Cumplimiento de NIS2 para el sector de Infraestructuras del Mercado Financiero

Las infraestructuras del mercado financiero (FMIs) permiten la compensación, la liquidación, la negociación y el registro de transacciones financieras en toda la European Union. Debido a que están en el núcleo de los mercados de capitales y los ecosistemas de pagos, los incidentes cibernéticos que afecten a estas entidades pueden tener consecuencias sistémicas.

La Directiva NIS2 establece obligaciones de ciberseguridad a nivel EU para las entidades Esenciales y Importantes, ampliando el alcance y la fuerza de cumplimiento del marco NIS original. El cumplimiento de NIS2 para las infraestructuras del mercado financiero refuerza los requisitos de resiliencia operativa para las entidades cuya interrupción podría desestabilizar los mercados.

La Directiva se aplica a organizaciones medianas y grandes que operan en sectores designados, incluidas las infraestructuras del mercado financiero. Dado su papel sistémico, la mayoría de las FMIs cumplirán los umbrales relevantes y entrarán en el ámbito.

Si su organización opera como una infraestructura del mercado financiero, puede estar sujeta a NIS2 como entidad Esencial.

El sector de Infraestructuras del Mercado Financiero se clasifica como:

Anexo relevante: Annex I (Entidades Esenciales)

Estas entidades desempeñan un papel fundamental en la estabilidad financiera al facilitar las funciones de negociación de valores, compensación y liquidación. Las entidades que cumplan los umbrales de tamaño aplicables son tratadas como entidades Esenciales bajo NIS2.

• Entidad Esencial según Annex I

• Operadores de plataformas de negociación
• Contrapartes centrales (CCPs)
• Depósitos centrales de valores (CSDs)

Cobertura del subsector (Annex I – Infraestructuras del Mercado Financiero):

El cumplimiento de NIS2 para las infraestructuras del mercado financiero se aplica a:

Dada la escala e importancia sistémica de las plataformas de negociación, las CCPs y las CSDs, la mayoría de las entidades de este sector entrarán automáticamente en el ámbito como entidades Esenciales.

Aunque la aplicabilidad de NIS2 a las pymes es menos frecuente en este sector debido a los requisitos de licencia regulatoria y a la escala operativa, cualquier entidad que cumpla los umbrales de tamaño está cubierta. Las FMIs transfronterizas que operan en varios Estados miembros siguen estando sujetas a las obligaciones de NIS2 dentro del marco de la EU, con sujeción a la coordinación supervisora.

• Empresas de tamaño medio (≥50 empleados y/o €10 millones de facturación anual o total del balance)
• Grandes empresas que superen esos umbrales

En virtud del Article 21 de la Directiva NIS2, las infraestructuras del mercado financiero deben implementar medidas técnicas y organizativas apropiadas y proporcionadas para gestionar los riesgos de ciberseguridad.

Las medidas obligatorias incluyen:

Para las FMIs, estas medidas de seguridad de NIS2 deben proteger los sistemas de transacciones de alto volumen, los motores de compensación, las plataformas de liquidación y la infraestructura de datos de mercado en tiempo real. Controles de resiliencia sólidos, planificación de redundancia y salvaguardias de integridad son esenciales para evitar la perturbación sistémica del mercado.

El cumplimiento de NIS2 para las infraestructuras del mercado financiero requiere la alineación entre la gobernanza de ciberseguridad y los marcos de riesgo del mercado financiero existentes. Las entidades deben garantizar que las medidas de resiliencia ICT apoyen la continuidad del mercado y los objetivos de estabilidad financiera.

• Marco de gestión de riesgos
• Procedimientos de gestión de incidentes
• Continuidad del negocio y recuperación ante desastres
• Seguridad de la cadena de suministro
• Desarrollo y mantenimiento seguros
• Políticas sobre cifrado y criptografía
• Control de acceso y MFA
• Gestión de vulnerabilidades y de parches
• Formación en higiene cibernética
• Uso de comunicaciones seguras

Las infraestructuras del mercado financiero deben cumplir con los plazos de notificación de incidentes de NIS2 cuando se produzcan incidentes significativos.

Las obligaciones de notificación incluyen:

Los informes deben enviarse al CSIRT nacional pertinente o a la autoridad competente designada en virtud de NIS2.

Dada la importancia sistémica de los sistemas de compensación y liquidación, los incidentes que afecten a la continuidad de la negociación, la integridad de las transacciones o el acceso al mercado a menudo calificarán como significativos. La regla de notificación de 24 horas de NIS2 exige procesos de escalado rápidos y una comunicación coordinada con las autoridades supervisoras.

El incumplimiento de los plazos de notificación puede dar lugar a acciones de ejecución regulatoria.

El cumplimiento de NIS2 para las infraestructuras del mercado financiero impone responsabilidad directa al órgano de gestión.

Los requisitos clave de gobernanza incluyen:

El Article 21 de la Directiva NIS2 eleva la ciberseguridad a responsabilidad del órgano de dirección. La alta dirección debe garantizar que las estrategias de resiliencia, los protocolos de gestión de incidentes y las evaluaciones de riesgo estén formalmente documentados e integrados en la gobernanza de la entidad.

Para las FMIs, las fallas de gobernanza pueden no solo exponer a la entidad a sanciones regulatorias, sino también amenazar la estabilidad financiera en general.

• Aprobación de las medidas de gestión del riesgo de ciberseguridad por el órgano de gestión
• Supervisión de la implementación y eficacia
• Formación obligatoria en ciberseguridad para la dirección
• Posible exposición a responsabilidad personal conforme a la legislación nacional

Como entidades de Annex I, las infraestructuras del mercado financiero están sujetas a supervisión proactiva. Las autoridades competentes pueden realizar auditorías, inspecciones y evaluaciones de seguridad independientemente de si se ha producido un incidente.

Las multas administrativas por incumplimiento son:

Las leyes de transposición nacionales pueden definir además la coordinación supervisora entre los reguladores financieros y las autoridades competentes de NIS2. Sin embargo, la Directiva establece umbrales mínimos de sanción armonizados en los Estados miembros.

Dado el perfil de riesgo sistémico de las FMIs, se espera que la aplicación sea rigurosa y estrechamente alineada con los marcos de supervisión financiera.

• Entidades Esenciales: Hasta €10 millones o 2% del volumen de negocio anual mundial total (la cantidad que resulte mayor)

Las infraestructuras del mercado financiero deberían adoptar un enfoque estructurado de cumplimiento:

La preparación temprana reduce el riesgo de aplicación y protege la continuidad operativa.

1. Realizar una evaluación de brechas de NIS2 alineada con los marcos de resiliencia de la infraestructura de mercado existentes
2. Mapear los sistemas críticos de compensación, liquidación y negociación
3. Formalizar un marco documentado de gestión del riesgo de ciberseguridad
4. Actualizar los procedimientos de respuesta a incidentes y coordinación en crisis
5. Revisar los contratos con proveedores terceros de tecnología y datos
6. Formar a los miembros del consejo y a la alta dirección
7. Establecer un flujo de trabajo de notificación 24h/72h/1 mes

Las infraestructuras del mercado financiero enfrentan riesgos específicos del sector bajo NIS2:

El cumplimiento de NIS2 para las infraestructuras del mercado financiero es por tanto un componente crítico de la estabilidad sistémica y de la garantía regulatoria.

• Interrupción del mercado: Los incidentes cibernéticos pueden detener los procesos de negociación o liquidación.
• Contagio sistémico: Las fallas pueden propagarse en cascada por los mercados financieros.
• Compromiso de la integridad de los datos: La manipulación de los registros de transacciones puede minar la confianza.
• Multas regulatorias: El incumplimiento expone a las entidades a sanciones financieras considerables.
• Daño reputacional: La confianza del mercado depende de la resiliencia operativa.