Índice de temas
Qué es el reglamento DORA
El Reglamento DORA (Digital Operational Resilience Act) es una reciente normativa de la Unión Europea que tiene como objetivo fortalecer la resiliencia digital y la ciberseguridad en el sector financiero. Su razón de ser reside en garantizar que las entidades financieras presten servicios digitales seguros y confiables.
Importancia y objetivos del Reglamento DORA
DORA establece un marco regulatorio sólido para la gestión de los riesgos de las TIC en las entidades financieras. Que estas cuenten con las capacidades y recursos necesarios para poder prevenir, detectar y responder los incidentes operativos. Un tercer objetivo pasa por promover una cultura de resiliencia operativa en el sector bancario. En cuarto lugar, la UE quiere cerrar la coordinación entre las autoridades financieras y europeas.
Cuándo se aprueba la Normativa DORA
El Reglamento DORA fue aprobado por el Parlamento Europeo el 14 de diciembre de 2022. Entró en vigor el 17 de enero de 2023, pero las entidades financieras tendrán hasta el 17 de enero de 2025 para cumplir completamente con sus requisitos.
La Comisión Europea propuso el Reglamento DORA en septiembre de 2020. Las negociaciones entre el Parlamento Europeo y el Consejo se llevaron a cabo entre 2021 y 2022.
El Reglamento DORA entró en vigor el 17 de enero de 2023 y las entidades tienen hasta el 17 de enero de 2025, el plazo límite para cumplir completamente con los requisitos del Reglamento DORA.
Empresas a las que afecta el Reglamento DORA
Como norma general, el Reglamento DORA se aplica a cualquier entidad financiera que ofrezca servicios financieros en la Unión Europea, independientemente de si tiene su sede en la UE o en un país tercero. La tipología de entidades afectadas es la siguiente:
- Entidades de crédito (bancos, cajas de ahorros, cooperativas de crédito).
- Entidades de pago (proveedores de servicios de pago, entidades de dinero electrónico).
- Empresas de servicios de inversión (bancos de inversión, sociedades de valores, empresas de gestión de activos).
- Proveedores de servicios de criptoactivos (plataformas de intercambio de criptomonedas, custodios de criptoactivos).
- Otros (fondos de pensiones, compañías de seguros, agencias de calificación crediticia, proveedores de servicios de infraestructura del mercado financiero).
Implicaciones y obligaciones del reglamento DORA
Como toda normativa, DORA trae consigo unos beneficios directos para las organizaciones a las que va destinada, y a su vez impone una serie de obligaciones que son necesarias adoptar para que se den las condiciones necesarias para su ejecución.
Implicaciones
DORA tiene una repercusión directa sobre el sector financiero, aportando unas mejoras notorias. Entre ellas, cabe señalar una mayor seguridad y resiliencia frente a los riesgos de las TIC, tanto en lo relativo a ciberataques como a las caídas de servicio. La gestión de riesgos es otro aspecto que mejora sensiblemente a través la implementación de un marco para identificar, evaluar y mitigar riesgos de una forma más eficaz. Esto a su vez tiene su reflejo en una mayor transparencia en los procesos de gestión de las TIC y potenciales incidentes. Como consecuencia, estas exigencias pueden suponer costes adicionales que bancos y otras entidades tienen que asumir invirtiendo en nuevas tecnologías y en optimización de procesos.
Obligaciones
En el lado de las obligaciones a las que están sujetas las entidades financieras se encuentran la definición de un marco de gestión de riesgos de las TIC, un marco que debe contemplar políticas, procedimientos y herramientas para afrontar todo el ciclo de acciones necesarias para la gestión de los citados riesgos. Para ello es necesario realizar pruebas de resiliencia periódicas para evaluar la capacidad de resistencia de sus sistemas. Otra exigencia tiene que ver con la notificación de incidentes. Al igual que exige el GDPR, “las entidades financieras deben notificar a las autoridades competentes los incidentes de seguridad que puedan tener un impacto significativo en sus operaciones”. Y como era de prever, bancos y demás firmas deberán cooperar con las autoridades competentes en las investigaciones y durante los procesos de supervisión. Y al más alto nivel, DORA exige mejorar la coordinación entre las autoridades financieras nacionales y europeas.
Cómo implementar el Reglamento DORA
Para implementar el Reglamento DORA de manera efectiva, es crucial seguir un enfoque estructurado que abarque varios pasos interrelacionados:
PASO 1 Comprender el reglamento y evaluar su impacto
La institución debe empezar por comprender el contenido y las implicaciones de la normativa. Esto implica revisar el texto y cualquier orientación adicional proporcionada por las autoridades reguladoras. De la misma manera, conviene evaluar el impacto en la organización, identificando áreas y procesos que se verán afectados y evaluando el cambio necesario para cumplir con las nuevas regulaciones.
PASO 2 Asignar responsabilidades y definir políticas y procedimientos
El banco designará un equipo responsable de la implementación del Reglamento DORA, que incluya representantes de diferentes áreas de la organización, como cumplimiento, legal, tecnología y operaciones. La definición de procesos debe abordar áreas como la protección de datos, la gestión de riesgos, la gobernanza de datos y la transparencia.
PASO 3 Capacitación del personal y actualización de sistemas
Debe procederse a la capacitación del personal involucrado en el despliegue de DORA. Es importante que todos en la organización comprendan sus roles y responsabilidades en relación con las nuevas regulaciones. Se sobreentiende que los sistemas y tecnologías deberán actualizarse y pueden conllevar la implementación de medidas de seguridad adicionales, actualización de software o adopción de nuevas herramientas de gestión de datos.
PASO 4 Monitorización y cumplimiento
Debe establecerse un proceso de monitorización continua para garantizar el cumplimiento de DORA, lo que puede incluir auditorías internas regulares, revisiones de cumplimiento y actualizaciones periódicas de políticas y procedimientos.
PASO 5 Comunicación transparente
La empresa debe comunicar de manera clara y transparente con sus clientes y otras partes interesadas sobre cómo el Reglamento DORA afecta a las operaciones y qué medidas está tomando para cumplir con él. Además, tiene que estar al tanto de cualquier actualización o cambio en el Reglamento DORA y adaptar sus políticas y procedimientos en consecuencia.
Sanciones por no aplicar el Reglamento DORA
El Reglamento DORA contempla un régimen de sanciones para aquellas entidades que no cumplan con sus obligaciones. Las sanciones por las infracciones a DORA varían en función de la gravedad de la infracción y del país en el que se cometa. En general, las infracciones leves pueden conllevar multas de hasta 5.000.000 euros o hasta el 3% del volumen de negocios total anual de la entidad; las infracciones graves de hasta 10.000.000 euros o hasta el 5% del volumen de negocios total anual de la entidad, y las infracciones muy graves de hasta 15.000.000 euros o hasta el 10% del volumen de negocios total anual de la entidad.
Pero no solo puede tratarse de multas, la UE puede imponer ‘sanciones correctoras’ como la orden de cese de actividad, la prohibición de realizar nuevas actividades o el nombramiento de un administrador temporal, que sea el encargado de gestionar la entidad financiera hasta que cumpla con la normativa.
Infracciones leves
Entran dentro de la categoría de infracciones leves omisiones como no contar con una política de gestión de riesgos de TIC adecuada, no tener un plan de respuesta a incidentes o no realizar pruebas de resistencia de los sistemas. En el ámbito de ciberseguridad, no aplicar medidas de seguridad y técnicas adecuadas, no controlar el acceso a los sistemas tecnológicos, ni contar con un plan de recuperación de desastres. También pueden ser multadas por no notificar o proporcionar información suficiente sobre incidentes a las autoridades competentes.
Infracciones graves
Se consideran infracciones graves de DORA la interrupción significativa de los servicios financieros (más de 4 horas de los servicios de pago, y más de 2 horas los servicios de mercado). De la misma manera, se califican como infracciones graves la pérdida de datos confidenciales de los clientes y la pérdida de datos que afectan a la capacidad de la entidad para operar. Igualmente, se tipifica como graves el acceso no autorizado a los sistemas TIC de la organización, el robo de datos confidenciales y un ataque de ransomware que afecte a la capacidad de la entidad para operar.
Infracciones muy graves
Las infracciones muy graves tienen que ver con el incumplimiento deliberado y negligente de las obligaciones que dicta el Reglamento DORA. Incluyen no implementar medidas de seguridad necesarias, no notificar a las autoridades los incidentes graves o proporcionar información falsa o engañosa a las autoridades competentes.
También son infracciones muy graves aquellas que conlleven una pérdida de confianza en el sistema financiero, la disrupción del mercado o puedan provocar una crisis financiera.
El Reglamento CRO y su relación con DORA
El Reglamento CRO (Cybersecurity Resilience Oversight Regulation) y el Reglamento DORA (Digital Operational Resilience Act) son dos piezas legislativas de la Unión Europea que se complementan y trabajan juntas para fortalecer la seguridad y la resiliencia del sector financiero. DORA complementa a CRO al establecer requisitos más específicos para la gestión de riesgos operativos y la resiliencia digital.
El Reglamento CRO y su relación con DORA
El Reglamento CRO (Cybersecurity Resilience Oversight Regulation) y el Reglamento DORA (Digital Operational Resilience Act) son dos piezas legislativas de la Unión Europea que se complementan y trabajan juntas para fortalecer la seguridad y la resiliencia del sector financiero. DORA complementa a CRO al establecer requisitos más específicos para la gestión de riesgos operativos y la resiliencia digital.
Si CRO se centra en la supervisión de la resiliencia cibernética de las entidades financieras, DORA pone foco en la gestión de riesgos operativos y la resiliencia digital de estas entidades. El primero establece requisitos para que las entidades financieras designen un responsable de la gestión de riesgos de las TIC, implementen un marco de gestión de riesgos de las TIC y realicen pruebas de resiliencia, el segundo otorga a las autoridades competentes el poder de supervisar y sancionar a las entidades financieras que no cumplan con la normativa.