Cumplimiento de NIS2 para el sector bancario

El sector bancario es central para la estabilidad financiera, los sistemas de pago y la continuidad económica en toda la Unión Europea. A medida que los servicios financieros se digitalizan, interconectan y dependen cada vez más de proveedores tecnológicos terceros, el riesgo cibernético se ha convertido en una preocupación sistémica.

La Directiva NIS2 establece obligaciones de ciberseguridad a nivel EU para entidades Essential e Important, ampliando considerablemente el alcance y los mecanismos de ejecución del marco NIS original. El cumplimiento de NIS2 para el sector bancario refuerza las expectativas de resiliencia para las instituciones que prestan servicios financieros críticos.

La Directiva se aplica a organizaciones medianas y grandes que operan en sectores designados, incluido el bancario. Aunque muchos bancos ya operan bajo una regulación financiera estricta, NIS2 introduce requisitos adicionales de gobernanza de ciberseguridad intersectorial y de notificación de incidentes.

Si su organización opera en el sector bancario, puede estar sujeta a NIS2 como entidad Essential o Important.

El sector bancario está clasificado como:

Annex relevante: Annex I (Entidades Essential)

Las entidades de crédito incluyen bancos autorizados a recibir depósitos u otros fondos reembolsables del público y a conceder créditos por cuenta propia.

Las entidades que cumplen los umbrales de tamaño aplicables se tratan como entidades Essential en virtud de NIS2.

• Entidad Essential según Annex I

• Entidades de crédito según la definición de la normativa bancaria de la EU

Cobertura por subsector (Annex I – Banca):

El cumplimiento de NIS2 para el sector bancario se aplica a:

La mayoría de las entidades de crédito cumplirán los umbrales de tamaño y, por tanto, entrarán automáticamente en el ámbito como entidades Essential.

Aunque la aplicabilidad de NIS2 a pymes es menos común en la banca tradicional debido a la escala, las entidades de crédito más pequeñas que cumplan los criterios de empresa media de la EU también están cubiertas. Además, las autoridades nacionales pueden aclarar las interacciones de alcance entre NIS2 y las normas financieras sectoriales específicas.

Los bancos que operan transfronterizamente dentro de la EU siguen sujetos a NIS2 en cada Estado miembro donde presten servicios, sujeto a mecanismos de coordinación supervisora.

• Empresas de tamaño medio (≥50 empleados y/o 10 millones de euros de facturación anual o total del balance)
• Empresas grandes que superen esos umbrales

En virtud del Article 21 de la Directiva NIS2, las entidades bancarias deben implementar medidas técnicas y organizativas apropiadas y proporcionadas para gestionar los riesgos de ciberseguridad.

Las medidas obligatorias incluyen:

Para los bancos, las medidas de seguridad de NIS2 deben abordar los sistemas bancarios centrales, la infraestructura de pagos, las plataformas de banca en línea y los servicios financieros basados en la nube. La gestión de identidades robusta, los controles de integridad de las transacciones y la monitorización en tiempo real son componentes esenciales del cumplimiento.

El cumplimiento de NIS2 para el sector bancario requiere la integración entre ciberseguridad, resiliencia operativa y la gestión empresarial del riesgo. Si bien las instituciones financieras ya están sujetas a normas sectoriales sobre riesgo TIC, NIS2 impone obligaciones horizontales de ciberseguridad aplicables en todos los Estados miembros.

• Marco de gestión de riesgos
• Procedimientos de gestión de incidentes
• Continuidad del negocio y recuperación ante desastres
• Seguridad de la cadena de suministro
• Desarrollo y mantenimiento seguros
• Políticas sobre cifrado y criptografía
• Control de accesos y MFA
• Gestión de vulnerabilidades y parches
• Formación en higiene cibernética
• Uso de comunicaciones seguras

Los bancos deben cumplir los plazos de notificación de incidentes de NIS2 cuando se produzcan incidentes significativos.

Las obligaciones de notificación incluyen:

Los informes deben presentarse al CSIRT nacional o a la autoridad competente designada en virtud de NIS2.

La regla de notificación de 24 horas de NIS2 exige procedimientos rápidos de detección y escalado interno. Los incidentes cibernéticos que afecten a los servicios de pago, al procesamiento de transacciones o a los sistemas de acceso de clientes pueden calificar como incidentes significativos.

El incumplimiento de la notificación dentro de los plazos prescritos puede desencadenar medidas de ejecución regulatoria y sanciones financieras.

El cumplimiento de NIS2 para el sector bancario eleva la supervisión de la ciberseguridad al órgano de gestión.

Requisitos clave de gobernanza incluyen:

Article 21 de la Directiva NIS2 deja claro que la ciberseguridad es una responsabilidad a nivel de la junta. Los consejeros deben asegurarse de que existen controles apropiados y de que los procesos de gestión del riesgo están documentados y se revisan regularmente.

Para los bancos, la alineación de la gobernanza entre los equipos de ciberseguridad, las funciones de riesgo y la alta dirección es crítica para cumplir tanto NIS2 como las expectativas de supervisión financiera.

• Aprobación de las medidas de gestión del riesgo de ciberseguridad por el órgano de gestión
• Supervisión continua de la implementación
• Formación obligatoria en ciberseguridad para la dirección
• Posible exposición a responsabilidad personal conforme a la legislación nacional

Como entidades incluidas en Annex I, los bancos clasificados como entidades Essential están sujetos a supervisión proactiva. Las autoridades competentes pueden llevar a cabo auditorías, inspecciones y evaluaciones de seguridad independientemente de si se ha producido un incidente.

Las multas administrativas por incumplimiento son:

Las leyes de implementación nacionales pueden aclarar además la coordinación entre los reguladores financieros y las autoridades competentes de NIS2. Sin embargo, la Directiva establece umbrales mínimos armonizados de sanción entre los Estados miembros.

Dada la importancia sistémica de las instituciones financieras, se espera que la ejecución sea sólida y basada en el riesgo.

• Entidades Essential: Hasta 10 millones de euros o el 2% de la facturación anual mundial total (el que sea mayor)

Las entidades bancarias que busquen un cumplimiento estructurado de NIS2 deberían:

La preparación temprana reduce el riesgo de ejecución y la interrupción operativa.

1. Realizar una evaluación de brechas respecto a NIS2 alineada con los marcos de riesgo TIC existentes
2. Mapear los servicios bancarios críticos y las dependencias digitales
3. Formalizar un marco documentado de gestión del riesgo de ciberseguridad
4. Actualizar los planes de respuesta a incidentes y de comunicación en crisis
5. Revisar los contratos con terceros y proveedores de servicios en la nube
6. Formar a los miembros del órgano de gestión y a la alta dirección
7. Establecer un flujo de trabajo de notificación 24 h/72 h/1 mes

Las instituciones bancarias enfrentan riesgos específicos del sector bajo NIS2:

El cumplimiento de NIS2 para el sector bancario es, por tanto, un elemento central de la resiliencia operativa y la alineación regulatoria.

• Interrupción operativa: Los incidentes cibernéticos pueden interrumpir los sistemas de pago o los servicios bancarios centrales.
• Exposición al riesgo sistémico: Las interrupciones pueden propagarse por los mercados financieros.
• Compromiso de la cadena de suministro: Los proveedores externalizados de TIC y la nube introducen riesgo de terceros.
• Multas regulatorias: El incumplimiento puede dar lugar a sanciones financieras sustanciales.
• Daño reputacional: La pérdida de confianza de los clientes puede tener consecuencias comerciales a largo plazo.