EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 53, apartado 1, y su artículo 114,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Banco Central Europeo (1),
Visto el dictamen del Comité Económico y Social Europeo (2),
De conformidad con el procedimiento legislativo ordinario (3),
Considerando lo siguiente:
(1) |
La Unión debe afrontar adecuada y exhaustivamente los riesgos digitales que se derivan para todas las entidades financieras de un mayor uso de las tecnologías de la información y la comunicación (TIC) en la prestación y el consumo de servicios financieros, contribuyendo así a la materialización del potencial de las finanzas digitales, desde el punto de vista del impulso de la innovación y el fomento de la competencia en un entorno digital seguro. |
(2) |
Las entidades financieras dependen en gran medida del uso de las tecnologías digitales en sus actividades cotidianas. Es de suma importancia garantizar la resiliencia operativa de sus operaciones digitales frente al riesgo relacionado con las TIC. Esta necesidad se ha vuelto aún más acuciante con el crecimiento en el mercado de las tecnologías de vanguardia, en particular las tecnologías que permiten transferir y almacenar electrónicamente representaciones digitales de valor o derechos utilizando tecnología de registro descentralizado o tecnologías similares («criptoactivos»), así como de los servicios relacionados con dichos activos. |
(3) |
A nivel de la Unión, los requisitos relacionados con la gestión de los riesgos que plantean las TIC para el sector financiero se encuentran actualmente establecidos en las Directivas 2009/65/CE (4), 2009/138/CE (5), 2011/61/UE (6), 2013/36/UE (7), 2014/59/UE (8), 2014/65/UE (9), (UE) 2015/2366 (10) y (UE) 2016/2341 (11) del Parlamento Europeo y del Consejo. Dichos requisitos son diversos y, en ocasiones, están incompletos. En algunos casos, el riesgo relacionado con las TIC solo se ha abordado implícitamente dentro del riesgo operativo, y en otros casos no se ha abordado en absoluto. Esos problemas deben subsanarse mediante la adopción del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (12). Por tanto, dichas Directivas deben modificarse para garantizar la coherencia con dicho Reglamento. La presente Directiva adopta una serie de modificaciones que son necesarias para aportar claridad jurídica y coherencia en relación con la aplicación, por parte de las entidades financieras autorizadas y supervisadas de conformidad con dichas Directivas, de diversos requisitos de resiliencia operativa digital que son indispensables en el ejercicio de sus actividades y en la prestación de servicios, garantizando así el buen funcionamiento del mercado interior. Es necesario garantizar la adecuación de dichos requisitos con relación a la evolución del mercado, y al mismo tiempo fomentar la proporcionalidad, en particular por lo que respecta al tamaño de las entidades financieras y a los regímenes específicos a los que están sujetas, con el fin de reducir los costes de conformidad. |
(4) |
En el ámbito de los servicios bancarios, la Directiva 2013/36/UE solo establece actualmente normas generales de gobernanza interna y disposiciones sobre el riesgo operativo que requieren la elaboración de planes de emergencia y de continuidad de la actividad que sirven implícitamente de base para afrontar los riesgos relacionados con las TIC. No obstante, para afrontar los riesgos relacionados con las TIC de forma explícita y clara, deben modificarse los requisitos en materia de planes de emergencia y de continuidad de la actividad para incluir también planes de continuidad de las actividades y planes de respuesta y recuperación referidos al riesgo relacionado con las TIC, de conformidad con los requisitos establecidos en el Reglamento (UE) 2022/2554. Además, el riesgo relacionado con las TIC solo se incluye implícitamente, como parte del riesgo operativo, en el proceso de revisión y evaluación supervisora efectuado por las autoridades competentes, y los criterios para su evaluación se definen actualmente en las Directrices sobre la evaluación del riesgo de TIC en el marco del proceso de revisión y evaluación supervisora (PRES), emitidas por la Autoridad Europea de Supervisión (AES) (Autoridad Bancaria Europea o ABE), creada en virtud del Reglamento (UE) n.o 1093/2010 del Parlamento Europeo y del Consejo (13). A fin de aportar claridad jurídica y garantizar que los supervisores bancarios detecten eficazmente el riesgo relacionado con las TIC y vigilen su gestión por parte de las entidades financieras, en consonancia con el nuevo marco sobre la resiliencia operativa digital, debe modificarse también el ámbito de aplicación del proceso de revisión y evaluación supervisora a fin de hacer remisión explícita a los requisitos establecidos en el Reglamento (UE) 2022/2554 y de abarcar, en particular, los riesgos que se hayan puesto de manifiesto en los informes de incidentes graves relacionados con las TIC y en los resultados de las pruebas de resiliencia operativa digital realizadas por las entidades financieras de conformidad con dicho Reglamento. |
(5) |
La resiliencia operativa digital es fundamental para preservar las funciones esenciales y las ramas de actividad principales de una entidad financiera en caso de que se produzca su resolución, y evitar así perturbaciones en la economía real y en el sistema financiero. Los incidentes operativos graves pueden menoscabar la capacidad de una entidad financiera para seguir operando y pueden poner en peligro los objetivos de resolución. Algunos acuerdos contractuales sobre el uso de servicios de TIC son fundamentales para garantizar la continuidad operativa y proporcionar los datos necesarios en caso de resolución. Procede, por tanto, modificar la Directiva 2014/59/UE a fin de ajustarla a los objetivos del marco de la Unión para la resiliencia operativa, con vistas a asegurar que la información relacionada con la resiliencia operativa se tenga en cuenta en el contexto de la planificación de la resolución y la evaluación de la resolubilidad de las entidades financieras. |
(6) |
La Directiva 2014/65/UE establece normas más estrictas en materia del riesgo relacionado con las TIC para las empresas de servicios de inversión y los centros de negociación que están participando en una negociación algorítmica. Se imponen requisitos menos detallados a los servicios de suministro de datos y a los registros de operaciones. Asimismo, la Directiva 2014/65/UE solo hace referencia de forma limitada a los mecanismos de control y salvaguardia de los sistemas informáticos y a la utilización de sistemas, recursos y procedimientos adecuados para garantizar la continuidad y regularidad de los servicios empresariales. Además, dicha Directiva debe armonizarse con el Reglamento (UE) 2022/2554 en lo que se refiere a la continuidad y regularidad en la prestación de servicios de inversión y en la realización de actividades de inversión, la resiliencia operativa, la capacidad de los sistemas de negociación y la eficacia de los mecanismos de continuidad de la actividad y la gestión de riesgos. |
(7) |
La Directiva (UE) 2015/2366 establece normas específicas sobre las medidas de control de la seguridad y mitigación del riesgo relacionado con las TIC a efectos de la obtención de una autorización para prestar servicios de pago. Dichas normas de autorización deben modificarse para adaptarlas al Reglamento (UE) 2022/2554. Además, con el fin de reducir la carga administrativa y evitar la complejidad y la duplicación de los requisitos de notificación, las normas de notificación de incidentes de dicha Directiva deben dejar de aplicarse a los proveedores de servicios de pago regulados por dicha Directiva y sujetos también a lo dispuesto en el Reglamento (UE) 2022/2554, permitiendo así a dichos proveedores de servicios de pago que se beneficien de un mecanismo único, plenamente armonizado, de notificación de incidentes aplicable a todos los incidentes operativos o de seguridad relacionados con los pagos, con independencia de si tales incidentes están relacionados con las TIC. |
(8) |
Las Directivas 2009/138/CE y (UE) 2016/2341 tienen parcialmente en cuenta el riesgo relacionado con las TIC en sus disposiciones generales sobre gobernanza y gestión de riesgos, dejando que determinados requisitos se especifiquen mediante actos delegados, con o sin referencias específicas al riesgo relacionado con las TIC. Del mismo modo, los gestores de fondos de inversión alternativos regulados por la Directiva 2011/61/UE y las sociedades de gestión reguladas por la Directiva 2009/65/CE solo están sujetos a normas muy generales. Por consiguiente, esas Directivas deben adaptarse a los requisitos establecidos en el Reglamento (UE) 2022/2554 en lo que respecta a la gestión de los sistemas y herramientas de TIC. |
(9) |
En muchos casos, ya se han establecido requisitos adicionales en materia del riesgo relacionado con las TIC en actos delegados y de ejecución, adoptados a partir de los proyectos de normas técnicas de regulación y de los proyectos de normas técnicas de ejecución elaborados por la Autoridad Europea de Supervisión competente. Dado que en lo sucesivo, las disposiciones del Reglamento (UE) 2022/2554 constituyen el marco jurídico para el riesgo relacionado con las TIC en el sector financiero, deben modificarse determinadas habilitaciones para adoptar actos delegados y de ejecución contenidas en las Directivas 2009/65/CE, 2009/138/CE, 2011/61/UE y 2014/65/UE para eliminar las disposiciones relativas al riesgo relacionado con las TIC del ámbito de dichas habilitaciones. |
(10) |
Para garantizar una aplicación coherente del nuevo marco para la resiliencia operativa digital del sector financiero, los Estados miembros deben aplicar las disposiciones de Derecho nacional de transposición de la presente Directiva a partir de la fecha de aplicación del Reglamento (UE) 2022/2554. |
(11) |
Las Directivas 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341 fueron adoptadas sobre la base del artículo 53, apartado 1, o del artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE), o de ambos. Las modificaciones contenidas en la presente Directiva se han incluido en un único acto legislativo, ya que su objeto y las finalidades que persiguen están interconectados. Por consiguiente, la presente Directiva debe adoptarse sobre la base tanto del artículo 53, apartado 1, como del artículo 114 del TFUE. |
(12) |
Dado que los objetivos de la presente Directiva no pueden ser alcanzados de manera suficiente por los Estados miembros, al implicar una armonización de requisitos ya contenidos en otras Directivas, sino que, debido al alcance y los efectos de la acción, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos. |
(13) |
De conformidad con la Declaración política conjunta, de 28 de septiembre de 2011, de los Estados miembros y de la Comisión sobre los documentos explicativos (14), los Estados miembros se han comprometido a adjuntar a la notificación de las medidas de transposición, cuando esté justificado, uno o varios documentos que expliquen la relación entre los elementos de una directiva y las partes correspondientes de los instrumentos nacionales de transposición. Por lo que respecta a la presente Directiva, el legislador considera que la transmisión de tales documentos está justificada. |
HAN ADOPTADO LA PRESENTE DIRECTIVA:
Modificaciones de la Directiva 2009/65/CE
El artículo 12 de la Directiva 2009/65/CE se modifica como sigue:
1) En el apartado 1, párrafo segundo, la letra a) se sustituye por el texto siguiente:
«a) cuente con una buena organización administrativa y contable, con mecanismos de control y seguridad para el tratamiento electrónico de datos, también con respecto a redes y sistemas de información establecidos y gestionados de conformidad con el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (*1), así como con procedimientos de control interno adecuados, incluidas, en particular, normas que regulen las transacciones personales de sus empleados o la tenencia o gestión de inversiones en instrumentos financieros con objeto de invertir por cuenta propia, a fin de garantizar, como mínimo, que cada transacción relacionada con el OICVM pueda reconstruirse con arreglo a su origen, las partes que intervengan, su naturaleza y el momento y lugar en que se haya realizado, y que los activos de los OICVM gestionados por la sociedad de gestión se inviertan con arreglo al reglamento del fondo o los documentos constitutivos y a las disposiciones legales vigentes;
(*1) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).»."
2) El apartado 3 se sustituye por el texto siguiente:
«3. Sin perjuicio del artículo 116, la Comisión adoptará, mediante actos delegados de conformidad con el artículo 112 bis, medidas que especifiquen lo siguiente:
a) los procedimientos y mecanismos a que se refiere el apartado 1, párrafo segundo, letra a), distintos de los procedimientos y mecanismos relacionados con las redes y los sistemas de información;
b) las estructuras y los requisitos organizativos para minimizar los conflictos de intereses a que se refiere el apartado 1, párrafo segundo, letra b).».
Modificaciones de la Directiva 2009/138/CE
La Directiva 2009/138/CE se modifica como sigue:
1) En el artículo 41, el apartado 4 se sustituye por el texto siguiente:
«4. Las empresas de seguros y de reaseguros adoptarán medidas razonables para garantizar la continuidad y la regularidad en la ejecución de sus actividades, incluida la elaboración de planes de emergencia. A tal fin, las empresas emplearán sistemas, recursos y procedimientos adecuados y proporcionados y, en particular, establecerán y gestionarán redes y sistemas de información de conformidad con el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (*2).
(*2) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n. o 648/2012, (UE) n. o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).»."
2) En el artículo 50, apartado 1, las letras a) y b) se sustituyen por el texto siguiente:
«a) los elementos de los sistemas a que se refiere el artículo 41, el artículo 44, en particular las áreas enumeradas en su apartado 2, y los artículos 46 y 47, distintos de los elementos relativos a la gestión del riesgo relacionado con las tecnologías de la información y la comunicación;
b) las funciones a que se refieren los artículos 44, 46, 47 y 48, distintas de las relacionadas con la gestión del riesgo relacionado con las tecnologías de la información y la comunicación.».
Modificación de la Directiva 2011/61/UE
El artículo 18 de la Directiva 2011/61/UE se sustituye por el texto siguiente:
«Artículo 18
Principios generales
1. Los Estados miembros exigirán que los GFIA empleen en todo momento los recursos humanos y técnicos adecuados y oportunos que precise la correcta gestión de los FIA.
En particular, las autoridades competentes del Estado miembro de origen de cada GFIA exigirán a este, teniendo en cuenta también la naturaleza de los FIA que gestione, que cuente con procedimientos administrativos y contables adecuados, con mecanismos de control y seguridad para el tratamiento electrónico de datos, también con respecto a redes y sistemas de información establecidos y gestionados de conformidad con el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (*3), así como con procedimientos de control interno adecuados, incluidas, en particular, normas que rijan las transacciones personales de sus empleados o la tenencia o gestión de inversiones con objeto de invertir por cuenta propia, a fin de garantizar, como mínimo, que cada transacción relacionada con el FIA pueda reconstruirse por lo que respecta a su origen, los participantes, su naturaleza y el momento y lugar en que se haya realizado, y que los activos de los FIA gestionados por el GFIA se inviertan con arreglo al reglamento o los documentos constitutivos del FIA y a las disposiciones legales vigentes.
2. La Comisión adoptará, mediante actos delegados de conformidad con el artículo 56 y observando las condiciones establecidas en los artículos 57 y 58, medidas que especifiquen los procedimientos y mecanismos a que se refiere el apartado 1 del presente artículo, distintos de los procedimientos y mecanismos relacionados con las redes y los sistemas de información.
Modificaciones de la Directiva 2013/36/UE
La Directiva 2013/36/UE se modifica como sigue:
1) En el artículo 65, apartado 3, letra a), el inciso vi) se sustituye por el texto siguiente:
«vi) terceros a los que las entidades contempladas en los incisos i) a iv) hayan subcontratado funciones o actividades, incluidos los proveedores terceros de servicios de tecnologías de la información y la comunicación (TIC) a que se refiere el capítulo V del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (*4).
(*4) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).»."
2) En el artículo 74, apartado 1, el párrafo primero se sustituye por el texto siguiente:
«Las entidades se dotarán de sólidos mecanismos de gobierno corporativo, incluida una estructura organizativa clara con líneas de responsabilidad bien definidas, transparentes y coherentes, procedimientos eficaces de detección, gestión, control y notificación de los riesgos a los que estén expuestas o puedan estarlo, mecanismos adecuados de control interno, incluidos procedimientos administrativos y contables correctos, redes y sistemas de información establecidos y gestionados de conformidad con el Reglamento (UE) 2022/2554, y políticas y prácticas de remuneración que sean compatibles con una gestión de riesgos adecuada y eficaz y la promuevan.».
3) En el artículo 85, el apartado 2 se sustituye por el texto siguiente:
«2. Las autoridades competentes garantizarán que las entidades dispongan de políticas y planes de emergencia y de continuidad de la actividad adecuados, que incluyan políticas y planes de continuidad de las actividades de TIC y planes de respuesta y recuperación en materia de TIC en relación con la tecnología que utilicen para la comunicación de información, y que esos planes se establezcan, gestionen y pongan a prueba de conformidad con el artículo 11 del Reglamento (UE) 2022/2554, para que las entidades puedan seguir funcionando en caso de perturbaciones graves en su actividad y limiten las pérdidas en que incurran como consecuencia de dichas perturbaciones.».
4) En el artículo 97, apartado 1, se añade la letra siguiente:
«d) los riesgos que se hayan puesto de manifiesto en las pruebas de resiliencia operativa digital efectuadas de conformidad con el capítulo IV del Reglamento (UE) 2022/2554.».
Modificaciones de la Directiva 2014/59/UE
La Directiva 2014/59/UE se modifica como sigue:
1) El artículo 10 se modifica como sigue:
a) en el apartado 7, la letra c) se sustituye por el texto siguiente:
«c) una demostración de cómo las funciones esenciales y las ramas de actividad principales podrían separarse jurídica y económicamente de otras funciones, en la medida en que sea necesario, para asegurar la continuidad y la resiliencia operativa digital en caso de inviabilidad de la entidad;»;
b) en el apartado 7, la letra q) se sustituye por el texto siguiente:
«q) una descripción de las operaciones y sistemas esenciales para mantener el funcionamiento continuado de los procesos operativos de la entidad, con inclusión de las redes y sistemas de información a que se refiere el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (*5);
(*5) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).»;"
c) en el apartado 9 se añade el párrafo siguiente:
«La ABE, de conformidad con lo dispuesto en el artículo 10 del Reglamento (UE) n.o 1093/2010, examinará las normas técnicas de regulación y, si procede, las actualizará a fin de tener en cuenta, entre otros aspectos, las disposiciones del capítulo II del Reglamento (UE) 2022/2554.».
2) El anexo se modifica como sigue:
a) en la sección A, el punto 16 se sustituye por el texto siguiente:
«16) disposiciones y medidas necesarias para mantener el funcionamiento continuado de los procesos operativos de la entidad, incluyendo las redes y los sistemas de información que se hayan establecido y gestionado de conformidad con el Reglamento (UE) 2022/2554;»;
b) la sección B queda modificada como sigue:
i) el punto 14 se sustituye por el texto siguiente:
«14) la identificación de los propietarios de los sistemas a que se hace referencia en el punto 13, de los acuerdos de nivel de servicio relacionados y de cualquier sistema informático o licencia, incluida la asignación a las personas jurídicas, las operaciones esenciales y las ramas de actividad principales de la entidad, así como la identificación de proveedores terceros esenciales de servicios de TIC, tal como se define en el artículo 3, punto 23, del Reglamento (UE) 2022/2554;»,
ii) se inserta el punto siguiente:
«14 bis) los resultados de las pruebas de resiliencia operativa digital de las entidades con arreglo al Reglamento (UE) 2022/2554;»;
c) la sección C queda modificada como sigue:
i) el punto 4 se sustituye por el texto siguiente:
«4) el grado en que los acuerdos de servicio que la entidad mantiene, incluidos acuerdos contractuales sobre el uso de servicios de TIC, son sólidos y plenamente ejecutables en caso de resolución de la entidad;»,
ii) se inserta el punto siguiente:
«4 bis) La resiliencia operativa digital de las redes y los sistemas de información que respaldan las funciones esenciales y las ramas de actividad principales de la entidad, teniendo en cuenta los informes de incidentes graves relacionados con las TIC y los resultados de las pruebas de resiliencia operativa digital con arreglo al Reglamento (UE) 2022/2554;».
Modificaciones de la Directiva 2014/65/UE
La Directiva 2014/65/UE se modifica como sigue:
1) El artículo 16 se modifica como sigue:
a) el apartado 4 se sustituye por el texto siguiente:
«4. Toda empresa de servicios de inversión adoptará medidas razonables para garantizar la continuidad y la regularidad de la realización de los servicios y actividades de inversión. A tal fin, la empresa de servicios de inversión empleará sistemas adecuados y proporcionados, incluidos sistemas de tecnología de la información y la comunicación (TIC) establecidos y gestionados de conformidad con el artículo 7 del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (*6), así como recursos y procedimientos adecuados y proporcionados.
(*6) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).»;"
b) en el apartado 5, los párrafos segundo y tercero se sustituyen por el texto siguiente:
«Toda empresa de servicios de inversión dispondrá de procedimientos administrativos y contables adecuados, mecanismos de control interno y técnicas eficaces de valoración del riesgo.
Sin perjuicio de la facultad de las autoridades competentes para exigir acceso a las comunicaciones de conformidad con lo dispuesto en la presente Directiva y en el Reglamento (UE) n.o 600/2014, la empresa de servicios de inversión deberá contar con mecanismos de seguridad sólidos para garantizar, de conformidad con los requisitos establecidos en el Reglamento (UE) 2022/2554, la seguridad y autenticación de los medios de transmisión de la información, para reducir al mínimo el riesgo de corrupción de datos y de acceso no autorizado, y evitar fugas de información, manteniendo en todo momento la confidencialidad de los datos.».
2) El artículo 17 se modifica como sigue:
a) el apartado 1 se sustituye por el texto siguiente:
«1. La empresa de servicios de inversión que se dedique a la negociación algorítmica deberá implantar sistemas y controles de riesgo adecuados a sus actividades y eficaces para garantizar que sus sistemas de negociación sean resistentes y tengan suficiente capacidad de conformidad con los requisitos establecidos en el capítulo II del Reglamento (UE) 2022/2554, se ajusten a los umbrales y límites de negociación apropiados, y limiten o impidan el envío de órdenes erróneas o la posibilidad de que los sistemas funcionen de modo que pueda crear o propiciar anomalías en las condiciones de negociación.
Tal empresa deberá además implantar sistemas y controles de riesgo eficaces para garantizar que los sistemas de negociación no puedan usarse con ningún fin contrario al Reglamento (UE) n.o 596/2014 o a las normas del centro de negociación al que está vinculada.
Deberá implantar unos mecanismos eficaces que garanticen la continuidad de las actividades en caso de disfunción de sus sistemas de negociación, que incluyan políticas y planes de continuidad de las actividades de TIC y planes de respuesta y recuperación en materia de TIC establecidos de conformidad con el artículo 11 del Reglamento (UE) 2022/2554, y se asegurará de que sus sistemas sean íntegramente probados y convenientemente supervisados para garantizar que cumplen los requisitos generales establecidos en el presente apartado y cualesquiera requisitos específicos establecidos en los capítulos II y IV del Reglamento (UE) 2022/2554.»;
b) en el apartado 7, la letra a) se sustituye por el texto siguiente:
«a) los detalles de los requisitos de organización a que se refieren los apartados 1 a 6, salvo los relacionados con la gestión de riesgos relacionados con las TIC, que se exigirán a las empresas de servicios de inversión que presten distintos servicios de inversión, actividades de inversión, servicios auxiliares o combinaciones de los mismos, estableciendo las indicaciones relativas a los requisitos de organización estipulados en el apartado 5 de tal modo los requisitos específicos para el acceso directo al mercado y para el acceso patrocinado que se garantice que los controles aplicados al acceso patrocinado sean como mínimo equivalentes a los aplicados al acceso directo;».
3) En el artículo 47, el apartado 1 se modifica como sigue:
a) la letra b) se sustituye por el texto siguiente:
«b) esté adecuadamente equipado para gestionar los riesgos a los que está expuesto, incluida la gestión del riesgo relacionado con las TIC de conformidad con el capítulo II del Reglamento (UE) 2022/2554, aplicar mecanismos y sistemas que le permitan detectar los riesgos significativos que comprometan su funcionamiento y establecer medidas eficaces para atenuar esos riesgos;»;
b) se suprime la letra c).
4) El artículo 48 se modifica como sigue:
a) el apartado 1 se sustituye por el texto siguiente:
«1. Los Estados miembros exigirán que los mercados regulados establezcan y mantengan su resiliencia operativa de conformidad con los requisitos establecidos en el capítulo II del Reglamento (UE) 2022/2554, a fin de garantizar que sus sistemas de negociación sean resistentes, tengan capacidad suficiente para tramitar los volúmenes de órdenes y mensajes correspondientes a los momentos de máxima actividad, puedan asegurar la negociación ordenada en condiciones de fuerte tensión del mercado, se hayan probado íntegramente para garantizar el cumplimiento de esas condiciones y estén sujetos a mecanismos eficaces de continuidad de la actividad, con inclusión de políticas y planes de continuidad de las actividades de las TIC y planes de respuesta y recuperación en materia de TIC establecidos de conformidad con lo dispuesto en el artículo 11 del Reglamento (UE) 2022/2554, para asegurar el mantenimiento de sus servicios en caso de disfunción de sus sistemas de negociación.»;
b) el apartado 6 se sustituye por el texto siguiente:
«6. Los Estados miembros exigirán que los mercados regulados implanten sistemas, procedimientos y mecanismos eficaces, que también exijan a los miembros o participantes que realicen pruebas adecuadas de algoritmos y proporcionen los entornos que faciliten dichas pruebas de conformidad con los requisitos establecidos en los capítulos II y IV del Reglamento (UE) 2022/2554, para garantizar que los sistemas de negociación algorítmica no puedan generar anomalías en las condiciones de negociación en el mercado, ni contribuir a tales anomalías, y gestionar anomalías en las condiciones de negociación que puedan surgir de tales sistemas de negociación algorítmica, incluidos sistemas que permitan limitar la proporción de órdenes de operaciones no ejecutadas que un miembro o participante podrá introducir en el sistema, ralentizar el flujo de órdenes ante el riesgo de que se alcance el límite de capacidad del sistema y restringir el valor mínimo de variación del precio que podrá ejecutarse en el mercado, así como velar por su respeto.»;
c) el apartado 12 se modifica como sigue:
i) la letra a) se sustituye por el texto siguiente:
«a) los requisitos que garanticen que los sistemas de negociación de los mercados regulados sean resistentes y tengan una capacidad adecuada, salvo los requisitos relacionados con la resiliencia operativa digital;»,
ii) la letra g) se sustituye por el texto siguiente:
«g) los requisitos que garanticen que haya pruebas adecuadas de algoritmos, distintas de las pruebas de resiliencia operativa digital, a fin de asegurarse de que los sistemas de negociación algorítmica, incluidos los de alta frecuencia, no puedan ocasionar anomalías en las condiciones de negociación en el mercado, ni contribuir a tales anomalías.».
Modificaciones de la Directiva (UE) 2015/2366
La Directiva (UE) 2015/2366 se modifica como sigue:
1) En el artículo 3, la letra j) se sustituye por el texto siguiente:
«j) los servicios prestados por proveedores de servicios técnicos como soporte a la prestación de servicios de pago, sin que dichos proveedores lleguen a estar en ningún momento en posesión de los fondos que deban transferirse, incluidos el tratamiento y almacenamiento de datos, los servicios de confianza y de protección de la intimidad, la autenticación de datos y entidades, el suministro de tecnología de la información y la comunicación (TIC) y redes de comunicación, y el suministro y mantenimiento de terminales y dispositivos empleados para los servicios de pago, con exclusión de los servicios de iniciación de pagos y servicios de información sobre cuentas;».
2) En el artículo 5, el apartado 1 se modifica como sigue:
a) el párrafo primero se modifica como sigue:
i) la letra e) se sustituye por el texto siguiente:
«e) una descripción de los métodos de gobierno empresarial y de los mecanismos de control interno del solicitante, incluidos procedimientos administrativos, de gestión del riesgo y contables, así como de los mecanismos para la utilización de los servicios de TIC de conformidad con el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (*7), que demuestre que dichos métodos de gobierno empresarial y mecanismos de control interno son proporcionados, apropiados, sólidos y adecuados;
(*7) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).»,"
ii) la letra f) se sustituye por el texto siguiente:
«f) una descripción del procedimiento establecido para la supervisión, la tramitación y el seguimiento de los incidentes de seguridad y las reclamaciones de los consumidores al respecto, incluido un mecanismo de notificación de incidentes que atienda a las obligaciones de notificación de la entidad de pago establecidas en el capítulo III del Reglamento (UE) 2022/2554;»,
iii) la letra h) se sustituye por el texto siguiente:
«h) una descripción de los mecanismos que garanticen la continuidad de la actividad, con inclusión de una delimitación clara de las operaciones esenciales, planes y política de continuidad de las actividades de TIC y planes de respuesta y recuperación en materia de TIC efectivos, así como un procedimiento para poner a prueba y revisar periódicamente la adecuación y eficiencia de dichos planes de conformidad con el Reglamento (UE) 2022/2554;»;
b) el párrafo tercero se sustituye por el texto siguiente:
«Las medidas de control de la seguridad y mitigación de los riesgos a que se refiere la letra j) del párrafo primero deberán indicar de qué manera garantizan un elevado nivel de resiliencia operativa digital de conformidad con el capítulo II del Reglamento (UE) 2022/2554, en particular en relación con la seguridad técnica y la protección de datos, también en lo que respecta a los soportes lógicos y los sistemas de TIC utilizados por el solicitante o por las empresas a las que externalice la totalidad o parte de sus operaciones. Dichas medidas comprenderán asimismo las medidas de seguridad establecidas en el artículo 95, apartado 1, de la presente Directiva, y atenderán a las directrices sobre medidas de seguridad formuladas por la ABE a que se refiere el artículo 95, apartado 3, de la presente Directiva cuando se adopten.».
3) En el artículo 19, apartado 6, el párrafo segundo se sustituye por el texto siguiente:
«La externalización de funciones operativas importantes, incluidos los sistemas de TIC, deberá realizarse de modo tal que no afecte significativamente ni a la calidad del control interno de la entidad de pago ni a la capacidad de las autoridades competentes para controlar y hacer un seguimiento a posteriori del cumplimiento por la entidad de pago de todas las obligaciones que establece la presente Directiva.».
4) En el artículo 95, apartado 1, se añade el párrafo siguiente:
«El párrafo primero se entenderá sin perjuicio de la aplicación del capítulo II del Reglamento (UE) 2022/2554 a:
a) los proveedores de servicios de pago a que se refiere el artículo 1, apartado 1, letras a), b) y d), de la presente Directiva;
b) los proveedores de servicios de información sobre cuentas a que se refiere el artículo 33, apartado 1, de la presente Directiva;
c) las entidades de pago exentas en virtud del artículo 32, apartado 1, de la presente Directiva, y
d) las entidades de dinero electrónico que se benefician de una excepción a que se refiere el artículo 9, apartado 1, de la Directiva 2009/110/CE.».
5) En el artículo 96 se añade el apartado siguiente:
«7. Los Estados miembros garantizarán que los apartados 1 a 5 del presente artículo no se apliquen a:
a) los proveedores de servicios de pago a que se refiere el artículo 1, apartado 1, letras a), b) y d), de la presente Directiva;
b) los proveedores de servicios de información sobre cuentas a que se refiere el artículo 33, apartado 1, de la presente Directiva;
c) las entidades de pago exentas en virtud del artículo 32, apartado 1, de la presente Directiva, y
d) las entidades de dinero electrónico que se benefician de una excepción a que se refiere el artículo 9, apartado 1, de la Directiva 2009/110/CE.».
6) En el artículo 98, el apartado 5 se sustituye por el texto siguiente:
«5. La ABE, de conformidad con lo dispuesto en el artículo 10 del Reglamento (UE) n.o 1093/2010, examinará periódicamente las normas técnicas de regulación y, si ha lugar, las actualizará a fin de tener en cuenta, entre otros aspectos, las innovaciones y la evolución tecnológica, así como las disposiciones del capítulo II del Reglamento (UE) 2022/2554.».
Modificaciones de la Directiva (UE) 2016/2341
En el artículo 21 de la Directiva (UE) 2016/2341, el apartado 5 se sustituye por el texto siguiente:
«5. Los Estados miembros velarán por que los FPE adopten medidas razonables para garantizar la continuidad y la regularidad en la ejecución de sus actividades, incluida la elaboración de planes de emergencia. A tal fin, los FPE emplearán sistemas, recursos y procedimientos adecuados y proporcionados y en particular implantarán y gestionarán redes y sistemas de información de conformidad con el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (*8), cuando proceda.
Transposición
1. Los Estados miembros adoptarán y publicarán a más tardar el 17 de enero de 2025, las disposiciones necesarias para dar cumplimiento a lo dispuesto en la presente Directiva. Informarán inmediatamente de ello a la Comisión.
Aplicarán dichas disposiciones a partir del 17 de enero de 2025.
Cuando los Estados miembros adopten dichas disposiciones, estas incluirán una referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.
2. Los Estados miembros comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.
Entrada en vigor
La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Destinatarios
Los destinatarios de la presente Directiva son los Estados miembros.
Hecho en Estrasburgo, el 14 de diciembre de 2022.
Por el Parlamento Europeo
La Presidenta
R. METSOLA
Por el Consejo
El Presidente
M. BEK
(1) DO C 343 de 26.8.2021, p. 1.
(2) DO C 155 de 30.4.2021, p. 38.
(3) Posición del Parlamento Europeo de 10 de noviembre de 2022 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 28 de noviembre de 2022.
(4) Directiva 2009/65/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, por la que se coordinan las disposiciones legales, reglamentarias y administrativas sobre determinados organismos de inversión colectiva en valores mobiliarios (OICVM) (DO L 302 de 17.11.2009, p. 32).
(5) Directiva 2009/138/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II) (DO L 335 de 17.12.2009, p. 1).
(6) Directiva 2011/61/UE del Parlamento Europeo y del Consejo, de 8 de junio de 2011, relativa a los gestores de fondos de inversión alternativos y por la que se modifican las Directivas 2003/41/CE y 2009/65/CE y los Reglamentos (CE) n.o 1060/2009 y (UE) n.o 1095/2010 (DO L 174 de 1.7.2011, p. 1).
(7) Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).
(8) Directiva 2014/59/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, por la que se establece un marco para la recuperación y la resolución de entidades de crédito y empresas de servicios de inversión, y por la que se modifican la Directiva 82/891/CEE del Consejo, y las Directivas 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE y 2013/36/UE, y los Reglamentos (UE) n.o 1093/2010 y (UE) n.o 648/2012 del Parlamento Europeo y del Consejo (DO L 173 de 12.6.2014, p. 190).
(9) Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).
(10) Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 y se deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35).
(11) Directiva (UE) 2016/2341 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2016, relativa a las actividades y la supervisión de los fondos de pensiones de empleo (FPE) (DO L 354 de 23.12.2016, p. 37).
(12) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (véase la página 1 del presente Diario Oficial).
(13) Reglamento (UE) n.o 1093/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Bancaria Europea), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión 2009/78/CE de la Comisión (DO L 331 de 15.12.2010, p. 12).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid