Índice de temas
Razón de ser de DORA
En un entorno, cada vez más digitalizado, donde las finanzas dependen en gran medida de tecnologías avanzadas, la seguridad y la confianza de los usuarios son aspectos fundamentales, de ahí la creación de la nueva Ley de Regulación sobre Resiliencia Operativa Digital, más conocida como DORA, y que ha entrado en vigor el pasado 17 de enero de 2025. Esta normativa clave de la UE, Reglamento UE 2022/2554, busca mejorar la resiliencia operativa digital de las instituciones financieras, y proteger a los usuarios del sector financiero frente a riesgos asociados a las TIC y a interrupciones operativas.
¿Cómo van a cumplir las exigencias de DORA las instituciones financieras más pequeñas? ¿Podría ser el final de la con la competencia? En ese caso, los usuarios tendrían menos opciones
ANTONIO GARCÍA ROUCO, GDS MODELLICA
Estructura de DORA
Dora está estructurada en cinco pilares: gestión y gobernanza de las TIC, notificación de incidentes, pruebas de resiliencia operativa, gestión de riesgos de tercero e intercambio de información. Su objetivo es crear un marco robusto de fortaleza digital capaz de garantizar que las instituciones financieras y proveedores gestionen de manera eficiente la operatividad financiera con un funcionamiento seguro y continuo incluso ante adversidades con sistemas y protocolos claros capaces de responder, prevenir y detectar ciberamenazas. Gracias a DORA, las plataformas digitales, como aplicaciones bancarias, servicios de pago y sistemas de inversión, serán más seguras y confiables para los usuarios. La cooperación entre entidades financieras y reguladores facilita compartir información y dar una respuesta rápida y eficaz a posibles ataques, minimizando su impacto en los usuarios. También introduce un marco regulatorio que supervisa a proveedores críticos, por lo que garantiza el cumplimiento de los más altos estándares de seguridad con el fin de proteger al usuario final de posibles fallos que podrían surgir por la dependencia excesiva de terceros.
Obligaciones de DORA
DORA, entre otras cuestiones, obliga a las entidades financieras a realizar auditorías periódicas de sus proveedores y a establecer mecanismos capaces de mitigar riesgos asociados a la subcontratación. Asimismo, les exige notificar los incidentes graves relacionados con las TIC a las autoridades financieras competentes, mejorando así la capacidad de respuesta y la transparencia. Todos los participantes del ecosistema financiero salen fortalecidos, las entidades aprenden de los errores, refuerzan sus sistemas e innovan en este entorno sin comprometer la seguridad, beneficiando a los usuarios. Las nuevas tecnologías aseguran un enfoque centrado en la protección de datos y en la confianza, además impulsan la competencia del sector, incentivando para que las empresas ofrezcan mejores prácticas y servicios más seguros y eficientes.
Representa, sin duda, un avance significativo para mejorar la seguridad y la resiliencia del sector financiero en la Unión Europea. Con su puesta en marcha, los usuarios finales se benefician de una mayor protección frente a ciberamenazas, una mayor transparencia, servicios más confiables, supervisión de proveedores externos, innovación responsable, reducción de costes, mayor estabilidad financiera, así como una respuesta coordinada a las diferentes amenazas e impulso a la conectividad. Dicho Reglamento exige pruebas periódicas de resiliencia operativa para que las plataformas digitales puedan soportar interrupciones y los usuarios dispongan de un acceso continuo y confiable a sus servicios financieros. Incluso durante situaciones inesperadas o de crisis, las entidades financieras continúan operando. Así, de producirse un ciberataque masivo, los clientes podrán seguir utilizando servicios esenciales como transferencias o pagos sin interrupciones significativas.
Incertidumbres sobre DORA
La adopción de esta nueva normativa por parte del sector financiero tiene un impacto positivo que trasciende más allá del propio sector al contribuir a una sociedad más segura y tecnológicamente avanzada. Es inevitable, llegados a este punto, plantear la otra cara de DORA, su cruz, la más controvertida: los posibles efectos negativos para los usuarios
1.- El cumplimiento de los requisitos normativos generará mayores costes operativos a las instituciones. ¿Quién se hará cargo de esos costes? ¿Serán trasladados a los usuarios?
2.- La regulación financiera y el cumplimiento normativo por parte de las instituciones. ¿Frena el desarrollo de nuevas tecnologías financieras accesibles para los usuarios al estar las instituciones más preocupadas de cumplir la normativa?
3.- ¿Cómo van a cumplir las exigencias de DORA las instituciones financieras más pequeñas? ¿Podría ser el final de la con la competencia? En ese caso, los usuarios tendrían menos opciones.
4.- La comunicación: ¿transparencia de responsabilidades o confusión de los usuarios en cuanto a sus derechos?
La nueva regulación plantea muchos interrogantes. A la hora de pedir un préstamo, ¿aleja o acerca a los usuarios mayores?, ¿caminamos hacia un sistema más inclusivo?, ¿será el usuario final quien pague económicamente un sistema financiero más seguro y fuerte? En definitiva, las dos caras de una ley que apuesta por la seguridad y fortaleza del sistema financiero, los beneficios y posibles perjuicios para los usuarios finales.
