La Autoridad Bancaria Europea emite directrices para las autoridades nacionales sobre la supervisión del cumplimiento del reglamento DORA

30-07-2024 — AR/2024/067

Es un reflejo de la importancia que la autoridad europea da al cumplimiento del reglamento DORA en las entidades financieras.

La Autoridad Bancaria Europea (ABE o EBA, en siglas inglesas) publicó, el 8-7-2024, su programa de supervisión para 2025,1 en el que detalla las cuestiones a las que los supervisores prestarán especial atención en 2025.

Dentro de esas cuestiones, incluye que los supervisores han de desarrollar sus labores inspectoras de manera coordinada sobre los requerimientos del reglamento DORA,2 que empieza a aplicarse el 17-1-2025.

Consideración de los riesgos tecnológicos

La ABE:

  • considera los riesgos de las tecnologías de la información y las comunicaciones (TIC) como riesgos operacionales,
  • determina que los requisitos homogéneos para toda la Unión Europea que refleja el reglamento DORA favorecen un sistema de supervisión que abarque también la resiliencia operativa digital del sector financiero, y
  • estima que fortalece los mandatos de las autoridades competentes para supervisar la gestión del riesgo tecnológico para proteger la integridad y eficiencia del mercado interior y facilitar su desarrollo.

Supervisión coordinada

En relación con estos riesgos, la ABE detalla que los supervisores han de considerar las actuaciones siguientes:

  1. Evaluar los planes y acciones de las entidades financieras para asegurar una gestión eficaz y prudente del riesgo de las TIC:
    • Incluirá una buena documentación del ámbito de gestión del riesgo de las TIC, que abarca una estrategia de resiliencia operativa digital y las políticas relacionadas.
  2. Evaluar si las entidades financieras:
    • clasifican los incidentes relacionados con las TIC y las ciberamenazas de acuerdo con las normas técnicas del reglamento DORA, y
    • son capaces de notificar oportunamente los incidentes importantes relacionados con las TIC a sus autoridades competentes.
  3. Revisar la adecuación y el alcance del programa de pruebas de resistencia operativa digital de las entidades financieras:
    • Incluirá la evaluación del grado de preparación de los bancos significativos para realizar pruebas de penetración dirigidas por amenazas, como recogen los requisitos del reglamento y sus normas técnicas.
  4. Verificar que funcionen y cumplan las normas técnicas:
    • el registro de los acuerdos contractuales con los proveedores de servicios de TIC, y
    • la presentación de los datos a las autoridades competentes.
  5. Evaluar la capacidad de los gestores para desarrollar e impulsar colectivamente:
    • la estrategia digital de la entidad, y
    • los efectos de la la transformación en el modelo de negocio y el perfil de riesgo de la entidad.
1 European Banking Authority (2024): «2025 European Supervisory Examination Programme». (EBA/REP/2024/14).
2 Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011.
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información