LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo, de 31 de mayo de 2023, relativo a los mercados de criptoactivos y por el que se modifican los Reglamentos (UE) n.o 1093/2010 y (UE) n.o 1095/2010 y las Directivas 2013/36/UE y (UE) 2019/1937 (1), y en particular su artículo 68, apartado 10, párrafo tercero,

Considerando lo siguiente:

(1)

Los artículos 11 y 12 del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (2) establecen requisitos relativos a la respuesta y recuperación, las políticas y procedimientos de respaldo, y los procedimientos y métodos de restablecimiento y recuperación relativos a los sistemas de TIC de las entidades financieras, incluidos los proveedores de servicios de criptoactivos. El Reglamento Delegado (UE) 2024/1774 de la Comisión (3) especifica además los componentes de la política de continuidad de la actividad en materia de TIC, las pruebas de los planes de continuidad de la actividad en materia de TIC y los componentes de los planes de respuesta y recuperación en materia de TIC de las entidades financieras, incluidos los proveedores de servicios de criptoactivos. El presente Reglamento completa las citadas disposiciones del Reglamento (UE) 2022/2554 y del Reglamento Delegado (UE) 2024/1774 respecto de la continuidad y regularidad de la prestación de los servicios de criptoactivos.

(2)

Al prestar sus servicios, es posible que los proveedores de servicios de criptoactivos utilicen un registro distribuido sobre el que no tengan control, incluido un registro distribuido accesible sin permisos. En esos casos, podrían no ser capaces de garantizar la regularidad y continuidad de sus servicios cuando las interrupciones se deban a problemas inherentes al funcionamiento de dichos registros distribuidos. Para mitigar una volatilidad del mercado que podría tener un efecto adverso sobre los clientes afectados por tales interrupciones, los proveedores de servicios de criptoactivos deben incluir en su estrategia de continuidad de la actividad medidas para la comunicación oportuna con los clientes y otras partes interesadas externas. Dicha comunicación debe incluir información esencial y oportuna para los clientes sobre las referidas interrupciones, incluida información actualizada sobre la situación, hasta que se solvente la interrupción y se reanuden los servicios. Cuando el proveedor de servicios de criptoactivos no pueda disponer fácilmente de información sobre la situación del registro distribuido accesible sin permisos causante de una interrupción del servicio, debe proporcionar información actualizada, en la medida de lo posible, a los clientes y a otras partes interesadas, incluidas las autoridades competentes, para garantizar que todos ellos dispongan de información lo más completa posible sobre dichas interrupciones.

(3)

A fin de evitar una carga administrativa desproporcionada para las pequeñas y medianas empresas y las empresas emergentes, los proveedores de servicios de criptoactivos deben tener en cuenta en su estrategia de continuidad de la actividad la dimensión, la naturaleza y la gama de servicios que prestan. Esto significa que los proveedores de servicios de criptoactivos deben determinar sus requisitos específicos de continuidad de la actividad partiendo de una autoevaluación sólida, basada en una serie de criterios que les permitan aplicar una estrategia de continuidad de la actividad acorde con la repercusión en el mercado de sus servicios. La autoevaluación también debe tener en cuenta otras circunstancias, además de las enumeradas en el anexo, que puedan repercutir en el proveedor de servicios de criptoactivos.

(4)	El presente Reglamento se basa en los proyectos de normas técnicas de regulación presentados por la Autoridad Europea de Valores y Mercados a la Comisión.

(5)

La Autoridad Europea de Valores y Mercados ha llevado a cabo consultas públicas abiertas sobre los proyectos de normas técnicas de regulación en que se basa el presente Reglamento, ha analizado los costes y beneficios potenciales conexos y ha recabado el asesoramiento del Grupo de Partes Interesadas del Sector de los Valores y Mercados, establecido de conformidad con el artículo 37 del Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo (4).

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Definiciones

A efectos del presente Reglamento, se entenderá por:

a)	«función esencial o importante»: una función esencial o importante como se define en el artículo 3, punto 22, del Reglamento (UE) 2022/2554;

«registro distribuido accesible sin permisos»: un tipo específico de registro distribuido en el que ninguna entidad controla el registro distribuido y cuyos nodos de red TDR pueden ser establecidos por cualquier persona que cumpla los requisitos técnicos y los protocolos de dicho registro distribuido.

Artículo 2

Disposiciones organizativas relativas a la continuidad de las actividades

1. La estrategia de continuidad de la actividad a que se refiere el artículo 68, apartado 7, del Reglamento (UE) 2023/1114 constará de planes, procedimientos y medidas.

2. El órgano de dirección del proveedor de servicios de criptoactivos, en el ejercicio de las funciones a que se refiere el artículo 68, apartado 6, del Reglamento (UE) 2023/1114, establecerá y aprobará los planes, procedimientos y medidas que conformen la estrategia de continuidad de la actividad. El órgano de dirección del proveedor de servicios de criptoactivos será responsable de la aplicación de la estrategia de continuidad de la actividad y de la revisión de su eficacia, al menos, anualmente.

3. Los proveedores de servicios de criptoactivos velarán por que cualquier modificación de la estrategia de continuidad de la actividad se transmita a todo el personal interno pertinente a través de canales de comunicación eficaces.

Artículo 3

Estrategia de continuidad de la actividad

1. La estrategia de continuidad de la actividad a que se refiere el artículo 68, apartado 7, del Reglamento (UE) 2023/1114 garantizará que los proveedores de servicios de criptoactivos aborden adecuadamente las interrupciones o los problemas de rendimiento relacionados con los sistemas críticos para el ejercicio de sus funciones empresariales y se almacenarán en un soporte duradero.

2. Los proveedores de servicios de criptoactivos incluirán en su estrategia de continuidad de la actividad todos los elementos siguientes:

a)	especificación del alcance de la estrategia de continuidad de la actividad, incluidas sus limitaciones y exclusiones, que debe cubrirse con los planes, procedimientos y medidas de continuidad de la actividad;

b)	una descripción de los criterios para activar los planes de continuidad de la actividad, incluidos los procedimientos de traslado a la instancia jerárquica superior hasta el nivel del órgano de dirección;

c)	disposiciones sobre la gobernanza y la organización del proveedor de servicios de criptoactivos, incluidas las funciones y responsabilidades del personal, garantizando la disponibilidad de recursos suficientes para la aplicación efectiva de la estrategia;

d)	disposiciones que garanticen la coherencia entre los planes de continuidad de la actividad y los planes de continuidad de la actividad en materia de TIC y los planes de respuesta y recuperación en materia de TIC a que se refieren los artículos 24 y 26 del Reglamento Delegado (UE) 2024/1774.

Artículo 4

Planes de continuidad de la actividad

1. Al aplicar la estrategia de continuidad de la actividad a que se refiere el artículo 68, apartado 7, del Reglamento (UE) 2023/1114, los proveedores de servicios de criptoactivos establecerán planes de continuidad de la actividad. Los planes de continuidad de la actividad dispondrán los procedimientos necesarios para proteger y, en caso necesario, restablecer:

a)	la confidencialidad, integridad y disponibilidad de los datos de clientes;

b)	la disponibilidad de las funciones empresariales, los procesos de apoyo y los activos de información de los proveedores de servicios de criptoactivos.

2. Los planes de continuidad de la actividad contendrán lo siguiente:

una serie de posibles escenarios adversos relacionados con la ejecución de las funciones esenciales o importantes, en particular la indisponibilidad de las funciones empresariales, el personal, el espacio de trabajo, los proveedores externos o los centros de datos, o la pérdida o la alteración de datos y documentos esenciales;

los procedimientos y estrategias que deben seguirse en caso de interrupción, en particular:

i)	las medidas necesarias para recuperar las funciones esenciales o importantes;

ii)	los plazos en los que deben recuperarse esas funciones esenciales o importantes;

iii)	objetivos de punto de recuperación;

iv)	el plazo máximo para reanudar los servicios;

c)	los procedimientos y estrategias para reubicar en un emplazamiento de reserva las funciones empresariales utilizadas en la prestación de servicios de criptoactivos;

d)	copias de seguridad de los datos empresariales esenciales, incluida la información actualizada de los contactos necesarios para garantizar la comunicación interna del proveedor de servicios de criptoactivos y entre el proveedor de servicios de criptoactivos y sus clientes;

e)	procedimientos para la comunicación oportuna con los clientes y otras partes interesadas externas, incluidas las autoridades competentes.

3. En el caso de las interrupciones relacionadas con un registro distribuido accesible sin permisos utilizado por el proveedor de servicios de criptoactivos en la prestación de sus servicios, las comunicaciones a que se refiere el apartado 2, letra e), incluirán la siguiente información:

a)	el momento en que se espera reanudar los servicios;

b)	las causas y efectos de la interrupción;

c)	los riesgos relacionados con los fondos de clientes y los criptoactivos mantenidos por cuenta de los clientes;

d)	las medidas que el proveedor de servicios de criptoactivos tiene previsto adoptar como respuesta a la interrupción de un registro distribuido accesible sin permisos.

Cuando el proveedor de servicios de criptoactivos no pueda disponer fácilmente de dicha información, deberá proporcionar, en la medida de lo posible, actualizaciones relativas a la información a que se refiere el párrafo primero a los clientes y las partes interesadas, incluidas las autoridades competentes.

4. Los planes de continuidad de la actividad establecerán procedimientos que permitan solventar las interrupciones de funciones esenciales o importantes externalizadas, en particular la posibilidad de que tales funciones dejen de estar disponibles.

Artículo 5

Pruebas periódicas de los planes de continuidad de la actividad

1. Los proveedores de servicios de criptoactivos someterán a prueba el funcionamiento de los planes de continuidad de la actividad a que se refiere el artículo 4 basándose en escenarios realistas. Dichas pruebas verificarán la capacidad del proveedor de servicios de criptoactivos para recuperarse tras las interrupciones y reanudar los servicios de conformidad con el artículo 4, apartado 2, letra b).

2. Los proveedores de servicios de criptoactivos someterán anualmente a prueba los planes de continuidad de la actividad teniendo en cuenta:

a)	los resultados de las pruebas a que se refiere el apartado 1;

b)	la inteligencia sobre amenazas más reciente;

c)	el aprendizaje derivado de hechos anteriores;

d)	cuando proceda, los cambios en los objetivos de recuperación, incluidos los objetivos de tiempo de recuperación y de punto de recuperación a que se refiere el artículo 4, apartado 2, letra b);

e)	las variaciones en las funciones empresariales.

3. Los proveedores de servicios de criptoactivos documentarán por escrito los resultados de las pruebas y los presentarán a su órgano de dirección y a las unidades operativas que participen en la elaboración de los planes de continuidad de la actividad.

4. Los proveedores de servicios de criptoactivos velarán por que las pruebas de los planes de continuidad de la actividad no alteren la prestación normal de sus servicios.

Artículo 6

Consideraciones sobre complejidad y riesgo

1. Al establecer la estrategia de continuidad de la actividad, en concreto, los planes, procedimientos y medidas, los proveedores de servicios de criptoactivos tendrán en cuenta los elementos que conlleven mayor complejidad o riesgo, en particular:

a)	el tipo y la gama de servicios de criptoactivos ofrecidos;

b)	la medida en que los servicios del proveedor de servicios de criptoactivos se apoyan en un registro distribuido accesible sin permisos;

c)	el efecto que una interrupción podría tener en la continuidad de las actividades del proveedor de servicios de criptoactivos y en la disponibilidad de sus servicios.

2. A efectos del apartado 1, los proveedores de servicios de criptoactivos autoevaluarán anualmente la dimensión, la naturaleza y la gama de sus servicios. Los proveedores de servicios de criptoactivos basarán dicha autoevaluación en los criterios establecidos en el anexo y en cualquier otro criterio que el proveedor de servicios de criptoactivos considere pertinente.

Artículo 7

Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 31 de octubre de 2024.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1) DO L 150 de 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

(2) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

(3) Reglamento Delegado (UE) 2024/1774 de la Comisión, de 13 de marzo de 2024, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican las herramientas, métodos, procesos y políticas de gestión del riesgo relacionado con las TIC y el marco simplificado de gestión del riesgo relacionado con las TIC (DO L, 2024/1774, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1774/oj).

(4) Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Valores y Mercados), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión 2009/77/CE de la Comisión (DO L 331 de 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

ANEXO

CRITERIOS PARA LA AUTOEVALUACIÓN DE LOS PROVEEDORES DE SERVICIOS DE CRIPTOACTIVOS

La naturaleza del proveedor de servicios de criptoactivos, sobre la base de los siguientes elementos:

i)	la designación de clase conforme al anexo IV del Reglamento (UE) 2023/1114;

ii)	la liquidez media o la profundidad del mercado de los criptoactivos disponibles para negociación en una plataforma de negociación de criptoactivos, cuando proceda;

iii)

la función del proveedor de servicios de criptoactivos en el sistema financiero, en particular si el proveedor de servicios de criptoactivos gestiona una plataforma de negociación de criptoactivos y si los criptoactivos negociados en su plataforma se negocian en otras plataformas de negociación de criptoactivos.

La dimensión, evaluando la repercusión del proveedor de servicios de criptoactivos en el funcionamiento ordenado de los mercados sobre la base de los siguientes elementos, cuando proceda:

i)	si el proveedor de servicios de criptoactivos puede considerarse significativo a tenor del artículo 85 del Reglamento (UE) 2023/1114;

ii)	el número de países en los que el proveedor de servicios de criptoactivos ejerce su actividad empresarial;

iii)	el número de clientes;

iv)	el número de usuarios activos;

v)	el valor de los criptoactivos mantenidos en custodia;

vi)	el volumen de operaciones en una plataforma de negociación de criptoactivos;

vii)	el número de transferencias de criptoactivos realizadas por cuenta de clientes;

viii)

el número de órdenes ejecutadas por cuenta de clientes.

La complejidad, evaluando los siguientes elementos, cuando proceda:

i)	la estructura del proveedor de servicios de criptoactivos por lo que respecta a la propiedad y la gobernanza, y su presencia organizativa, operativa, técnica, física y geográfica;

ii)	el grado de externalización del proveedor de servicios de criptoactivos y, en particular, si se han externalizado funciones operativas esenciales o importantes;

iii)	el número y el tipo de registros distribuidos utilizados en la prestación de los servicios;

iv)	el número de nodos de red TRD que el proveedor de servicios de criptoactivos gestiona en uno o varios registros distribuidos;

v)	el número y el tipo de contratos inteligentes almacenados y mantenidos por el proveedor de servicios de criptoactivos;

vi)	la forma en que se asegura la custodia de las claves criptográficas privadas de los clientes u otros medios de acceso a criptoactivos;

vii)	el uso de monederos con custodia basados en equipos o programas informáticos o monederos que aseguren claves criptográficas utilizando múltiples fiduciarios.

A efectos de la letra b), incisos iii) a viii), el proveedor de servicios de criptoactivos utilizará para la autoevaluación la media diaria a lo largo de un período de referencia de un año.