En una época en la que las amenazas digitales están creciendo rápidamente, comprender las regulaciones de seguridad cibernética y seguridad de la información es esencial para las instituciones financieras no bancarias (NFI) en la Unión Europea (UE). Estas instituciones manejan diariamente grandes cantidades de información confidencial de los clientes, lo que hace que el cumplimiento de las regulaciones no solo sea necesario, sino crítico. Este cumplimiento ayuda a mantener la confianza del cliente y protege la integridad general del sistema financiero.
En esta entrada del blog se desglosarán las principales normativas de la UE que rigen la ciberseguridad y la seguridad de la información para los IFN, centrándose específicamente en cómo estas leyes abordan los riesgos de terceros. Al comprender estas regulaciones, las IFN pueden reforzar sus medidas de seguridad y gestionar las relaciones con proveedores externos de manera más eficaz.
El panorama regulatorio de la UE
La UE ha elaborado un marco detallado de reglamentos y directivas destinados a mejorar la ciberseguridad y la seguridad de la información en todos los sectores, incluidos los servicios financieros no bancarios. Las regulaciones clave incluyen:
General Data Protection Regulation (GDPR)
El GDPR, que entró en vigor en mayo de 2018, sirve como una ley fundamental para la protección de datos en la UE. Hace hincapié en la protección de los datos personales y exige un cumplimiento estricto por parte de las organizaciones, incluidas las IFN.
Un componente importante es el Artículo 28, que trata de las responsabilidades de los procesadores de datos, es decir, los terceros que manejan datos personales en nombre de una IFN. Por ejemplo, si una IFN subcontrata servicios de marketing, debe contar con un acuerdo de procesamiento de datos que garantice que el tercero implemente las medidas de seguridad adecuadas. Esto no solo minimiza los riesgos de violaciones de datos, sino que también protege la valiosa información de los clientes.
Directiva sobre redes y sistemas de información (Directiva SRI)
La Directiva SRI, establecida en 2016, tiene como objetivo mejorar la ciberseguridad en toda la UE. Se aplica principalmente a los operadores de servicios esenciales y a los proveedores de servicios digitales, aunque anima a todos los sectores, incluidos los ENF, a adoptar las mejores prácticas de seguridad.
De acuerdo con la Directiva SRI, las instituciones deben contar con medidas de seguridad adecuadas. Por ejemplo, una IFN que trabaja con proveedores de servicios en la nube debe evaluar sus protocolos de ciberseguridad. Las consecuencias de una violación de terceros pueden ser nefastas, especialmente si comprometen datos financieros confidenciales.
Directiva de Servicios de Pago 2 (PSD2)
La PSD2 es crucial para regular los servicios de pago dentro de la UE. Su objetivo es apoyar la banca abierta al tiempo que garantiza procesos de transacción seguros. Esta ley hace hincapié en la necesidad de una autenticación sólida de los clientes y la protección de los datos financieros sensibles.
En el caso de las IFN, esto significa prestar mucha atención a los proveedores de servicios externos, como los procesadores de pagos. Si un proveedor no cumple con los estándares de seguridad establecidos por la PSD2, podría poner en peligro la integridad de la seguridad de la institución. De hecho, según estadísticas recientes, alrededor del 40% de las violaciones de datos en los servicios financieros provienen de proveedores externos, lo que subraya la importancia del cumplimiento.
Reglamento eIDAS
El Reglamento sobre la identificación electrónica, la autenticación y los servicios de confianza (eIDAS) establece normas para la identificación electrónica y los servicios de confianza. Para las IFN, es vital garantizar que todos los socios externos que participen en la verificación de la identidad o las firmas digitales se adhieran a los estándares eIDAS.
Verificar que los proveedores de servicios de terceros cumplan con eIDAS puede reducir significativamente los riesgos asociados con el fraude de identidad. En 2022, los casos de fraude en la UE aumentaron un 30%, lo que pone de manifiesto la creciente necesidad de procesos de identificación seguros.
Estas Regulaciones Abordan el Riesgo de Terceros
Reconociendo la importancia del riesgo de terceros en la seguridad de la información, varias regulaciones ofrecen más orientación para los NFI:
Agencia de la Unión Europea para la Ciberseguridad (ENISA)
ENISA es la principal agencia de ciberseguridad de la UE. Ofrece directrices inestimables y mejores prácticas, especialmente en la gestión de las relaciones con terceros. Las IFN pueden utilizar los recursos de ENISA para aclarar sus funciones en la protección del acceso de terceros a sus sistemas y datos sensibles.
Reglamento de Requisitos de Capital (RRC) y Directiva de Requisitos de Capital (DRC)
Si bien están dirigidos principalmente a las entidades bancarias, el RRC y la DRC también tienen implicaciones para las IFN, especialmente en lo que respecta a la estabilidad de los mercados financieros. Estas regulaciones ponen de manifiesto la necesidad de estar atentos cuando se subcontrata a proveedores de servicios, en particular a aquellos que manejan datos sensibles.
Las IFN deben implementar un marco sólido para evaluar e incorporar a los proveedores de servicios. Este marco debe adaptarse para tener en cuenta los diversos riesgos destacados en estos reglamentos, garantizando un enfoque global de la gestión de riesgos.
Estrategias para el cumplimiento
Para navegar con éxito por el intrincado panorama de las regulaciones de ciberseguridad de la UE en relación con el riesgo de terceros, las instituciones financieras no bancarias deben adoptar las siguientes estrategias:
Desarrollar un programa integral de gestión de riesgos de proveedores
La creación de un programa de gestión de riesgos de proveedores es esencial para las IFN. Este programa debe incluir procesos exhaustivos de diligencia debida que evalúen las prácticas de seguridad cibernética de un tercero y su cumplimiento con las regulaciones pertinentes. Por ejemplo, la realización de auditorías sobre posibles proveedores puede ayudar a identificar las debilidades antes de celebrar contratos.
Establecer contratos claros
Es crucial establecer contratos claros con proveedores externos. Estos contratos deben especificar las responsabilidades de cada parte con respecto a la protección de datos y los protocolos de seguridad. Además, deben describir claramente las repercusiones del incumplimiento o las violaciones de datos. Un contrato bien definido ayuda a garantizar la responsabilidad en la relación con el proveedor.
Supervisar y auditar regularmente a terceros
Las instituciones deben monitorear y auditar regularmente a sus proveedores externos para confirmar el cumplimiento de las medidas de seguridad establecidas. Esta estrategia proactiva permite a las IFN detectar posibles vulnerabilidades de forma temprana y tomar medidas preventivas, reduciendo así el riesgo de que se produzcan infracciones.
Reflexiones finales sobre cómo navegar por el cumplimiento
Comprender las normas de ciberseguridad y seguridad de la información de la UE es esencial para las instituciones financieras no bancarias. Dado que estas instituciones a menudo dependen de servicios de terceros, es fundamental comprender y cumplir con regulaciones como GDPR, Directiva NIS, PSD2 y eIDAS.
Un enfoque proactivo para gestionar los riesgos de terceros no solo mejorará el cumplimiento, sino que también mejorará la postura general de ciberseguridad de la NFI. Este esfuerzo protege la información confidencial al tiempo que contribuye a la resiliencia de todo el ecosistema financiero.
A medida que las instituciones financieras no bancarias continúan adaptándose en un panorama cada vez más digital, mantenerse informadas sobre los requisitos regulatorios y gestionar eficazmente los riesgos será crucial para su éxito y seguridad a largo plazo.