Conozca la segunda resolución del Consejo Nacional del Mercado de Valores sobre seguridad cibernética y de la información y sus implicaciones para las empresas

El 12 de agosto de 2024, el Consejo Nacional del Mercado de Valores (CNMV) de República Dominicana emitió la segunda resolución, denominada como R-CNMV-2024-08-MV que se centra en establecer directrices obligatorias sobre la seguridad cibernética y de la información, áreas de creciente importancia en el contexto actual de digitalización y el entorno actual de amenazas cibernéticas emergentes.

El objetivo principal de la resolución es fortalecer la infraestructura de seguridad cibernética y de la información de las entidades que operan en el mercado de valores dominicano, asegurando la protección de datos sensibles y la integridad de las operaciones financieras.

Es importante tener presente que la seguridad cibernética y de la información debe asumirse como un asunto de negocio, dado que es un pilar fundamental para mantener la confianza en los mercados financieros y proteger los intereses de los inversores.

La resolución establece un reglamento obligatorio para los siguientes participantes del mercado de valores dominicano:

• Intermediarios de valores.
• Sociedades administradoras de mecanismos centralizados de negociación.
• Depósitos centralizados de valores.
• Sociedades que administren los sistemas de compensación y liquidación.
• Entidades de contrapartida central.

Las sociedades administradoras de fondos de inversión, sociedades fiduciarias de fideicomisos de oferta pública, sociedades titularizadoras, sociedades proveedoras de precios y promotores de inversión, estarán obligadas a cumplir con ciertos títulos específicos del reglamento y podrán acogerse voluntariamente a las demás disposiciones.

Principales puntos del reglamento

Políticas y procedimientos de seguridad de la información: Las entidades deben desarrollar, implementar y mantener políticas y procedimientos robustos en materia de ciberseguridad y seguridad de la información. Las políticas deben estar alineadas con estándares internacionales y mejores prácticas, como: ISO/IEC 27001, NIST, OWASP, COBIT, entre otros.

Gestión de riesgos cibernéticos: Se requiere que las entidades realicen evaluaciones periódicas de riesgos cibernéticos, identificando y mitigando posibles vulnerabilidades. Además, se necesita formular, mantener y ejecutar un plan de tratamiento de riesgos de seguridad cibernética y de la información alineado con los objetivos estratégicos y operativos de la compañía.

Identificación de vulnerabilidades: Los participantes deben implementar procedimientos para identificar de manera proactiva las vulnerabilidades en sus sistemas y aplicaciones informáticas. Se requiere el uso de herramientas y técnicas de análisis de vulnerabilidades, así como la realización de pruebas de penetración periódicas.

Capacitación y concienciación: La resolución enfatiza la importancia de la capacitación continua del personal en aspectos de ciberseguridad. Deben implementarse programas de concienciación para asegurar que todos los empleados comprendan las ciberamenazas y las mejores prácticas para mitigarlas.

Resiliencia y recuperación ante incidentes: Las entidades deben establecer planes de continuidad del negocio, de respuesta y recuperación tecnológica ante incidentes de seguridad cibernética. Estos planes deben ser probados y actualizados mediante la realización periódica de pruebas y simulacros para asegurar su eficacia y la preparación del personal.

Monitoreo y detección de amenazas: Se requiere la implementación de sistemas avanzados de monitoreo y detección de ciberamenazas. El monitoreo continuo de eventos en las redes y sistemas es crítico para la detección temprana y la respuesta rápida a incidentes.

Clasificación y etiquetado de la información: Los participantes del mercado de valores deben desarrollar políticas y procedimientos para asegurar la protección adecuada de la información según su importancia en términos de valor, requisitos legales, criticidad y sensibilidad a la divulgación o modificación. Los procedimientos deben cubrir el ciclo de vida de los documentos físicos y digitales: creación, clasificación, almacenamiento, adquisición, modificación y destrucción.

Protección de datos sensibles: La resolución establece requisitos específicos para la protección de datos personales y financieros. Las entidades deben implementar medidas de cifrado y controles de acceso estrictos para proteger la información sensible.

Entrada en vigencia y plazo de adecuación

Las disposiciones del reglamento entran en vigencia en un plazo de seis meses, contados a partir del día hábil siguiente a su publicación que fue el 13 de agosto de 2024. Por esta razón, los participantes del mercado de valores deben adecuarse a las disposiciones del reglamento en un plazo máximo de doce meses, contados a partir de su entrada en vigencia.

Los participantes del Mercado de Valores deben enviar a la Superintendencia del Mercado de Valores de la República Dominicana un cronograma de adecuación gradual que, como mínimo, se ajuste a la distribución trimestral de su implementación. Además, deberán presentar un informe trimestral a la Superintendencia detallando su nivel de avance o ejecución en la adecuación reglamentaria, según el cronograma notificado.

Proceso de evaluación del reglamento

Autoevaluación: Los participantes del mercado de valores deben realizar una autoevaluación anual de su cumplimiento en materia de seguridad cibernética y de la información. Los resultados, incluyendo la evaluación del nivel de exposición, deben presentarse anualmente al consejo de administración. Las evaluaciones deben considerar eventos de divulgación no autorizada de información, corrupción, manipulación y disponibilidad de entornos.

Auditoría interna: Se deben establecer procesos de auditoría interna para supervisar efectivamente el programa de seguridad cibernética y de la información. Los resultados de estas auditorías deben documentarse y notificarse a las partes interesadas, incluyendo conclusiones y recomendaciones.

Evaluación de terceros independientes: Cada tres años, los participantes del mercado de valores deben realizar evaluaciones independientes sobre el cumplimiento normativo en seguridad cibernética y de la información. La evaluación inicial debe realizarse dentro de los tres años desde la entrada en vigencia del reglamento.

La entidad evaluadora debe tener al menos cinco (5) años de experiencia y la independencia necesaria. Los resultados de estas auditorías externas deben presentarse al consejo de administración tras ser evaluados por el comité de auditoría.

Deloitte: Su socio estratégico

Deloitte se posiciona como un socio estratégico ideal para los participantes del mercado de valores en su camino hacia el cumplimiento normativo en materia de Seguridad Cibernética, Gestión de Información y Continuidad del Negocio. Con una vasta experiencia y un enfoque integral, Deloitte ofrece una gama de servicios que pueden ayudarle cubrir todas las implicaciones mencionadas en los artículos y capítulos del reglamento.

Deloitte puede apoyar a los participantes del mercado de valores, tanto en la fase de adecuación inicial como en la ejecución de auditorías de cumplimiento posteriores.

¡Consulte a nuestro equipo de especialistas!