ciberseguridad y cifra
Reglamento DORA
El reglamento de Resiliencia Operativa Digital, o DORA por sus siglas en inglés, ha introducido un marco normativo global a nivel de la UE que incluye normas sobre resiliencia operativa digital para todas las entidades financieras.
¿Qué es DORA?
El pasado 16 de enero de 2023 entró en vigor un nuevo Reglamento para regular la forma en que las entidades financieras gestionan el riesgo digital en las finanzas. Este Reglamento de Resiliencia Operativa Digital, es conocido por el nombre de DORA o Digital Operational Resilience Act.
Es la apuesta de la Comisión Europea para homogeneizar y reforzar el ámbito normativo sobre resiliencia operativa digital en el sector financiero europeo en un entorno de transformación digital, nuevos participantes y grandes organizaciones tecnológicas.
Antes de DORA, las instituciones financieras gestionaban las principales categorías de riesgo operativo principalmente con la asignación de capital, pero no gestionaban todos los componentes de la resiliencia operativa (capacidad de la organización de seguir funcionando ante cualquier evento adverso).
Se trata de una normativa que forma parte del paquete de finanzas digitales, un paquete de medidas para seguir construyendo y apoyando la fuerza de las finanzas digitales en el contexto financiero actual, en términos de innovación y competencia, mitigando al mismo tiempo los riesgos que se derivan de ella.
Además de esta propuesta, el paquete incluye también una propuesta de Reglamento relativo a los mercados de criptoactivos, una propuesta de Reglamento sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado y una propuesta de Directiva para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros.
¿Cuáles son los objetivos de DORA?
La evolución de la tecnología en el sector financiero y la aparición de nuevos sistemas de pago digitales que son cada vez más usados entre la población, junto al apogeo y el creciente uso de las criptomonedas, y en general, de los criptoactivos, suponen una revolución. En este contexto, la nueva normativa de resiliencia debe aumentar la confianza y atraer las inversiones.
DORA tiene como objetivo consolidar y mejorar los requisitos de riesgo de las TIC. Es decir, las tecnologías de la información y las comunicaciones, en todas las entidades financieras para conseguir que todas las empresas estén sujetas a un conjunto de normas comunes para mitigar los riesgos de las TIC.
Podemos decir de esta manera, que el objetivo principal de DORA es la innovación y la mejora de las normas que ya existen así como la estandarización del modelo de notificación de incidentes, garantizando que la Unión adopte la revolución digital y la impulse con empresas europeas innovadoras en la vanguardia, poniendo los beneficios de las finanzas digitales a disposición de los consumidores y las empresas.
¿A qué empresas afecta DORA?
DORA tendrá una aplicación muy amplia y cubrirá todas las entidades financieras europeas autorizadas, en total unas 20, incluyendo los proveedores de servicios TIC.
- Entidades de crédito
- Entidades de pago
- Proveedores de servicios de información sobre cuentas
- Entidades de dinero electrónico
- Empresas de servicios de inversión
- Proveedores de servicios de criptoactivos
- Depositarios centrales de valores
- Entidades de contrapartida central
- Centros de negociación
- Registros de operaciones
- Gestores de fondos de inversión alternativos
- Sociedades de gestión
- Proveedores de servicios de suministro de datos
- Empresas e intermediarios de seguros, reaseguros y seguros complementarios
- Fondos de pensiones de empleo
- Agencias de calificación crediticia
- Administradores de índices de referencia cruciales
- Proveedores de servicios de financiación participativa
- Registros de titulizaciones
A pesar de su alcance intencionalmente amplio, DORA proporciona algunos elementos de proporcionalidad, es decir, las entidades financieras incluidas en el alcance deberán cumplir con DORA teniendo en cuenta su tamaño y perfil de riesgo general, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones, entre otras variables, pudiendo aplicar también a PYMES.
¿Cuáles son las implicaciones prácticas de DORA?
Respecto a su alcance e implicaciones, el modo en el que DORA impacta en las instituciones es el siguiente:
- La gestión del riesgo TIC, propio y de terceros proveedores.
- Los incidentes y las notificaciones de incidentes relacionados con las TIC.
- Las pruebas de resiliencia operativa digital, que comprendan una variedad de evaluaciones, pruebas, metodologías, prácticas y herramientas.
- El intercambio de información entre entidades financieras.
- La monitorización continua del funcionamiento de los sistemas y herramientas.
En particular, mejorará y racionalizará la gestión de los riesgos TIC por parte de las entidades financieras, establecerá pruebas exhaustivas de los sistemas TIC, aumentará la concienciación de los supervisores sobre los riesgos de ciberseguridad y los incidentes relacionados con las TIC a los que se enfrentan las entidades financieras, y facultará a los supervisores financieros para supervisar los riesgos derivados de la dependencia de proveedores externos de servicios de TIC por parte de las entidades financieras.
La propuesta creará un mecanismo coherente de notificación de incidentes que contribuirá a reducir las cargas administrativas para las entidades financieras y reforzará la eficacia de la supervisión.
¿Cuándo se prevé la aprobación y publicación de DORA?
Si bien el Reglamento entró en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea, será plenamente aplicable a partir del 17 de enero de 2025, por lo que las entidades financieras tendrán un plazo de 2 años para darle cumplimiento.
Además, es importante destacar que DORA es un Reglamento, no una Directiva, por lo que es vinculante en su totalidad y directamente aplicable en todos los Estados miembros de la UE.
OSV es la solución que cumple con las exigencias de Dora
Nuestra solución OSV para DORA cuenta con todas las especificaciones necesarias, que a continuación detallamos, para ayudar a las entidades a cumplir con el marco normativo de actuación.
Gestión de riesgos
Identificamos y reducimos al mínimo el riesgo de las TIC, determinando las medidas de protección y prevención, y estableciendo políticas de continuidad.
Notificación de incidentes
Notificaremos a las autoridades competentes los incidentes importantes relacionados con las TIC.
Pruebas de resiliencia operativa digital
Identificamos los puntos débiles, lagunas y deficiencias en el marco de la gestión de riesgos de las TIC.
Intercambio de inteligencia
Realizaremos un intercambio de información acerca de ciberataques a otras entidades financieras actuando como un único equipo frente a la lucha contra la ciberdelincuencia.
Riesgos de tercero en materia TIC
Evaluamos, supervisamos y documentamos el riesgo de tercero en materias TIC.