La UE normaliza la gestión del riesgo tecnológico en las entidades financieras con el reglamento DORA

Pocos son los que no han escuchado en alguna reunión de trabajo o webinar, o no han leído en algún documento en Linkedin algo sobre una nueva normativa de la Unión Europea (UE) con un nombre un tanto peculiar: DORA. Pues bien, DORA son las siglas de Digital Operational Resilience Act, como se conoce el reglamento de la UE sobre la resiliencia operativa digital del sector financiero.¹

Este reglamento, que será de aplicación directa en enero del año 2025, empezó a elaborarse en Bruselas en el año 2020 y finalmente fue publicado en el Diario Oficial de la Unión Europea, el pasado 27 de diciembre, junto con la Directiva NIS 2 y la Directiva relativa a la resiliencia de las entidades críticas.

El reglamento DORA persigue ser un código normativo único, que atribuye a las entidades del sector financiero de la UE la responsabilidad de adoptar las cautelas necesarias de prevención para recuperarse y volver a operar con normalidad tras sufrir una crisis tecnológica que afecte a su capacidad operativa. Asimismo, DORA atribuye a las autoridades de supervisión financiera la competencia para comprobar las medidas de gestión del riesgo tecnológico aplicadas por las entidades destinatarias de la norma. Para conseguir esa resiliencia, la norma exige a las entidades que desarrollen pruebas e informen continuamente a las autoridades de sus resultados.

Entidades a las que afecta

A la mayor parte de las entidades financieras. Entre otras, a entidades de crédito, entidades de pago, de dinero electrónico, empresas de servicios de inversión o proveedores de servicios de criptoactivos autorizados y a los proveedores de servicios de tecnologías de la información y de la comunicación (TIC)² que prestan servicios en aquellas.

Sin embargo, el reglamento no va a aplicarse a otras entidades financieras que, bien por su actividad, su volumen o bien por motivos de umbrales de ingresos, el legislador ha decidido dejarlas fuera del ámbito de aplicación. Entre otras, entidades exentas de la aplicación de MiFID o bien intermediarios de seguros, de reaseguros y de seguros complementarios que sean microempresas o pequeñas o medianas empresas.

Efectos del reglamento DORA en las entidades obligadas

Resaltamos los principales requerimientos de la norma:

1. Nuevo marco de gobernanza de las TIC. Pocas entidades tienen implantando un nivel de gobernanza de riesgos que alcance los niveles de previsión exigidos por este reglamento.
   • Entre los miembros de la alta dirección de la entidad tiene que haber personas formadas y con capacidades suficientes para tomar decisiones de prevención y gestión de los riesgos de las TIC. El reglamento DORA atribuye al órgano de dirección los cometidos y responsabilidades de todas las funciones relacionadas con las TIC y, entre ellas, aprobar un organigrama claro que distribuya las responsabilidades, ratificar las políticas de prevención y gestión de los riesgos, asignar fondos presupuestarios suficientes, fijar los planes de auditoría, recibir la información periódica de los asuntos relacionados con los riesgos, etc.
2. Nuevo marco de gestión de riesgo de las TIC. Un marco de gestión basado en el principio de proporcionalidad, por tanto, permite también un marco de gestión simplificado para determinadas entidades. Muchas entidades tendrán que implantar una nueva línea de defensa de control, gestión y supervisión de los riesgos relacionados con las TIC, que asegure una capacidad de recuperación adecuada. Asimismo, la norma obliga a designar a un responsable del seguimiento de los acuerdos suscritos con los proveedores de servicios de las TIC.
3. Plan de comunicación de gestión de crisis, que conlleva la creación de una función propia interna de gestión de crisis.
4. Puesta en marcha de una estrategia de resiliencia operativa digital conforme los parámetros que define el reglamento DORA, con procedimientos de detección de pruebas, auditorías independientes y realización de simulacros.
5. Revisión de los procedimientos de gestión de incidentes con las TIC con el fin de adecuarlos a los nuevos requisitos.
6. Elaboración de un registro con la información sobre los proveedores, que deberá estar a disposición de los supervisores.
7. Aprobación de una política de gestión de riesgos de las TIC para proveedores.
8. Revisión de los contratos con proveedores para incorporarles las cláusulas y sus niveles de servicio y calidad. Implica contar con una metodología de identificación de los servicios esenciales, test de ponderación y justificación de beneficios y costes de las soluciones alternativas, reglas de selección, homologación y políticas de control de los proveedores, así como regular los procesos de terminación de los contratos con los proveedores.

Poner en marcha el reglamento DORA supone un reto para las entidades. En los dos próximos años, prepararse para su entrada en vigor será una de las claves de la estrategia operacional. Su implementación requerirá principalmente inversiones en las TIC e  incorporaciones de perfiles técnicos altamente cualificados para afrontar estos nuevos requerimientos.

Como hemos visto en muchas ocasiones, el sector financiero va a la cabeza en el cumplimiento de exigencias regulatorias y esta vez no será menos, pero, dado el nivel de detalle de las medidas que recoge el reglamento DORA, estas disposiciones pueden ser un marco de referencia perfectamente extensible a cualquier sector que quiera lograr un nivel robusto en resiliencia operativa digital.