El BOE núm. 192 del pasado jueves 12 de agosto de 2021 (Sec. III. Pág. 100332) publicó la Resolución de 30 de julio de 2021, de la Dirección General de Seguros y Fondos de Pensiones, por la que se publican las Directrices de la Autoridad Europea de Seguros y Pensiones de Jubilación sobre gobernanza y seguridad de las tecnologías de la información y de las comunicaciones. Se trata de 25 Directrices publicadas por EIOPA de una extraordinaria relevancia en el proceso de la digitalización de los seguros en Europa de las que damos sintética referencia en esta entrada.
Contexto: Factores que inciden en la digitalización de las entidades aseguradoras en Europa
Tanto en este blog como fuera de él nos hemos referido con frecuencia a tres materias que inciden en la digitalización de las entidades aseguradoras y reaseguradoras:
a) La actividad de la Autoridad Europea de Seguros y Pensiones para la Jubilación (AESPJ/EIOPA) (en este sentido, el lector interesado puede ver nuestro estudio sobre “El Sistema Europeo de Supervisión Financiera”, en la RDBB n.º 121, enero-marzo (2011), pp. 9 a 59 asi como la entrada del pasado 15 de julio de 2021 titulada “Sostenibilidad financiera medioambiental. Documentos de la Autoridad Europea de Seguros y Pensiones para la Jubilación (AESPJ/EIOPA) sobre seguro, cambio climático y catástrofes naturales” y las restantes).
b) El sistema de gobierno en las entidades aseguradoras (en este sentido, el lector interesado puede ver nuestro estudio sobre “El sistema de gobierno de las entidades aseguradoras” en la obra colectiva “Estudios Jurídicos en memoria del profesor Emilio Beltrán. Liber Amicorum”, Ed. Tirant lo Blanch, Valencia, 2015, Tomo I. pp. 985 a 1014la entrada del pasado 15 de julio de 2016 sobre “Los puntos críticos del proceso de implementación del sistema de gobierno en las entidades aseguradoras españolas” y las restantes).
c) Los tecnoseguros (Insurtech) (en este sentido, el lector interesado puede ver nuestro estudio “Insurtech”, en la obra “Revolución digital, Derecho mercantil y token economía”. Muñoz Pérez, A.F. (Dir.), De la Orden de la Cruz, C./ Martínez Laburta, C. (Coords,), Ed. Tecnos, Madrid 2019, pp. 544-559; así como la entrada del 28 de octubre de 2018 “Riesgos y paradojas de los tecnoseguros (insurtech)” y las restantes).
En el momento de ubicar las Directrices de EIOPA en su contexto normativo, interesa destacar que el Documento que las recoge advierte expresamente que “se deben leer junto a y sin perjuicio de la Directiva de Solvencia II, el Reglamento Delegado, las Directrices de la AESPJ sobre el sistema de gobernanza y las Directrices de la AESPJ sobre la externalización a proveedores de servicios en la nube. Estas Directrices pretenden ser neutrales desde los puntos de vista tecnológico y metodológico”.
La Resolución de 30 de julio de 2021, de la Dirección General de Seguros y Fondos de Pensiones
Esta Resolución de 30 de julio de 2021, de la Dirección General de Seguros y Fondos de Pensiones tiene dos finalidades:
a) Hace suyas las Directrices sobre gobernanza y seguridad de las tecnologías de la información y de las comunicaciones, elaboradas por la EIOPA de acuerdo con el artículo 16 del Reglamento UE 1094/2010, del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010 que son de aplicación desde el 1 de julio de 2021.
b) Da publicidad a dichas Directrices mediante su publicación en el sitio web de la Dirección General en cumplimiento de lo dispuesto en el artículo 158.3 del Real Decreto 1060/2015 (ROSSEAR).
A estos efectos, es pertinente recordar que el artículo 111.2 de la Ley 20/2015 (LOSSEAR) dice: “La Dirección General de Seguros y Fondos de Pensiones podrá elaborar guías técnicas, dirigidas a las entidades sometidas a su supervisión, indicando los criterios, prácticas o procedimientos que considera adecuados para el cumplimiento de la normativa de supervisión. Dichas guías, que deberán hacerse públicas, podrán incluir los criterios que la propia Dirección General de Seguros y Fondos de Pensiones seguirá en el ejercicio de sus actividades de supervisión. A tal fin, la Dirección General de Seguros y Fondos de Pensiones podrá hacer suyas, y transmitir como tales, así como desarrollar, complementar o adaptar las directrices que, dirigidas a los sujetos sometidos a su supervisión, aprueben los organismos o comités internacionales activos en la regulación o supervisión de seguros o planes de pensiones”.
Las Directrices de la Autoridad Europea de Seguros y Pensiones para la Jubilación (AESPJ/EIOPA) sobre gobernanza y seguridad de las tecnologías de la información y de las comunicaciones (TIC)
Los 5 Motivos de las Directrices de EIOPA
El documento que recoge estas 25 Directrices (EIOPA-NbS-20/600) comienza con un apartado de “Información general” que subraya los 5 factores que explican su emisión que podemos sintetizar en los siguientes:
a) El grado de desarrollo de las TIC en los seguros
Dice el Documento que “en todo el sector de los seguros, incluidos tanto los modelos de negocio tradicionales como los innovadores, la prestación de los servicios de seguros y el funcionamiento operativo normal de las empresas se basa cada vez más en las TIC, por ejemplo la digitalización del sector de los seguros (tecnología aplicada al sector de los seguros, internet de las cosas, etc.), así como la interconexión mediante canales de telecomunicaciones (internet, conexiones móviles e inalámbricas y redes de área amplia)».
b) La complejidad de las TIC en los seguros
Añade el Documento que “la complejidad de las TIC va en aumento, así como la frecuencia de los incidentes asociados a dichas tecnologías (incluidos los ciberincidentes), con el consiguiente impacto negativo de tales incidentes en el funcionamiento operativo de las empresas. Por tal motivo, la gestión de los riesgos de TIC y seguridad es fundamental para que una empresa pueda lograr sus objetivos estratégicos, corporativos, operativos y de reputación».
c) La vulnerabilidad de las empresas de seguros frente a los incidentes de seguridad en las TIC y, en particular, los ciberataques
Sigue el Documento diciendo que las operaciones de las empresas de seguros son vulnerables a los incidentes de seguridad, como los ciberataques por lo que “es importante asegurarse de que las empresas estén adecuadamente preparadas para gestionar sus riesgos de TIC y seguridad”. En sus definiciones señala que la “vulnerabilidad” es “una deficiencia, una susceptibilidad o un defecto de un activo o control que una o varias amenazas pueden aprovechar”.
d) La ciberseguridad de las empresas de seguros
Lo anterior conduce al Documento a añadir que “aunque en las presentes Directrices se reconoce que la ciberseguridad se debe abordar como parte de la gestión global del riesgo de TIC y seguridad de la empresa, cabe señalar que los ataques cibernéticos presentan ciertas características específicas, que se deben tener en consideración para asegurarse de que las medidas de seguridad de la información mitigan debidamente el riesgo cibernético”.
d) La fragmentación y la heterogeneidad de las normas nacionales
Por último y desde el punto de vista técnico regulatorio, el Documento añade que “el análisis de la situación (legislativa) actual en la UE respecto del Consejo Conjunto mencionado mostró que la mayoría de los Estados miembros de la UE han establecido normas nacionales en materia de seguridad y gobernanza de las TIC. Aunque los requisitos son similares, el marco regulador sigue fragmentado. Además, un estudio sobre las actuales prácticas de supervisión reveló una amplia variedad de ellas, desde «sin supervisión específica» hasta «supervisión rigurosa» (incluidas las «inspecciones remotas» y las «inspecciones in situ«.
Los 3 objetivos de las Directrices de EIOPA
El Documento dice que “el objetivo de las presentes Directrices es: a) aportar aclaraciones y transparencia a los participantes en el mercado sobre las capacidades mínimas previstas de ciberseguridad y seguridad de la información, es decir, la referencia en materia de seguridad; b) evitar posibles arbitrajes regulatorios; y c) fomentar la convergencia en la supervisión con relación a las expectativas y los procesos aplicables respecto de la seguridad y la gobernanza de las TIC como factor clave para una gestión adecuada del riesgo de TIC y seguridad”.
La aplicación de las Directrices de EIOPA
En el tiempo, las Directrices se aplican desde el 1 de julio de 2021.
En el espacio, las Directrices se aplican tanto a empresas individuales como, mutatis mutandis, a nivel de grupo.
En la forma, dice el Documento que “al cumplir o supervisar el cumplimiento de las presentes Directrices, las autoridades competentes deberán tener en cuenta el principio de proporcionalidad, que ha de garantizar que el sistema de gobernanza, incluidas las medidas relacionadas con la seguridad y la gobernanza de las TIC, es proporcionado a la naturaleza, la escala y la complejidad de los correspondientes riesgos a los que se enfrentan o se pueden enfrentar las empresas”. En este sentido, interesa añadir que la Directriz 1 sobre ”proporcionalidad” dice que “las empresas deberán aplicar las presentes Directrices de una manera proporcionada a la naturaleza, la escala y la complejidad de los riesgos inherentes a sus actividades».
Estructura del sistema de gobernanza y seguridad de las TIC de las entidades aseguradoras según las Directrices de EIOPA
Las Directrices de EIOPA diseñan un sistema de gobernanza y seguridad de las TIC de las entidades aseguradoras empezando por definir sus dos componentes básicos que son:
a) Los “sistemas de TIC”, definidos como el “conjunto de aplicaciones, servicios, activos de tecnología de la información, activos de TIC u otros componentes de manejo de la información, que incluye el entorno operativo”.
b) La “seguridad de la información” definida como la “preservación de la confidencialidad, la integridad y la disponibilidad de la información o los sistemas de información. Además, también pueden verse implicadas otras propiedades, como la autenticidad, la responsabilidad, el consentimiento y la fiabilidad”.
Una vez definidos sus dos componentes básicos, la estructura del sistema de gobernanza y seguridad de las TIC de las entidades aseguradoras se asienta en una serie de elementos específicos que las propias Directrices definen y que podemos agrupar en tres categorías:
a) Elementos Subjetivos: Se trata del “Propietario del activo” (“Persona física o jurídica con la responsabilidad y la autoridad sobre un activo de información y de TIC”) y del “Proveedor de servicios” (“Un tercero que realiza un proceso, servicio o actividad, o partes de los mismos, con arreglo a un acuerdo de externalización”).
b) Elementos objetivos: Son el “Activo de TIC” (“Activo de software o hardware que se encuentra en el entorno empresarial”), los “Proyectos de TIC” (“Cualquier proyecto, o parte del mismo, en el que se modifiquen, reemplacen o implementen sistemas y servicios de TIC”), los “Servicios de TIC” (“Servicios prestados mediante sistemas y proveedores de servicios de TIC a uno o más usuarios internos o externos”) y el “Activo de información” (“Recopilación de información, tangible o intangible, que merece la pena proteger”).
c) Elementos funcionales: Son la “Disponibilidad” (“Propiedad de ser accesible y utilizable previa petición (conveniencia) por una persona jurídica autorizada”), la “Integridad” (“Propiedad de precisión y completitud”), la “Confidencialidad” (“Propiedad de que la información no se ponga a disposición o se divulgue a terceros, entidades, procesos o sistemas no autorizados”), la “Ciberseguridad” (“Preservación de la confidencialidad, la integridad y la disponibilidad de la información o los sistemas de información a través del medio cibernético”), el “Riesgo de TIC y seguridad” “Como subcomponente del riesgo operativo, el riesgo de pérdida debido a la violación de la confidencialidad, al fallo de la integridad de los sistemas y los datos, a la inadecuación o indisponibilidad de los sistemas y los datos o a la incapacidad de cambiar las TIC en un plazo y costes razonables, cuando cambian las necesidades del entorno o del negocio (es decir, la agilidad).Esto incluye los riesgos cibernéticos, así como los riesgos de seguridad de la información resultantes de procesos internos que fallen o no sean adecuados o de acontecimientos externos, incluidos los ataques cibernéticos o una seguridad física no adecuada”, el “Ataque cibernético” (“Cualquier tipo de intrusión informática que conlleve un intento ofensivo o malicioso de destruir, revelar, modificar, desactivar, robar, obtener un acceso no autorizado o hacer un uso no autorizado de un activo de información dirigida contra sistemas de TIC”, el “Incidente operativo o de seguridad” (“Situación particular o serie de situaciones relacionadas no planificadas que tengan o puedan tener un impacto negativo en la integridad, la disponibilidad y la confidencialidad de los sistemas y servicios de TIC”, la “Prueba de intrusión dirigida sobre amenaza (threat-led penetration testing en inglés)” (“Un intento controlado de comprometer la resistencia cibernética de una entidad simulando las tácticas, técnicas y procedimientos de los autores de las amenazas de la vida real. Se basa en inteligencia de amenazas dirigida y se centra en las personas, los procesos y la tecnología de una entidad, con un conocimiento previo y un impacto mínimos en las operaciones”.
El funcionamiento del sistema de gobernanza y seguridad de las TIC de las entidades aseguradoras según las Directrices de EIOPA
Algunos de estos últimos elementos funcionales operan a modo de características o propiedades funcionales del sistema y de los subsistemas que lo integran de tal manera que, cuando se dan en positivo el resultado es una seguridad de las TIC de las entidades aseguradoras estable, mientras que cuando desaparecen se generan incidentes de inseguridad inestables. Así, la ciberseguridad es una posición estable de un sistema de gobernanza y seguridad de las TIC de una entidades aseguradora o reaseguradora que mantiene sus propiedades de integridad, de confidencialidad o de disponibilidad mientras que los ciberataques se producen cuando el sistema de gobernanza y seguridad de las TIC pierde temporalmente una de sus propiedades porque carece de integridad, de confidencialidad o de disponibilidad.
Podemos explicar el funcionamiento de este sistema ordenando las Directrices de EIOPA en las categorías siguientes:
a) Directrices sobre el sistema de gobernanza de las TIC en general
a.1) En primer lugar cabe citar la Directriz 2 que trata de las “TIC dentro del sistema de gobernanza” y comienza diciendo que “el órgano de administración, de dirección o supervisión de la empresa (en lo sucesivo, “OADS”) deberá velar por que el sistema de gobernanza de las empresas, en especial el sistema de gestión de riesgos y control interno, gestione adecuadamente sus riesgos de TIC y seguridad”.
a.2) En segundo término este la Directriz 3 que trata de la “Estrategia de TIC” y comienza diciendo que “el OADS tendrá la responsabilidad general de establecer y aprobar la estrategia de TIC escrita de las empresas en el marco de su estrategia empresarial general y en consonancia con esta, así como de supervisar su comunicación y aplicación” estrategia de TIC que deberá definir, como mínimo, los aspectos enumerados por las propia Directriz.
b) Subsistema de gestión de riesgos de las TIC
Integrado por la Directriz 4 sobre “Riesgos de TIC y seguridad en el ámbito del sistema de gestión de riesgos” que dice que “el OADS tiene la responsabilidad general de establecer un sistema efectivo para gestionar los riesgos de TIC y seguridad como parte del sistema global de gestión de riesgos de la empresa. Esto incluye la determinación de la tolerancia a tales riesgos, de conformidad con la estrategia sobre riesgos de la empresa, así como un informe periódico escrito sobre el resultado del proceso de gestión de riesgos dirigido al OADS”.
c) Subsistema de seguridad de la información
c.1) El primer componente de este subsistema se integra mediante la Directriz 6, que, en referencia a la “Política y medidas de seguridad de la información” comienza diciendo que “las empresas deberán instaurar una política escrita de seguridad de la información aprobada por el OADS en la que se deberán definir los principios de alto nivel y las normas para proteger la confidencialidad, la integridad y la disponibilidad de la información de las empresas a fin de respaldar la aplicación de la estrategia de TIC” todo ello en aplicación de lo dispuesto en el artículo 271 del Reglamento Delegado (UE) 2015/35 de la Comisión, de 10 de octubre de 2014, por el que se completa la Directiva 2009/138/CE del Parlamento Europeo y del Consejo sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II) (DO L 12, 17.1.2015, p. 1 y ss.).
c.2) El segundo componente de este subsistema se integra mediante la Directriz 7 referida a la “Función de seguridad de la información” que comienza diciendo que “las empresas deberán establecer, dentro de su sistema de gobernanza y de acuerdo con el principio de proporcionalidad, una función de seguridad de la información, asignando las correspondientes responsabilidades a una persona específica”; que la empresa garantizará la independencia y objetividad de la función de seguridad de la información separándola de forma adecuada de los procesos de desarrollo y operaciones de TIC” y que “la función dependerá del OADS”. Extremos todos ellos particularmente relevantes en cuando al régimen de atribución de obligaciones y consiguiente imputación de responsabilidades en el caso de su eventual incumplimiento.
c.3) Entrando ya en los competentes técnicos de este subsistema de seguridad de la información, podemos referirnos a los dos siguientes:
c.3.1) El de la “seguridad lógica” al que se refiere la Directriz 8 que comienza diciendo que ”las empresas deberán definir, documentar e instaurar procedimientos para el control del acceso lógico o la seguridad lógica (gestión de la identidad y los accesos) en consonancia con los requisitos de protección establecidos en la Directriz 4. Dichos procedimientos se deberán instaurar, aplicar, supervisar y revisar periódicamente y, además, habrán de incluir controles para la supervisión de irregularidades«. Estos procedimientos deberán, como mínimo, aplicar los elementos que detalla la propia Directriz.
c.3.2) El de la “seguridad física” que se establece en la Directriz 9 que comienza diciendo que “las medidas de seguridad física de las empresas (p. ej., protección contra interrupciones del suministro eléctrico, incendios, inundaciones y accesos físicos no autorizados) se deberán definir, documentar y aplicar para proteger sus instalaciones, centros de datos y áreas sensibles contra el acceso no autorizado y los peligros ambientales”.
d) Subsistema de la seguridad en la gestión de operaciones de TIC
d.1) El primer componente de este subsistema reside en la propia definición de la “seguridad de las operaciones de TIC” que establece la Directriz 10 cuando dice que “las empresas deberán instaurar procedimientos para garantizar la confidencialidad, la integridad y la disponibilidad de los sistemas y servicios de TIC a fin de minimizar en consecuencia el impacto de los problemas de seguridad en la prestación de servicios de TIC”. Estos procedimientos deberán incluir en su caso las medidas detalladas en la propia Directriz.
d.2) El segundo componente de este subsistema se integra por la “Gestión de las operaciones de TIC” que expone la Directriz 14 cuando comienza diciendo que “las empresas deberán gestionar sus operaciones de TIC con arreglo a su estrategia al respecto. En los documentos correspondientes se deberá definir cómo operan, supervisan y controlan las empresas los sistemas y los servicios de TIC, incluida la documentación de los procesos, los procedimientos y las operaciones esenciales”.
d.3) El tercer componente de este subsistema se integra por la “Gestión de incidentes y problemas de TIC” que regula la Directriz 15 que comienza diciendo que “las empresas deberán establecer y aplicar un proceso de gestión de incidentes y problemas para realizar un seguimiento y registrar los incidentes operativos o de seguridad y permitirles continuar o restablecer sus funciones y procesos esenciales si se producen interrupciones”.
d.4) El cuarto componente de este subsistema lo integra la “Gestión de proyectos de TIC” que la Directriz 16 regula diciendo: “51. Las empresas deberán instaurar una metodología de proyectos de TIC (incluidas las consideraciones de requisitos de seguridad independientes) con un proceso de gobernanza y un liderazgo de aplicación de los proyectos adecuados para apoyar efectivamente la instauración de la estrategia de TIC mediante los proyectos en la materia. 53. Las empresas deberán realizar un seguimiento apropiado y mitigar los riesgos derivados de la cartera de proyectos de TIC, considerando también los riesgos que puedan resultar de las interdependencias entre proyectos distintos y de las dependencias de varios proyectos de los mismos recursos o conocimientos técnicos”.
d.5) Podemos incluir en este subsistema la “Adquisición y desarrollo de sistemas de TIC” que desarrolla la Directriz 17” que comienza diciendo que “las empresas deberán desarrollar e instaurar un proceso que regule la adquisición, el desarrollo y el mantenimiento de sistemas de TIC a fin de asegurarse de que la confidencialidad, la integridad y la disponibilidad de los datos tratados se protegen exhaustivamente y de que se cumplen los requisitos de protección definidos. Este proceso deberá diseñarse según un enfoque basado en el riesgo”.
d.6) El subsistema de la seguridad en la gestión de operaciones de TIC se cierra con la Directriz 18 que se refiere a la “Gestión de cambios de TIC” y que empieza diciendo que “las empresas deberán establecer y aplicar un proceso de gestión de cambios de TIC para garantizar que todos los cambios en los sistemas de TIC se registren, evalúen, prueben, aprueben, autoricen y apliquen de forma controlada. Los cambios de TIC durante situaciones de urgencia o emergencia deberán ser rastreables y notificarse al propietario del activo pertinente para su análisis a posteriori”.
e) Subsistema de la continuidad del negocio
e.1) El primer componente de este subsistema reside en la propia definición de la “Gestión de la continuidad del negocio” que desarrolla la Directriz 19 que comienza diciendo: “En el ámbito de la política global de continuidad del negocio de las empresas, el OADS tendrá la responsabilidad general de establecer y aprobar su política de continuidad de TIC. La política de continuidad de TIC deberá comunicarse adecuadamente en el seno de las empresas y aplicarse a todo el personal pertinente y, en su caso, a los proveedores de servicios”.
e.2) El segundo componente de este subsistema reside en el “Análisis de impacto en el negocio” que desarrolla la Directriz 20 que empieza diciendo: “En el marco de una sólida gestión de la continuidad del negocio, las empresas deberán llevar a cabo un análisis de impacto en el negocio para evaluar su exposición a perturbaciones en el negocio graves y su posible repercusión, cuantitativa y cualitativa, utilizando datos internos o externos y análisis de escenarios. En el análisis de impacto en el negocio se deberá considerar asimismo la importancia de los procesos y actividades comerciales y de las funciones, los roles y los activos de negocio identificados y clasificados (p. ej., los activos de información y los activos de TIC), así como sus interdependencias, de conformidad con la Directriz 4”.
e.3) Este subsistema se completa con la “Planificación de la continuidad del negocio” que desarrolla la Directriz 21 que comienza diciendo que “en los planes globales de continuidad del negocio de las empresas se deberán considerar los riesgos materiales que podrían afectar negativamente a los sistemas y los servicios de TIC. En los planes se deberán apoyar los objetivos que hay que proteger y, si es necesario, restablecer la confidencialidad, la integridad y la disponibilidad de los procesos y las actividades del negocio de las empresas, así como de las funciones, los roles y los activos de negocio (p. ej., los activos de información y los activos de TIC). Las empresas deberán coordinarse con las partes interesadas relevantes internas y externas, según corresponda, durante el establecimiento de estos planes”.
f) Subsistema de la supervisión
f.1) El primer componente de este subsistema reside en la propia definición del subsistema de “Supervisión de la seguridad” que la Directriz 11 establece diciendo que “las empresas deberán establecer e instaurar procedimientos y procesos para supervisar continuamente las actividades que inciden en la seguridad de su información”. La supervisión abarcará como mínimo los elementos detallados en la propia Directriz.
f.2) Entrando en los elementos técnicos que integran este subsistema encontramos los siguientes:
f.2.1) El de la Auditoría que regula la Directriz 5 diciendo: “La gobernanza, los sistemas y los procesos de las empresas para sus riesgos de TIC y seguridad deberán ser auditados de manera periódica y en consonancia con su correspondiente plan de auditoría11 por unos auditores dotados de unos conocimientos, unas competencias y una experiencia suficientes en riesgos de TIC y seguridad, a fin de garantizar de manera independiente su eficacia al OADS. La frecuencia y el objeto de estas auditorías deberán ser adecuados a los riesgos de TIC y seguridad pertinentes”.
f.2.2) El de las Revisiones, evaluaciones y pruebas de la seguridad de la información que desarrolla la Directriz 12 que comienza diciendo: “Las empresas deberán realizar diversas revisiones, evaluaciones y pruebas de la seguridad de la información para garantizar la identificación eficaz de las vulnerabilidades en sus sistemas y servicios de TIC. Por ejemplo, las empresas podrán realizar análisis de deficiencias respecto de los estándares de seguridad de la información, revisiones del cumplimiento, auditorías internas y externas de los sistemas de información o revisiones de la seguridad física”.
f.2.3) El de la Formación y sensibilización sobre seguridad de la información que desarrolla la Directriz 13 que comienza diciendo: “Las empresas deberán instaurar programas de formación sobre seguridad de la información para todo el personal, incluido el OADS, a fin de garantizar que reciben la formación necesaria para cumplir con sus obligaciones y responsabilidades y reducir los errores humanos, los robos, el fraude, los usos indebidos y las pérdidas. Las empresas deberán asegurarse de que el programa de formación se imparte a todo el personal de manera periódica”.
f.2.4) El de los Planes de respuesta y recuperación que desarrolla la Directriz 22 que comienza diciendo: “ Sobre la base del análisis de impacto en el negocio y escenarios recomendables, las empresas deberán elaborar planes de respuesta y recuperación. Estos planes deberán especificar qué condiciones pueden requerir su activación y qué acciones habrán de adoptarse para garantizar la integridad, disponibilidad, continuidad y la recuperación de, al menos, los sistemas, servicios y datos esenciales de las empresas. Los planes de respuesta y recuperación deberán tener como objetivo cumplir los objetivos de recuperación de las operaciones de las empresas”.
f.2.5) El de las Pruebas de los planes que desarrolla la Directriz 23 que comienza diciendo: “Las empresas deberán someter a pruebas sus planes de continuidad del negocio y asegurarse de que la operación de sus procesos y actividades de negocio críticos y de sus funciones, roles y activos de negocio esenciales (p. ej., los activos de información), así como de sus activos de TIC y sus interdependencias (incluidos los proporcionados por proveedores de servicios) se prueban periódicamente en función de su perfil de riesgo”.
f.3) Este subsistema de la supervisión se completa con las Comunicaciones de crisis en la Directriz 24 que señala: “En el caso de que ocurra una interrupción o una emergencia y durante la implantación de los planes de continuidad del negocio, las empresas garantizarán que disponen de medidas eficaces de comunicación de crisis que permitan que todas las partes implicadas, incluidas las autoridades de supervisión pertinentes, cuando así lo requiera la normativa nacional, así como los proveedores de servicios pertinentes, sean informados de manera oportuna y adecuada”.
g) La externalización de los servicios y los sistemas de TIC
El funcionamiento del sistema de gobernanza y seguridad de las TIC de las entidades aseguradoras se completa con la Directriz 25 que desarrolla los requisitos técnicos de la “externalización de los servicios y los sistemas de TIC” que es tan frecuente e importante en todo al ámbito financiero y, en particular, en el caso de las entidades aseguradoras y reaseguradoras. Así, la Directriz 25 establece los dos requisitos técnicos siguientes:
g.1) Retención de la responsabilidad última por la empresa de seguros porque “sin perjuicio de las Directrices de la AESPJ sobre la externalización a proveedores de servicios en la nube, las empresas deberán asegurarse de que, si se externalizan servicios y sistemas de TIC, se cumplen los requisitos pertinentes para el servicio o el sistema en cuestión”. Abunda en este requisito la Directriz cuando dispone: “Las empresas deberán controlar y obtener garantías del nivel de cumplimiento de los objetivos de seguridad, las medidas y los objetivos de rendimiento por parte de los proveedores de servicios”
g.2) Garantía de unas obligaciones contractuales mínimas del proveedor de servicios porque “en caso de externalización de funciones importantes o esenciales, las empresas deberán velar por que las obligaciones contractuales del proveedor de servicios (p. ej., contrato, acuerdos de nivel de servicio, disposiciones de rescisión en los contratos pertinentes) incluyan” los deberes establecidos en la propia Directriz.