Legislación

Reglamento de Ejecución (UE) 2025/302 de la Comisión, de 23 de octubre de 2024, por el que se establecen normas técnicas de ejecución para la aplicación del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a los formularios, las plantillas y los procedimientos normalizados que deberán aplicar las entidades financieras para informar de un incidente grave relacionado con las TIC y para notificar una ciberamenaza importante, - Diario Oficial de la Unión Europea, de 20-02-2025

nuevo

GPT Iberley IA

Copiloto jurídico

Ambito: DOUE

Órgano emisor: COMISIÓN EUROPEA

Boletín: Diario Oficial de la Unión Europea Número 302

F. Publicación: 20/02/2025

Documento oficial en PDF: Enlace

Esta norma es una reproducción del texto publicado en el Diario Oficial de la Unión Europea Número 302 de 20/02/2025 y no contiene posibles reformas posteriores

REGLAMENTO DE EJECUCIÓN (UE) 2025/302 DE LA COMISIÓN

de 23 de octubre de 2024

por el que se establecen normas técnicas de ejecución para la aplicación del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a los formularios, las plantillas y los procedimientos normalizados que deberán aplicar las entidades financieras para informar de un incidente grave relacionado con las TIC y para notificar una ciberamenaza importante

(Texto pertinente a efectos del EEE)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011 (1), y en particular su artículo 20, párrafo cuarto,

Considerando lo siguiente:

(1) A fin de garantizar que las entidades financieras notifiquen los incidentes graves a sus autoridades competentes de manera coherente y de que faciliten a dichas autoridades datos de buena calidad, debe especificarse qué campos de datos deben proporcionar las entidades financieras en las distintas fases de la elaboración de informes a que se refiere el artículo 19, apartado 4, del Reglamento (UE) 2022/2554. Es importante que esta información se presente de manera que permita tener una visión general única del incidente. Por lo tanto, es necesario establecer una plantilla única de notificación a tal efecto.

(2) Las entidades financieras deben cumplimentar los campos de datos de la plantilla de notificación que correspondan a los requisitos de información de la notificación o informe correspondiente. No obstante, las entidades financieras que ya dispongan de información que deban facilitar en una fase posterior, es decir, en los informes intermedio o final, deben poder anticipar la presentación de los datos.

(3) Dado que los incidentes múltiples o recurrentes pueden constituir un incidente grave, tal como se contempla en el artículo 8 del Reglamento Delegado (UE) 2024/1772 de la Comisión (2), el diseño de la plantilla de notificación y de los campos de datos debe permitir a las entidades financieras notificar dichos incidentes recurrentes.

(4) Para garantizar que la información sea exacta y esté actualizada, la plantilla de notificación debe permitir a las entidades financieras, al presentar los informes intermedio y final, actualizar cualquier información presentada previamente y, en caso necesario, reclasificar los incidentes graves como no graves.

(5) La identificación jurídica de las entidades debe ajustarse a los identificadores especificados en las normas técnicas de ejecución adoptadas de conformidad con el artículo 28, apartado 9, del Reglamento (UE) 2022/2554.

(6) Cuando las entidades financieras subcontraten las obligaciones de notificación de incidentes graves relacionados con las TIC a un tercero, las autoridades competentes deberán conocer la identidad del tercero que notifica la información en nombre de la entidad financiera antes de la presentación de la primera notificación, a fin de verificar la legitimidad de dicho tercero.

(7) Para determinar fácilmente las repercusiones de un incidente que se haya producido en un proveedor tercero o que haya sido causado por él, y que afecte a varias entidades financieras dentro de un único Estado miembro, y a fin de reducir el esfuerzo de notificación de las entidades financieras, la plantilla de notificación debe permitir la presentación de un informe agregado que abarque información agregada sobre las repercusiones del incidente en todas las entidades financieras afectadas que hayan clasificado el incidente como grave.

(8) La plantilla de notificación debe diseñarse de manera tecnológicamente neutra para permitir su implantación en diversas soluciones de notificación de incidentes que ya existan o que puedan desarrollarse para la aplicación de los requisitos del Reglamento (UE) 2022/2554.

(9) El diseño de la plantilla de notificación y de los campos de datos debe facilitar la notificación de incidentes graves relacionados con las TIC por parte de terceros a los que las entidades financieras hayan externalizado su obligación de notificación de conformidad con el artículo 19, apartado 5, del Reglamento (UE) 2022/2554.

(10) El presente Reglamento se basa en los proyectos de normas técnicas de ejecución presentados por las Autoridades Europeas de Supervisión a la Comisión.

(11) Las Autoridades Europeas de Supervisión han llevado a cabo consultas públicas abiertas sobre los proyectos de normas técnicas de ejecución en que se basa el presente Reglamento, han analizado los costes y beneficios potenciales conexos y han recabado el asesoramiento del Grupo de Partes Interesadas del Sector Bancario, establecido de conformidad con el artículo 37 de los Reglamentos (UE) n.º 1093/2010 (3), (UE) n.º 1094/2010 (4) y (UE) n.º 1095/2010 (5) del Parlamento Europeo y del Consejo.

(12) El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (6), emitió su dictamen positivo el 22 de julio de 2024. Todo tratamiento de datos personales en el ámbito de aplicación del presente Reglamento debe llevarse a cabo de conformidad con los principios y disposiciones aplicables en materia de protección de datos establecidos en el Reglamento (UE) 2018/1725.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Plantilla para la notificación de incidentes graves relacionados con las TIC

1. Las entidades financieras utilizarán la plantilla establecida en el anexo I para presentar la notificación inicial, el informe intermedio y el informe final a que se refiere el artículo 19, apartado 4, del Reglamento (UE) 2022/2554, como sigue:

a) las entidades financieras que presenten una notificación inicial cumplimentarán los campos de datos de la plantilla que correspondan a la información que debe facilitarse de conformidad con el artículo 2 del Reglamento Delegado (UE) 2025/301 (7) y podrán cumplimentar, cuando ya dispongan de esa información, los campos de datos cuya cumplimentación no sea necesaria para la notificación inicial, pero sí para el informe intermedio o final;

b) las entidades financieras que presenten un informe intermedio cumplimentarán los campos de datos de la plantilla que correspondan a la información que debe facilitarse de conformidad con el artículo 3 del Reglamento Delegado (UE) 2025/301 y podrán cumplimentar, cuando ya dispongan de la información pertinente, los campos de datos cuya cumplimentación no sea necesaria para el informe intermedio, pero sí para el informe final;

c) las entidades financieras que presenten un informe final cumplimentarán los campos de datos de la plantilla que correspondan a la información que debe facilitarse de conformidad con el artículo 4 del Reglamento Delegado (UE) 2025/301.

2. Las entidades financieras velarán por que la información contenida en la notificación inicial, así como en los informes intermedio y final, esté completa y sea exacta.

3. Las entidades financieras facilitarán valores estimados basados en otros datos e información disponibles, en la medida de lo posible, cuando no se disponga de datos exactos en el momento de presentar la notificación inicial o el informe intermedio.

4. Al presentar un informe intermedio o final, las entidades financieras utilizarán la plantilla que figura en el anexo I para presentar toda la información requerida y actualizar, en su caso, la información facilitada previamente en la notificación inicial o en el informe intermedio.

5. Las entidades financieras seguirán el glosario de datos y las instrucciones que figuran en el anexo II al cumplimentar la plantilla incluida en el anexo I.

Artículo 2

Presentación conjunta de la notificación inicial y los informes intermedio y final

Las entidades financieras podrán combinar la presentación de la notificación inicial, el informe intermedio y el informe final para facilitar al mismo tiempo dos de ellos o todos, cuando se hayan recuperado las actividades regulares o se haya finalizado el análisis de las causas subyacentes y siempre que se cumplan los plazos establecidos en el artículo 5 del Reglamento Delegado (UE) 2025/301.

Artículo 3

Incidentes relacionados con las TIC recurrentes

Las entidades financieras que faciliten información sobre incidentes no graves relacionados con las TIC recurrentes que cumplan acumulativamente las condiciones para un incidente grave relacionado con las TIC establecidas en el artículo 8, apartado 2, del Reglamento Delegado (UE) 2024/1772 facilitarán dicha información de forma agregada.

Artículo 4

Uso de canales electrónicos seguros

1. Las entidades financieras utilizarán los canales electrónicos seguros puestos a disposición por su autoridad competente para presentar la notificación inicial y los informes intermedio y final.

2. Las entidades financieras que no puedan utilizar los canales electrónicos seguros puestos a disposición por su autoridad competente informarán a esta sobre un incidente grave relacionado con las TIC por otros medios seguros, de acuerdo con la autoridad competente. Si así lo exige dicha autoridad, las entidades financieras volverán a presentar la notificación inicial, o el informe intermedio o final, a través del canal electrónico seguro puesto a disposición una vez que puedan hacerlo.

Artículo 5

Reclasificación de incidentes graves relacionados con las TIC

Cuando, tras una nueva evaluación, la entidad financiera concluya que el incidente relacionado con las TIC notificado previamente como grave no cumplía en ningún momento los criterios y umbrales de clasificación establecidos en el artículo 8 del Reglamento Delegado (UE) 2024/1772, notificará a la autoridad competente que ha reclasificado el incidente relacionado con las TIC de grave a no grave facilitando la información sobre dicha reclasificación en la plantilla que figura en el anexo II del presente Reglamento en relación con los campos «tipo de informe» y «otra información».

Artículo 6

Notificación de la externalización de las obligaciones de notificación

1. Las entidades financieras que hayan externalizado la obligación de notificar incidentes graves relacionados con las TIC de conformidad con el artículo 19, apartado 5, del Reglamento (UE) 2022/2554 informarán a su autoridad competente de dicho acuerdo de externalización tan pronto como se haya celebrado este y, a más tardar, antes de la primera notificación o informe.

2. Las entidades financieras facilitarán a la autoridad competente el nombre, los datos de contacto y el código de identificación del tercero que vaya a presentar las notificaciones de incidentes graves relacionados con las TIC o los informes correspondientes.

3. Las entidades financieras informarán a su autoridad competente tan pronto como dejen de externalizar sus obligaciones de notificación a que se refiere el artículo 19, apartado 5, del Reglamento (UE) 2022/2554.

Artículo 7

Notificación agregada

1. Un proveedor tercero de servicios al que se hayan externalizado las obligaciones de notificación a que se refiere el artículo 19, apartado 5, del Reglamento (UE) 2022/2554 podrá utilizar la plantilla que figura en el anexo I del presente Reglamento para proporcionar información agregada sobre un incidente grave relacionado con las TIC que afecte a varias entidades financieras en una única notificación o informe, y presentar dicha notificación o informe a la autoridad competente en nombre de todas las entidades financieras afectadas, siempre que se cumplan todas las condiciones siguientes:

a) que el incidente grave relacionado con las TIC que deba notificarse tenga su origen en un proveedor tercero de servicios de TIC o esté causado por este;

b) que el proveedor tercero de servicios preste el servicio de TIC pertinente a más de una entidad financiera o a un grupo;

c) que el incidente relacionado con las TIC esté clasificado como grave por todas las entidades financieras incluidas en la notificación o informe agregado;

d) que el incidente grave relacionado con las TIC afecte a entidades financieras de un único Estado miembro y el informe agregado se refiera a entidades financieras supervisadas por la misma autoridad competente;

e) que las autoridades competentes hayan permitido explícitamente a este tipo de entidades financieras agregar su notificación.

2. El apartado 1 no se aplicará a las entidades de crédito que se consideren de importancia significativa según el artículo 2, punto 16, del Reglamento (UE) n.º 468/2014 del Banco Central Europeo (8), a los gestores de centros de negociación ni a las entidades de contrapartida central, que solo utilizarán la plantilla del anexo I para presentar notificaciones o informes de incidentes graves relacionados con las TIC individualmente a su autoridad competente.

3. Cuando las autoridades competentes exijan información sobre las repercusiones específicas del incidente grave relacionado con las TIC en una única entidad financiera, a petición de la autoridad competente, la entidad financiera presentará una notificación o un informe individual sobre el incidente grave relacionado con las TIC.

Artículo 8

Notificación de ciberamenazas importantes

1. Las entidades financieras que notifiquen ciberamenazas importantes a las autoridades competentes de conformidad con el artículo 19, apartado 2, del Reglamento (UE) 2022/2554 utilizarán la plantilla que figura en el anexo III del presente Reglamento y seguirán el glosario de datos y las instrucciones que figuran en el anexo IV del presente Reglamento.

2. Las entidades financieras velarán por que la información contenida en la notificación de ciberamenazas importantes esté completa y sea exacta.

Artículo 9

Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 23 de octubre de 2024.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

________________________________________

(1) DO L 333 de 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

(2) Reglamento Delegado (UE) 2024/1772 de la Comisión, de 13 de marzo de 2024, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo mediante normas técnicas de regulación que especifican los criterios para la clasificación de los incidentes relacionados con las TIC y las ciberamenazas, establecen umbrales de importancia relativa y especifican la información detallada de las notificaciones de incidentes graves (DO L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj).

(3) Reglamento (UE) n.º 1093/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Bancaria Europea), se modifica la Decisión n.º 716/2009/CE y se deroga la Decisión 2009/78/CE de la Comisión (DO L 331 de 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).

(4) Reglamento (UE) n.º 1094/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Seguros y Pensiones de Jubilación), se modifica la Decisión n.º 716/2009/CE y se deroga la Decisión 2009/79/CE de la Comisión (DO L 331 de 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).

(5) Reglamento (UE) n.º 1095/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Valores y Mercados), se modifica la Decisión n.º 716/2009/CE y se deroga la Decisión 2009/77/CE de la Comisión (DO L 331 de 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(6) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(7) Reglamento Delegado (UE) 2025/301 de la Comisión de 23 de octubre de 2024, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican el contenido y los plazos para la notificación inicial y los informes intermedio y final sobre incidentes graves relacionados con las TIC, así como el contenido de la notificación voluntaria de ciberamenazas importantes. (DO L, 2025/301, 20.2.2025, ELI: http://data.europa.eu/eli/reg_del/2025/301/oj).

(8) Reglamento (UE) n.º 468/2014 del Banco Central Europeo, de 16 de abril de 2014, por el que se establece el marco de cooperación en el Mecanismo Único de Supervisión entre el Banco Central Europeo y las autoridades nacionales competentes y con las autoridades nacionales designadas (Reglamento Marco del MUS) (BCE/2014/17) (DO L 141 de 14.5.2014, p. 1, ELI: http://data.europa.eu/eli/reg/2014/468/oj).

(ANEXOS OMITIDOS. Consultar en documento PDF de publicación)