España adoptará las directrices de Eiopa en cuestiones de ciberseguridad

Si todo marcha como hasta la fecha, la DGSFP adoptará las nuevas guías en materia de ciberseguridad que ha publicado el regulador de seguros europeo, Eiopa. De esta forma, esta nueva normativa -Directrices sobre gobierno y seguridad de las tecnologías de la información- entrará en vigor el próximo 1 de julio y será de obligado cumplimiento para el sector asegurador.

Así lo ha conformado el inspector de seguros del supervisor español, Víctor Jesús Baeza, en un encuentro organizado por la consultora KPMG. En su intervención el inspector ha resaltado que "se prevé adoptarlas en línea de lo realizado con otras directrices". Ha explicado que a partir de julio habrá que guiarse por lo indicado por Eiopa y por los principios que se regula. No obstante, ha aclarado que tampoco cambiará mucho dentro del sector puesto que va en línea de las inspecciones in situ que el supervisor español viene realizando hasta la fecha.

En líneas generales, las actuaciones de la DGSFP buscan implantar 3 líneas de defensa: formación y concienciación adecuada para todo el personal, entender el papel que juega la gestión de riesgos en las distintas etapas de identificación, evaluación, gestión y apetito definido por el consejo de administración y, por último, un sistema de control que posibilite la interacción para así mantener los riesgos dentro de un entorno gestionable y dentro del apetito de riesgo aprobado.

Eiopa tomó la decisión de establecer estas nuevas guías porque en su opinión el sistema de gobierno adoptado "no tenía en cuenta la gestión específica" del mundo Cyber, según ha mencionado el inspector.

Habrá sanciones

El inspector de la DGSFP ha explicado que hasta el momento en que las nuevas directrices de Eiopa entren en vigor se seguirán realizando la inspección como hasta la fecha. Ésta consiste en valorar la situación en la que se encuentra la empresa y realizar una serie de "recomendaciones y sugerencias" según el punto de visto del supervisor. Indicó que también se deja margen para que la empresa plantee un plan de acción sobre estas recomendaciones.

Desde la entrada en vigor de las nuevas normas, "la intención es seguir esta línea y profundizar", pero indicó que al haber una legislación "ya no sólo son recomendaciones" y en el caso de no cumplirse "en un plazo razonable" sí señaló que podría haber sanciones.