El pasado día 30 de abril del año en curso se publicaron en el DOUE sendos Dictámenes del Comité Económico y Social Europeo sobre otras tantas iniciativas regulatorias en la UE referidas a la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero y a la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones sobre la Estrategia de Finanzas Digitales para la UE de los que nos parece oportuno dar cuenta en esta entrada.
Contexto español de las iniciativas digitales europeas: Importancia de la partida dedicada a la transformación digital en el Plan de Recuperación, Transformación y Resiliencia de la Economía Española
El Plan de Recuperación, Transformación y Resiliencia de la Economía Española que aprobó el Gobierno Español el pasado 27 de abril y remitió el día 30 a la UE ara su evaluación por parte de la Comisión Europea en un plazo máximo de dos meses establece cuatro ejes de trabajo se desarrollan a través de diez políticas palanca entre las cuales se encuentra la “modernización y digitalización del tejido industrial y de la pyme, recuperación del turismo e impulso a una España nación emprendedora”. Estas diez políticas palanca integran a su vez 30 componentes o líneas de acción, que articulan las diferentes iniciativas tractoras prioritarias de reforma estructural, tanto de tipo regulatorio como de impulso a la inversión, para contribuir a alcanzar los objetivos generales del Plan. Entre ellas, nos parece oportuno destacar ahora los siguientes componentes o líneas de acción:” la “3. transformación ambiental y digital del sistema agroalimentario y pesquero”; la “15. Conectividad digital, impulso de la ciberseguridad y despliegue del 5G”; y el “19. Plan Nacional de Competencias Digitales (Digital skills)”.
Tal y como destaca el Acuerdo del Consejo de Ministros de 27 de abril de 2021, por el que aprueba el Plan de Recuperación, Transformación y Resiliencia. publicado por la Resolución de 29 de abril de 2021, de la Subsecretaría (BOE Núm. 103 del viernes 30 de abril de 2021 Sec. I. Pág. 51346 y ss.). “el Plan supone además un 39,12 % de inversión verde, y un 29 % de inversión en transformación digital, por encima de los umbrales mínimos establecidos en la normativa europea”.
Resiliencia operativa digital del sector financiero
En el DOUE del 30.4.2021 (p. C 155/38 y ss.) se publico el Dictamen del Comité Económico y Social Europeo sobre la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014 [COM(2020) 595 final – 2020/0266 (COD)] y sobre la Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se modifican las Directivas 2006/43/CE, 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341 [COM(2020) 596 final – 2020/0268 (COD)] (2021/C 155/06) (Ponente: Antonio GARCÍA DEL RIEGO).
Destacamos a continuación los aspectos que nos parecen más significativos del Dictamen (hemos destacado en negrita algunas expresiones)
Concepto de resiliencia operativa digital
Dice el del Dictamen que “la resiliencia operativa digital es la capacidad de las empresas de garantizar que pueden soportar todo tipo de perturbaciones y amenazas relacionadas con las tecnologías de la información y de las comunicaciones (TIC). La dependencia cada vez mayor que presenta el sector financiero respecto de los programas informáticos y los procesos digitales hace que los riesgos relacionados con las TIC sean inherentes a las finanzas. Las empresas financieras se han convertido en blanco de ciberataques, que causan graves daños financieros y de reputación a los consumidores y las empresas. Es preciso comprender y gestionar correctamente estos riesgos, sobre todo en tiempos de tensión” (epígrafe 2.4).
La Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero
El Dictamen señala que “la propuesta legislativa sobre la resiliencia operativa digital tiene por objeto mejorar y racionalizar la gestión de los riesgos en materia de TIC por las entidades financieras, establecer pruebas exhaustivas de resiliencia de los sistemas de TIC, fomentar el intercambio de información y sensibilizar a los supervisores sobre los riesgos de ciberseguridad y los incidentes relacionados con las TIC que afrontan las entidades financieras, así como otorgar a los supervisores financieros la facultad de supervisar los riesgos derivados de la dependencia de las entidades financieras con respecto a proveedores terceros de servicios de TIC. La propuesta también tiene por objeto crear un mecanismo coherente de notificación de incidentes que permita reducir la carga administrativa de las entidades financieras y mejorar la eficacia de la supervisión” (epígrafe 2.6).
El contexto de la pandemia del COVID
En este sentido, el Dictamen señala que “la COVID-19 ha impulsado la proliferación de los servicios financieros digitales, ya que las redes de filiales de las entidades financieras siguen estando infrautilizadas. Esta situación estimulará las inversiones en herramientas digitales de autoservicio, aplicaciones de finanzas abiertas y servicios de valor añadido. En general, la situación actual obligará a las entidades financieras a invertir más en infraestructura informática, a dar prioridad a la migración de cargas de trabajo esenciales y a actualizar las aplicaciones existentes. El sector financiero europeo está experimentando ya una importante transformación digital, y su capacidad para competir a escala mundial dependerá en gran medida de la habilidad que tengan las instituciones europeas para aprovechar las tecnologías más avanzadas” (epígrafe 2.9).
Observaciones generales
El Dictamen dice que “el CESE acoge favorablemente la propuesta de la Comisión Europea sobre la resiliencia operativa digital, que aborda muchas de las reclamaciones formuladas por el sector financiero y tiene por objeto aportar claridad jurídica sobre las disposiciones relativas a los riesgos relacionados con las TIC, reducir la complejidad normativa y disminuir la carga administrativa generada por la diversidad de normas aplicables a las entidades financieras en toda la UE. La propuesta sobre la resiliencia operativa digital no solo aumenta la resiliencia del sector a los riesgos relacionados con las TIC, sino que también reviste interés para varias partes interesadas, entre ellas los clientes, los inversores y los empleados, y contribuye a la consecución del objetivo de desarrollo sostenible” (epígrafe 3.1).
Observaciones específicas
El Dictamen hace una serie de observaciones específicas sobre los siguientes aspectos de la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero:
a) Su ámbito de aplicación y disposiciones normativas que se solapan (epígrafe 4.1), en concreto, la inclusión de otros agentes pertinentes en los mercados financieros; la coherencia a nivel internacional y de la UE, así como con las reglamentaciones vigentes
b) La gestión de los riesgos relacionados con las TIC diciendo: “Algunos elementos del marco se centran excesivamente en el cumplimiento, y no en el modo en que las empresas pueden demostrar el logro de resultados mediante un planteamiento basado en los principios y los riesgos. Como son demasiado prescriptivos y detallados, corren el riesgo de quedar obsoletos con el tiempo a medida que evoluciona el panorama de los riesgos de ciberseguridad y los riesgos relacionados con las TIC. El CESE recomienda un planteamiento que esté más basado en los principios y los riesgos y que facilite la realización de controles que puedan adaptarse de cara al futuro y sean flexibles, proporcionados y acordes con los riesgos” epígrafe 4.2),.
c) Los incidentes relacionados con las TIC señalando: “El CESE recomienda la plena armonización entre el conjunto de herramientas de respuesta y recuperación en caso de ciberincidentes publicado recientemente por el Consejo de Estabilidad Financiera, que recoge las mejores prácticas en materia de notificación de incidentes, así como las sugerencias sobre la gestión, la clasificación y la notificación de incidentes relacionados con las TIC que figuran en la propuesta sobre la resiliencia” (epígrafe 4.3),
d) La prueba de resiliencia operativa digital sobre la que señala: “Aunque el CESE acoge favorablemente el régimen paneuropeo de pruebas de penetración guiadas por amenazas (TLPT, por sus siglas en inglés) en toda la UE, ya que aumentará la eficiencia y reducirá la fragmentación, recomienda que las autoridades no solo se centren en el tamaño o la escala de la institución financiera, sino también en la complejidad y criticidad del servicio, de acuerdo con el principio de proporcionalidad, cuando proceda, para eliminar la distinción entre las pruebas básicas para todas las entidades financieras y las pruebas más avanzadas para las entidades financieras de mayor envergadura, y velando por que los clientes de las entidades financieras más pequeñas estén protegidos por igual y por que se establezcan condiciones de competencia equitativas entre todas las entidades financieras” (epígrafe 4.4),
e) La gestión de riesgos derivados de los proveedores terceros de TIC y marco de supervisión de proveedores terceros esenciales con particular atención al «propósito de garantizar la coherencia con las directrices existentes en materia de externalización, los requisitos aplicables a las actividades esenciales o importantes externalizadas y el marco de supervisión directa de proveedores terceros esenciales” (epígrafe 4.5),
f) La preservación de la competitividad mundial de las empresas financieras europeas diciendo al este respecto: “El nuevo marco debe preservar la capacidad de las empresas financieras europeas para acceder, como mínimo, a las mismas tecnologías que sus competidores mundiales. Las empresas financieras de la UE están compitiendo a escala mundial, y el futuro marco regulador de la UE no debe poner a esas empresas en desventaja limitando su acceso a las tecnologías más avanzadas, siempre y cuando los proveedores de estas tecnologías cumplan las normas de la UE en materia de resiliencia y seguridad (…) “Proveedores terceros establecidos en terceros países. El Reglamento no debe limitar la posibilidad de externalizar los servicios que se consideren esenciales a proveedores terceros establecidos en terceros países. Esta limitación restringiría, sin duda, la capacidad de las entidades financieras europeas para acceder a servicios de proveedores de alto valor añadido, que muy probablemente no se encontrarán en Europa en número suficiente. Esta exigencia resulta aún más pertinente si se tiene en cuenta que el marco de supervisión propuesto se limita al sector financiero, lo que crea condiciones de competencia desiguales para otros agentes no sujetos a este Reglamento y podría acabar aumentando el riesgo de concentración, algo que la propuesta sobre la resiliencia operativa digital trata de evitar” (epígrafe 4.6),
g) Sobre el acuerdo de intercambio de información diciendo: “Dado que el intercambio oportuno de información es esencial para detectar de manera eficiente los vectores de ataque, así como para aislar y prevenir posibles amenazas, el CESE acoge favorablemente la disposición que tiene por objeto facilitar la conclusión de acuerdos de intercambio de información sobre ciberamenazas entre entidades financieras (…) También recomendamos prever, entre los requisitos de esta propuesta, que las autoridades de la UE proporcionen una base explícita para permitir el intercambio de datos personales (como las direcciones IP), ya que de esa forma se reduciría la inseguridad y se potenciaría la capacidad de las entidades financieras para mejorar sus capacidades de defensa, detectar mejor las amenazas y reducir el riesgo de contagio entre ellas. Se necesita mayor claridad al respecto, debido al carácter confidencial o sensible de los datos” (epígrafe 4.7).
Conclusiones y recomendaciones
El Dictamen del CESE llega a las siguientes conclusiones y recomendaciones:
“1.1. El Comité Económico y Social Europeo (CESE) acoge favorablemente la propuesta de la Comisión Europea sobre la resiliencia operativa digital, ya que tiene por objeto aportar claridad jurídica sobre las disposiciones relativas a los riesgos relacionados con las tecnologías de la información y de las comunicaciones (TIC), reducir la complejidad normativa, establecer un conjunto de normas comunes encaminadas a mitigar los riesgos relacionados con las TIC y facilitar un planteamiento de supervisión armonizado, que al mismo tiempo proporcione la seguridad jurídica y las salvaguardias necesarias para las empresas financieras y los proveedores de TIC. La propuesta sobre la resiliencia operativa digital no solo aumenta la resiliencia del sector a los riesgos relacionados con las TIC, sino que también reviste interés para varias partes interesadas, entre ellas los clientes, los inversores y los empleados, además de contribuir a la consecución del desarrollo sostenible.
1.2. El CESE recomienda mejorar la eficacia de la resiliencia operativa digital siguiendo las etapas descritas a continuación.
1.2.1. Incluir en el ámbito de la resiliencia operativa digital a todos los proveedores de servicios financieros críticos que desarrollen actividades financieras, y excluir el recurso a los servicios de TIC para las funciones no esenciales.
1.2.2. Garantizar la coherencia en cuanto a su definición y alcance entre la resiliencia operativa digital y los requisitos establecidos en las Directrices en vigor emitidas por las Autoridades Europeas de Supervisión (AES).
1.2.3. En lo que respecta a la gestión de las TIC, privilegiar un marco centrado en un principio y un enfoque basado en los riesgos que faciliten la realización de controles con visión de futuro, flexibles y proporcionados a los riesgos.
1.2.4. En cuanto a los incidentes relacionados con las TIC, plena armonización con el conjunto de herramientas de respuesta y recuperación en caso de ciberincidentes facilitado por el Consejo de Estabilidad Financiera.
1.2.5. Respecto de las pruebas de resiliencia operativa digital, destacar no solo el tamaño de la entidad financiera, sino también la complejidad y el carácter crítico del servicio; evitar la subcontratación obligatoria que recaiga en un número limitado de evaluadores externos, y asegurar el reconocimiento mutuo de los resultados de las pruebas.
1.2.6. Consolidar los requisitos en materia de externalización en un único acto legislativo para aportar seguridad jurídica a todos los agentes del mercado y cumplir de manera fiable las expectativas de la supervisión.
1.2.7. Poner plenamente en práctica las recomendaciones de los supervisores principales y un conjunto claro de funciones y responsabilidades para las diferentes autoridades que participan en la supervisión de los proveedores terceros esenciales.
1.2.8. Garantizar a los proveedores terceros establecidos en terceros países el acceso a servicios subcontratados que se consideren esenciales, para evitar restringir la libertad contractual de las empresas y su capacidad de acceder a los servicios de los proveedores de alto valor añadido.
1.2.9. Introducir la proporcionalidad en el régimen de sanciones, para evitar desincentivar a los proveedores de TIC a la hora de prestar servicios a las entidades financieras de la UE y abandonar la referencia actual al volumen de negocios mundial.
1.2.10. Aportar claridad en cuanto a la capacidad de las empresas para compartir información sobre las ciberamenazas, velando por que ello se haga con carácter voluntario y que en la propuesta sobre la resiliencia operativa digital se incluya una disposición explícita que permita el intercambio de datos personales.
1.2.11. Podría considerarse la posibilidad de aumentar los umbrales de exención de la propuesta para las microempresas y las pequeñas empresas, tal como se definen en el apartado 2 del artículo 2 del anexo I de la Recomendación 2003/361/CE de la Comisión empresas que empleen a menos de 50 personas y cuyo volumen de negocios o balance anual no exceda de 10 millones de euros, y reducir el número de requisitos aplicables a las pymes de manera proporcional al perfil de riesgo digital de cada entidad.
1.3. El CESE apoya la capacitación de los supervisores principales para que lleven a cabo las auditorías e inspecciones relativas a proveedores terceros esenciales, ya que ello permitiría a los supervisores principales comprender mejor los riesgos que pueden plantear los proveedores terceros esenciales y podría ayudar a racionalizar los procedimientos de subcontratación de los bancos.”
Estrategia de Finanzas Digitales para la UE
En el DOUE del 30.4.2021 (p. C 155/27 y ss.) se publicó el Dictamen del Comité Económico y Social Europeo sobre la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones — Estrategia de Finanzas Digitales para la UE [COM(2020) 591 final] (2021/C 155/04) Ponente: Petru Sorin DANDEA. Coponente:Jörg Freiherr FRANK VON FÜRSTENWERTH
Las Propuestas de la Comisión
El Dictamen del CESE delimita su ámbito diciendo: “El 24 de septiembre de 2020, la Comisión aprobó el paquete sobre finanzas digitales, que consta de una Estrategia de Finanzas Digitales, una Estrategia de Pagos Minoristas, propuestas legislativas para un marco regulador de la UE sobre criptoactivos y su tecnología de registro descentralizado subyacente, y propuestas para un marco regulador de la UE sobre la resiliencia operativa digital” (epígrafe 2.1).
Añade una referencia a la aceleración digital por la pandemia del COVID diciendo: “En el contexto especialmente dinámico de la innovación digital, acelerado por la crisis de la COVID-19, la Comisión propone una estrategia con un objetivo estratégico y cuatro prioridades y medidas conexas sobre finanzas digitales. Esta estrategia es el objeto de este Dictamen del CESE” (epígrafe 2.2)
El objetivo estratégico de la Comisión
El objetivo estratégico establecido por la Comisión -dice el Dictamen del CESE- que consiste en “adaptar las finanzas digitales en beneficio de los consumidores y las empresas. Las cuatro prioridades son: 1) poner fin a la fragmentación del mercado único digital de los servicios financieros, con el fin de permitir a los consumidores europeos acceder a servicios transfronterizos y de ayudar a las empresas financieras europeas a expandir sus operaciones digitales; 2) garantizar que el marco regulador de la UE facilite la innovación digital en interés de los consumidores y de la eficiencia del mercado; 3) crear un espacio europeo de datos financieros para promover la innovación basada en los datos, a partir de la Estrategia Europea de Datos, mejorando también el acceso a los datos y su intercambio en el sector financiero; y 4) abordar los nuevos retos y riesgos asociados a la transformación digital” (epígrafe 2.3)..
Observaciones generales
Podemos destacar las siguientes:
“3.2.La Comisión va bien encaminada al contar con fuertes participantes en el mercado europeo para aplicar los servicios financieros digitales, pero el CESE considera que debe considerarse el papel especial de proveedores especializados del sector financiero que provengan del ámbito regional o del de las mutuas o cooperativas, puesto que la diversidad en este sector ayuda a satisfacer las necesidades específicas de los consumidores y las pymes y contribuye a la competitividad de los mercados. El CESE anima a la Comisión a buscar una proporcionalidad que tenga en cuenta la naturaleza, la magnitud y la complejidad de las entidades financieras y sus productos.
3.3. La Comunicación de la Comisión es extremadamente técnica y hay un aspecto que no aborda: debido a la digitalización, el sector financiero de la UE está experimentando un enorme proceso de transformación. Este proceso va de la mano de procesos de reestructuración de gran envergadura, el cierre de sucursales locales, cambios en las cualificaciones profesionales de los trabajadores y formas totalmente nuevas de trabajo. No deben ignorarse estos importantes desafíos, que representan un gran reto para los proveedores y, por supuesto, para los trabajadores del sector financiero. El CESE aboga por el diálogo social para abordar los ámbitos en los que está teniendo lugar la transformación.
3.4. La Comisión afirma que un mercado único de servicios financieros digitales que funcione correctamente contribuirá a mejorar el acceso a los servicios financieros de los consumidores y los inversores minoristas en la UE. El CESE respalda este planteamiento de la Comisión. Para reducir la fragmentación en el mercado único digital de servicios financieros, es esencial permitir que los mercados se desarrollen”.
Observaciones específicas
Podemos destacar las siguientes:
“3.10. Sin embargo, en el mercado digital, algunas empresas de tecnología financiera ofrecen servicios a empresas financieras, mientras que otras compiten con ellas. El CESE considera que la Comisión debe tener en cuenta estas cuestiones al elaborar nuevas normativas, y recomienda, por tanto, que estas se orienten a apoyar asociaciones entre las entidades financieras en ejercicio y el sector de la tecnología financiera. Aunque es evidente que los bancos son las entidades más significativas, la legislación debe evitar copiar y pegar simplemente requisitos que puede que no encajen con todos los tipos de servicios financieros. Debe diferenciar entre productos orientados a los consumidores, que pueden considerarse productos básicos, y productos más complejos donde el alcance y los servicios posventa son sumamente importantes.
3.13. En el ámbito de la ciberseguridad, el CESE señala que la mayoría de las entidades financieras sistémicas europeas utilizan servicios de tecnología financiera prestados por empresas de fuera de la UE. La iniciativa legislativa sobre la resiliencia operativa digital propuesta por la Comisión puede resultar insuficiente en determinadas situaciones, por lo que el CESE acoge favorablemente el proyecto GAIA-X, cuyo objetivo es hacer frente a la posición dominante de EE. UU. y China en los servicios en la nube. Este proyecto, en el que también participa la Comisión Europea, tiene por objeto lograr la soberanía o la gobernanza de los datos de la UE a través de una red en nube establecida en la Unión. Dado que cada vez dependemos más de los servicios digitales, redunda en interés de las partes interesadas de la UE ser independientes de los proveedores externos de servicios en la nube, y para la propia Unión Europea es importante reforzar su soberanía económica y política. Una red europea en la nube facilitaría también los flujos de datos entre los Estados miembros».
Conclusiones y recomendaciones
Nos perece oportuno destacar a las siguientes conclusiones y recomendaciones: a las que llega el Dictamen del CESE:
“1.3. .La Comisión va bien encaminada al contar con fuertes participantes en el mercado europeo para aplicar los servicios financieros digitales, pero el CESE considera que no debe ignorarse el papel especial de proveedores especializados, ya sea en el ámbito regional o en el de las mutuas o cooperativas locales, en el sector financiero.
1.4.. Debido al proceso de digitalización, el sector financiero de la UE está experimentando un enorme proceso de transformación que va de la mano de procesos de reestructuración de gran envergadura, el cierre de sucursales locales, cambios en las cualificaciones profesionales de los trabajadores y formas totalmente nuevas de trabajo. No deben ignorarse estos importantes desafíos, que representan un gran reto para los proveedores y, por supuesto, para los trabajadores del sector financiero.
1.7. .En el ámbito de la ciberseguridad, el CESE acoge favorablemente el proyecto GAIA-X, cuyo objetivo es hacer frente a la posición dominante de EE. UU. y China en los servicios en la nube. Este proyecto, en el que también participa la Comisión Europea, tiene por objeto lograr la soberanía o la gobernanza de los datos de la UE a través de una red en nube establecida en la Unión.
1.8. .El compromiso de la Comisión con el principio de «mismas actividades, mismos riesgos, mismas normas» es fundamental para superar los nuevos desafíos, entre ellos el de garantizar la misma supervisión. El CESE considera que crear una igualdad de condiciones para todas las entidades financieras reviste especial importancia”.