En un entorno donde las tecnologías de la información y la comunicación son fundamentales para las operaciones diarias, parece importante señalar que la evolución tecnológica, sumada a la complejidad y alcance del sector financiero, también lo hacen susceptible de diversas formas de riesgo, incluyendo fraudes, crisis de liquidez y volatilidad de mercado, que pueden tener repercusiones devastadoras no sólo para las entidades financieras, sino para la economía en general. Además, estos riesgos y amenazas afectan tanto a los usuarios de estos sistemas a las empresas que los incorporan.
Sin ir más lejos, el Banco Central Europeo está realizando test contra ciberataques en las entidades financieras, y advierte de que ha detectado serias deficiencias y vulnerabilidades respecto de la capacidad de las entidades para responder a estos ciberataques simulados, no siendo éstas capaces de rehabilitar los sistemas en un tiempo considerable, tardando en notificar los incidentes, etc.
En un mundo donde las amenazas cibernéticas y los riesgos operacionales están en constante evolución, la regulación juega un papel crucial para asegurar que las instituciones financieras sean resilientes y adaptables. Esto incluye la implementación de normas de ciberseguridad y resiliencia operativa, como las establecidas por el Reglamento DORA, que obligan a las empresas a estar preparadas para enfrentar y recuperarse de interrupciones operativas en tiempo y condiciones aceptables y con el menor riesgo posible.
Índice de temas
¿Qué es DORA y qué alcance tiene?
La ley establece objetivos claros: mejorar la capacidad de las entidades para resistir, responder y recuperarse de interrupciones operativas, fortalecer la seguridad cibernética y crear un marco regulatorio uniforme en toda Europa para asegurar una competencia justa y proteger tanto a las entidades como a sus usuarios.
Este reglamento afecta a una amplia gama de entidades del sector financiero, incluyendo, entre otras, a entidades bancarias, fintechs, aseguradoras, gestoras de fondos, proveedores de servicios tecnológicos e Infraestructuras de mercados financieros.
¿Cuáles son los requisitos principales que impone DORA a las entidades sujetas?
El Reglamento DORA busca asegurar que todas las entidades del sector financiero, así como proveedores terceros de servicios TIC, estén preparados para enfrentar los desafíos tecnológicos y cibernéticos de manera efectiva, protegiendo así la estabilidad y la confianza en el sistema financiero global, para ello el Reglamento establece en su capítulo II una serie de exigencias y requisitos en aras a proporcionar un marco interno de gobernanza y gestión efectiva del riesgo TIC, entre los cuales podemos encontrar, los siguientes:
Evaluación de riesgos: Las empresas deben realizar evaluaciones regulares y exhaustivas de los riesgos asociados a sus sistemas y procesos TIC.
Planes de gestión de riesgos
Deben desarrollar y mantener planes detallados para gestionar y mitigar estos riesgos. Estos planes deben incluir estrategias para prevenir, detectar, responder y recuperarse de incidentes tecnológicos. Así como la realización de pruebas anuales de continuidad de la actividad y planes de respuesta y recuperación.
Políticas y procedimientos
Implementar políticas y procedimientos robustos que aborden la seguridad de la información, la protección de datos y la integridad de los sistemas TIC.
Formación y concienciación
Asegurar que todos los empleados estén adecuadamente capacitados y concienciados sobre los riesgos TIC y las mejores prácticas de seguridad.
¿Qué impacto tiene DORA en las empresas del sector financiero?
Las entidades sujetas al cumplimiento con esta normativa han debido comenzar a dedicar esfuerzos y recursos en la implementación de medidas que les serán obligatorias el próximo enero de 2025, que conllevan costes significativos, como la inversión en nuevas tecnologías de ciberseguridad y gestión de riesgos, formación continua del personal en resiliencia operativa, contratación de expertos y creación de equipos especializados, además de gastos en auditorías internas y externas y servicios de consultoría.
No obstante, desde una perspectiva crítica, DORA no solo impone una obligación normativa, sino que también representa una oportunidad para que las instituciones financieras modernicen y robustezcan sus sistemas y prácticas operativas. Aunque el cumplimiento con DORA puede implicar costos significativos y un esfuerzo considerable, ofrece beneficios sustanciales a largo plazo. La inversión en ciberseguridad y resiliencia operativa puede servir como un diferenciador competitivo, elevando el nivel de confianza de los clientes y socios comerciales y asegurando una ventaja en un mercado cada vez más enfocado en la seguridad y la continuidad operativa.
Sin embargo, es crucial que las entidades financieras comiencen a prepararse con antelación. Aquellas que adopten una postura proactiva no solo evitarán sanciones potenciales y daños a su reputación, sino que también se posicionarán favorablemente en el mercado al demostrar un compromiso con la seguridad y la resiliencia.
En definitiva, DORA ofrece un marco desafiante pero transformador para la gestión y respuesta a los riesgos tecnológicos en el sector financiero. Adoptar una mentalidad orientada hacia el cumplimiento proactivo y la mejora continua no solo permitirá a las instituciones alinearse con las exigencias legales, sino que también fortalecerá su posición competitiva, protegerá la confianza de sus clientes y contribuirá a la estabilidad global del sistema financiero.
