El día 24 de septiembre de 2020, la Comisión Europea publicó la Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre la resiliencia operativa digital del sector financiero (DORA). Se trata de una propuesta legislativa que se espera que sea aprobada antes de fin de año.
El objetivo principal del futuro Reglamento es mejorar la resiliencia frente a posibles ciberataques en el sector financiero desarrollando para ello un marco más homogéneo de normas aplicables a la gestión de riesgos tecnológicos.
DORA es el primer paso en la evolución de este campo (Gestión de riesgos TIC) ya que la Comisión, por medio de diferentes documentos, ha indicado su intención de aplicar esta operativa a los demás sectores estratégicos, como puede ser la energía, transportes, agua.
2. ¿Qué organizaciones se verán afectadas por DORA dentro de la industria financiera?
- Instituciones de pago
- Instituciones de crédito
- Empresas de servicios de inversión
- Proveedores del sistema financiero
- Proveedores de servicios crowdfunding
- Proveedores de servicios criptoactivos
- Agencias de calificación crediticia
- Fintech
- Empresas aseguradoras
3. ¿Qué supone DORA?
Con este Reglamento todas las empresas deben asegurarse de que pueden resistir y responder a cualquier tipo de perturbación y amenaza relacionada con las TIC y recuperarse de ella. En este sentido la aprobación de esta nueva norma supone ciertos nuevos cambios de las prácticas de las empresas en materia de gestión de riesgo tecnológico y en particular, también en la seguridad de datos.
De esta manera, todas las dictadas entidades deberán adoptar un programa de ciberseguridad que incluya políticas, procedimientos y actividades de gestión de riesgos tecnológicos. Dichas políticas se someterán al control por el regulador financiero correspondiente que calificará como adecuadas o inadecuadas las medidas adoptadas por la institución.
Además de este control externo, las instituciones financieras deberán activar un plan de respuesta frente a incidentes donde deberán describir cuál será su respuesta ante un ataque cibernético y un plan de recuperación.
4. Cinco ámbitos de gestión de riesgo TIC y el Principio de Proporcionalidad
– Gestión de Riesgos TIC: “incluirá las estrategias, las políticas, los procedimientos, y los protocolos y herramientas de TIC que sean necesarios para proteger debida y eficazmente todas las infraestructuras y componentes físicos pertinentes”
– Gestión de incidentes TIC: “Las entidades financieras establecerán e implementarán un proceso de gestión de incidentes relacionados con las TIC para detectar, gestionar y notificar dichos incidentes y dispondrán de indicadores de alerta temprana”.
– Testeo de la Resiliencia Operativa: se deberá establecer un programa de pruebas sobre las funciones y servicios esenciales que sea capaz de identificar debilidades, deficiencias y aspectos de mejoras.
– Gestión de riesgos de terceros: las entidades financieras deberán garantizar la evaluación de riesgos asociados a la externalización de servicios o funciones en proveedores TIC.
– Información e inteligencia sobre amenazas: Las entidades financieras podrán intercambiar entre sí información e inteligencia sobre ciberamenazas, siempre que dicho intercambio sea para mejorar la resiliencia operativa digital de las entidades financieras.
El objetivo del Principio de Proporcionalidad es garantizar que, si bien las normas apliquen a todos los sujetos obligados, en todo caso el cumplimiento de DORA deberá adaptarse al tamaño de la entidad y a sus características de volumen de negocio y número de empleados. Así, la norma tiene en cuenta la distinción entre microempresas, pequeñas empresas y medianas empresas definiéndolas en el artículo 3.
Este principio se hace presente, en particular, respecto de:
- Las normas sobre gestión del riesgo de TIC.
- Las pruebas de resiliencia digital.
- La notificación de incidentes graves relacionados con las TIC
- La supervisión de proveedores terceros esenciales de servicios de TIC.
5. Próximos pasos
Una vez adoptada formalmente la propuesta de Reglamento DORA, cada Estado miembro de la UE la incorporará a su legislación. A su vez, las Autoridades Europeas de Supervisión (AES) elaborarán normas técnicas que deberán cumplir todas las entidades de servicios financieros, desde la banca hasta las aseguradoras y los gestores de activos. Adicionalmente, la función principal de las autoridades nacionales será supervisar el cumplimiento y la aplicación del Reglamento DORA cuando sea necesario.
Las entidades financieras dispondrán de 24 meses para la adopción completa de las exigencias y medidas de forma progresiva.
Puede consultar más información sobre DORA en: