Tenint en compte els riscos cada cop més creixents amb referència als ciberatacs, la Unió Europea està reforçant la seguretat informàtica de diferents sectors, en especial la d’entitats financeres com ara bancs, companyies d’assegurances i empreses d’inversió.
Les presidències del Consell Europeu i del Parlament van arribar a un acord provisional sobre la Llei de resiliència operativa digital (DORA), que assegurarà que el sector financer a Europa sigui capaç de mantenir operacions resilients en cas d’una interrupció operativa severa.
DORA estableix requisits uniformes per a la seguretat de la xarxa i els sistemes d’informació d’empreses i organitzacions que operen en el sector financer, així com de tercers que els proporcionen serveis relacionats amb les TIC (tecnologies de la informació i la comunicació), com ara plataformes en núvol o serveis d’anàlisi de dades.
DORA crea un marc regulador sobre la resiliència operativa digital pel qual totes les empreses han d’assegurar-se que poden suportar, respondre i recuperar-se de tot tipus d’interrupcions i amenaces relacionades amb les TIC. Aquests requisits són homogenis a tots els estats membres de la UE. L’objectiu principal és prevenir i mitigar les amenaces cibernètiques.
En virtut de l’acord provisional, les noves normes constituiran un marc molt sòlid que potenciï la seguretat informàtica del sector financer. Els esforços demanats a les entitats financeres seran proporcionals als riscos potencials.
Els proveïdors crítics de serveis TIC de tercers països a entitats financeres de la UE hauran d’establir una filial dins de la UE perquè es pugui implementar correctament la supervisió.
Pel que fa al marc de supervisió, els colegisladors van acordar optar per una xarxa conjunta addicional de supervisió que reforçarà la coordinació entre les autoritats de supervisió europees sobre aquest tema transversal.
Pel que fa a la interacció de DORA amb la Directiva de seguretat de la xarxa i de la informació (NIS), en virtut de l’acord provisional, les entitats financeres tindran tota la claredat sobre les diferents normes de resiliència operativa digital que han de complir, en particular per a aquelles entitats financeres titulars de diverses autoritzacions i que operen en diferents mercats de la UE. La directiva NIS continua aplicant-se. DORA es basa en la directiva NIS i aborda possibles superposicions mitjançant una exempció de lex specialis.
L’acord provisional assolit està subjecte a l’aprovació del Consell Europeu i del Parlament abans de passar pel procediment formal d’adopció.
Un cop aprovada formalment la proposta DORA, cada estat membre de la UE l’aprovarà. Les autoritats europees de supervisió (AES), com ara l’Autoritat Bancària Europea (ABE), l’Autoritat Europea de Valors i Mercats (ESMA) i l’Autoritat Europea d’Assegurances i Pensions de Treball (EIOPA), desenvoluparan normes tècniques per a totes les institucions de serveis financers, des de la banca fins a les assegurances i la gestió d’actius. Les respectives autoritats nacionals competents assumiran el paper de supervisió del compliment i faran complir el reglament quan sigui necessari.
Aquest paquet cobreix un buit en la legislació vigent de la UE i assegura que el marc legal actual no suposi obstacles a l’ús de nous instruments financers digitals i, al mateix temps, garanteix que aquestes noves tecnologies i productes entren dins l’àmbit de la regulació financera i els acords de gestió del risc operacional de les empreses actives a la UE. Així, el paquet pretén donar suport a la innovació i l’adopció de noves tecnologies financeres, alhora que ofereix un nivell adequat de protecció dels consumidors i inversors.
_____
Esta entrada en español / This post in English / Post en français