Diario Oficial de la Unión Europea del 26/8/2021 - Comunicaciones e Informaciones
Version en texte Qu'est-ce que c'est?Dateas est un site Web indépendant, non affilié à un organisme gouvernemental. La source des documents PDF que nous publions est l'agence officielle indiquée dans chacun d'eux. Les versions en texte sont des transcriptions non officielles que nous faisons pour fournir de meilleurs outils d'accès et de recherche d'informations, mais peuvent contenir des erreurs ou peuvent ne pas être complètes.
Source: Diario Oficial de la Unión Europea - Comunicaciones e Informaciones
C 343/2
ES
Diario Oficial de la Unión Europea
26.8.2021
la Directiva SRI. Aunque el BCE celebra que se reduzca el riesgo de duplicación de requisitos para las entidades financieras en materia de notificación de incidentes, debe prestarse más atención a la interacción entre el reglamento propuesto y la Directiva SRI. Por ejemplo, según el reglamento propuesto, un proveedor tercero de servicios de TIC 6 podría estar sujeto a las recomendaciones del supervisor principal 7. Al mismo tiempo, el mismo proveedor tercero de servicios de TIC puede clasificarse como operador de servicios esenciales conforme a la Directiva SRI y estar sujeto a las instrucciones vinculantes de la autoridad competente 8. En ese caso, el proveedor tercero de servicios de TIC podría recibir recomendaciones conforme al reglamento propuesto que fueran contrarias a las instrucciones vinculantes recibidas conforme a la Directiva SRI. El BCE
sugiere que los órganos legislativos de la Unión examinen más detenidamente las posibles incoherencias entre el reglamento propuesto y la Directiva SRI que pueden impedir que se armonicen los requisitos para las entidades financieras y se evite la existencia de requisitos repetidos y contradictorios.
1.3
El BCE entiende asimismo que, según la propuesta de directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva UE 2016/1148 9 en lo sucesivo, la propuesta de directiva SRI 2, los cuasiincidentes 10
deberán notificarse 11. Aunque el considerando 39 de la propuesta de directiva SRI 2 hace referencia al significado del término cuasiincidente, no está claro si se pretende requerir que los cuasiincidentes sean notificados por las entidades financieras que se enumeran en el artículo 2 del reglamento propuesto. Sobre este punto, y teniendo en cuenta además que los cuasiincidentes solo pueden identificarse como tales una vez que ocurren, el BCE celebraría ser informado oportunamente de los cuasiincidentes importantes, como actualmente sucede con los ciberincidentes. El BCE sugiere que se coordine mejor el reglamento propuesto con la propuesta de directiva SRI 2 a fin de precisar el alcance de las obligaciones de notificación a que estén sujetas las entidades financieras conforme a estas dos normas de la Unión distintas pero conexas. Al mismo tiempo, habría que definir los cuasiincidentes y establecer normas relativas a su importancia.
1.4
El BCE celebra que se incentive a las entidades financieras a que compartan voluntariamente entre sí información sobre ciberamenazas para mejorar y reforzar su situación en materia de ciberresiliencia. El propio BCE ha contribuido a la iniciativa del mercado para el intercambio de información sobre ciberamenazas Cyber threat Intelligence Information Sharing Initiative CIISI-EU y pone el proyecto a disposición de quien quiera desarrollar y fomentar la iniciativa 12.
1.5
El BCE apoya la cooperación entre las autoridades competentes a los efectos del reglamento propuesto, las Autoridades Europeas de Supervisión AES y los equipos de respuesta a incidentes de seguridad informática CSIRT 13. Es esencial intercambiar información para garantizar la resiliencia operativa de la Unión, ya que el intercambio de información y la cooperación entre las autoridades puede contribuir a prevenir los ciberataques y a reducir la propagación de las amenazas de las TIC. Debe fomentarse un enfoque común a los riesgos relacionados con las TIC, y debe velarse por una evaluación coherente de dichos riesgos en toda la Unión. Es de suma importancia que las autoridades competentes 14 solo compartan la información con el punto de contacto único 15 y los CSIRT nacionales cuando se hayan establecido mecanismos claros de clasificación y de intercambio de información y, al mismo tiempo, salvaguardias adecuadas que garanticen la confidencialidad.
1.6
Por último, el BCE celebraría que el reglamento propuesto incluyera disposiciones sobre datos personales y retención de datos. Para determinar el plazo de retención deben tenerse en cuenta las tareas de investigación, inspección, solicitud de información, comunicación, publicación, evaluación, verificación y redacción de planes de vigilancia o supervisión, que las autoridades competentes pueden tener que desempeñar en el
6
7
8
9
10
11
12
13
14
15
Véase el artículo 3, punto 15, del reglamento propuesto.
Véase el artículo 31, apartado 1, letra d, del reglamento propuesto.
Véase el artículo 15, apartado 3, de la Directiva SRI.
COM2020 823 final.
Cualquier suceso que podría haber causado daños, pero cuya materialización completa se previno de manera satisfactoria. Véase el considerando 39 de la propuesta de directiva SRI 2.
Véase el artículo 11 de la propuesta de directiva SRI 2.
La Cyber threat Intelligence Information Sharing Initiative CIISI-EU está disponible en la dirección del BCE en internet, www.ecb.europa.
eu.
Véase el artículo 42 del reglamento propuesto.
Véanse los artículos 11, 26 y 27 de la propuesta de directiva SRI 2.
Véase el artículo 8, apartado 3, de la Directiva SRI.
