23.09.2024
La proporcionalidad en acción: Descifrando el marco simplificado de gestión del riesgo TIC para entidades financieras menores
Por María Sanz González, abogada experta en derecho mercantil y regulatorio financiero, con más de 10 años de experiencia y asesoramiento a diferentes sociedades reguladas.
En el complejo mundo de la regulación financiera, la proporcionalidad es un principio fundamental. El marco simplificado de gestión del riesgo relacionado con las Tecnologías de la Información y la Comunicación (TIC) es un claro ejemplo de cómo se aplica este principio en la práctica. Este artículo analiza en detalle qué es este marco, a quién afecta y cuáles son sus implicaciones.
¿En qué consiste el marco simplificado de gestión del riesgo?
El marco simplificado de gestión del riesgo TIC es un conjunto de normas menos estrictas diseñadas para entidades financieras de menor tamaño o con servicios más limitados. Los puntos clave de este marco son:
- Exención de cargos específicos: Las entidades no están obligadas a crear un cargo para el seguimiento de acuerdos con proveedores terceros de servicios TIC.
- Flexibilidad en la estructura organizativa: No es necesario designar a un miembro de la alta dirección para supervisar la exposición al riesgo TIC.
- Simplificación de controles internos: No se requiere asignar la responsabilidad de gestión y supervisión del riesgo TIC a una función de control independiente.
- Reducción de la carga documental: No es obligatorio documentar y revisar anualmente el marco de gestión del riesgo TIC.
- Flexibilidad en auditorías: No se exigen auditorías internas periódicas del marco de gestión del riesgo TIC.
- Evaluaciones menos frecuentes: No es necesario realizar evaluaciones exhaustivas tras cada cambio importante en los procesos e infraestructuras TIC.
- Simplificación en análisis de riesgos: No se requieren análisis de riesgos periódicos sobre sistemas TIC heredados.
- Menor exigencia en planes de continuidad: No es obligatorio someter a auditorías internas independientes los planes de respuesta y recuperación TIC.
- Flexibilidad en gestión de crisis: No se exige disponer de una función específica de gestión de crisis.
- Pruebas simplificadas: Las pruebas de los planes de continuidad y recuperación no necesitan reflejar escenarios complejos de conmutación entre infraestructuras.
- Menor carga informativa: No es necesario comunicar a las autoridades estimaciones de costes y pérdidas por incidentes TIC graves.
- Flexibilidad en infraestructura: No se exige mantener capacidades TIC redundantes (aunque las microempresas deben evaluar esta necesidad según su perfil de riesgo).
- Reducción de obligaciones de reporting: No es necesario comunicar a las autoridades los cambios tras incidentes TIC.
- Simplificación en innovación: No se exige un seguimiento continuo de avances tecnológicos relevantes.
- Pruebas de resiliencia adaptadas: Se permite un régimen más flexible en cuanto a programas de pruebas de resiliencia operativa digital.
- Exención de pruebas avanzadas: No se requieren pruebas de penetración basadas en amenazas.
- Flexibilidad en auditorías a terceros: Las microempresas pueden delegar ciertos derechos de auditoría en un tercero independiente nombrado por el proveedor de servicios TIC.
Si te ha interesado este artículo no dudes en leer:
DORA: Cumplimiento y gestión de riesgos para proveedores de servicios de criptoactivos
¿A qué entidades afecta este marco simplificado?
El marco simplificado se aplica a:
- Empresas de servicios de inversión pequeñas y no interconectadas.
- Fondos de pensiones de empleo pequeños que cumplan las siguientes condiciones:
– Pueden quedar excluidos según la Directiva (UE) 2016/2341.
– Gestionan planes de pensiones con, en conjunto, no más de 100 partícipes.
- Entidades exentas en virtud de la Directiva 2013/36/UE.
- Entidades de pago referidas en el artículo 32, apartado 1, de la Directiva (UE) 2015/2366, exentas conforme al Derecho nacional.
- Entidades de dinero electrónico mencionadas en el artículo 9 de la Directiva 2009/110/CE, exentas según el Derecho nacional.
- Microempresas, según la definición de la UE.
Es importante destacar que las entidades de pago y de dinero electrónico no exentas por su Derecho nacional deben cumplir con el marco general establecido en el Reglamento.
Contacta con Athenea, nuestra asistente de IA
Si te ha gustado este artículo, también puede resultarte interesante la lectura del siguiente:
DORA: Impacto en la transparencia, protección del inversor y gobernanza
Contacto No te quedes con la duda, contacta con nosotros. Estaremos encantados de atenderte y ofrecerte soluciones.