Preparación para la entrada en vigor del DORA sobre resistencia operativa digital

Ante la profunda transformación digital de los servicios financieros, la creciente interconexión de redes e infraestructuras críticas y la proliferación de sofisticados ciberataques, la Unión Europea ha adoptado un marco normativo innovador: el Reglamento DORA y su Directiva asociada. Estos reglamentos, que entraron en vigor el 16 de enero de 2023 tras su adopción en noviembre de 2022, están diseñados para reforzar la resiliencia operativa digital de las entidades financieras.

Un nuevo marco normativo para las finanzas digitales

Como parte de la estrategia de finanzas digitales de la Comisión Europea, la iniciativa DORA tiene como objetivo fomentar la innovación y la adopción de nuevas tecnologías, garantizando al mismo tiempo la estabilidad financiera y la protección de los consumidores.

Este nuevo marco consta de dos grandes actos legislativos:

• El Reglamento (UE) 2022/2554, conocido como Reglamento DORA, que establece requisitos uniformes para la gestión de los riesgos de las tecnologías de la información y la comunicación (TIC) y para la seguridad de las redes y los sistemas de información a escala de la UE.
• Directiva (UE) 2022/2556, destinada a modificar las directivas existentes (CRD IV, PSD2, BRRD, Solvencia II, FPE II, MiFID II, GFIA, etc.) para adaptarlas a las nuevas disposiciones introducidas por el Reglamento DORA.

Por primera vez, el Reglamento DORA proporciona un marco legislativo único, detallado y completo sobre la resistencia operativa digital para las entidades financieras de la UE. También proporciona un mecanismo para la supervisión directa de los proveedores de servicios TIC críticos a escala europea.

¿A quién afecta el DORA?

El Reglamento DORA se aplica a una amplia gama de agentes del sector financiero, entre ellos:

• Entidades financieras: entidades de crédito, empresas de inversión, entidades de pago, entidades de dinero electrónico, sociedades de gestión, empresas de seguros y reaseguros, intermediarios de seguros y reaseguros, etc.
• Proveedores de servicios de TIC: que operan en los servicios financieros dentro de la Unión Europea.

Calendario de aplicación

El Reglamento DORA será directamente aplicable en todos los Estados miembros de la UE a partir del 17 de enero de 2025. Hasta entonces, la Comisión Europea publicará actos delegados basados en las normas técnicas de regulación y de ejecución (NTR y NTE) propuestas conjuntamente por las autoridades europeas de supervisión (ABE, AESPJ y AEVM). Estos textos especificarán determinados requisitos del reglamento DORA y constituirán el nivel 2 de este nuevo marco regulador.

Los Estados miembros deberán transponer la Directiva 2022/2556 antes del 17 de enero de 2025.

Por lo tanto, es esencial que las entidades financieras y los proveedores de servicios de TIC se preparen ahora analizando estos nuevos requisitos y evaluando su impacto operativo y estratégico.

De la gestión de riesgos a la resistencia operativa digital

El concepto de resiliencia operativa digital hace hincapié en un enfoque proactivo de la gestión del riesgo operativo. En lugar de centrarse únicamente en la prevención de riesgos y la mitigación de pérdidas, asume que los incidentes, por improbables que sean, ocurrirán inevitablemente. Por tanto, las organizaciones deben estar preparadas para afrontarlos, garantizando al mismo tiempo la continuidad de sus actividades y servicios críticos.

Este planteamiento requiere un conocimiento profundo del funcionamiento interno de la empresa y de su ecosistema, para identificar riesgos y amenazas, pero también para evaluar los niveles aceptables de perturbación desde el punto de vista de la organización y del cliente. Al aumentar su agilidad y capacidad de respuesta, las empresas pueden mejorar la confianza y fidelidad de sus clientes.

Así pues, la normativa DORA no debe verse como una restricción adicional, sino como una oportunidad para que las entidades financieras se diferencien en el mercado reforzando su resiliencia operativa frente a los riesgos informáticos, cibernéticos, de continuidad de negocio y de terceros.

Los 5 pilares de la resiliencia operativa digital

El reglamento DORA identifica cinco pilares clave que las entidades financieras deben aplicar para enmarcar su resiliencia operativa digital:

1. Gestión de riesgos TIC: Desarrollar un marco sólido para gestionar los riesgos asociados a las tecnologías de la información y la comunicación.
2. Gestión y notificación de incidentes de TIC y ciberamenazas: Poner en marcha procesos eficaces para detectar, gestionar y notificar incidentes y ciberamenazas.
3. Pruebas de resistencia operativa digital: Realizar pruebas periódicas para evaluar y mejorar la capacidad de la organización para soportar interrupciones.
4. Gestión de riesgos de los proveedores de servicios de TIC: Evaluar y gestionar los riesgos asociados a los proveedores externos de servicios de TIC.
5. Intercambio de información sobre ciberseguridad: Colaborar con otros para compartir información sobre amenazas a la ciberseguridad y mejores prácticas.

¿Cómo se puede facilitar y acelerar el cumplimiento del DORA?

Transforme su proceso de diagnóstico con Smart Global Governance y su solución Answer Writer. Aprovechando el poder de la inteligencia artificial, Anwer Writer rellena automáticamente sus cuadrículas de evaluación basándose en los documentos internos de su empresa. Se acabaron las tediosas idas y venidas entre los distintos departamentos y empleados.

Además, Smart Global Governance ofrece módulos avanzados para evaluar a sus terceros e informes optimizados gracias a las herramientas de Business Intelligence integradas de forma nativa. Simplifique sus procesos, ahorre un tiempo precioso y tome decisiones informadas con una solución todo en uno.