TRIBUNA de Paloma Fierro, socia de Linklaters.
Ya se ha publicado en el DOUE el Reglamento 2022/2554 sobre resiliencia operativa digital en el sector financiero, más conocido por sus siglas en inglés: DORA. Cuya fecha de entrada en vigor efectiva es 17 de enero de 2025. Se da así el pistoletazo de salida al periodo de adaptación de dos años hasta su entrada en vigor, durante el que el mercado deberá amoldarse a sus nuevas exigencias.
DORA se centra en la gestión del riesgo TIC (de tecnologías de la información y las comunicaciones). Entre sus sujetos obligados se encuentran todo tipo de entidades financieras, incluidas las gestoras, tanto las de tipo abierto como cerrado (exceptuadas estas últimas cuando no superen los umbrales de la directiva AIFMD y no hayan solicitado su autorización como “capítulo II”).
¿Qué implica en la práctica para ellas? Principalmente, que será la base normativa para que la CNMV supervise a fondo sus sistemas informáticos y su capacidad de responder a eventos adversos tales como caídas del servicio, hackeos o filtraciones de datos.
Las obligaciones que impone DORA se dividen en cuatro grandes categorías:
- Elaborar un marco de gestión de riesgos en el que se regulen los procedimientos internos y protocolos de actuación relacionados con riesgos tecnológicos. Este tendrá que estar adaptado a las circunstancias concretas de cada entidad, sus riesgos y sus herramientas.
- Realizar pruebas periódicas de los sistemas y protocolos para comprobar que son suficientemente robustos. Ello implicará tener un programa de tests y asegurarse de que lo aprendido en las pruebas se incorpora a los sistemas.
- Informar a las partes implicadas lo antes posible cuando ocurra un incidente.
- Hacer un seguimiento muy estrecho de las funciones tecnológicas que se subcontraten o se deleguen a terceros.
Cada una de estas obligaciones se regula con detalle y podrá ser objeto de supervisión. Al mismo tiempo, el propio reglamento prevé un margen de proporcionalidad. Las medidas de adaptación a DORA deben aplicarse en coherencia con el tamaño, complejidad y naturaleza de los servicios que se presten. El nivel de exigencia no puede ser el mismo para una gran entidad de crédito que para una gestora boutique. No obstante, eso nos lleva a otras cuestiones que cada entidad deberá plantearse: ¿es suficiente lo que estoy haciendo de acuerdo con mi negocio? ¿Tendré que adaptarlo si crezco o me abro a nuevas líneas?
Son este tipo de cuestiones las que las entidades tendrán que resolver en los próximos dos años. Aunque parezca un plazo largo, dada la complejidad que tiene, conviene empezar a pensar ya en cómo cumplir con DORA. Entre tanto, esperamos que las dudas prácticas que abre se vayan despejando con la aprobación de reglamentos delegados y guías regulatorias.
