Recta final para el reglamento DORA: esta es la hoja de ruta que deben seguir las entidades

Publicado en El Confidencial el 18-07-2024

18-07-2024 — CM/2024/085

Las entidades financieras de la Unión Europea se enfrentan a la urgente necesidad de cumplir con los requisitos del Reglamento (UE) 2022/2554, más conocido como reglamento DORA. Esta norma, cuyo objetivo es mejorar la resiliencia operativa y la ciberseguridad en las esas entidades, recoge las medidas que las entidades han de implantar para gestionar los riesgos relacionados con las tecnologías de la información y las comunicaciones (TIC).

El 17 de enero de 2025 es la fecha desde la que los supervisores exigirán a las entidades que cumplan con esas obligaciones.

Desde 2023, muchas compañías han estado trabajando en la adaptación a esta norma. Sin embargo, otras lo pospusieron o están empezando. Con el objetivo de ayudar a las entidades que están en ello, les propongo una pequeña hoja de ruta que las puede guiar en sus proyectos de adaptación.

El primer paso para la adecuación al reglamento DORA es clasificar a la entidad financiera según su actividad, número de empleados, volumen de negocios, infraestructura tecnológica y dependencia de proveedores tecnológicos. Este análisis inicial permite calificar a la entidad como microempresa, pequeña, mediana o gran empresa, definir el conjunto de obligaciones basadas en el principio de proporcionalidad y determinar si se aplica el «marco simplificado».

A continuación, hay que identificar los activos de información y de las TIC que sustentan las funciones de la entidad, así como los componentes e infraestructuras técnicas y físicas pertinentes, como locales y centros de datos. Este inventario de activos, junto con los procesos y los proveedores de servicios de TIC involucrados, permite construir un marco de gestión del riesgo relacionado con las TIC.

Una vez identificados los activos, se debe elaborar un marco de gestión de riesgos de las TIC que proporcione mecanismos y medidas para una gestión rápida, efectiva y global de estos riesgos. Esto incluye la protección de las infraestructuras y componentes físicos necesarios, así como la supervisión continua de la seguridad y el funcionamiento de los sistemas de TIC. En este marco se definirán los niveles de tolerancia al riesgo y las estrategias de mitigación. Además, será necesario contar con un informe de revisión de este marco, que puede exigir el supervisor financiero con periodicidad anual o distinta según el tipo de entidad.

El siguiente componente es el modelo de gobernanza y control internos, que debe asegurar una gestión eficaz y prudente del riesgo de las TIC mediante la identificación clara de roles y responsabilidades. Este modelo se complementa con un sólido marco de seguridad de la información, que incluirá políticas y procedimientos para la seguridad, intrusiones, accesos, gestión de proyectos y cambios, contraseñas, seguridad física y cifrados, entre otros aspectos.

Para asegurar la resiliencia operativa, cada entidad debe desarrollar un programa de pruebas personalizado, incluyendo la ejecución de auditorías técnicas previstas en el plan. Esto se acompaña de un plan de continuidad de las actividades de TIC, que diferencie las acciones que aseguran la continuidad de las funciones esenciales o importantes, y valide la eficacia de las medidas de seguridad mediante pruebas regulares.

En cuanto a la gestión de incidentes, se debe implantar un procedimiento que cumpla con los requerimientos del reglamento DORA y las normas secundarias, que abarque la clasificación, detección, registro, seguimiento, notificación, respuesta, recuperación y lecciones aprendidas de las ciberamenazas. Este procedimiento es esencial para una respuesta rápida y efectiva ante cualquier incidente.

La relación con los proveedores de TIC también es importante y la que más problemas está generando en los proyectos de adaptación de la norma. Es necesario elaborar un registro de información contractual, notificarlo a la autoridad competente, definir un procedimiento de homologación de proveedores, definir políticas sobre el uso de recursos tecnológicos en servicios esenciales y revisar regularmente a estos proveedores. Además, se deben modificar los contratos con los proveedores de servicios tecnológicos para cumplir con los requerimientos del reglamento, sin que se disponga de un período transitorio, como ocurrió con el reglamento general de protección de datos.

Finalmente, es indispensable contar con un plan de auditoría interna desarrollado por auditores con conocimientos en riesgos de las TIC, alineado con el plan de auditoría de las entidades financieras, y desarrollar un plan de formación en resiliencia operativa digital para el personal y la dirección, junto con programas de sensibilización sobre la seguridad de las TIC, adaptados ambos a las necesidades y al perfil de riesgo de las tecnologías utilizadas.

El objetivo del reglamento DORA, en suma, es lograr que las entidades financieras alcancen un nivel común de resiliencia operativa digital. Para ello, se exige implantar las medidas relacionadas, dentro de las estrategias de las entidades para proteger sus redes y sistemas de información y asegurar la continuidad de sus procesos empresariales, incluso ante situaciones de perturbación.

Últimas noticias (ver todas)

Hacienda pone en audiencia pública el proyecto de real decreto que completa la transposición de la DAC 8

finReg360

31-07-2025

El Ministerio de Hacienda ha puesto en audiencia pública, el 28-7-2025, el proyecto que completa la transposición de la Directiva (UE) 2023/2226, más conocida como DAC 8. Un análisis de finReg360 aporta luz sobre el tema.

En Funds Society el 31-07-2025

La ESMA incorpora dos nuevas preguntas a su documento de Q&A sobre la aplicación de la directiva UCITS

finReg360

29-07-2025

Según finReg360, el documento incorpora dos nuevas preguntas: una, relacionada con la modificación de la documentación sobre la comercialización transfronteriza, y otra, sobre la posibilidad de que un fondo subordinado pueda cobrar una comisión de gestión sobre resultados.

En Funds Society el 29-07-2025

Entre la viralidad y la regulación: el papel del «finfluencer» en la transformación financiera

Mariona Pericas, directora

25-07-2025

Mariona Pericas, directora de Regulación Financiera de finReg360, firma esta tribuna de opinión en la que analiza el impacto creciente de los «finfluencers» (influencers financieros) en las redes sociales, donde millones de personas consumen contenido financiero no regulado.

En El Confidencial el 25-07-2025 | finReg