La UE normaliza la gestión del riesgo tecnológico en las entidades financieras con el reglamento DORA

Publicado en El Confidencial el 24-01-2023

24-01-2023 — CM/2023/006

Pocos son los que no han escuchado en alguna reunión de trabajo o webinar, o no han leído en algún documento en Linkedin algo sobre una nueva normativa de la Unión Europea (UE) con un nombre un tanto peculiar: DORA. Pues bien, DORA son las siglas de Digital Operational Resilience Act, como se conoce el reglamento de la UE sobre la resiliencia operativa digital del sector financiero.1

Este reglamento, que será de aplicación directa en enero del año 2025, empezó a elaborarse en Bruselas en el año 2020 y finalmente fue publicado en el Diario Oficial de la Unión Europea, el pasado 27 de diciembre, junto con la Directiva NIS 2 y la Directiva relativa a la resiliencia de las entidades críticas.

El reglamento DORA persigue ser un código normativo único, que atribuye a las entidades del sector financiero de la UE la responsabilidad de adoptar las cautelas necesarias de prevención para recuperarse y volver a operar con normalidad tras sufrir una crisis tecnológica que afecte a su capacidad operativa. Asimismo, DORA atribuye a las autoridades de supervisión financiera la competencia para comprobar las medidas de gestión del riesgo tecnológico aplicadas por las entidades destinatarias de la norma. Para conseguir esa resiliencia, la norma exige a las entidades que desarrollen pruebas e informen continuamente a las autoridades de sus resultados.

Entidades a las que afecta

A la mayor parte de las entidades financieras. Entre otras, a entidades de crédito, entidades de pago, de dinero electrónico, empresas de servicios de inversión o proveedores de servicios de criptoactivos autorizados y a los proveedores de servicios de tecnologías de la información y de la comunicación (TIC)2 que prestan servicios en aquellas.

Sin embargo, el reglamento no va a aplicarse a otras entidades financieras que, bien por su actividad, su volumen o bien por motivos de umbrales de ingresos, el legislador ha decidido dejarlas fuera del ámbito de aplicación. Entre otras, entidades exentas de la aplicación de MiFID o bien intermediarios de seguros, de reaseguros y de seguros complementarios que sean microempresas o pequeñas o medianas empresas.

Efectos del reglamento DORA en las entidades obligadas

Resaltamos los principales requerimientos de la norma:

  1. Nuevo marco de gobernanza de las TIC. Pocas entidades tienen implantando un nivel de gobernanza de riesgos que alcance los niveles de previsión exigidos por este reglamento.
    • Entre los miembros de la alta dirección de la entidad tiene que haber personas formadas y con capacidades suficientes para tomar decisiones de prevención y gestión de los riesgos de las TIC. El reglamento DORA atribuye al órgano de dirección los cometidos y responsabilidades de todas las funciones relacionadas con las TIC y, entre ellas, aprobar un organigrama claro que distribuya las responsabilidades, ratificar las políticas de prevención y gestión de los riesgos, asignar fondos presupuestarios suficientes, fijar los planes de auditoría, recibir la información periódica de los asuntos relacionados con los riesgos, etc.
  2. Nuevo marco de gestión de riesgo de las TIC. Un marco de gestión basado en el principio de proporcionalidad, por tanto, permite también un marco de gestión simplificado para determinadas entidades. Muchas entidades tendrán que implantar una nueva línea de defensa de control, gestión y supervisión de los riesgos relacionados con las TIC, que asegure una capacidad de recuperación adecuada. Asimismo, la norma obliga a designar a un responsable del seguimiento de los acuerdos suscritos con los proveedores de servicios de las TIC.
  3. Plan de comunicación de gestión de crisis, que conlleva la creación de una función propia interna de gestión de crisis.
  4. Puesta en marcha de una estrategia de resiliencia operativa digital conforme los parámetros que define el reglamento DORA, con procedimientos de detección de pruebas, auditorías independientes y realización de simulacros.
  5. Revisión de los procedimientos de gestión de incidentes con las TIC con el fin de adecuarlos a los nuevos requisitos.
  6. Elaboración de un registro con la información sobre los proveedores, que deberá estar a disposición de los supervisores.
  7. Aprobación de una política de gestión de riesgos de las TIC para proveedores.
  8. Revisión de los contratos con proveedores para incorporarles las cláusulas y sus niveles de servicio y calidad. Implica contar con una metodología de identificación de los servicios esenciales, test de ponderación y justificación de beneficios y costes de las soluciones alternativas, reglas de selección, homologación y políticas de control de los proveedores, así como regular los procesos de terminación de los contratos con los proveedores.

Poner en marcha el reglamento DORA supone un reto para las entidades. En los dos próximos años, prepararse para su entrada en vigor será una de las claves de la estrategia operacional. Su implementación requerirá principalmente inversiones en las TIC e  incorporaciones de perfiles técnicos altamente cualificados para afrontar estos nuevos requerimientos.

Como hemos visto en muchas ocasiones, el sector financiero va a la cabeza en el cumplimiento de exigencias regulatorias y esta vez no será menos, pero, dado el nivel de detalle de las medidas que recoge el reglamento DORA, estas disposiciones pueden ser un marco de referencia perfectamente extensible a cualquier sector que quiera lograr un nivel robusto en resiliencia operativa digital.


1 Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.° 1060/2009, (UE) n.° 648/2012, (UE) n.° 600/2014, (UE) n.° 909/2014 y (UE) 2016/1011.
2 Servicios de TIC. Artículo 3.21 del reglamento DORA: «Son los servicios digitales y de datos prestados a través de los sistemas de TIC a uno o varios usuarios internos o externos de forma continua. Incluidos el hardware como servicio y los servicios de hardware que incluyen la prestación de asistencia técnica a través de actualizaciones de software o firmware por parte del proveedor de hardware. Excluidos los servicios telefónicos análogos tradicionales que se clasifican como servicios de red telefónica pública conmutada (RTPC), servicios de línea terrestre, servicios de telefonía convencional (POTS) o servicios de telefonía fija».

 

Últimas noticias (ver todas)

Retos en Comunidad

Jorge Encinar, socio

22-03-2024

Jorge Encinar, socio de Estrategia y Operaciones de finReg360, participa en este reportaje de la revista APD en el que diferentes compañías relatan cuáles son los desafíos más relevantes a los que están haciendo frente sus organizaciones en estos momentos.

En APD el 22-03-2024

Bruselas permitirá a la CNMV establecer comisiones máximas para los fondos de inversión

Sara Gutiérrez Campiña, socia

22-03-2024

Sara Gutiérrez, socia de finReg360, explica que “ha sido una sorpresa que esta comisión parlamentaria apruebe la medida relativa a los índices de referencia”.

En Cinco Días el 22-03-2024

El Parlamento Europeo presenta sus enmiendas sobre la Retail Investment Strategy: afectan a las retros y también al value for money

Sara Gutiérrez Campiña, socia
Maite Álvarez, asociada principal

22-03-2024

Sara Gutiérrez, socia de finReg360, y Maite Álvarez, asociada principal de finReg360, participan en esta noticia que publica FundsPeople a propósito de que el pasado miércoles se votara en el ECON el informe que contiene las enmiendas a la Retail Investment Strategy, el paquete de medidas de protección al inversor.

En FundsPeople el 22-03-2024