube.

3.- Elementos contractuales esenciales en la externalización de servicios: Los acuerdos de externalización deben contener cláusulas específicas que aborden aspectos como la confidencialidad, la integridad y la disponibilidad de los datos, los niveles de servicio esperados, los derechos de auditoría y el cumplimiento de las normativas aplicables. Además deben:

- - - Definir los niveles de servicio (alcance y niveles de servicio (SLAs), incluyendo tiempos de respuesta y disponibilidad).
    - Responsabilidades de ambas partes en caso de incidentes de seguridad o fallos en el servicio y penalizaciones
    - Garantizar acceso, auditoría y supervisión por parte de la entidad y de las autoridades regulatorias.
    - Planes de continuidad, de terminación y de salida con cláusulas adecuadas para minimizar riesgos en caso de finalización del contrato (ver apartado 4).
    - Medidas para la confidencialidad, integridad y disponibilidad de los datos externalizados.
    - Sistemas para verificar el cumplimiento normativo por parte del proveedor.

4.- Estrategias de salida: Las empresas del sector deben desarrollar planes de salida que aseguren una transición ordenada y minimicen la interrupción de los servicios en caso de finalizar la relación con el CSP. Estos planes deben contemplar la recuperación de datos y la continuidad operativa, así como:

- - - Establecer mecanismos para recuperar datos y sistemas en caso de terminación del servicio.
    - Definir estrategias de transición a otros proveedores o reinternalización de los servicios.

5.- Notificación a las autoridades competentes: Conforme a DORA, existe obligación de notificar a las autoridades competentes sobre los acuerdos de externalización en la nube que involucren funciones críticas o importantes. En las directrices se señala que la notificación debe incluir información detallada sobre la naturaleza de los servicios externalizados y las medidas de control implementadas.

Sobre la Directiva DORA, (complementa al Reglamento DORA) y las cadenas de proveedores TIC en el sector financiero

Posted on 17 marzo, 2025 por Elena F Pérez Carrillo

La Directiva (UE) 2022/2556 del Parlamento Europeo y del Consejo, adoptada el 14 de diciembre de 2022, introduce modificaciones en varias directivas clave para fortalecer la resiliencia operativa digital del sector financiero en la Unión Europea.

Il Giardino II

Forma parte del paquete de medidas conocido como Digital Operational Resilience Act (DORA), que busca garantizar que todas las entidades financieras puedan resistir y recuperarse de cualquier tipo de perturbación relacionada con las tecnologías de la información y la comunicación (TIC). Además, introduce un enfoque integral sobre las cadenas de valor en el sector financiero, especialmente en lo que se refiere a la gestión de riesgos derivados de las terceras partes que proveen servicios tecnológicos esenciales para el funcionamiento de las entidades financieras. Su plazo de trasposición concluyó el pasado 17.01.2025

Principales Modificaciones Introducidas por la Directiva (UE) 2022/2556

Directiva 2009/65/CE: relativa a la coordinación de las disposiciones legales, reglamentarias y administrativas en materia de organismos de inversión colectiva en valores mobiliarios (OICVM).
Directiva 2009/138/CE: sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II).
Directiva 2011/61/UE: relativa a los gestores de fondos de inversión alternativos.
Directiva 2013/36/UE: sobre el acceso a la actividad de las entidades de crédito y la supervisión prudencial de las entidades de crédito y las empresas de inversión.
Directiva 2014/59/UE: por la que se establece un marco para la recuperación y la resolución de entidades de crédito y empresas de servicios de inversión.
Directiva 2014/65/UE: relativa a los mercados de instrumentos financieros (MiFID II).
Directiva (UE) 2015/2366: sobre servicios de pago en el mercado interior (PSD2).
Directiva (UE) 2016/2341 relativa a las actividades y la supervisión de los fondos de pensiones de empleo.

Objetivos de la directiva:

Camminare sopra le mura pisane

Fortalecer la Resiliencia Operativa Digital: Garantizar que las entidades financieras de la UE posean las capacidades necesarias para prevenir, detectar, contener, reparar y recuperarse de incidentes relacionados con las TIC.
Establecer un marco coherente y uniforme en toda la UE respecto a los requisitos de resiliencia operativa digital, evitando discrepancias entre Estados miembros.
Supervisión y gestión de riesgos: Implementar mecanismos robustos de gestión de riesgos de las TIC y establecer procesos de notificación de incidentes significativos.
Terceras Partes Críticas: Regular la supervisión de proveedores externos de servicios TIC que sean críticos para el funcionamiento de las entidades financieras, asegurando que también cumplan con los estándares de resiliencia operativa.

En relación con este último aspecto, las cadenas de suministros TIC más importantes (cadenas de valor) esta directiva ofrece pautas importantes

4.1 Gestión de Riesgos de Terceras Partes Críticas

La directiva enfatiza la importancia de gestionar los riesgos asociados con las terceras partes que proporcionan servicios críticos, como los proveedores de tecnología, de infraestructura digital y de servicios en la nube. Estos proveedores son fundamentales en las cadenas de valor del sector financiero, y su fallo puede tener impactos significativos en la resiliencia operativa de las entidades financieras. El Artículo 28 de la Directiva establece que las entidades financieras deben asegurarse de que sus proveedores de servicios críticos cumplan con los requisitos de resiliencia operativa digital establecidos por DORA. Por ello, estas terceras partes deben ser monitorizadas y evaluadas en cuanto a su capacidad para gestionar los riesgos operativos y cibernéticos. En particular, se exige que las entidades financieras evalúen la concentración de sus proveedores, para evitar dependencias excesivas de un único proveedor o de una región geográfica vulnerable.

4.2 Supervisión de las Cadenas de Valor Externas

La directiva establece una obligación de transparencia y supervisión de las cadenas de valor externas, es decir, las relaciones que las entidades financieras tienen con sus proveedores externos en el marco de las operaciones tecnológicas y de infraestructura. Las entidades deben documentar y gestionar los riesgos asociados a su entorno externo, realizando evaluaciones de impacto en caso de incidentes que afecten a los proveedores clave en sus cadenas de suministro. Esto incluye incidentes cibernéticos, tecnológicos o de infraestructura que afecten a los servicios críticos.

4.3 Requisitos de Notificación de Incidentes de Terceras Partes

El Artículo 31 de la Directiva establece que las entidades financieras deben notificar los incidentes graves que ocurran a través de sus proveedores externos si estos afectan la capacidad operativa de la entidad. Además, las autoridades competentes deben tener acceso a esta información para evaluar el impacto de tales incidentes en la cadena de valor global del sector financiero. Las entidades deberán informar de los incidentes que hayan tenido un impacto significativo en su operación o en sus relaciones con proveedores, sobre todo si estos incidentes afectan a la resiliencia digital.

4.4 Evaluación y Mitigación de Riesgos en las Cadenas de Valor

La directiva también obliga a las entidades financieras a llevar a cabo evaluaciones continuas de los riesgos sistémicos derivados de sus cadenas de valor. Las entidades deben garantizar que los servicios esenciales no se vean interrumpidos en caso de fallos de sus proveedores de tecnología.
Las medidas de mitigación pueden incluir la diversificación de proveedores y la gestión de contratos con cláusulas específicas que aseguren la continuidad de los servicios en caso de crisis.

4.5 Intervención de las Autoridades de Supervisión

Si una entidad financiera identifica un riesgo significativo derivado de un proveedor en su cadena de valor, las autoridades de supervisión pueden intervenir y ordenar medidas correctivas para prevenir posibles disrupciones en el mercado.

¿Qué relación tiene esta directiva con el Reglamento DORA, en especial en lo relativo a las cadenas ?

La Directiva DORA (Digital Operational Resilience Act) y su correspondiente Reglamento DORA abordan la resiliencia operativa digital en el sector financiero europeo, pero de manera diferente en cuanto a los ámbitos que regulan. La Directiva DORA se centra principalmente en establecer las bases generales para la resiliencia operativa digital del sector financiero, con un énfasis en la gestión de riesgos de las cadenas de valor externas y la supervisión de las relaciones con terceros. Se ocupa de los siguientes aspectos de las cadenas de valor:

La Directiva se enfoca en la gestión de riesgos derivados de los proveedores de servicios tecnológicos críticos para las entidades financieras. Esto incluye, por ejemplo, los proveedores de servicios en la nube, las infraestructuras de TI y otros servicios de tecnología. Su art 28 impone a las entidades financieras a asegurar que sus proveedores de servicios críticos en las cadenas de valor cumplan con los requisitos de resiliencia operativa. Las entidades deben identificar, gestionar y reducir los riesgos asociados a estos proveedores.
En cuanto a la evaluación de riesgos y continuidad de los servicios, la Directiva DORA regula la necesidad de que las entidades financieras realicen evaluaciones de riesgos sobre sus proveedores externos y que mitiguen los posibles impactos derivados de disrupciones en la cadena de valor. También exige que las entidades informen sobre incidentes graves de terceros que afecten su operación.
Por lo que respecta a la supervisión y transparencia,: exige que las entidades informen a las autoridades competentes sobre riesgos operativos significativos en sus relaciones con los proveedores y sobre incidentes cibernéticos o tecnológicos que puedan afectar la cadena de valor.

Teverga

Por su parte, el Reglamento DORA complementa la Directiva DORA proporcionando detalles más técnicos y operativos sobre la implementación de las medidas de resiliencia operativa. Mientras que la Directiva establece el marco legal, el Reglamento detalla los requisitos específicos y los procedimientos.

El Reglamento DORA establece los detalles operativos para la evaluación de proveedores de servicios críticos (terceras partes). En él, se encuentran las especificaciones para la supervisión de los proveedores de servicios tecnológicos y los requisitos detallados sobre cómo las entidades financieras deben gestionar su relación con estos proveedores.
El artículo 28 del Reglamento detalla cómo deben gestionarse las relaciones contractuales con los proveedores críticos, asegurando que las cláusulas contractuales garanticen que los proveedores de servicios puedan soportar los requisitos de resiliencia operativa exigidos por la Directiva DORA.
El Reglamento DORA define los requisitos más detallados para la evaluación de riesgos y la mitigación de disrupciones que puedan surgir en la cadena de valor externa, sobre todo de los proveedores de servicios tecnológicos.
Establece las obligaciones de monitoreo y gestión continua de las relaciones con terceros y cómo las entidades deben gestionar los riesgos de concentración, es decir, evitar una excesiva dependencia de un solo proveedor.

Por tanto, la Directiva DORA proporciona el marco legal general para la gestión de riesgos de las cadenas de valor en el sector financiero, enfocándose en las relaciones con proveedores externos (servicios críticos) y la obligación de gestionar y mitigar los riesgos asociados a estos proveedores. Mientras, el Reglamento DORA ofrece los detalles operativos y específicos sobre cómo deben implementarse las exigencias de la Directiva, particularmente con respecto a la evaluación de riesgos, contratos con proveedores y supervisión continua de las relaciones externas. Es decir, la Directiva establece los principios fundamentales, y el Reglamento ofrece las herramientas y procedimientos específicos para llevar a cabo esos principios en la práctica, garantizando una resiliencia operativa efectiva en toda la cadena de valor del sector financiero.

¿Es viable una supervisión centralizada de los proveedores TIC para sector financiero? Informe ESMA

Posted on 15 marzo, 2025 por Elena F Pérez Carrillo

La creciente dependencia de las entidades financieras en tecnologías digitales ha incrementado la exposición a riesgos cibernéticos. Como es sabido, el Reglamento (UE) sobre Resiliencia Digital Operativa (DORA) establece un marco regulatorio para reforzar la resiliencia digital del sector financiero, exigiendo la notificación de incidentes TIC significativos a las autoridades competentes. Actualmente, estas notificaciones se realizan a nivel nacional, lo que puede generar dificultades en la supervisión que de lugar a respuestas descoordinadas dentro de la UE. En cambio, parecería que la centralización de la notificación de incidentes TIC tendría impacto significativo en la resiliencia digital del sector financiero especialmente en el sentido de fortalecer la confianza en la seguridad de los sistemas financieros europeos.

Sanabria. Desde el restaurante del camping

Sobre la base de tales reflexiones, el 17 de enero de 2025, las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) publicaron un informe conjunto sobre la viabilidad de una mayor centralización en la notificación de incidentes importantes relacionados con las Tecnologías de la Información y la Comunicación (TIC) . El informe plantea la pregunta de si sería viable una mayor centralización en la notificación de incidentes significativos relacionados con las Tecnologías de la Información y la Comunicación (TIC) dentro del sector financiero de la Unión Europea (UE). Esta evaluación se lleva a cabo en el marco del Artículo 21 de la Ley de Resiliencia Operativa Digital (DORA) . Destaca la necesidad de mejorar la eficiencia y coherencia en la notificación de incidentes TIC dentro del sector financiero a cuyos efectos formula tres posibles modelos sobre los que analiza su viabilidad:

Modelo de referencia básica (baseline): consiste en mantener las estructuras actuales de notificación de incidentes sin cambios significativos, aunque con ciertas mejoras en los estándares de notificación. En este modelo, cada entidad financiera continuaría notificando incidentes TIC a su autoridad nacional competente, que luego transmitiría la información a las autoridades europeas de supervisión. Aunque este modelo respeta la estructura regulatoria actual, su principal desventaja es la falta de una respuesta coordinada a nivel europeo y posibles duplicaciones en la notificación.
Modelo mejorado intercambio de datos: cuya esencia radica en la introducción de mecanismos avanzados para compartir información entre las autoridades competentes. Resultaría aparentemente sencillo de poner en marcha , dado que no exige grandes cambios en la arquitectura de las notificaciones. Sin embargo, su mayor coste y dificultad técnica deriva de que actualmente existen distintos modelos y estándares nacionales cuya armonización exige esfuerzos e inversión. Y cuya perfecta compatibilidad no está garantizada a día de hoy.
Modelo totalmente centralizado que plantea la creación de una plataforma única en toda la Unión Europea para la recopilación y gestión de informes de incidentes relacionados con las TIC. Conforme a este planteamiento, las entidades financieras reportarían directamente a un organismo central, eliminando la necesidad de notificaciones a nivel nacional. La mayor centralización, además de viable, ofrece ciertos beneficios. Con todo, también identifica que la alta concentración de información sensible conlleva un mayor riesgo de pérdida de datos, lo que requeriría la puesta en marcha de controles integrales de seguridad de la información en una solución centralizada. Y, que implica retos significativos en términos de costos y armonización regulatoria.

El estudio, que ha sido remitido al Parlamento Europeo, al Consejo Europeo y a la Comisión Europea para su consideración en futuros desarrollos regulatorios formula recomendaciones clave, que incluyen:

Evaluación de costos y beneficios antes de poner en marcha cualquier cambio en la estructura de notificación.
Desarrollo de infraestructura tecnológica que facilite la interoperabilidad entre sistemas nacionales y europeos.
Promoción de la cooperación regulatoria para garantizar una transición eficiente hacia modelos más centralizados.

La Comisión Nacional del Mercado de Valores (CNMV) de España realizó (poco antes de haberse hecho público el informe mencionado, un ejercicio de autoevaluación con 245 entidades financieras para evaluar su preparación ante la entrada en vigor de DORA. El informe reveló buenas medidas de gobernanza y ciberseguridad en general, pero también identificó carencias en la gestión de incidentes y en la gestión del riesgo de proveedores de servicios TIC, especialmente en entidades de menor tamaño que no pertenecen a un grupo.

Derecho Mercantil. (DerMerUle).

Derecho Mercantil desde la Universidad de León. Recursos de apoyo docente, estudio y de investigación

Archivo de la etiqueta: servicios TIC