La UE normaliza la gestión del riesgo tecnológico en las entidades financieras con el reglamento DORA

María Vidal, socia

mvidal@finreg360.com

Publicado en El Confidencial el 24-01-2023

24-01-2023 — CM/2023/006

Pocos son los que no han escuchado en alguna reunión de trabajo o webinar, o no han leído en algún documento en Linkedin algo sobre una nueva normativa de la Unión Europea (UE) con un nombre un tanto peculiar: DORA. Pues bien, DORA son las siglas de Digital Operational Resilience Act, como se conoce el reglamento de la UE sobre la resiliencia operativa digital del sector financiero.1

Este reglamento, que será de aplicación directa en enero del año 2025, empezó a elaborarse en Bruselas en el año 2020 y finalmente fue publicado en el Diario Oficial de la Unión Europea, el pasado 27 de diciembre, junto con la Directiva NIS 2 y la Directiva relativa a la resiliencia de las entidades críticas.

El reglamento DORA persigue ser un código normativo único, que atribuye a las entidades del sector financiero de la UE la responsabilidad de adoptar las cautelas necesarias de prevención para recuperarse y volver a operar con normalidad tras sufrir una crisis tecnológica que afecte a su capacidad operativa. Asimismo, DORA atribuye a las autoridades de supervisión financiera la competencia para comprobar las medidas de gestión del riesgo tecnológico aplicadas por las entidades destinatarias de la norma. Para conseguir esa resiliencia, la norma exige a las entidades que desarrollen pruebas e informen continuamente a las autoridades de sus resultados.

Entidades a las que afecta

A la mayor parte de las entidades financieras. Entre otras, a entidades de crédito, entidades de pago, de dinero electrónico, empresas de servicios de inversión o proveedores de servicios de criptoactivos autorizados y a los proveedores de servicios de tecnologías de la información y de la comunicación (TIC)2 que prestan servicios en aquellas.

Sin embargo, el reglamento no va a aplicarse a otras entidades financieras que, bien por su actividad, su volumen o bien por motivos de umbrales de ingresos, el legislador ha decidido dejarlas fuera del ámbito de aplicación. Entre otras, entidades exentas de la aplicación de MiFID o bien intermediarios de seguros, de reaseguros y de seguros complementarios que sean microempresas o pequeñas o medianas empresas.

Efectos del reglamento DORA en las entidades obligadas

Resaltamos los principales requerimientos de la norma:

  1. Nuevo marco de gobernanza de las TIC. Pocas entidades tienen implantando un nivel de gobernanza de riesgos que alcance los niveles de previsión exigidos por este reglamento.
    • Entre los miembros de la alta dirección de la entidad tiene que haber personas formadas y con capacidades suficientes para tomar decisiones de prevención y gestión de los riesgos de las TIC. El reglamento DORA atribuye al órgano de dirección los cometidos y responsabilidades de todas las funciones relacionadas con las TIC y, entre ellas, aprobar un organigrama claro que distribuya las responsabilidades, ratificar las políticas de prevención y gestión de los riesgos, asignar fondos presupuestarios suficientes, fijar los planes de auditoría, recibir la información periódica de los asuntos relacionados con los riesgos, etc.
  2. Nuevo marco de gestión de riesgo de las TIC. Un marco de gestión basado en el principio de proporcionalidad, por tanto, permite también un marco de gestión simplificado para determinadas entidades. Muchas entidades tendrán que implantar una nueva línea de defensa de control, gestión y supervisión de los riesgos relacionados con las TIC, que asegure una capacidad de recuperación adecuada. Asimismo, la norma obliga a designar a un responsable del seguimiento de los acuerdos suscritos con los proveedores de servicios de las TIC.
  3. Plan de comunicación de gestión de crisis, que conlleva la creación de una función propia interna de gestión de crisis.
  4. Puesta en marcha de una estrategia de resiliencia operativa digital conforme los parámetros que define el reglamento DORA, con procedimientos de detección de pruebas, auditorías independientes y realización de simulacros.
  5. Revisión de los procedimientos de gestión de incidentes con las TIC con el fin de adecuarlos a los nuevos requisitos.
  6. Elaboración de un registro con la información sobre los proveedores, que deberá estar a disposición de los supervisores.
  7. Aprobación de una política de gestión de riesgos de las TIC para proveedores.
  8. Revisión de los contratos con proveedores para incorporarles las cláusulas y sus niveles de servicio y calidad. Implica contar con una metodología de identificación de los servicios esenciales, test de ponderación y justificación de beneficios y costes de las soluciones alternativas, reglas de selección, homologación y políticas de control de los proveedores, así como regular los procesos de terminación de los contratos con los proveedores.

Poner en marcha el reglamento DORA supone un reto para las entidades. En los dos próximos años, prepararse para su entrada en vigor será una de las claves de la estrategia operacional. Su implementación requerirá principalmente inversiones en las TIC e  incorporaciones de perfiles técnicos altamente cualificados para afrontar estos nuevos requerimientos.

Como hemos visto en muchas ocasiones, el sector financiero va a la cabeza en el cumplimiento de exigencias regulatorias y esta vez no será menos, pero, dado el nivel de detalle de las medidas que recoge el reglamento DORA, estas disposiciones pueden ser un marco de referencia perfectamente extensible a cualquier sector que quiera lograr un nivel robusto en resiliencia operativa digital.

1 Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.° 1060/2009, (UE) n.° 648/2012, (UE) n.° 600/2014, (UE) n.° 909/2014 y (UE) 2016/1011.
2 Servicios de TIC. Artículo 3.21 del reglamento DORA: «Son los servicios digitales y de datos prestados a través de los sistemas de TIC a uno o varios usuarios internos o externos de forma continua. Incluidos el hardware como servicio y los servicios de hardware que incluyen la prestación de asistencia técnica a través de actualizaciones de software o firmware por parte del proveedor de hardware. Excluidos los servicios telefónicos análogos tradicionales que se clasifican como servicios de red telefónica pública conmutada (RTPC), servicios de línea terrestre, servicios de telefonía convencional (POTS) o servicios de telefonía fija».

 

Últimas noticias (ver todas)

Mariona Pericas participa en el “Especial MiCA” del podcast MyConomy

Mariona Pericas, asociada principal

28-06-2024

Mariona Pericas, asociada principal de finReg360, ha participado en una tertulia organizada por el podcast Myconomy, de Radio Intereconomía, y que surge a propósito de la entrada en vigor de la primera parte de la regulación MiCA para el mercado de los criptoactivos.

En Radio Intereconomía el 28-06-2024

Las autoridades europeas de supervisión impulsan la revisión del SFDR

finReg360

26-06-2024

Según explican desde finReg360, este documento sobre la revisión del reglamento de divulgación se centra en los puntos clave para lograr una normativa coherente sobre finanzas sostenibles.

En Funds Society el 26-06-2024

La Unión Europea cuenta ya con normas comunes para la prevención del blanqueo de capitales y de la financiación del terrorismo

finReg360

26-06-2024

La nueva autoridad europea responsable de la prevención del blanqueo de capitales y de la financiación del terrorismo, que tendrá su sede en Frankfurt, empezará a operar a mediados de 2025. Según recuerdan desde finReg360, el «reglamento único» será aplicable desde el 10-7-2027, excepto para los agentes y clubes de fútbol, a los que se les aplicará desde el 10-7-2029.

En Funds Society el 26-06-2024
Iniciativas relacionadas
Alertas Relacionadas