Volver

La ciberresiliencia

Los ciberriesgos son una de las principales amenazas para la continuidad operativa de los sistemas de pago y de las infraestructuras financieras en general. Por ello, el Consejo de Gobierno del Banco Central Europeo (BCE) ha definido una estrategia de ciberresiliencia del Eurosistema para las infraestructuras financieras con el objetivo de contribuir a fortalecer la ciberresiliencia del sector financiero de la UE en su conjunto. La estrategia está basada en tres pilares: preparación a título individual de cada entidad (Pilar 1); preparación a nivel sectorial (Pilar 2) y colaboración estratégica (Pilar 3). La estrategia original fue actualizada en marzo de 2024.

Para la implementación de la estrategia se utilizan distintos instrumentos que contribuyen a los objetivos específicos de cada pilar y aseguran un enfoque armonizado. Así, para evaluar la preparación individual, descrita en el Pilar 1, se utilizan encuestas de ciberresiliencia, se evalúa el cumplimiento con las expectativas de ciberresiliencia del Eurosistema (CROE)Abre en nueva ventana y se aplica el marco TIBER-EU para la realización de pruebas de red teamingAbre en nueva ventana, que localmente se ha materializado en el marco TIBER-ES. Para contribuir al segundo pilar, la resiliencia sectorial, se analizan las interconexiones en el ecosistema para, entre otros aspectos, identificar proveedores terceros críticos. También se promueve la colaboración de las autoridades a nivel internacional mediante ejercicios de crisis y continuidad operativa sectorial a nivel internacional. Por último, para contribuir al diálogo estratégico contemplado en el Pilar 3 se ha creado el Euro Cyber Resilience Board for pan-European Financial Infrastructures (ECRB)Abre en nueva ventana.

Adicionalmente, a nivel normativo, existen diversas disposiciones de ámbito nacional y europeo que incluyen entre sus objetivos específicos reforzar la ciberresiliencia del sector financiero. Entre ellas, cabría citar el reglamento SIPSAbre en nueva ventana, aplicable a los sistemas de pago considerados de importancia sistémica, y el Reglamento DORAAbre en nueva ventana, de aplicación a entidades financieras, depositarios centrales de valores y entidades de contrapartida central, entre otros. En el ámbito nacional, el artículo 4 del Real Decreto-ley 8/2023Abre en nueva ventana extiende la aplicación de una parte de DORA a los sistemas de pago y otros actores relevantes en la cadena de pago, y asigna al Banco de España su supervisión.