opinión

Normativa DORA: obligaciones y desafíos para empresas financieras y bancarias



Dirección copiada

El Reglamento (UE) 2022/2554, conocido como DORA, marca un hito en la regulación del sector financiero al imponer requisitos rigurosos para la resiliencia operativa digital. Por María José Velasco Aguilera, abogada de LetsLaw

Publicado el 29 jul 2024



María José Velasco, abogada del despacho LetsLaw

En un entorno donde las tecnologías de la información y la comunicación son fundamentales para las operaciones diarias, parece importante señalar que la evolución tecnológica, sumada a la complejidad y alcance del sector financiero, también lo hacen susceptible de diversas formas de riesgo, incluyendo fraudes, crisis de liquidez y volatilidad de mercado, que pueden tener repercusiones devastadoras no sólo para las entidades financieras, sino para la economía en general. Además, estos riesgos y amenazas afectan tanto a los usuarios de estos sistemas a las empresas que los incorporan.

Sin ir más lejos, el Banco Central Europeo está realizando test contra ciberataques en las entidades financieras, y advierte de que ha detectado serias deficiencias y vulnerabilidades respecto de la capacidad de las entidades para responder a estos ciberataques simulados, no siendo éstas capaces de rehabilitar los sistemas en un tiempo considerable, tardando en notificar los incidentes, etc.

En un mundo donde las amenazas cibernéticas y los riesgos operacionales están en constante evolución, la regulación juega un papel crucial para asegurar que las instituciones financieras sean resilientes y adaptables. Esto incluye la implementación de normas de ciberseguridad y resiliencia operativa, como las establecidas por el Reglamento DORA, que obligan a las empresas a estar preparadas para enfrentar y recuperarse de interrupciones operativas en tiempo y condiciones aceptables y con el menor riesgo posible.

¿Qué es DORA y qué alcance tiene?

La ley establece objetivos claros: mejorar la capacidad de las entidades para resistir, responder y recuperarse de interrupciones operativas, fortalecer la seguridad cibernética y crear un marco regulatorio uniforme en toda Europa para asegurar una competencia justa y proteger tanto a las entidades como a sus usuarios.

Este reglamento afecta a una amplia gama de entidades del sector financiero, incluyendo, entre otras, a entidades bancarias, fintechs, aseguradoras, gestoras de fondos, proveedores de servicios tecnológicos e Infraestructuras de mercados financieros.

¿Cuáles son los requisitos principales que impone DORA a las entidades sujetas?

El Reglamento DORA busca asegurar que todas las entidades del sector financiero, así como proveedores terceros de servicios TIC, estén preparados para enfrentar los desafíos tecnológicos y cibernéticos de manera efectiva, protegiendo así la estabilidad y la confianza en el sistema financiero global, para ello el Reglamento establece en su capítulo II una serie de exigencias y requisitos en aras a proporcionar un marco interno de gobernanza y gestión efectiva del riesgo TIC, entre los cuales podemos encontrar, los siguientes:

Evaluación de riesgos: Las empresas deben realizar evaluaciones regulares y exhaustivas de los riesgos asociados a sus sistemas y procesos TIC.

Planes de gestión de riesgos

Deben desarrollar y mantener planes detallados para gestionar y mitigar estos riesgos. Estos planes deben incluir estrategias para prevenir, detectar, responder y recuperarse de incidentes tecnológicos. Así como la realización de pruebas anuales de continuidad de la actividad y planes de respuesta y recuperación.

Políticas y procedimientos

Implementar políticas y procedimientos robustos que aborden la seguridad de la información, la protección de datos y la integridad de los sistemas TIC.

Formación y concienciación

Asegurar que todos los empleados estén adecuadamente capacitados y concienciados sobre los riesgos TIC y las mejores prácticas de seguridad.

¿Qué impacto tiene DORA en las empresas del sector financiero?

Las entidades sujetas al cumplimiento con esta normativa han debido comenzar a dedicar esfuerzos y recursos en la implementación de medidas que les serán obligatorias el próximo enero de 2025, que conllevan costes significativos, como la inversión en nuevas tecnologías de ciberseguridad y gestión de riesgos, formación continua del personal en resiliencia operativa, contratación de expertos y creación de equipos especializados, además de gastos en auditorías internas y externas y servicios de consultoría.

No obstante, desde una perspectiva crítica, DORA no solo impone una obligación normativa, sino que también representa una oportunidad para que las instituciones financieras modernicen y robustezcan sus sistemas y prácticas operativas. Aunque el cumplimiento con DORA puede implicar costos significativos y un esfuerzo considerable, ofrece beneficios sustanciales a largo plazo. La inversión en ciberseguridad y resiliencia operativa puede servir como un diferenciador competitivo, elevando el nivel de confianza de los clientes y socios comerciales y asegurando una ventaja en un mercado cada vez más enfocado en la seguridad y la continuidad operativa.

Sin embargo, es crucial que las entidades financieras comiencen a prepararse con antelación. Aquellas que adopten una postura proactiva no solo evitarán sanciones potenciales y daños a su reputación, sino que también se posicionarán favorablemente en el mercado al demostrar un compromiso con la seguridad y la resiliencia.

En definitiva, DORA ofrece un marco desafiante pero transformador para la gestión y respuesta a los riesgos tecnológicos en el sector financiero. Adoptar una mentalidad orientada hacia el cumplimiento proactivo y la mejora continua no solo permitirá a las instituciones alinearse con las exigencias legales, sino que también fortalecerá su posición competitiva, protegerá la confianza de sus clientes y contribuirá a la estabilidad global del sistema financiero.

Artículos relacionados

Artículo 1 de 4