Europa mapa

Recientemente han entrado en vigor o se han aprobado varias normas de la Unión Europea -NIS2, la de Resiliencia de Entidades Críticas (CER) y la Ley de Resiliencia Operativa Digital (DORA)- para reforzar los requisitos de ciberseguridad y proteger las infraestructuras críticas y digitales de las entidades aplicables en los estados miembros.

Según Fitch, “la mejora de las posturas de ciberseguridad a partir del cumplimiento de la normativa es neutral para las calificaciones crediticias”.

Explica la agencia que los ciberataques representan riesgos de cola, o eventos de baja probabilidad que, sin embargo, “pueden tener un impacto significativo”. Fitch no ha tomado ninguna medida de calificación sobre ningún emisor como resultado de los ciberataques, “que son difíciles de predecir y cuantificar, lo que los hace difíciles de modelar en nuestro análisis de calificaciones”.

“Una higiene cibernética adecuada y unos controles sólidos no conducirán por sí mismos a un movimiento positivo de las calificaciones, aunque unos controles deficientes podrían dar lugar a acciones de calificación negativas si se demuestra que son importantes para las finanzas y/o la reputación de una entidad”, apunta la agencia.

La Directiva NIS2, que sustituye a su predecesora NIS de 2016, amplía los sectores cubiertos a quince y refuerza las normas sobre ciberseguridad para las organizaciones de la UE.

La Directiva CER, que sustituye a la Directiva europea sobre infraestructuras críticas de 2008, tiene por objeto reforzar las infraestructuras y redes críticas frente a las amenazas de ciberataques, incluidos los peligros naturales, los atentados terroristas, las amenazas internas o el sabotaje. Los Estados miembros tienen hasta el 17 de octubre de 2024 para transponer ambas directivas a su legislación nacional.

El Reglamento DORA se aplicará a partir del 17 de enero de 2025 y establece requisitos uniformes sobre resistencia operativa digital y seguridad de la información para el sector financiero y terceros críticos que le presten servicios de tecnologías de la información y la comunicación. El Reglamento sustituye a las legislaciones nacionales y se dirige al sector financiero europeo, incluidos bancos, compañías de seguros y empresas de inversión, para hacerlo más resistente a los ciberataques.