Articulo 19 Resiliencia operativa digital del sector financiero

1. Las entidades financieras notificarán los incidentes graves relacionados con las TIC a la autoridad competente pertinente a que se refiere el artículo 46, de conformidad con el apartado 4 del presente artículo.

Cuando una entidad financiera sea supervisada por más de una autoridad nacional competente contemplada en el artículo 46, los Estados miembros designarán a una única autoridad competente autoridad competente pertinente responsable del desempeño de las funciones y tareas establecidas en el presente artículo.

Las entidades de crédito clasificadas como significativas de conformidad con el artículo 6, apartado 4, del Reglamento (UE) n.º 1024/2013 notificarán los incidentes graves relacionados con las TIC a la autoridad nacional competente pertinente designada con arreglo al artículo 4 de la Directiva 2013/36/UE, que transmitirá dicho informe de forma inmediata al BCE.

A los efectos del párrafo primero, tras recopilar y analizar toda la información pertinente, las entidades financieras elaborarán la notificación inicial y los informes a que se refiere el apartado 4 del presente artículo mediante la plantilla a que se refiere el artículo 20 y los presentarán a la autoridad competente. En caso de que un impedimento técnico haga imposible la presentación de la notificación inicial mediante la plantilla, las entidades financieras presentarán la notificación a la autoridad competente por medios alternativos.

La notificación inicial y los informes a que hace referencia el apartado 4 incluirán toda la información necesaria para que la autoridad competente pueda determinar la importancia del incidente grave relacionado con las TIC y evaluar sus posibles efectos transfronterizos.

Sin perjuicio de la notificación en virtud del párrafo primero por parte de la entidad financiera a la autoridad competente pertinente, los Estados miembros podrán determinar de manera adicional que algunas entidades financieras, o todas ellas, presenten también la notificación inicial y cada uno de los informes a que se refiere el apartado 4 del presente artículo, utilizando las plantillas mencionadas en el artículo 20, a las autoridades competentes o a los equipos de respuesta a incidentes de seguridad informática (CSIRT), designados o establecidos de conformidad con la Directiva (UE) 2022/2555.

2. Las entidades financieras podrán notificar, de manera voluntaria, ciberamenazas importantes a la autoridad competente pertinente cuando consideren que la amenaza es pertinente para el sistema financiero, los usuarios del servicio o los clientes. La autoridad competente pertinente podrá transmitir esta información a otras autoridades pertinentes mencionadas en el apartado 6.

Las entidades de crédito clasificadas como significativas de conformidad con el artículo 6, apartado 4, del Reglamento (UE) n.º 1024/2013 podrán, de manera voluntaria, notificar las ciberamenazas importantes a la autoridad nacional competente pertinente designada con arreglo al artículo 4 de la Directiva 2013/36/UE, que transmitirá dicho informe de forma inmediata al BCE.

Los Estados miembros podrán determinar que las entidades financieras que notifiquen voluntariamente de conformidad con el párrafo primero puedan también transmitir dicha notificación a los CSIRT designados o establecidos de conformidad con la Directiva (UE) 2022/2555.

3. Cuando se produzca un incidente grave relacionado con las TIC y tenga consecuencias para los intereses financieros de los clientes, las entidades financieras informarán sin demora indebida de dicho incidente tan pronto como tengan conocimiento del mismo, a sus clientes y les comunicarán todas las medidas que se hayan adoptado para mitigar sus efectos adversos.

En caso de ciberamenaza importante, las entidades financieras informarán, cuando proceda, a aquellos de sus clientes que pudieran verse afectados de cualquier medida de protección adecuada que estos consideren oportuno adoptar.

4. Las entidades financieras presentarán a la autoridad competente pertinente, dentro de los plazos que se establezcan de conformidad con el artículo 20, párrafo primero, letra a), inciso ii), la siguiente información:

a) una notificación inicial;

b) un informe intermedio posterior a la notificación inicial a que se refiere la letra a), tan pronto como la situación del incidente original haya cambiado considerablemente o la gestión del incidente grave relacionado con las TIC haya cambiado en función de las últimas informaciones disponibles, seguido, cuando sea necesario, de notificaciones actualizadas cada vez que se disponga de una actualización pertinente de la situación, y siempre que lo solicite expresamente la autoridad competente;

c) un informe final, cuando haya concluido el análisis de la causa subyacente, con independencia de que ya se hayan aplicado medidas paliativas, y cuando se disponga de las cifras reales de incidencia para sustituir a las estimaciones.

5. Las entidades financieras podrán externalizar, de conformidad con el Derecho sectorial de la Unión y nacional, las obligaciones de información establecidas en el presente artículo a un proveedor tercero de servicios. En el caso de tal externalización, la entidad financiera seguirá siendo plenamente responsable del cumplimiento de los requisitos en materia de notificación de incidentes.

6. Una vez reciba la notificación inicial y de cada uno de los informes a que se refiere el apartado 4, la autoridad competente facilitará oportunamente información detallada sobre el incidente grave relacionado con las TIC a los siguientes destinatarios en función, según proceda, de sus competencias respectivas:

a) la ABE, la AEVM o la AESPJ;

b) el BCE en el caso de las entidades financieras a que se refiere el artículo 2, apartado 1, letras a), b) y d);

c) las autoridades competentes, los puntos de contacto únicos o los CSIRT designados o establecidos de conformidad con la Directiva (UE) 2022/2555;

d) las autoridades de resolución a que se refiere el artículo 3 de la Directiva 2014/59/UE, y la Junta Única de Resolución con respecto a las entidades a que se refiere el artículo 7, apartado 2, del Reglamento (UE) n.º 806/2014 del Parlamento Europeo y del Consejo (37) y con respecto a las entidades y grupos a que se refiere el artículo 7, apartado 4, letra b), y apartado 5, del Reglamento (UE) n.º 806/2014 en caso de que dicha información detallada haga referencia a incidentes que suponen un riesgo para garantizar funciones esenciales en el sentido del artículo 2, apartado 1, punto 35, de la Directiva 2014/59/UE, y

e) otras autoridades públicas pertinentes con arreglo al Derecho nacional.

7. Una vez recibida la información de conformidad con el apartado 6, la ABE, la AEVM o la AESPJ y el BCE, en consulta con la ENISA y en cooperación con la autoridad competente pertinente, evaluarán si el incidente grave relacionado con las TIC es pertinente para las autoridades competentes de otros Estados miembros. Tras esta evaluación, la ABE, la AEVM o la AESPJ notificarán en consecuencia lo antes posible a las autoridades competentes pertinentes de otros Estados miembros. El BCE notificará las cuestiones pertinentes para el sistema de pagos a los miembros del Sistema Europeo de Bancos Centrales. Basándose en dicha notificación, las autoridades competentes tomarán, en su caso, las medidas necesarias para proteger la estabilidad inmediata del sistema financiero.

8. La notificación que debe efectuar la AEVM en virtud del apartado 7 del presente artículo se entiende sin perjuicio de la responsabilidad de la autoridad competente de transmitir urgentemente la información detallada sobre el incidente grave relacionado con las TIC a la autoridad pertinente del Estado miembro de acogida cuando un depositario central de valores tenga una actividad transfronteriza significativa en el Estado miembro de acogida, cuando el incidente grave relacionado con las TIC pueda tener consecuencias graves para los mercados financieros del Estado miembro de acogida y cuando existan acuerdos de cooperación entre las autoridades competentes en relación con la supervisión de las entidades financieras.