DORA: NUEVO REGLAMENTO EUROPEO SOBRE RESILIENCIA OPERATIVA DIGITAL DEL SECTOR FINANCIERO

En la era digital, las tecnologías de la información y la comunicación (TIC) son el soporte de sistemas complejos utilizados en actividades cotidianas y, entre otras, mantienen nuestras economías en marcha en sectores clave como el sector financiero, y mejoran el funcionamiento del mercado interior. El aumento de la digitalización y la interconexión también amplifica el riesgo relacionado con las TIC, y hace que la sociedad en su conjunto, y el sistema financiero en particular, sea más vulnerable a las ciber amenazas o a las perturbaciones de las TIC.

Como consecuencia de la cada vez mayor exposición y dependencia de las entidades financieras a los proveedores de servicios TIC, la falta de un marco regulatorio armonizado para la gestión de riesgos TIC y el inadecuado marco regulatorio actual en materia de externalización de este tipo de servicios, surge una nueva regulación única en Europa sobre resiliencia tecnológica que persigue determinar las obligaciones aplicables a entidades financieras que externalizan servicios con proveedores TIC y supervisar los proveedores TIC considerados como esenciales por las autoridades supervisoras.

Por todo lo mencionado anteriormente, el 14 de diciembre de 2022 se publicó el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, sobre la resiliencia operativa digital del sector financiero (en adelante, DORA) y por el que se modifican los Reglamentos (CE) 1060/2009, (UE) 648/2012, (UE) 600/2014, (UE) 909/2014 y (UE) 2016/1011. Esta regulación entró en vigor el 17 de enero de 2023 y será aplicable de forma directa desde el 17 de enero de 2025.

La aplicación de esta regulación afectará tanto a entidades financieras (entidades de crédito; entidades de pago; entidades de dinero electrónico; empresas de servicios de inversión; sociedades gestoras de fondos; aseguradoras y reaseguradoras; intermediarios de seguros; proveedores de servicios de cripto activos; etc.) como a sus proveedores de servicios tecnológicos (servicios cloud, desarrolladores de software; soporte de software; servicios digitales; servicios de datos; etc.)

Las autoridades de supervisión (EBA, ESMA o EIOPA) evaluarán a los proveedores esenciales de servicios de TIC sobre la base de los siguientes criterios:

  • Impacto sistémico en la estabilidad, continuidad o calidad de la prestación de los servicios financieros en caso de un posible fallo operativo a gran escala del proveedor.
  • Carácter o importancia sistémicos de las entidades financieras que dependen del proveedor (número de entidades de importancia sistémica mundial u otras entidades de importancia sistémica dependientes de este, interdependencia entre las mencionadas entidades).
  • Dependencia de las entidades financieras respecto de los servicios prestados por el proveedor en relación con funciones esenciales o importantes que impliquen al mismo proveedor.
  • Grado de sustitución del proveedor, considerando la falta de alternativas reales o las dificultades relacionadas con la migración parcial o total de los datos y cargas de trabajo del proveedor en cuestión a otro proveedor.

A continuación, se detallan las áreas principales que regula DORA y los principales aspectos en los que se deberán enfocar las entidades financieras para cumplir con este marco regulatorio.

1 Requisitos de gobierno y organización en relación con las TIC

Se establece el principio de plena responsabilidad con la existencia de un Órgano de gestión responsable de los riesgos de las TIC que deberá cumplir con las siguientes obligaciones:

  • Establecer funciones y responsabilidades claras para todas las funciones TIC.
  • Determinar el nivel adecuado de tolerancia al riesgo de las TIC.
  • Aprobar, supervisar y revisar periódicamente los planes de continuidad, los planes de auditoría de las TIC y las auditorías.
  • Establecer una nueva función para supervisar los acuerdos con proveedores de servicios externos.
2 Marco de gestión del riesgo TIC
  • Identificar y clasificar, según criticidad, de funciones y activos soporte TIC y sus interdependencias con terceros.
  • Disponer de sistemas, protocolos y herramientas de TIC debidamente actualizados.
  • Aplicar una debida protección y prevención de los activos de información y activos TIC.
  • Disponer de mecanismos de detección rápida de actividades anómalas.
  • Contar con una Política de continuidad de la actividad en cuanto a TIC para garantizar la continuidad de funciones esenciales de la entidad financiera.
3 Incidentes relacionados con las TIC
  • Establecer procesos de gestión de incidentes.
  • Disponer de una clasificación de incidentes y ciber amenazas.
  • Notificar los incidentes considerados graves a la autoridad competente que proceda.
4 Programa de pruebas de resiliencia dentro del marco de gestión del riesgo TIC
  • Considerar anualmente y de forma independiente todo riesgo específico al que esté expuesta la entidad y cualquier factor que se considere apropiado.
  • Ejecutar pruebas anuales de todos los sistemas y aplicaciones críticos TIC (vulnerabilidades, análisis de código, rendimiento, capacidad). • Pruebas avanzadas específicas, validadas por las autoridades supervisoras.
  • Realizar anualmente pruebas avanzadas de amenazas sobre funciones y servicios críticos. Esta verificación se debe realizar por una entidad certificada con un nivel adecuado de idoneidad, capacidades y conocimientos, acreditación y garantías.
  • Asegurar la dedicación de recursos suficientes para ejecutar las pruebas.
5 Gestión del riesgo relacionado con las TIC derivado de terceros
  • Definir una estrategia sobre el riesgo de las TIC frente a terceros y una política sobre su uso.
  • Llevar un registro de información de proveedores de servicios TIC.
  • Notificar a las autoridades competentes los proveedores de servicios TIC y sus contratos.
  • Identificar y evaluar las funciones esenciales o importantes.
  • Realizar una evaluación preliminar del riesgo del proveedor de servicios de TIC.
  • Completar la diligencia debida del proveedor de servicios de TIC.
  • Evaluar los riesgos de concentración TIC.
6 Contratos con proveedores de servicios de TIC
  • Formalizar contratos por escrito.
  • Determinar un clausulado mínimo en todos los contratos: métricas SLAs y KPIs; obligaciones de información; cumplimiento en materia de seguridad de IT; seguimiento continuo con derechos ilimitados de acceso, inspección y auditoría.
7 Intercambio de información e inteligencia sobre ciber amenazas entre entidades financieras

Establecer acuerdos para intercambiar información e inteligencia sobre ciberamenazas entre entidades para aumentar la concienciación sobre el riesgo de las TIC y apoyar las capacidades defensivas de las entidades financieras.