Consulta Pública – Directrices de la Autoridad Bancaria Europea sobre Tecnologías de la Información y Comunicación y Gestión del riesgo en materia de seguridad.

Madrid, 14 enero 2019

La Autoridad Bancaria Europea (“EBA” por sus siglas en inglés) ha lanzado, hasta el 13 de marzo de 2019, una Consulta Pública sobre las Directrices en materia de Tecnologías de la Información y Comunicación y Gestión de Riesgo sobre Seguridad (que se pueden consultar aquí), permitiendo que los interesados y afectados presenten las alegaciones correspondientes manifestando su opinión al respecto.

Estas directrices toman como punto de partida los requisitos establecidos en las Directrices sobre las medidas de seguridad para los riesgos operativos y de seguridad asociados a los servicios de pago, en virtud de lo establecido en el artículo 95 de la Directiva (UE) 2015/2366 (PSD2).

Inicialmente, estas directrices se dirigían únicamente a los Prestadores de Servicios de Pago (“PSP”), sin embargo, debido a su relevancia, la EBA ha optado por dirigirlas a una gama más amplia de instituciones, en particular:

• A los PSP;
• A las entidades de crédito (algunas ya estaban comprendidas cuando la actividad se trataba de servicios de pago), y;
• A las empresas de inversión.

Las directrices detallan cómo las instituciones deben cumplir con las siguientes disposiciones de la CRD IV y de la PSD2, a saber:

1. El artículo 74 de la Directiva 2013/36 / UE (CRD IV) refuerza los requisitos de gobierno corporativo de las entidades de crédito, incluidos los requisitos para tener procedimientos de gobierno corporativo, una estructura organizativa clara con líneas de responsabilidad bien definidas y procedimientos eficaces de identificación, gestión, control y comunicación de los riesgos a los que esté expuesta o pueda estarlo;
2. El artículo 95 de la Directiva 2015/2366 / UE (PSD2) contiene disposiciones explícitas que requieren que los PSP cuenten con medidas de mitigación y mecanismos de control adecuados para gestionar los riesgos operativos y de seguridad.

ECIJA reconoce el impacto que estas Directrices tendrán en las empresas del sector, motivo por el que procederemos a presentar alegaciones en las que recogeremos, además de nuestra opinión jurídica, las inquietudes y apreciaciones manifestadas por nuestros clientes.

Por este motivo, queremos haceros partícipes e invitaros a que nos hagáis llegar todas vuestras dudas y comentarios hasta el día 15 de febrero a la siguiente dirección de correo electrónico mruizdevelasco@ecija.com, de cara a incluirlos en la respuesta que será efectuada por parte de la Firma.

Para ello, os pedimos que cuando nos remitáis vuestros comentarios, nos confirméis si la información (o parte de ella) debe ser tratada con carácter confidencial, así como si queréis que se haga público vuestro nombre.

A continuación, indicamos los próximos pasos que llevaremos a cabo desde la Firma para responder a esta consulta pública:

• ECIJA analizará la consulta pública, así como los comentarios recibidos de sus clientes – hasta el día 15 de febrero.
• ECIJA preparará una respuesta con base en el análisis referido en el punto anterior – hasta el día 25 de febrero.
• ECIJA enviará la propuesta de respuesta a los clientes que hayan participado para recoger eventuales comentarios adicionales – hasta el día 5 de marzo.
• ECIJA enviará la respuesta a la EBA en nombre de la Firma y en el de los clientes que así lo deseen – hasta el día 13 de marzo.