Se aplica a partir del 17 de enero de 2025 y afecta desde bancos y aseguradoras hasta empresas de inversión y proveedores de servicios tecnológicos que gestionan datos.
Faltan tres meses para que el Reglamento de resiliencia digital operativa, más conocido como DORA, sea aplicable en la Unión Europea. Sin embargo, las entidades llevan meses (o incluso años) de trabajo intenso para adaptarse a la nueva era digital. Al fin y al cabo, el objetivo de esta norma es fortalecer la estabilidad operativa y la seguridad digital del sector financiero a nivel europeo así como prevenir y responder ante cualquier incidente digital.
Al respecto, la Asociación Española de FinTech e InsurTech (AEFI), en colaboración con Ontier y Formalize, ha elaborado un documento para analizar las implicaciones del nuevo Reglamento que consta de seis preguntas clave.
1. ¿Qué es el Reglamento DORA?
El nuevo Reglamento DORA es una normativa diseñada para que las empresas mejoren su capacidad para identificar y mitigar amenazas digitales e implementen protocolos de respuesta y recuperación ante incidentes. Un aspecto crucial del reglamento es la supervisión de proveedores de servicios críticos, como los proveedores de servicios en la nube, cuya operativa es fundamental para el buen funcionamiento del sector.
2. ¿Cuáles son los actores implicados?
El alcance de DORA es amplio y afecta desde bancos y aseguradoras hasta empresas de inversión y proveedores de servicios tecnológicos que gestionan datos o funciones críticas para estas instituciones.
3. ¿Por qué es tan necesaria una regulación así?
Responde a la necesidad urgente de proteger al sector financiero europeo frente a riesgos operativos y cibernéticos. En un contexto actual, en el que cada vez más instituciones financieras dependen de servicios digitales externos, contar con una normativa de este tipo refuerza la seguridad, protege a los consumidores y garantiza la estabilidad del mercado financiero en su conjunto.
Álvaro Blanco, General Manager en Formalize, partner de la AEFI, explica que “la tecnología es fundamental para facilitar el cumplimiento de las entidades a DORA, requiere una información detallada de proveedores, contratos, sistemas y funciones para reportarlo a las autoridades en los formatos exigidos (RTS e ITS). Automatizar todo este proceso para optimizar tiempo y minimizar errores humanos es clave para el sector financiero que ya emplea gran cantidad de recursos al cumplimiento"
4. ¿Cuándo se implementará?
La propuesta inicial para la puesta en marcha de este reglamento se remonta a 2020, aunque su entrada en vigor se produjo el 16 de enero de 2023 y se aplicará a partir del 17 de enero de 2025, justo un año después. De ahí que las entidades financieras de todo el continente europeo estén en pleno proceso de adaptación, con auditorías y pruebas de cumplimiento que comenzarán en 2025. Esto exige que las empresas y proveedores del sector financiero se preparen y adapten sus operaciones rápidamente para cumplir con los requisitos establecidos.
Gonzalo Navarro Ruiz, director del área de regulatorio financiero en ONTIER, partner jurídico de la AEFI explica que “uno de los mayores obstáculos de DORA es la carga regulatoria impuesta en materia de políticas de gobernanza, líneas de reporte, planes de seguimiento y establecimientos de registros, entre otros, así como el hecho de que afecta a un amplio abanico de entidades, gestoras de fondos, plataformas de financiación participativa, entidades de dineros electrónico, empresas de seguros, empresas de servicios de inversión, entre otras, y la adaptación no es sencilla, especialmente en lo relacionado con la coordinación entre los aspectos regulatorios, técnicos y de cumplimiento y gobierno corporativo”.
5. ¿Cómo afectará al sector financiero español?
Su implementación representa una oportunidad significativa para consolidar un entorno financiero seguro y robusto en España. En ese sentido, podría ser la palanca definitiva para integrar la ciberseguridad en la estrategia corporativa de las entidades financieras así como un catalizador para las empresas fintech.
6. ¿Cuáles son los pilares de esta normativa?
La gestión de riesgos en TIC (Tecnologías de la Información y Comunicación): DORA exige que las empresas implementen estrategias específicas para la gestión de riesgos relacionados con las tecnologías digitales, anticipándose así a posibles amenazas y vulnerabilidades en sus sistemas.
La notificación de incidentes: La normativa requiere que las instituciones notifiquen inmediatamente cualquier incidente significativo, lo que permite a las autoridades y al sector financiero en su conjunto reaccionar de manera ágil y coordinada ante posibles amenazas.
Pruebas de resiliencia operativa: Para asegurar la solidez de sus sistemas, las empresas deben realizar pruebas periódicas que garanticen su capacidad para soportar situaciones adversas sin afectar la calidad de sus servicios.
Gestión de riesgos de terceros proveedores: Uno de los puntos más relevantes de DORA es la supervisión de proveedores críticos, en especial aquellos que ofrecen servicios esenciales en la nube y en centros de datos. Esta supervisión es clave para asegurar que todos los actores de la cadena cumplan con los altos estándares de seguridad requeridos.
Intercambio de información sobre ciberamenazas: El reglamento fomenta una colaboración más estrecha entre las instituciones, promoviendo el intercambio de información sobre ciberamenazas para que los riesgos puedan ser mitigados de manera conjunta.