Les Autoritats Europees de Supervisió (AES) acaben de llançar el segon paquet RTS sota DORA.

El 27 de desembre de 2022 van ser publicades al Diari Oficial de la Unió Europea dues normes diferents, però molt lligades entre si, relacionades amb la ciberseguretat. Van entrar en vigor 20 dies després, el 16 de gener de 2023. Ens referim al Reglament (UE) 2022/2554: Resiliència Operativa Digital (DORA, Digital Operational Resilience Act), adreçada al Sector Financer ia la Directiva (UE) 2022/2555 : NIS 2 (v2 de Network and Information Security), dirigida a elevar la ciberseguretat a la UE, utilitzant com a palanca sectors essencials. Si us fixeu, els números d'ambdues regulacions són consecutius, cosa que denota que van ser dissenyades des d'un punt de vista conjunt.

Pels que no estigueu familiaritzats amb el món del dret, DORA és un reglament (norma de la UE d'aplicació immediata) que té únicament una excepció, no aplicarà fins al 17 de gener de 2025. Per contra, NIS2 és una directiva ( norma de la UE que requereix que els estats membres la transposin). S'ha de regular per una norma amb rang de llei abans del 17 d'octubre de 2024. Però, de moment, a la data d'aquest post (29 de juliol de 2024), no ha estat traslladada, i sembla difícil que es pugui complir data marcada per la unió.

El reglament DORA, sobre el qual centrarem aquest article, exigeix ​​sancions i mesures eficaces, proporcionals i dissuasòries, contemplant així mateix sancions administratives i penals (una novetat). Una cosa també clau i nova és que es podran aplicar als membres del consell. És més, DORA obliga que siguin publicades les sancions administratives imposades als membres del consell, amb nom i cognoms, fins a 5 anys.

Per proporcionar orientació sobre com implementar aquestes disposicions, les Autoritats Europees de Supervisió (AES) desenvolupen les Regulatory Technical Standards o RTS (legislació de Nivell 2). El primer paquet RTS va ser publicat fa poc més d'un any, el juny del 2023. I el segon paquet tal com es preveia, ha estat publicat la setmana passada, un cop finalitzades les eleccions europees.

El primer paquet ha estat àmpliament debatut sota consulta pública, i, el text que definia DORA en només 79 pàgines ha crescut en el segon paquet RTS de forma considerable.

Cito textualment les noves incorporacions:

Les tres autoritats de supervisió europees (EBA, EIOPA i ESMA, les ESA) han publicat avui el segon lot de productes polítics en virtut de la Digital Operational Resilience Act (DORA). Aquest lot consta de quatre esborranys finals d'estàndards tècnics de regulació (RTS), un conjunt d'estàndards tècnics d'aplicació (ITS) i 2 directrius, tots els quals tenen com a objectiu millorar la resiliència operativa digital del sector financer de la UE.

El paquet se centra en el marc de notificació d'incidents relacionats amb les TIC (claredat dels informes, plantilles) i les proves de penetració dirigides per amenaces, alhora que introdueix alguns requisits sobre el disseny del marc de supervisió, que milloren la resiliència operativa digital del sector financer de la UE, per tant també assegurant la prestació contínua i ininterrompuda de serveis financers als clients i la seguretat de les seves dades.

Les ESA estan publicant els següents esborranys de normes tècniques finals:

1. RTS i ITS sobre el contingut, el format, les plantilles i els terminis per notificar incidents importants relacionats amb les TIC i amenaces cibernètiques significatives; 

2. RTS sobre l'harmonització de les condicions que permetin la realització de les activitats de supervisió;

3. RTS que especifica els criteris per determinar la composició de l'equip d'examen conjunt (JET); i

4. RTS sobre proves de penetració dirigides per amenaces (TLPT).

El conjunt de directrius inclou:

• Directrius sobre l'estimació de costos/pèrdues agregades causades per incidents importants relacionats amb les TIC; i

• Directrius sobre cooperació de supervisió.

Aquest és un petit resum de cadascun dels documents del nou paquet que conté 4 RTS (Regulatory Technical Standards) i 1 ITS (Implementing Technical Standards):

• RTS i ITS sobre el contingut, format, plantilles i terminis per reportar incidents importants relacionats amb les TIC i amenaces cibernètiques significatives: Aquest document estableix estàndards tècnics i d'implementació per a la notificació d'incidents i amenaces cibernètiques, especificant quina informació s'ha de reportar, en quin format, i dins quins terminis.

• RTS sobre l'harmonització de les condicions que permeten la realització d'activitats de supervisió: Estableix els requisits per harmonitzar les condicions sota les quals es realitzen les activitats de supervisió, assegurant un enfocament coherent a tota la UE.

• RTS que especifica els criteris per determinar la composició de l'equip d'examen conjunt (JET): Defineix els criteris per formar equips d'examen conjunts que supervisin les proves de penetració i altres avaluacions, assegurant que es compti amb el personal adequat i qualificat.

• RTS sobre proves de penetració liderades per amenaces (TLPT): Proporciona els requisits per dur a terme proves de penetració basades en amenaces específiques, a fi d'avaluar la resiliència de les entitats financeres davant de ciberatacs.

Al costat d'aquests documents, trobem 2 guies amb el contingut següent:

• Guies sobre l'estimació de costos/pèrdues agregats causats per incidents importants relacionats amb les TIC: Ofereix pautes per calcular els costos i pèrdues totals derivats d'incidents significatius relacionats amb les TIC, ajudant les entitats a avaluar el impacte financer dels incidents esmentats.

• Guies sobre la cooperació a la supervisió: Defineix com han de cooperar les autoritats de supervisió en la supervisió de les activitats de les entitats financeres, promovent una col·laboració eficaç i una supervisió coherent a nivell europeu.

L'EBA (European Banking Authority), part de l'ESA, ha traslladat que lguies ja han estat adoptades pels Consells de Supervisió de les tres Autoritats Europees de Supervisió (ESAs). Els esborranys finals dels estàndards tècnics han estat enviats a la Comissió Europea, que ara els començarà a revisar amb l'objectiu d'adoptar-los en els propers mesos. Els RTS restants sobre subcontractació es publicaran properament.

Teniu més detalles sobre això a: https://www.eba.europa.eu/publications-and-media/press-releases/esas-published-second-batch-policy-products-under-dora

La UE avança significativament cap a la millora de la resiliència operativa digital del sector financer. En establir regles clares per a la notificació d'incidents, proves de penetració i supervisió, aquestes polítiques busquen garantir una resposta coherent i efectiva davant de les ciberamenaces a què actualment s'enfronta el teixit empresarial financer. Òbviament, això no només augmentarà la transparència en la resposta a ciberatacs, sinó que també enfortirà la seguretat i estabilitat del sector financer, ajudant les empreses a estar millor preparades davant de possibles amenaces digitals.

En propers posts aprofundirem en els documents publicats en aquest nou paquet RTS.