La resiliencia operativa y la ciberseguridad son temas críticos en el mundo financiero actual. La Comisión Europea ha introducido el Reglamento de Resiliencia Operativa Digital (Digital Operational Resilience Act – DORA) para abordar estos desafíos y garantizar la estabilidad y seguridad del sector financiero de la Unión Europea. 

Este artículo está dirigido tanto a las entidades financieras tradicionales, como bancos, empresas de inversión e instituciones de crédito, como a las entidades no tradicionales, incluidos proveedores de servicios de criptoactivos y plataformas de financiación colectiva. Además, afecta a los proveedores de servicios externos que suministran sistemas y servicios de TIC al sector financiero, como proveedores de servicios en la nube, centros de datos, proveedores de calificación crediticia y proveedores de análisis de datos.

Exploraremos qué es DORA, a quién afecta, cuáles son sus principales requisitos y las consecuencias del incumplimiento, y cómo desde Rubricae nos aseguramos de que nuestros clientes cumplan con esta normativa, así como nuestras herramientas tecnológicas.

¿Qué es el Reglamento DORA?

DORA, el Reglamento de Resiliencia Operativa Digital, es una regulación europea diseñada para mejorar la resiliencia operativa y la ciberseguridad en el sector financiero. La norma se centra en tres principios clave:

  1. Gestión de riesgos informáticos y de ciberseguridad: Las instituciones financieras y sus proveedores de tecnología deben identificar, evaluar y gestionar sus riesgos informáticos y de ciberseguridad mediante políticas y procedimientos adecuados.
  2. Gestión de la continuidad de la actividad: Las entidades financieras y sus proveedores de tecnología están obligadas a desarrollar planes de continuidad de negocio completos que aseguren la prestación de servicios durante interrupciones operativas.
  3. Supervisión y vigilancia: Introducción de un marco para que las autoridades supervisen y evalúen la resiliencia operativa de las instituciones financieras, incluyendo la capacidad de realizar inspecciones e imponer sanciones.

¿Qué es el Reglamento DORA?

Fechas Clave del Reglamento DORA

  • 16 de enero de 2023: Entrada en vigor del Reglamento DORA.
  • 17 de enero de 2023 a 16 de enero de 2025: Plazo de dos años para que las entidades financieras cumplan con los requisitos establecidos.
  • 17 de enero de 2025: Las entidades financieras deben cumplir con los requisitos del reglamento.

Objetivos Principales del Reglamento DORA

  1. Mejora de la Resiliencia Operativa: Asegurar que las entidades financieras dispongan de procesos y sistemas sólidos para resistir y responder a perturbaciones operativas como ciberataques y fallos informáticos.
  2. Aumentar la Protección de Datos de los Clientes: Obligar a las entidades financieras a aplicar medidas eficaces de ciberseguridad para proteger los datos de los clientes y evitar violaciones de datos.
  3. Igualdad de Condiciones en la UE: Introducir un conjunto uniforme de normas y requisitos para la resiliencia operativa, garantizando que todas las entidades financieras cumplan con los mismos estándares en el ámbito de la UE.
  4. Reforzar el Papel de las Autoridades de Supervisión: Otorgar mayores competencias a las autoridades supervisoras para evaluar y vigilar la resiliencia operativa de las entidades financieras y tomar medidas correctoras cuando sea necesario.

Requisitos Clave del Reglamento DORA

El Reglamento DORA establece varios requisitos fundamentales que las entidades financieras deben cumplir para asegurar la resiliencia operativa y la ciberseguridad. A continuación, se detallan estos requisitos:

Mapeo y Pruebas 

Las entidades financieras deben mapear y probar sus servicios, procesos y sistemas críticos para identificar y gestionar los riesgos operativos. Esto implica realizar evaluaciones continuas y pruebas de resiliencia operativa para garantizar que los sistemas sean robustos y capaces de resistir perturbaciones.

Subcontratación y Gestión de Riesgos de Terceros 

Un aspecto único de DORA es que también se aplica a los proveedores de TIC que prestan servicios al sector financiero. Las entidades financieras deben gestionar activamente los riesgos de TIC de terceros, negociando acuerdos contractuales específicos sobre estrategias de salida, auditorías y objetivos de rendimiento. Las entidades no podrán contratar proveedores de TIC que no puedan cumplir estos requisitos. Además, deben analizar sus dependencias de TIC de terceros y asegurarse de que sus funciones críticas no estén demasiado concentradas en un único proveedor o en un pequeño grupo de proveedores.

Notificación de Incidentes

Las entidades financieras deben notificar sobre los incidentes que afecten significativamente a la continuidad de los servicios o representen una amenaza para el sistema financiero. Esto incluye establecer sistemas para monitorear, administrar, registrar, clasificar e informar incidentes relacionados con las TIC.

Ciberseguridad

Las entidades financieras deben adoptar medidas de ciberseguridad adecuadas y eficaces para prevenir ciberamenazas y violaciones de datos. Esto incluye implementar controles de acceso, cifrado, y planes de respuesta a incidentes para asegurar la protección de datos sensibles.

Gestión de Riesgos

Las instituciones financieras deben establecer un marco sólido de gestión de riesgos, plenamente integrado en su estrategia empresarial global. Esto implica identificar, evaluar y mitigar los riesgos operativos de manera proactiva.

Gobernanza y Supervisión

Las instituciones financieras deben mantener líneas claras de responsabilidad y rendición de cuentas en materia de resiliencia operativa. El consejo de administración es responsable de supervisar la resiliencia operativa de la institución, asegurando que las políticas y procedimientos estén alineados con los requisitos de DORA.

Planificación de la Continuidad de la Actividad

Las entidades financieras deben desarrollar planes de continuidad de negocio completos y eficaces para asegurar la continuidad de los servicios en caso de interrupciones. Esto incluye la implementación de sistemas de copia de seguridad, canales de comunicación alternativos y planes de recuperación ante desastres.

Pruebas y Formación

Las instituciones financieras deben probar y actualizar periódicamente sus planes de resiliencia operativa e impartir formación al personal para garantizar la preparación ante interrupciones operativas. Esto asegura que los empleados estén capacitados para responder eficazmente a incidentes.

Requisitos Clave del Reglamento DORA

Desarrollo Normativo y Aplicación

Uno de los aspectos más críticos de DORA es el desarrollo normativo continuo y su aplicación práctica, a cargo de varias autoridades y tipos de normas:

Desarrollo Normativo

Adoptado por la UE y encargado a las Autoridades Europeas de Supervisión (AES), que incluyen:

  • Autoridad Bancaria Europea (ABE)
  • Autoridad Europea de Valores y Mercados (AEVM)
  • Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ)

Las AES están desarrollando Normas Técnicas de Regulación y de Ejecución (NTR y NTE), mientras que la Comisión Europea está trabajando en el marco de supervisión para los proveedores de TIC críticos.

Ejecución y Aplicación

Los reguladores designados en cada Estado miembro son responsables de la ejecución y aplicación del reglamento, adoptando medidas de seguridad específicas, corrigiendo vulnerabilidades e imponiendo sanciones administrativas y penales.

Consecuencias del Incumplimiento del Reglamento DORA

Las instituciones financieras que no cumplan con los requisitos de DORA pueden enfrentar diversas sanciones, tales como:

  1. Multas Administrativas: Hasta 10 millones de euros o el 5% de su volumen de negocios anual total.
  2. Medidas Correctoras: Las autoridades pueden exigir la adopción de medidas correctoras para subsanar debilidades o fallos en la resiliencia operativa.
  3. Amonestaciones Públicas: Publicación de amonestaciones para entidades infractoras.
  4. Retirada de la Autorización: En casos graves, las autoridades pueden retirar la autorización para operar.
  5. Indemnización por Daños y Perjuicios: Obligación de indemnizar a clientes o terceros por daños derivados del incumplimiento de la normativa.

La Relación entre el Reglamento DORA y otras Normativas Europeas

DORA se complementa con otras normativas como el Reglamento General de Protección de Datos (GDPR). Ambos reglamentos ponen énfasis en la protección de datos personales y la ciberseguridad. Las instituciones financieras deben cumplir con ambos conjuntos de normas, lo que implica realizar evaluaciones de riesgos, implementar medidas de gestión de riesgos y asegurar la protección de datos personales.

El Papel de Rubricae en la Implementación de DORA

En Rubricae, nos comprometemos a mantener a nuestros clientes al día con las regulaciones más recientes, incluyendo DORA. Secure, nuestra Plataforma de Identidad Digital 360, está diseñada para cumplir con los más altos estándares de seguridad y legalidad, adaptándose a las necesidades de cada cliente.

Nuestras soluciones, no solo cumplen con las regulaciones actuales, sino que también mejoran la operativa de nuestros clientes. Ofrecemos un enfoque personalizado y parametrizable, asegurando que cada solución se ajuste perfectamente a los requisitos específicos de cada entidad.

Conclusiones del Reglamento DORA

DORA representa un desafío significativo para las entidades financieras, pero también una oportunidad para mejorar la resiliencia operativa y la ciberseguridad. En Rubricae, estamos aquí para apoyar a nuestros clientes en cada paso del camino, asegurando que no solo cumplan con esta nueva normativa, sino que también fortalezcan su capacidad para resistir y responder a las perturbaciones operativas.

Nuestro compromiso es proporcionar soluciones digitales que garanticen la continuidad y seguridad de sus operaciones, permitiéndoles concentrarse en su negocio con la tranquilidad de estar en cumplimiento con todas las normativas. Juntos, navegaremos este nuevo panorama regulatorio, asegurando la estabilidad y éxito continuos de sus operaciones financieras.

Para cualquier consulta adicional o apoyo, no dude en contactarnos. Nuestro equipo de expertos está siempre disponible para ayudarle a entender y cumplir con los requisitos de DORA y cualquier otra regulación relevante.

Categorías: BlogEtiquetas:

Descubra una nueva experiencia digital con