Search a question

Buenos días, me gustaría hacer dos consultas relacionadas con el reporte de incidentes:

En primer lugar, tras la publicación del segundo lote de RTS de DORA. En relación al RTS Final Report Draft Regulatory Technical Standards on the content of the notification and reports for major incidents and significant cyber threats and determining the time limits for reporting major incidents and Draft Implementing Technical Standards on the standard forms, templates and procedures for financial entities to report a major incident and to notify a significant cyber threats. Nos gustaría realizar dos consultas:
- Por una parte, se incluye, en el artículo 6 de los plazos de notificación para el reporte intermedio, las entidades financieras presentarán sin demora indebida un informe intermedio actualizado, en cualquier caso, cuando se hayan restablecido las actividades regulares. Por lo tanto, ¿se trata de un reporte obligatorio actualizar el informe intermedio bajo esa casuística?

- Por otro lado, en la RTS no se identifica a la autoridad competente a la que se debe de realizar los distintos reportes. En nuestro caso, España, tenemos como CSIRT de referencia INCIBE y también como autoridad competente BANCO DE ESPAÑA, ¿podríais comentarnos a quién es específico se deberían de realizar esos reportes, por favor?

En segundo lugar, aunque no se disponga de una relación estrecha con DORA, ha resultado también necesario Se elabora un informe semestral para la Autoridad Bancaria Europea (EBA) relacionado con los incidentes de ciberseguridad sufridos, con el propósito de llevar a cabo estudios estadísticos en el sector. ¿Podrías ayudarnos a confirmar si esta información es cierta y donde podríamos encontrar la referencia por favor?

Are internally managed AIFs and self-managed UCITS investment companies required to maintain initial capital and additional own funds, respectively, pursuant to Article 9 of AIFMD and Articles 7 and 29 of the UCITS Directive, that are kept separate from the collective investment undertaking’s assets, meaning that the initial capital and the additional own fund should not be included in the fund’s net asset value (NAV)?

What happens to an entity providing crypto-asset services in accordance with applicable law before 30 December 2024 that has not applied for authorisation as a CASP, or whose application for authorisation as a CASP has been refused by the end of the transition period?

Where an entity providing crypto-asset services in accordance with applicable law before 30 December 2024 has applied for but has not been granted or refused authorisation by the end of the transition period, can this entity continue providing services until it is granted or refused authorisation?

(a) How should accumulators - i.e. derivative contracts whereby the buyer commits to buy a predefined number of underlying financial instruments at a predefined price, per day, over a certain “accumulation” period - be classified?

(b) Should the IF report the single transactions executed when settling the accumulator contract?

(c) Should the IF report the transactions concluded with third parties to secure the financial instruments to be sold to the accumulator’s buyer?

(d) How should the accumulator contract be reported?