La UE normaliza la gestión del riesgo tecnológico en las entidades financieras con el reglamento DORA

María Vidal, socia

mvidal@finreg360.com

Publicado en El Confidencial el 24-01-2023

24-01-2023 — CM/2023/006

Pocos son los que no han escuchado en alguna reunión de trabajo o webinar, o no han leído en algún documento en Linkedin algo sobre una nueva normativa de la Unión Europea (UE) con un nombre un tanto peculiar: DORA. Pues bien, DORA son las siglas de Digital Operational Resilience Act, como se conoce el reglamento de la UE sobre la resiliencia operativa digital del sector financiero.1

Este reglamento, que será de aplicación directa en enero del año 2025, empezó a elaborarse en Bruselas en el año 2020 y finalmente fue publicado en el Diario Oficial de la Unión Europea, el pasado 27 de diciembre, junto con la Directiva NIS 2 y la Directiva relativa a la resiliencia de las entidades críticas.

El reglamento DORA persigue ser un código normativo único, que atribuye a las entidades del sector financiero de la UE la responsabilidad de adoptar las cautelas necesarias de prevención para recuperarse y volver a operar con normalidad tras sufrir una crisis tecnológica que afecte a su capacidad operativa. Asimismo, DORA atribuye a las autoridades de supervisión financiera la competencia para comprobar las medidas de gestión del riesgo tecnológico aplicadas por las entidades destinatarias de la norma. Para conseguir esa resiliencia, la norma exige a las entidades que desarrollen pruebas e informen continuamente a las autoridades de sus resultados.

Entidades a las que afecta

A la mayor parte de las entidades financieras. Entre otras, a entidades de crédito, entidades de pago, de dinero electrónico, empresas de servicios de inversión o proveedores de servicios de criptoactivos autorizados y a los proveedores de servicios de tecnologías de la información y de la comunicación (TIC)2 que prestan servicios en aquellas.

Sin embargo, el reglamento no va a aplicarse a otras entidades financieras que, bien por su actividad, su volumen o bien por motivos de umbrales de ingresos, el legislador ha decidido dejarlas fuera del ámbito de aplicación. Entre otras, entidades exentas de la aplicación de MiFID o bien intermediarios de seguros, de reaseguros y de seguros complementarios que sean microempresas o pequeñas o medianas empresas.

Efectos del reglamento DORA en las entidades obligadas

Resaltamos los principales requerimientos de la norma:

  1. Nuevo marco de gobernanza de las TIC. Pocas entidades tienen implantando un nivel de gobernanza de riesgos que alcance los niveles de previsión exigidos por este reglamento.
    • Entre los miembros de la alta dirección de la entidad tiene que haber personas formadas y con capacidades suficientes para tomar decisiones de prevención y gestión de los riesgos de las TIC. El reglamento DORA atribuye al órgano de dirección los cometidos y responsabilidades de todas las funciones relacionadas con las TIC y, entre ellas, aprobar un organigrama claro que distribuya las responsabilidades, ratificar las políticas de prevención y gestión de los riesgos, asignar fondos presupuestarios suficientes, fijar los planes de auditoría, recibir la información periódica de los asuntos relacionados con los riesgos, etc.
  2. Nuevo marco de gestión de riesgo de las TIC. Un marco de gestión basado en el principio de proporcionalidad, por tanto, permite también un marco de gestión simplificado para determinadas entidades. Muchas entidades tendrán que implantar una nueva línea de defensa de control, gestión y supervisión de los riesgos relacionados con las TIC, que asegure una capacidad de recuperación adecuada. Asimismo, la norma obliga a designar a un responsable del seguimiento de los acuerdos suscritos con los proveedores de servicios de las TIC.
  3. Plan de comunicación de gestión de crisis, que conlleva la creación de una función propia interna de gestión de crisis.
  4. Puesta en marcha de una estrategia de resiliencia operativa digital conforme los parámetros que define el reglamento DORA, con procedimientos de detección de pruebas, auditorías independientes y realización de simulacros.
  5. Revisión de los procedimientos de gestión de incidentes con las TIC con el fin de adecuarlos a los nuevos requisitos.
  6. Elaboración de un registro con la información sobre los proveedores, que deberá estar a disposición de los supervisores.
  7. Aprobación de una política de gestión de riesgos de las TIC para proveedores.
  8. Revisión de los contratos con proveedores para incorporarles las cláusulas y sus niveles de servicio y calidad. Implica contar con una metodología de identificación de los servicios esenciales, test de ponderación y justificación de beneficios y costes de las soluciones alternativas, reglas de selección, homologación y políticas de control de los proveedores, así como regular los procesos de terminación de los contratos con los proveedores.

Poner en marcha el reglamento DORA supone un reto para las entidades. En los dos próximos años, prepararse para su entrada en vigor será una de las claves de la estrategia operacional. Su implementación requerirá principalmente inversiones en las TIC e  incorporaciones de perfiles técnicos altamente cualificados para afrontar estos nuevos requerimientos.

Como hemos visto en muchas ocasiones, el sector financiero va a la cabeza en el cumplimiento de exigencias regulatorias y esta vez no será menos, pero, dado el nivel de detalle de las medidas que recoge el reglamento DORA, estas disposiciones pueden ser un marco de referencia perfectamente extensible a cualquier sector que quiera lograr un nivel robusto en resiliencia operativa digital.

1 Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.° 1060/2009, (UE) n.° 648/2012, (UE) n.° 600/2014, (UE) n.° 909/2014 y (UE) 2016/1011.
2 Servicios de TIC. Artículo 3.21 del reglamento DORA: «Son los servicios digitales y de datos prestados a través de los sistemas de TIC a uno o varios usuarios internos o externos de forma continua. Incluidos el hardware como servicio y los servicios de hardware que incluyen la prestación de asistencia técnica a través de actualizaciones de software o firmware por parte del proveedor de hardware. Excluidos los servicios telefónicos análogos tradicionales que se clasifican como servicios de red telefónica pública conmutada (RTPC), servicios de línea terrestre, servicios de telefonía convencional (POTS) o servicios de telefonía fija».

 

Últimas noticias (ver todas)

Flanks y finReg360 lanzan EDX

finReg360

20-01-2026

La firma europea de wealthtech, Flanks y la boutique finReg360 han presentado EDX (European Data Exchange), un nuevo protocolo que aspira a convertirse en el estándar de referencia para el intercambio de datos de posiciones financieras entre bancos custodios, gestoras de patrimonio y firmas de asesoramiento en Europa.

En Radio Intereconomía el 20-01-2026

Flanks And finReg360 Launch EDX, Europe’s First Standardised Financial Data Exchange Protocol

Jorge Ferrer, socio

19-01-2026

«At finReg360, we provide the strategic vision and regulatory framework necessary to protect client privacy and ensure institutions meet their fiduciary duties, while fostering the development of innovative new services», adds Jorge Ferrer, cofounder at finReg360.

En Financial IT el 19-01-2026

Flanks And FinReg360 Launch EDX, Europe’s New Standard For Financial Data Exchange

finReg360

19-01-2026

Flanks, a leading European WealthTech company transforming the industry through automation and data-driven strategic insights, has partnered with finReg360, Spain’s top regulatory advisory and consultancy firm for the financial sector, to launch EDX (European Data Exchange).

En Startup Rise el 19-01-2026
Iniciativas relacionadas
Alertas Relacionadas