Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Université de Montpellier I Francia.
M. Sc. Institut Agronomique Méditerranéen
cferreyros@hotmail.com
PROLOGO
El Comité Económico y Social
Europeo, CESE, acoge favorablemente la propuesta de la Comisión Europea sobre
la resiliencia operativa digital que
tiene por objeto:
- aportar claridad jurídica sobre las
disposiciones relativas a los riesgos relacionados con las tecnologías de
la información y de las comunicaciones,
- reducir la complejidad normativa,
- establecer un conjunto de normas comunes
encaminadas a mitigar los riesgos relacionados
con las TIC y
- facilitar un planteamiento de supervisión
armonizado, que al mismo tiempo proporcione la seguridad jurídica y las
salvaguardias necesarias para las empresas financieras y los proveedores
de TIC.
_______________________________________________________________
Dictamen del Comité Económico y Social Europeo sobre:
Propuesta de Reglamento del Parlamento Europeo y del
Consejo sobre la resiliencia operativa digital del sector financiero y por el
que se modifican los Reglamentos (CE) n.o 1060/2009,
(UE) n.o 648/2012, (UE) n.o 600/2014 y
(UE) n.o 909/2014
[COM(2020) 595 final – 2020/0266 (COD)]
Propuesta de Directiva del Parlamento Europeo y del
Consejo por la que se modifican las Directivas 2006/43/CE, 2009/65/CE,
2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE)
2016/2341
[COM(2020) 596 final – 2020/0268 (COD)]
(2021/C 155/06)
|
Ponente: |
Antonio GARCÍA
DEL RIEGO |
|
Consulta |
Parlamento Europeo, 17.12.2020 Consejo de la Unión Europea, 22.12.2020 |
|
Fundamento
jurídico |
Artículos 53, apartado 1, 114, apartado 1, y 304 del TFUE |
|
Sección
competente |
Unión Económica y Monetaria y Cohesión Económica y Social |
|
Aprobado en
sección |
12.2.2021 |
|
Aprobado en el
pleno |
24.02.2021 |
|
Pleno n.o |
558 |
|
Resultado de la votación (a favor/en contra/abstenciones) |
243/1/4 |
1. Conclusiones y recomendaciones
1.1 El Comité
Económico y Social Europeo (CESE) acoge favorablemente la propuesta de la
Comisión Europea sobre la resiliencia operativa digital, ya que tiene por
objeto aportar claridad jurídica sobre las disposiciones relativas a los
riesgos relacionados con las tecnologías de la información y de las
comunicaciones (TIC), reducir la complejidad normativa, establecer un conjunto
de normas comunes encaminadas a mitigar los riesgos relacionados con las TIC y
facilitar un planteamiento de supervisión armonizado, que al mismo tiempo
proporcione la seguridad jurídica y las salvaguardias necesarias para las
empresas financieras y los proveedores de TIC. La propuesta sobre la
resiliencia operativa digital no solo aumenta la resiliencia del sector a los
riesgos relacionados con las TIC, sino que también reviste interés para varias
partes interesadas, entre ellas los clientes, los inversores y los empleados,
además de contribuir a la consecución del desarrollo sostenible.
1.2 El CESE recomienda mejorar la eficacia
de la resiliencia operativa digital siguiendo las etapas descritas a
continuación.
1.2.1 Incluir en el ámbito de la resiliencia
operativa digital a todos los proveedores de servicios financieros críticos que
desarrollen actividades financieras, y excluir el recurso a los servicios de
TIC para las funciones no esenciales.
1.2.2 Garantizar la coherencia en cuanto a su
definición y alcance entre la resiliencia operativa digital y los requisitos
establecidos en las Directrices en vigor emitidas por las Autoridades Europeas
de Supervisión (AES).
1.2.3 En lo que respecta a la gestión de las TIC,
privilegiar un marco centrado en un principio y un enfoque basado en los
riesgos que faciliten la realización de controles con visión de futuro,
flexibles y proporcionados a los riesgos.
1.2.4 En cuanto a los incidentes relacionados con
las TIC, plena armonización con el conjunto de herramientas de respuesta y
recuperación en caso de ciberincidentes facilitado por el Consejo de
Estabilidad Financiera.
1.2.5 Respecto de las pruebas de resiliencia
operativa digital, destacar no solo el tamaño de la entidad financiera, sino
también la complejidad y el carácter crítico del servicio; evitar la
subcontratación obligatoria que recaiga en un número limitado de evaluadores
externos, y asegurar el reconocimiento mutuo de los resultados de las pruebas.
1.2.6 Consolidar los requisitos en materia de
externalización en un único acto legislativo para aportar seguridad jurídica a
todos los agentes del mercado y cumplir de manera fiable las expectativas de la
supervisión.
1.2.7 Poner plenamente en práctica las
recomendaciones de los supervisores principales y un conjunto claro de
funciones y responsabilidades para las diferentes autoridades que participan en
la supervisión de los proveedores terceros esenciales.
1.2.8 Garantizar a los proveedores terceros
establecidos en terceros países el acceso a servicios subcontratados que se
consideren esenciales, para evitar restringir la libertad contractual de las
empresas y su capacidad de acceder a los servicios de los proveedores de alto
valor añadido.
1.2.9 Introducir la proporcionalidad en el régimen
de sanciones, para evitar desincentivar a los proveedores de TIC a la hora de
prestar servicios a las entidades financieras de la UE y abandonar la
referencia actual al volumen de negocios mundial.
1.2.10 Aportar claridad en cuanto a la capacidad de
las empresas para compartir información sobre las ciberamenazas, velando por
que ello se haga con carácter voluntario y que en la propuesta sobre la
resiliencia operativa digital se incluya una disposición explícita que permita
el intercambio de datos personales.
1.2.11 Podría considerarse la posibilidad de aumentar
los umbrales de exención de la propuesta para las microempresas y las pequeñas
empresas, tal como se definen en el apartado 2 del artículo 2 del
anexo I de la Recomendación 2003/361/CE de la Comisión (1): empresas que
empleen a menos de 50 personas y cuyo volumen de negocios o balance anual no
exceda de 10 millones de euros, y reducir el número de requisitos
aplicables a las pymes de manera proporcional al perfil de riesgo digital de
cada entidad.
1.3 El CESE apoya la capacitación de los
supervisores principales para que lleven a cabo las auditorías e inspecciones
relativas a proveedores terceros esenciales, ya que ello permitiría a los
supervisores principales comprender mejor los riesgos que pueden plantear los
proveedores terceros esenciales y podría ayudar a racionalizar los
procedimientos de subcontratación de los bancos.
2. Contexto
2.1 Los consumidores y las empresas
europeos dependen cada vez más de los servicios financieros digitales, una
tendencia que va acompañada de un recurso creciente a soluciones innovadoras
basadas en nuevas tecnologías por los agentes del mercado. La transformación
digital es fundamental para la recuperación europea y para la creación de una
economía europea sostenible y resiliente.
2.2 En consonancia con sus prioridades de
hacer que Europa se adapte a la era digital y de construir una economía
adecuada para el futuro, al servicio de los ciudadanos, la Comisión Europea ha
presentado un paquete de finanzas
digitales. El paquete expone a grandes rasgos medidas para
explotar en mayor grado y apoyar el potencial de las finanzas digitales en
materia de innovación y competencia, reduciendo al mismo tiempo los riesgos
asociados.
2.3 Además de la propuesta sobre la
resiliencia operativa digital, el paquete de finanzas digitales incluye una
nueva estrategia en este ámbito para el sector financiero de la Unión Europea
(UE) (2) y una
propuesta de Reglamento sobre los mercados de criptoactivos, junto con una
propuesta de Reglamento sobre un régimen piloto de las infraestructuras del
mercado basadas en la tecnología de registro descentralizado (3).
2.4 La resiliencia operativa digital es
la capacidad de las empresas de garantizar que pueden soportar todo tipo de
perturbaciones y amenazas relacionadas con las tecnologías de la información y
de las comunicaciones (TIC). La dependencia cada vez mayor que presenta el
sector financiero respecto de los programas informáticos y los procesos
digitales hace que los riesgos relacionados con las TIC sean inherentes a las
finanzas. Las empresas financieras se han convertido en blanco de ciberataques,
que causan graves daños financieros y de reputación a los consumidores y las
empresas. Es preciso comprender y gestionar correctamente estos riesgos, sobre
todo en tiempos de tensión.
2.5 Si bien las reformas que siguieron a
la crisis financiera de 2008 aumentaron la resiliencia del sector financiero de
la UE, los riesgos relacionados con las TIC solo se abordaron de manera
indirecta. La falta de un marco regulador amplio de alcance europeo sobre la
resiliencia operativa digital hizo que se dependiera de las iniciativas
reguladoras nacionales. Ello limitó la eficacia transfronteriza y dio lugar a
una fragmentación del mercado interior, socavando así la estabilidad e
integridad del sector financiero de la UE. En este contexto, la Comisión
propone crear un marco global sobre la resiliencia operativa digital para las
entidades financieras de la UE.
2.6 La propuesta legislativa sobre la resiliencia operativa
digital (4) tiene por
objeto mejorar y racionalizar la gestión de los riesgos en materia de TIC por
las entidades financieras, establecer pruebas exhaustivas de resiliencia de los
sistemas de TIC, fomentar el intercambio de información y sensibilizar a los
supervisores sobre los riesgos de ciberseguridad y los incidentes relacionados
con las TIC que afrontan las entidades financieras, así como otorgar a los
supervisores financieros la facultad de supervisar los riesgos derivados de la
dependencia de las entidades financieras con respecto a proveedores terceros de
servicios de TIC. La propuesta también tiene por objeto crear un mecanismo
coherente de notificación de incidentes que permita reducir la carga
administrativa de las entidades financieras y mejorar la eficacia de la
supervisión.
2.7 La Comisión también presentó una
propuesta de Directiva (5), dada la necesidad
de establecer una exención temporal para los sistemas multilaterales de
negociación y modificar o aclarar algunas disposiciones de las Directivas
vigentes sobre los servicios financieros de la UE para lograr los
objetivos de la propuesta sobre la resiliencia operativa digital.
2.8 Se estima que el mercado de las TIC,
que se sitúa entre los sectores más grandes del mundo, tendrá un valor de más
de 5 billones USD en 2019 y más de 6 billones USD en 2022.
El constante crecimiento sirve para recordar la creciente prevalencia e
importancia de la tecnología en la sociedad actual. De acuerdo con la
evaluación de impacto de la propuesta legislativa, el sector financiero es el mayor usuario de TIC en el
mundo, y supone en torno al 20 % del gasto total en TIC.
2.9 La COVID-19 ha impulsado la proliferación de los
servicios financieros digitales, ya que las redes
de filiales de las entidades financieras siguen estando infrautilizadas. Esta
situación estimulará las inversiones en herramientas digitales de autoservicio,
aplicaciones de finanzas abiertas y servicios de valor añadido. En general, la
situación actual obligará a las entidades financieras a invertir más en
infraestructura informática, a dar prioridad a la migración de cargas de
trabajo esenciales y a actualizar las aplicaciones existentes. El sector
financiero europeo está experimentando ya una importante transformación
digital, y su capacidad para competir a escala mundial dependerá en gran medida
de la habilidad que tengan las instituciones europeas para aprovechar las
tecnologías más avanzadas.
3. Observaciones generales
3.1 El CESE acoge favorablemente la propuesta de la
Comisión Europea sobre la resiliencia operativa digital, que aborda muchas de las reclamaciones formuladas
por el sector financiero y tiene por objeto aportar claridad jurídica sobre las
disposiciones relativas a los riesgos relacionados con las TIC, reducir la
complejidad normativa y disminuir la carga administrativa generada por la
diversidad de normas aplicables a las entidades financieras en toda la UE.
La propuesta sobre la resiliencia operativa digital no solo aumenta la
resiliencia del sector a los riesgos relacionados con las TIC, sino que también
reviste interés para varias partes interesadas, entre ellas los clientes, los
inversores y los empleados, y contribuye a la consecución del objetivo de
desarrollo sostenible.
3.2 El CESE considera que la propuesta
sobre la resiliencia operativa digital es un paso importante hacia el
establecimiento de un conjunto de normas comunes encaminadas a mitigar los
riesgos relacionados con las TIC y facilitar un planteamiento de supervisión
armonizado, pero hay que velar por no añadir obstáculos que puedan impedir que
las entidades financieras de la UE participen en el proceso de innovación
mundial.
3.3 El CESE considera que uno de los
objetivos generales de las autoridades de la UE es tratar de lograr un
régimen proporcionado y basado en el riesgo que brinde a los supervisores
herramientas que permitan responder a sus preocupaciones, y que al mismo tiempo
proporcione la seguridad jurídica y las salvaguardias necesarias para las
empresas financieras y los proveedores de TIC.
4. Observaciones específicas
4.1 Ámbito de aplicación y disposiciones normativas que se
solapan
4.1.1 Inclusión de otros agentes pertinentes en los mercados
financieros
Si bien el CESE
reconoce y acoge favorablemente el amplio ámbito de aplicación de la
legislación propuesta que abarca a numerosos agentes de los mercados
financieros, lo cual garantizará que los requisitos en ella recogidos se
apliquen de manera coherente en todo el sector financiero de la UE,
recomendamos que los responsables políticos de la Unión incorporen a agentes
financieros que no se consideran incluidos en el ámbito de aplicación de esta
legislación propuesta, como, por ejemplo, los proveedores de créditos
hipotecarios y los proveedores de créditos al consumo, en un grado adecuado
determinado por el riesgo que puedan suponer para el sistema. Todos los
proveedores de servicios financieros que realicen las mismas actividades y
tomen los mismos riesgos deben estar sujetos a idénticas normas y supervisión,
a fin de garantizar el mismo marco mínimo en materia de resiliencia digital que
proteja a los consumidores y garantice la estabilidad financiera.
4.1.2 Coherencia a nivel internacional y de la UE, así
como con las reglamentaciones vigentes
Es fundamental
proporcionar claridad a las empresas, en particular a las que operan en
distintos países, garantizando que las definiciones y los términos sean
coherentes y evitando las duplicaciones, los solapamientos y las
interpretaciones divergentes en lo que respecta al modo de cumplir expectativas
reglamentarias similares en diferentes jurisdicciones. El CESE recomienda que
los responsables políticos de la UE modifiquen la definición de «resiliencia
operativa» para que sea coherente con la definición establecida por el Comité
de Supervisión Bancaria de Basilea (CSBB) (6) y garanticen
que sea el principal régimen aplicable a las entidades financieras de la UE
para evitar el riesgo de contradicción con otros regímenes. Además, muchos de
los principios y requisitos establecidos en la propuesta sobre la resiliencia
operativa digital ya se han definido en las directrices existentes en materia
de externalización (7). Los requisitos de
gestión de los riesgos relacionados con las TIC y de los riesgos de seguridad
también están ya definidos en las Directrices de la Autoridad Bancaria Europea.
Será esencial garantizar la coherencia en la definición y el alcance entre la
resiliencia operativa digital y los requisitos establecidos en las directrices
en vigor a fin de lograr la armonización de las disposiciones reglamentarias de
la UE.
4.1.3 Asimismo, el CESE recomienda que la Comisión
Europea vele por que la revisión en curso de la Directiva sobre la seguridad de
las redes y sistemas de información y la propuesta sobre la resiliencia
operativa digital compartan idénticos requisitos y definiciones relativos a la
política de notificación de ciberincidentes para las entidades financieras.
4.2 Gestión de los riesgos relacionados con las TIC
Algunos elementos
del marco se centran excesivamente en el cumplimiento, y no en el modo en que
las empresas pueden demostrar el logro de resultados mediante un planteamiento
basado en los principios y los riesgos. Como son demasiado prescriptivos y detallados,
corren el riesgo de quedar obsoletos con el tiempo a medida que evoluciona el
panorama de los riesgos de ciberseguridad y los riesgos relacionados con las
TIC. El CESE recomienda un planteamiento que esté más basado en los principios
y los riesgos y que facilite la realización de controles que puedan adaptarse
de cara al futuro y sean flexibles, proporcionados y acordes con los riesgos.
4.3 Incidentes relacionados con las TIC
El CESE recomienda
la plena armonización entre el conjunto de herramientas de respuesta y
recuperación en caso de ciberincidentes (8) publicado
recientemente por el Consejo de Estabilidad Financiera, que recoge las mejores
prácticas en materia de notificación de incidentes, así como las sugerencias
sobre la gestión, la clasificación y la notificación de incidentes relacionados
con las TIC que figuran en la propuesta sobre la resiliencia operativa digital.
Hay solapamientos que generan incertidumbre jurídica y aumentan la carga
normativa de las empresas.
4.4 Prueba de resiliencia operativa digital
4.4.1 Aunque el CESE acoge favorablemente el
régimen paneuropeo de pruebas de penetración guiadas por amenazas (TLPT, por
sus siglas en inglés) en toda la UE, ya que aumentará la eficiencia y
reducirá la fragmentación, recomienda que las autoridades no solo se centren en
el tamaño o la escala de la institución financiera, sino también en la
complejidad y criticidad del servicio, de acuerdo con el principio de
proporcionalidad, cuando proceda, para eliminar la distinción entre las pruebas
básicas para todas las entidades financieras y las pruebas más avanzadas para
las entidades financieras de mayor envergadura, y velando por que los clientes
de las entidades financieras más pequeñas estén protegidos por igual y por que
se establezcan condiciones de competencia equitativas entre todas las entidades
financieras.
4.4.2 El CESE recomienda que no sea obligatorio
externalizar la realización de pruebas a evaluadores externos, ya que su número
es limitado. De hecho, para realizar pruebas las empresas pueden disponer de
equipos internos, que están familiarizados con el entorno de las empresas y son
capaces de pasar rápidamente a pruebas más avanzadas y específicas.
4.4.3 Debería contemplarse la inclusión de
terceros proveedores de servicios de TIC en el ámbito de aplicación del régimen
paneuropeo de pruebas de penetración guiadas por amenazas. El hecho de que los
proveedores terceros de TIC puedan prestar servicios a varios clientes podría
dar lugar a una importante duplicación de las pruebas, lo que a su vez podría
suscitar los correspondientes riesgos para el proveedor tercero de TIC y los
clientes a los que presta servicios.
4.4.4 Además, el CESE recomienda introducir una
referencia explícita al reconocimiento
mutuo de los resultados de las pruebas,
habida cuenta de su papel para reducir el riesgo y garantizar el buen
funcionamiento del mercado interior, así como para evitar aumentos de costes en
el caso de las entidades financieras que operan en distintos países.
4.5 Gestión de riesgos derivados de los proveedores
terceros de TIC y marco de supervisión de proveedores terceros esenciales
4.5.1 Garantizar la coherencia con las directrices
existentes en materia de externalización
El CESE acoge
favorablemente que la propuesta sobre la resiliencia operativa digital
establezca un marco regulador común relativo a la sana gestión de los riesgos
derivados de los proveedores terceros de TIC para todos los agentes de los
mercados financieros de Europa. Sin embargo, será fundamental garantizar que
estos puntos de coincidencia establecidos en los principios fundamentales
(artículos 25, 26 y 27) estén plenamente armonizados con las normas
vigentes, entre ellas, por ejemplo, las Directrices de las Autoridades Europeas
de Supervisión (AES) sobre externalización [es decir, habrá que resolver la
dicotomía existente en el ámbito de aplicación entre la «externalización» y el
«servicio de terceros» (9)]. Además,
consideramos que se trata de una gran oportunidad para que las autoridades de
la UE consoliden los requisitos en materia de externalización en un único
Reglamento —con un nivel de detalle suficiente para evitar diferencias de
interpretación— que pueda aportar seguridad jurídica a todos los agentes del
mercado y cumplir de manera fiable las expectativas de la supervisión.
4.5.2 Requisitos aplicables a las actividades esenciales o
importantes externalizadas
Con arreglo a su
propio artículo 25, apartado 2, a fin de mantener un enfoque
orientado al riesgo, el Reglamento debe ser más preciso en cuanto a la forma en
que se aplicará el principio de proporcionalidad, indicando los requisitos a
los que deberían atenerse las actividades esenciales o importantes
externalizadas y los que deberían cumplir el resto (10). El CESE recomienda
que el uso de servicios de TIC para funciones no esenciales quede fuera del
ámbito de aplicación de la normativa sobre resiliencia operativa digital.
4.5.3 Marco de supervisión directa de proveedores terceros
esenciales
El CESE acoge
favorablemente el establecimiento de un marco de supervisión directa que
permitirá a las autoridades financieras realizar un seguimiento continuo de las
actividades llevadas a cabo por los proveedores terceros esenciales, a falta de
un marco horizontal transectorial de la UE. En el Reglamento propuesto,
las autoridades de la UE deben reconocer que, cuando un proveedor de TIC
esencial se somete a esta supervisión, la exposición de las entidades
financieras al riesgo disminuye debido al seguimiento continuo de sus actividades.
Por tanto, este nuevo marco de supervisión también debe contribuir a
racionalizar los procedimientos de externalización de los bancos aliviando
parte de la carga que soportan actualmente las entidades financieras, por
ejemplo, en lo que respecta a la ejecución de los procedimientos de auditoría e
inspección relativos a los proveedores terceros que se consideran esenciales.
4.5.4 El CESE es partidario de facultar a los
supervisores principales para que ejecuten los procedimientos de auditoría e
inspección en relación con los proveedores terceros esenciales, ya que los
supervisores principales comprenderían mejor los riesgos que pueden plantear
los proveedores terceros esenciales si conocieran de primera mano sus procesos
y premisas, en lugar de depender de los informes actuales que proporcionan las
entidades financieras supervisadas y de las inspecciones que realizan las
autoridades nacionales competentes. Aunque las políticas de mitigación de
riesgos aplicadas por las entidades financieras deben mantenerse, y la
obligación legal sigue recayendo en ellas, si la inspección y las auditorías ya
son ejecutadas por el supervisor principal, las entidades financieras deberían
beneficiarse de este grado reforzado de seguridad y no verse obligadas a volver
a realizarlas.
4.5.5 Supervisor principal y autoridades nacionales
competentes
Una vez concluido
el proceso de supervisión, las autoridades nacionales competentes harán un
seguimiento de las recomendaciones formuladas por el supervisor principal, y
podrán tener su propio enfoque sobre el modo de lograr que los proveedores
terceros esenciales designados lleven a la práctica las conclusiones del
supervisor principal. El CESE recomienda que se aporte total claridad sobre las
funciones y responsabilidades de las distintas autoridades, a fin de evitar que
la disparidad de interpretaciones afecte a los distintos clientes de los
proveedores terceros esenciales de manera diferente según su autoridad
competente y, por tanto, reducir así el riesgo de fragmentación. Estas
recomendaciones también deberían tener plena fuerza ejecutiva, dada la
ambigüedad que presenta actualmente el artículo 37 en cuanto a su carácter
vinculante.
4.5.6 Suspensión de un proveedor tercero esencial
La propuesta sobre
la resiliencia operativa digital otorga a los reguladores financieros
nacionales la facultad de exigir a los clientes que suspendan temporalmente o
dejen de recurrir a un proveedor de TIC hasta que se hayan abordado los riesgos
señalados en las recomendaciones. Los requisitos relativos al cese inmediato de
la colaboración con un proveedor tercero esencial afectarían sin lugar a dudas
a la toma de decisiones comerciales y empresariales actuales o futuras (por
ejemplo, desincentivar las inversiones en la UE) y podrían repercutir en
la estabilidad financiera. Antes de tomar esta decisión, las autoridades
competentes deben estudiar cuidadosamente, entre otros factores, los posibles
efectos negativos del cese del servicio para las entidades financieras que
colaboran con ese proveedor tercero esencial en concreto (11), establecer
criterios claros para tal requisito y contemplar posibles soluciones.
4.5.7 Además, recomendamos que, si en última
instancia se llegara a esta situación, se informe a las entidades financieras
con suficiente antelación y se les dé tiempo suficiente para poner término a su
colaboración.
4.6 Preservación de la competitividad mundial de las
empresas financieras europeas
4.6.1 El nuevo marco debe preservar la capacidad
de las empresas financieras europeas para acceder, como mínimo, a las mismas
tecnologías que sus competidores mundiales. Las empresas financieras de
la UE están compitiendo a escala mundial, y el futuro marco regulador de
la UE no debe poner a esas empresas en desventaja limitando su acceso a
las tecnologías más avanzadas, siempre y cuando los proveedores de estas
tecnologías cumplan las normas de la UE en materia de resiliencia y
seguridad.
4.6.2 Proveedores terceros establecidos en terceros países
El Reglamento no
debe limitar la posibilidad de externalizar los servicios que se consideren
esenciales a proveedores terceros establecidos en terceros países. Esta
limitación restringiría, sin duda, la capacidad de las entidades financieras
europeas para acceder a servicios de proveedores de alto valor añadido, que muy
probablemente no se encontrarán en Europa en número suficiente. Esta exigencia
resulta aún más pertinente si se tiene en cuenta que el marco de supervisión
propuesto se limita al sector financiero, lo que crea condiciones de
competencia desiguales para otros agentes no sujetos a este Reglamento y podría
acabar aumentando el riesgo de concentración, algo que la propuesta sobre la
resiliencia operativa digital trata de evitar.
4.6.3 Sanciones de carácter punitivo basadas en el volumen
de negocios mundial
La propuesta sobre
la resiliencia operativa digital incluye sanciones de carácter punitivo
referentes al volumen de negocios mundial para los proveedores de TIC si no
cumplen con las exigencias de los supervisores financieros de la UE. Una
imposición desproporcionada de esas sanciones podría disuadir a los proveedores
mundiales de TIC de prestar servicios a las empresas financieras de la UE,
lo que, de hecho, podría limitar el número de posibles proveedores para las
empresas financieras de la UE. Además, disuadiría a los proveedores
terceros no esenciales de acogerse voluntariamente al régimen de supervisión,
ante el temor de ser penalizados con multas desproporcionadas y, por tanto,
reduciría la competencia en el mercado ascendente. El CESE aboga por que se
establezca cierto grado de proporcionalidad en el régimen de sanciones, lo cual
es fundamental para evitar desincentivar a los proveedores de TIC que aspiran a
prestar servicios a las entidades financieras de la UE.
4.7 Sobre el acuerdo de intercambio de información
4.7.1 Dado que el intercambio oportuno de
información es esencial para detectar de manera eficiente los vectores de
ataque, así como para aislar y prevenir posibles amenazas, el CESE acoge
favorablemente la disposición que tiene por objeto facilitar la conclusión de
acuerdos de intercambio de información sobre ciberamenazas entre entidades
financieras.
4.7.2 También recomendamos prever, entre los
requisitos de esta propuesta, que las autoridades de la UE proporcionen
una base explícita para permitir el intercambio de datos personales (como las
direcciones IP), ya que de esa forma se reduciría la inseguridad y se
potenciaría la capacidad de las entidades financieras para mejorar sus
capacidades de defensa, detectar mejor las amenazas y reducir el riesgo de
contagio entre ellas. Se necesita mayor claridad al respecto, debido al
carácter confidencial o sensible de los datos.
Bruselas,
24 de febrero de 2021.
La
Presidenta del Comité Económico y Social Europeo
Christa SCHWENG
(1) DO L 124 de 20.5.2003,
p. 36.
(2) Véase
el Dictamen del CESE ECO/534 — Estrategia de Finanzas Digitales para la UE
(véase la página 27 del presente Diario Oficial).
(3) Véase
el Dictamen del CESE ECO/535 — Criptoactivos y tecnología de registro
descentralizado (véase la página 31 del presente Diario Oficial).
(4) COM(2020) 595 final.
(5) COM(2020)
596 final.
(6) Comité
de Supervisión Bancaria de Basilea, Principles for operational resilience (Principios relativos a la resiliencia
operativa), 6 de noviembre de 2020.
(7) Por
ejemplo, las emitidas por la Autoridad Bancaria Europea, la Autoridad Europea
de Seguros y Pensiones de Jubilación y el proyecto de Directrices de la
Autoridad Europea de Valores y Mercados, entonces en proceso de consulta.
(8) Consejo
de Estabilidad Financiera, Final
Report on Effective Practices for Cyber Incident Response and Recovery (Informe final sobre prácticas eficaces de
respuesta y recuperación en caso de ciberincidentes), 19 de octubre
de 2020.
(9) La
propuesta sobre la resiliencia operativa digital se refiere únicamente a los
«servicios prestados por proveedores terceros de TIC» en lo que respecta a los
principios fundamentales para la sana gestión de los riesgos derivados de los
proveedores terceros de TIC (capítulo V), mientras que el alcance de las
Directrices de la Autoridad Bancaria Europea sobre acuerdos de externalización
se basa en la definición de externalización que implica que la actividad se
realiza de manera recurrente o continua (apartado 26). Las Directrices de
la Autoridad Bancaria Europea también establecen una lista de excepciones que
no se consideran externalización (apartado 28).
(10) También
a este respecto será fundamental armonizar la definición de «funciones
esenciales o importantes» tanto en la propuesta sobre la resiliencia operativa
digital como en las Directrices de la Autoridad Bancaria Europea sobre
externalización. En particular, en las Directrices de la Autoridad Bancaria
Europea se definen los factores que las entidades financieras deben tener en
cuenta al evaluar si un acuerdo de externalización se refiere a una función que
es esencial o importante (artículos 29, 30 y 31).
(11) Uno de
los criterios para calificar a un proveedor de TIC como esencial sería su grado
de sustituibilidad, teniendo en cuenta la falta de alternativas reales o las
dificultades para migrar de forma parcial o total los servicios
(artículo 28, apartado 2). Si se diera este caso, a las entidades
financieras les resultaría difícil transferir el servicio a otro proveedor.
Además, exigir a las entidades financieras expuestas que cambien de proveedor
de servicios favorecería en última instancia una mayor concentración en el
mercado europeo, lo que iría específicamente en contra del propósito de este
Reglamento.
No hay comentarios:
Publicar un comentario