blog

DORA, el Reglamento que busca la resiliencia operativa digital para el sector financiero

Ciberseguridad y Cifra

 | 

Banca y Fintech

Descargar informe

El pasado 16 de enero de 2023 el Reglamento de Resiliencia Operativa Digital, “DORA” por sus siglas en inglés, entró en vigor. Por primera vez, se reúnen de forma coherente y en un único acto legislativo las disposiciones que abordan el riesgo digital en las finanzas.

 

¿Qué es el Reglamento de resiliencia operativa digital (DORA)?

El Reglamento de resiliencia operativa digital resuelve un problema importante en la regulación financiera de la UE. Antes de DORA, las instituciones financieras gestionaban las principales categorías de riesgo operativo principalmente con la asignación de capital, pero no gestionaban todos los componentes de la resiliencia operativa (capacidad de la organización de seguir funcionando ante cualquier evento crítico).

Después de DORA, las entidades también deberán seguir las reglas para mejorar las capacidades de protección, detección, contención, recuperación y reparación frente a incidentes relacionados con las TIC. DORA se refiere explícitamente al riesgo de TIC y establece reglas sobre gestión de riesgos relacionados con la tecnología, informes de incidentes, pruebas de resiliencia operativa y monitorización de riesgos de terceros.

 

¿A quién le resulta de aplicación?

DORA tendrá una aplicación muy amplia y cubrirá todas las entidades financieras europeas autorizadas, en total unas 20, incluyendo a los proveedores de servicios TIC.

  • Entidades de crédito.
  • Entidades de pago.
  • Proveedores de servicios de información sobre cuentas.
  • Entidades de dinero electrónico.
  • Empresas de servicios de inversión.
  • Proveedores de servicios de criptoactivos.
  • Depositarios centrales de valores.
  • Entidades de contrapartida central.
  • Centros de negociación.
  • Registros de operaciones.
  • Gestores de fondos de inversión alternativos.
  • Sociedades de gestión.
  • Proveedores de servicios de suministro de datos.
  • Empresas e intermediarios de seguros, reaseguros y seguros complementarios.
  • Fondos de pensiones de empleo.
  • Agencias de calificación crediticia.
  • Administradores de índices de referencia cruciales.
  • Proveedores de servicios de financiación participativa.
  • Registros de titulizaciones.

 

Como dato curioso, el artículo 58 recoge la necesidad de que antes del 17 de enero de 2026, la Comisión Europea presente una propuesta legislativa al Parlamento Europeo y al Consejo, para que el Reglamento también aplique a los auditores legales y a las sociedades de auditoría.

En este sentido, y pesar de su alcance intencionalmente amplio, DORA proporciona algunos elementos de proporcionalidad. Es decir, las entidades financieras incluidas en el alcance deberán cumplir con DORA teniendo en cuenta su tamaño y perfil de riesgo general, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones, entre otras variables.

 

¿Cuándo será aplicable?

Si bien el Reglamento entró en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea, será plenamente aplicable a partir del 17 de enero de 2025, por lo que las entidades financieras tendrán un plazo de 2 años para darle cumplimiento.

Además, es importante destacar que DORA es un Reglamento, no una Directiva, por lo que es vinculante en su totalidad y directamente aplicable en todos los Estados miembros de la UE.

 

¿Qué novedades incluye?

  • Gestión de riesgos TIC: se deberá contar con un marco de gestión del riesgo, relacionados con las tecnologías de la información sólido, completo y bien documentado que les permita hacer frente al riesgo de forma rápida, eficiente y exhaustiva, teniendo mucho peso en su definición y aprobación, el órgano de administración. Además, los miembros del citado órgano deberán recibir formación de forma periódica.
  • Gestión de riesgos de terceros TIC: las entidades financieras deberán establecer una estrategia sobre el riesgo de terceros relacionados con las tecnologías de la información y solo podrán celebrar acuerdos contractuales con proveedores que cumplan con los estándares apropiados de seguridad de la información. Estos requisitos serán superiores si estamos ante proveedores de servicios TIC Críticos.
  • Gestión de incidentes: las entidades deberán establecer un proceso de gestión de incidentes relacionados con la seguridad para detectar, gestionar y notificar dichos incidentes y dispondrán de indicadores de alerta temprana.
  • Resiliencia operativa digital: se deberá implementar un programa sólido y completo de prueba de resiliencia operativa digital, que comprenda una variedad de evaluaciones, pruebas, metodologías, prácticas y herramientas. Además, cada tres años se deberán realizar pruebas de penetración dirigidas por amenazas.
  • Compartición de información: DORA permitirá, aunque no obligará, a las entidades financieras a intercambiar información e inteligencia sobre amenazas cibernéticas, incluidos indicadores de compromiso, tácticas, técnicas, etc.
  • Protección, prevención y detección: las entidades financieras monitorizarán continuamente el funcionamiento de los sistemas y herramientas TIC, de tal forma que se minimice el impacto de los riesgos mediante el despliegue de herramientas, políticas y procedimientos de seguridad de TIC adecuados.

 

¿Qué tiene DORA diferente al resto de normativa?

El citado Reglamento, tiene como objetivo, en primer lugar, consolidar y actualizar los requisitos de riesgo de las TIC abordados hasta ahora por separado en los diferentes Reglamentos y Directivas. Si bien esos actos jurídicos de la Unión Europea cubrían las principales categorías de riesgo financiero (entre otros, riesgo de crédito, riesgo de mercado, riesgo de crédito y riesgo de liquidez de la contraparte o riesgo de conducta del mercado), en el momento de su adopción no podían abordar de forma exhaustiva todos los componentes de la resiliencia operativa.

"operativa

Descubre más

SGoSat

Familia de terminales SATCOM On The Move (SOTM) para instalación vehicular y conexión estable en movilidad

SGoSat es una familia de terminales SOTM (Satellite Comms On The Move) de alta tecnología que se instalan en un vehículo, brindando la capacidad de apuntar y mantener una conexión estable con el satélite cuando el vehículo está en movimiento en cualquier tipo de condiciones.

La familia SGoSat está compuesta por terminales versátiles, que pueden instalarse en cualquier tipo de plataforma: trenes y buses, vehículos militares y / o gubernamentales, aeronaves, barcos, etc. Al haber sido diseñados originariamente para el sector militar, los terminales SGoSat son extremadamente fiables y robustos, ya que integran componentes de alto rendimiento que cumplen con las normativas medioambientales y EMI / EMC más exigentes. El producto utiliza antenas de bajo perfil y alta eficiencia, así como una unidad de posicionador y seguimiento de alto rendimiento, que permiten la operación del terminal en cualquier parte del mundo.

Con el fin de satisfacer las diversas necesidades de sus clientes, INSTER ha desarrollado terminales de banda única y terminales de doble banda en las frecuencias X, Ka y Ku.

La familia de terminales SGoSat también se puede configurar con una variada gama de radomos (incluidas opciones balísticas), adaptándose a los requisitos del cliente.