La normativa reforzará la resiliencia de las entidades financieras y mejorará su rendimiento digital
DORA en pocas palabras
El Acta de Resiliencia Operacional Digital de la UE para el sector bancario conocida como DORA entró en vigor el 16 de enero de este año. El objetivo de la directiva es reforzar la resistencia del sector bancario europeo frente a los riesgos de las tecnologías de la información y la comunicación (TIC), como fallos informáticos y ciberataques, mediante la introducción de requisitos de seguridad normalizados para los sistemas de red e información. DORA forma parte de un paquete de medidas presentado el 24 de septiembre de 2020 para digitalizar el sector bancario, a través del cual la Comisión Europea pretende fortalecer la competitividad y la innovación.
Por un lado, se pretende promover el desarrollo y uso de nuevas tecnologías y productos y, por otro, garantizar la estabilidad financiera y al mismo tiempo que se protege a los consumidores e inversores. Con la nueva regulación, las autoridades supervisoras no solo desean mejorar la seguridad TI y la defensa cibernética en el sector bancario europeo, sino también ampliar su propia supervisión correspondiente.
Las empresas afectadas pertenecientes al sector de los servicios financieros disponen de un plazo de 24 meses para aplicar la normativa
Fases del proceso legislativo
Antecedentes de la nueva directiva
La digitalización se ha convertido en un elemento esencial del sector bancario, y no sólo desde la pandemia del Covid.
Debido al uso de nuevas tecnologías, las autoridades supervisoras se centran en nuevos tipos de riesgos.
- Hoy en día, la mayoría de los clientes utilizan productos digitales como algo natural; ya han quedado atrás los días en los que abrir una cuenta digital se consideraba una innovación apasionante.
- Los proveedores de servicios financieros no pueden seguir siendo competitivos, o pronto perderán su ventaja sobre la competencia, sin aprovechar la eficiencia que ofrece el uso de nuevas tecnologías como la automatización, la nube o Big Data y la minería de datos (Data Mining).
- La flexibilidad que proporciona la digitalización en el trabajo diario está desempeñando un papel importante a la hora de contratar y retener a los empleados.
Sin embargo, la integración y el uso de estas tecnologías innovadoras también van de la mano de nuevos riesgos.
La seguridad de las TI como prioridad en la supervisión bancaria
La creciente digitalización y el uso de productos TI está aumentando la dependencia de las empresas del sector financiero respecto a las tecnologías de la información y la comunicación (TIC) y las hace especialmente vulnerables a las interrupciones o amenazas asociadas. Esta situación amenaza la seguridad de los datos, con la consiguiente pérdida de información y restricción de las actividades empresariales.
Respecto a la protección de consumidores y los posibles efectos sobre entidades financieras afectadas y otras empresas asociadas a ellas, la resiliencia operativa digital en el sector bancario se ha ido situando cada vez más en el punto de mira de las entidades supervisoras.
Los riesgos cibernéticos ya figuraban entre los seis principales riesgos destacados por la BaFin (Autoridad Federal de Supervisión Bancaria) en 2022, y continúan siendo, junto con los «riesgos de ciberataques con graves repercusiones», un tema de gran interés entre otros cinco grandes riesgos en 2023.
Por otra parte, la BaFin ha identificado la «digitalización en el sector bancario» como una de las tres grandes tendencias que presentarán riesgos que la BaFin y las empresas bajo su supervisión tendrán que hacer frente de manera intensiva.
Las autoridades supervisoras pretenden crear una mayor «estabilidad operativa digital» en el sector financiero con la nueva directiva sobre resiliencia operativa digital en el sector bancario.
Empresas incluidas en el alcance de aplicación
DORA también afecta a los proveedores de TIC de terceros, así como a las empresas financieras
Además de la normativa vigente, las entidades supervisoras pretenden utilizar DORA para garantizar que las nuevas tecnologías y productos entren en el alcance de la regulación de los mercados financieros y de la normativa reguladora de control de riesgos operativos a las empresas que operan en la UE.
Para cumplir este objetivo, DORA está modificando los anteriores requisitos y especificaciones aplicables a los bancos, compañías de seguros y proveedores de servicios de pago regulados. De este modo, se concretan o amplían las medidas de seguridad necesarias para prevenir y proteger contra los efectos de los fallos de las TIC y los incidentes relativos a la ciberseguridad.
Esto aumenta significativamente el número de empresas incluidas en el ámbito de aplicación. El ámbito de aplicación definido en el apartado 2 del artículo (1) de la Directiva incluye también a los proveedores de servicios de criptomonedas, centros de negociación, agencias de calificación y proveedores de servicios de notificación de datos, así como a los corredores de seguros, entre otros. Dada la dependencia que presenta el sector financiero respecto a los proveedores de terceros (o incluso de cuartos) y su seguridad informática, la inclusión de los «proveedores de TIC de terceros» amplía también el marco de supervisión a los proveedores de TIC de terceros que operan en el sector financiero.
DORA se aplica a toda empresa que preste servicios informáticos a empresas financieras. En la definición de estos servicios se incluyen «los servicios digitales y los servicios de datos prestados a través de sistemas TIC de forma permanente a uno o varios usuarios internos o externos, incluido el hardware como servicio y los servicios de hardware, incluido el soporte técnico por parte de los proveedores de hardware mediante actualizaciones de software o firmware, con excepción de los servicios telefónicos analógicos tradicionales».
Esto implica que las empresas que prestan servicios digitales y servicios de datos, los proveedores de servicios de computación en nube, software, servicios de análisis de datos y centros de datos para empresas financieras estarán directamente sujetos al nuevo reglamento en un futuro. De acuerdo con el principio de proporcionalidad, se aplicarán menos requisitos a las empresas más pequeñas (las llamadas microempresas con menos de 10 empleados y un volumen de negocios o balance general anual inferior a 2 millones de euros).
La nueva directiva, que deberá aplicarse antes del 17.01.2025, afecta por tanto no sólo a las empresas financieras, sino también a empresas que hasta ahora no estaban reguladas directamente. El primer paso para las empresas que podrían verse potencialmente afectadas debería ser comprobar si y en qué medida se verán realmente afectadas en el contexto de las excepciones legales y la dependencia de ciertos requisitos en el tamaño y la actividad específica de la empresa.
Cumplimiento efectivo de los requisitos
La aplicación de la normativa en las empresas afectadas implica a diferentes departamentos
Los requisitos que deben aplicarse afectan a distintas divisiones y, por tanto, implican a distintas unidades organizativas y puestos dentro de la empresa. Las principales unidades afectadas son TI, gestión de la seguridad de la información, gestión de la continuidad del negocio y gestión (central) de la tercerización (outsourcing).
La directiva contempla la aplicación en cuatro áreas principales:
- Gestión de riesgos de TI con requisitos de seguridad de TI, gestión de seguridad de la información (GSI) y gestión de continuidad del negocio(GCN) (capítulo II);
- Directrices sobre gestión de incidentes y reporte de incidentes relacionados con las TIC (capítulo III);
- Requisitos para probar la resiliencia operativa digital (capítulo IV);
- Gestión de riesgos de terceros en toda la cadena de tercerización (capítulo V).
Los siguientes capítulos definen requisitos no obligatorios o requisitos destinados a las autoridades de supervisión
Los 5 elementos principales de la Ley de Resiliencia Operativa Digital (DORA)
Las empresas afectadas disponen actualmente de un plazo de algo menos de dos años antes del 17.01.2025, fecha en la que la normativa entrará en vigor y su aplicación pasará a supervisarse por las autoridades nacionales competentes para exigir su cumplimiento.
No obstante, ciertas partes de la directiva están aún en fase de preparación:
- Las delegaciones de actos jurídicos a escala europea
- Las directrices que elaborarán las autoridades supervisoras competentes de la UE, las Normas Técnicas de Reglamentación (NTR) y las Normas Técnicas de Ejecución (NTE).
No obstante, las empresas dentro del alcance de aplicación deben iniciar sus proyectos de implementación a tiempo y aprovechar el periodo de implantación de 24 meses.
Esto también es aplicable a las empresas que ya están reguladas, como bancos, compañías de seguros y proveedores de servicios de pago, aunque muchos de los requisitos de DORA son idénticos a las directrices legales aplicables y, por lo tanto, presumiblemente ya están cubiertos. Aunque estas empresas están bien versadas en la aplicación de los requisitos pertinentes, todavía pueden esperar un trabajo de implantación sustancial debido a las aclaraciones y añadidos que vienen con la nueva directiva. También deben asegurarse que sus proveedores externos de TIC aplican DORA adecuadamente, o si es necesario, separarse de ellos antes de la fecha límite.
La implantación debería comenzar con un análisis de alcance para definir el campo de aplicación para la empresa en cuestión. Al ubicar los requisitos que deben aplicarse en la organziación correspondiente, pueden identificarse las unidades y posiciones que deben incorporarse y coordinarse en un proyecto de aplicación global para el análisis de carencias, la planificación de la implementación y la puesta en marcha.
Se recomienda entonces una comprobación del grado de preparación para auditorías a fin de poder prepararse para las auditorías venideras.
Implementación de DORA en 6 pasos
Nuestros expertos en España estarán encantados de responder las dudas a las que se enfrente tu organización.
Los autores de este artículo son originalmente Florian Eglinski y Stefanie Foerster, aunque la persona de contacto en España para todos los temas relacionados con DORA es Baltasar Carretero.
