La UE normaliza la gestión del riesgo tecnológico en las entidades financieras con el reglamento DORA

Publicado en El Confidencial el 24-01-2023

24-01-2023 — CM/2023/006

Pocos son los que no han escuchado en alguna reunión de trabajo o webinar, o no han leído en algún documento en Linkedin algo sobre una nueva normativa de la Unión Europea (UE) con un nombre un tanto peculiar: DORA. Pues bien, DORA son las siglas de Digital Operational Resilience Act, como se conoce el reglamento de la UE sobre la resiliencia operativa digital del sector financiero.1

Este reglamento, que será de aplicación directa en enero del año 2025, empezó a elaborarse en Bruselas en el año 2020 y finalmente fue publicado en el Diario Oficial de la Unión Europea, el pasado 27 de diciembre, junto con la Directiva NIS 2 y la Directiva relativa a la resiliencia de las entidades críticas.

El reglamento DORA persigue ser un código normativo único, que atribuye a las entidades del sector financiero de la UE la responsabilidad de adoptar las cautelas necesarias de prevención para recuperarse y volver a operar con normalidad tras sufrir una crisis tecnológica que afecte a su capacidad operativa. Asimismo, DORA atribuye a las autoridades de supervisión financiera la competencia para comprobar las medidas de gestión del riesgo tecnológico aplicadas por las entidades destinatarias de la norma. Para conseguir esa resiliencia, la norma exige a las entidades que desarrollen pruebas e informen continuamente a las autoridades de sus resultados.

Entidades a las que afecta

A la mayor parte de las entidades financieras. Entre otras, a entidades de crédito, entidades de pago, de dinero electrónico, empresas de servicios de inversión o proveedores de servicios de criptoactivos autorizados y a los proveedores de servicios de tecnologías de la información y de la comunicación (TIC)2 que prestan servicios en aquellas.

Sin embargo, el reglamento no va a aplicarse a otras entidades financieras que, bien por su actividad, su volumen o bien por motivos de umbrales de ingresos, el legislador ha decidido dejarlas fuera del ámbito de aplicación. Entre otras, entidades exentas de la aplicación de MiFID o bien intermediarios de seguros, de reaseguros y de seguros complementarios que sean microempresas o pequeñas o medianas empresas.

Efectos del reglamento DORA en las entidades obligadas

Resaltamos los principales requerimientos de la norma:

  1. Nuevo marco de gobernanza de las TIC. Pocas entidades tienen implantando un nivel de gobernanza de riesgos que alcance los niveles de previsión exigidos por este reglamento.
    • Entre los miembros de la alta dirección de la entidad tiene que haber personas formadas y con capacidades suficientes para tomar decisiones de prevención y gestión de los riesgos de las TIC. El reglamento DORA atribuye al órgano de dirección los cometidos y responsabilidades de todas las funciones relacionadas con las TIC y, entre ellas, aprobar un organigrama claro que distribuya las responsabilidades, ratificar las políticas de prevención y gestión de los riesgos, asignar fondos presupuestarios suficientes, fijar los planes de auditoría, recibir la información periódica de los asuntos relacionados con los riesgos, etc.
  2. Nuevo marco de gestión de riesgo de las TIC. Un marco de gestión basado en el principio de proporcionalidad, por tanto, permite también un marco de gestión simplificado para determinadas entidades. Muchas entidades tendrán que implantar una nueva línea de defensa de control, gestión y supervisión de los riesgos relacionados con las TIC, que asegure una capacidad de recuperación adecuada. Asimismo, la norma obliga a designar a un responsable del seguimiento de los acuerdos suscritos con los proveedores de servicios de las TIC.
  3. Plan de comunicación de gestión de crisis, que conlleva la creación de una función propia interna de gestión de crisis.
  4. Puesta en marcha de una estrategia de resiliencia operativa digital conforme los parámetros que define el reglamento DORA, con procedimientos de detección de pruebas, auditorías independientes y realización de simulacros.
  5. Revisión de los procedimientos de gestión de incidentes con las TIC con el fin de adecuarlos a los nuevos requisitos.
  6. Elaboración de un registro con la información sobre los proveedores, que deberá estar a disposición de los supervisores.
  7. Aprobación de una política de gestión de riesgos de las TIC para proveedores.
  8. Revisión de los contratos con proveedores para incorporarles las cláusulas y sus niveles de servicio y calidad. Implica contar con una metodología de identificación de los servicios esenciales, test de ponderación y justificación de beneficios y costes de las soluciones alternativas, reglas de selección, homologación y políticas de control de los proveedores, así como regular los procesos de terminación de los contratos con los proveedores.

Poner en marcha el reglamento DORA supone un reto para las entidades. En los dos próximos años, prepararse para su entrada en vigor será una de las claves de la estrategia operacional. Su implementación requerirá principalmente inversiones en las TIC e  incorporaciones de perfiles técnicos altamente cualificados para afrontar estos nuevos requerimientos.

Como hemos visto en muchas ocasiones, el sector financiero va a la cabeza en el cumplimiento de exigencias regulatorias y esta vez no será menos, pero, dado el nivel de detalle de las medidas que recoge el reglamento DORA, estas disposiciones pueden ser un marco de referencia perfectamente extensible a cualquier sector que quiera lograr un nivel robusto en resiliencia operativa digital.


1 Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.° 1060/2009, (UE) n.° 648/2012, (UE) n.° 600/2014, (UE) n.° 909/2014 y (UE) 2016/1011.
2 Servicios de TIC. Artículo 3.21 del reglamento DORA: «Son los servicios digitales y de datos prestados a través de los sistemas de TIC a uno o varios usuarios internos o externos de forma continua. Incluidos el hardware como servicio y los servicios de hardware que incluyen la prestación de asistencia técnica a través de actualizaciones de software o firmware por parte del proveedor de hardware. Excluidos los servicios telefónicos análogos tradicionales que se clasifican como servicios de red telefónica pública conmutada (RTPC), servicios de línea terrestre, servicios de telefonía convencional (POTS) o servicios de telefonía fija».

 

Últimas noticias (ver todas)

La nueva figura de la ERIR en la Ley de los Mercados de Valores y de los Servicios de Inversión

Gloria Hernández Aler, socia

11-09-2023

Gloria Hernández Aler, socia de finReg360, firma esta tribuna en Legal Today en la que analiza la nueva figura de la ERIR en la Ley de los Mercados de Valores y de los Servicios de Inversión.

En Legal Today el 08-09-2023 | finReg

El GAFI insta al cumplimiento de sus recomendaciones para evitar el uso fraudulento de los activos virtuales

finReg360

11-09-2023

Según adelantan desde finReg360, el GAFI y el Grupo de Contacto de Activos Virtuales seguirán con sus actividades de divulgación y asistencia a jurisdicciones con escasa capacidad para fomentar el cumplimiento de sus recomendaciones.

En Funds Society el 29-08-2023

¿Qué son las retrocesiones en los fondos de inversión y por qué debe de conocerlas?

finReg360

11-09-2023

Como se observa en un documento de finReg360, otro de los cambios introducidos por MiFID II ha sido un cambio en los modelos de distribución con la figura de asesoramiento, y que, de momento, permite mantener esas retrocesiones, aunque están en el centro de debate desde el año pasado cuando miembros del Parlamento Europeo propusieron una modificación a MiFID II para prohibir los incentivos en los servicios de asesoramiento financiero.

En Estrategias de Inversión el 11-08-2023