Recta final para el reglamento DORA: esta es la hoja de ruta que deben seguir las entidades

Publicado en El Confidencial el 18-07-2024

18-07-2024 — CM/2024/085

Las entidades financieras de la Unión Europea se enfrentan a la urgente necesidad de cumplir con los requisitos del Reglamento (UE) 2022/2554, más conocido como reglamento DORA. Esta norma, cuyo objetivo es mejorar la resiliencia operativa y la ciberseguridad en las esas entidades, recoge las medidas que las entidades han de implantar para gestionar los riesgos relacionados con las tecnologías de la información y las comunicaciones (TIC).

El 17 de enero de 2025 es la fecha desde la que los supervisores exigirán a las entidades que cumplan con esas obligaciones.

Desde 2023, muchas compañías han estado trabajando en la adaptación a esta norma. Sin embargo, otras lo pospusieron o están empezando. Con el objetivo de ayudar a las entidades que están en ello, les propongo una pequeña hoja de ruta que las puede guiar en sus proyectos de adaptación.

El primer paso para la adecuación al reglamento DORA es clasificar a la entidad financiera según su actividad, número de empleados, volumen de negocios, infraestructura tecnológica y dependencia de proveedores tecnológicos. Este análisis inicial permite calificar a la entidad como microempresa, pequeña, mediana o gran empresa, definir el conjunto de obligaciones basadas en el principio de proporcionalidad y determinar si se aplica el «marco simplificado».

A continuación, hay que identificar los activos de información y de las TIC que sustentan las funciones de la entidad, así como los componentes e infraestructuras técnicas y físicas pertinentes, como locales y centros de datos. Este inventario de activos, junto con los procesos y los proveedores de servicios de TIC involucrados, permite construir un marco de gestión del riesgo relacionado con las TIC.

Una vez identificados los activos, se debe elaborar un marco de gestión de riesgos de las TIC que proporcione mecanismos y medidas para una gestión rápida, efectiva y global de estos riesgos. Esto incluye la protección de las infraestructuras y componentes físicos necesarios, así como la supervisión continua de la seguridad y el funcionamiento de los sistemas de TIC. En este marco se definirán los niveles de tolerancia al riesgo y las estrategias de mitigación. Además, será necesario contar con un informe de revisión de este marco, que puede exigir el supervisor financiero con periodicidad anual o distinta según el tipo de entidad.

El siguiente componente es el modelo de gobernanza y control internos, que debe asegurar una gestión eficaz y prudente del riesgo de las TIC mediante la identificación clara de roles y responsabilidades. Este modelo se complementa con un sólido marco de seguridad de la información, que incluirá políticas y procedimientos para la seguridad, intrusiones, accesos, gestión de proyectos y cambios, contraseñas, seguridad física y cifrados, entre otros aspectos.

Para asegurar la resiliencia operativa, cada entidad debe desarrollar un programa de pruebas personalizado, incluyendo la ejecución de auditorías técnicas previstas en el plan. Esto se acompaña de un plan de continuidad de las actividades de TIC, que diferencie las acciones que aseguran la continuidad de las funciones esenciales o importantes, y valide la eficacia de las medidas de seguridad mediante pruebas regulares.

En cuanto a la gestión de incidentes, se debe implantar un procedimiento que cumpla con los requerimientos del reglamento DORA y las normas secundarias, que abarque la clasificación, detección, registro, seguimiento, notificación, respuesta, recuperación y lecciones aprendidas de las ciberamenazas. Este procedimiento es esencial para una respuesta rápida y efectiva ante cualquier incidente.

La relación con los proveedores de TIC también es importante y la que más problemas está generando en los proyectos de adaptación de la norma. Es necesario elaborar un registro de información contractual, notificarlo a la autoridad competente, definir un procedimiento de homologación de proveedores, definir políticas sobre el uso de recursos tecnológicos en servicios esenciales y revisar regularmente a estos proveedores. Además, se deben modificar los contratos con los proveedores de servicios tecnológicos para cumplir con los requerimientos del reglamento, sin que se disponga de un período transitorio, como ocurrió con el reglamento general de protección de datos.

Finalmente, es indispensable contar con un plan de auditoría interna desarrollado por auditores con conocimientos en riesgos de las TIC, alineado con el plan de auditoría de las entidades financieras, y desarrollar un plan de formación en resiliencia operativa digital para el personal y la dirección, junto con programas de sensibilización sobre la seguridad de las TIC, adaptados ambos a las necesidades y al perfil de riesgo de las tecnologías utilizadas.

El objetivo del reglamento DORA, en suma, es lograr que las entidades financieras alcancen un nivel común de resiliencia operativa digital. Para ello, se exige implantar las medidas relacionadas, dentro de las estrategias de las entidades para proteger sus redes y sistemas de información y asegurar la continuidad de sus procesos empresariales, incluso ante situaciones de perturbación.

Últimas noticias (ver todas)

Hacienda cerca al mundo cripto con una ola de inspecciones y la amenaza de multas

Cristina Mayo, socia
Ana Mayo, socia

26-05-2025

Ana Mayo y Cristina Mayo, socias de Fiscal de finReg360, participan en esta noticia en la que se explica que la Agencia Tributaria ha intensificado el control con comprobaciones e inspecciones tanto a los proveedores como a los inversores de criptoactivos.

En El Confidencial el 26-05-2025

Cuando el inspector es un algoritmo: la nueva era de los precios de transferencia

Paula Vicario, socia
Andrea Vélez, asociada

23-05-2025

Paula Vicario, socia de Precios de Transferencia de finReg360, junto a Andrea Vélez, asociada de su equipo, firman esta tribuna de opinión en la que analizan cómo la inteligencia artificial está transformando la fiscalidad, también en el ámbito de los precios de transferencia.

En El Confidencial el 23-05-2025 | finReg

La Comisión Europea lanza una consulta previa sobre el impacto de la Unión de Ahorros e Inversiones

finReg360

19-05-2025

Según explican los expertos de finReg360, el objetivo es recabar de los interesados observaciones para valorar en la preparación de una futura iniciativa legislativa en el cuarto trimestre de 2025.

En Funds Society el 19-05-2025