EspañolEspañol

Carrera
Marketplace
Contacto
Login

EspañolEspañol

SER Blog  Conformidad

Reglamento sobre la Resiliencia Operativa Digital (DORA)

¿Qué requisitos deben cumplir las entidades bancarias y aseguradoras?

Al tiempo que las empresas financieras incrementan su dependencia en las tecnologías digitales, el número de ciberamenazas y ciberataques es cada vez mayor. Por este motivo, a finales del año 2022 la Unión Europea decidió adoptar el Reglamento DORA con el fin de establecer unas pautas uniformes de seguridad y resiliencia para las empresas financieras de la UE.

En este artículo explicaremos qué implica el DORA y quién está sujeto a esta normativa. Asimismo, ofreceremos una visión general de la forma en la que las empresas están implementando las regulaciones correspondientes para garantizar la continuidad de sus operaciones y la seguridad de la red de sus sistemas de información ante posibles incidencias graves.

¿Qué es DORA?

DORA son las siglas en inglés del Reglamento sobre la Resiliencia Operativa Digital (Digital Operational Resilience Act) que, como su nombre indica, aborda el tema de la resiliencia operativa digital, y está destinado a las empresas del sector financiero de la UE. El objetivo de este reglamento es crear una normativa uniforme que regule la forma en la que los mercados financieros, incluidas las entidades bancarias y las empresas aseguradoras, gestionan la ciberseguridad y promueven la minimización de riesgos asociados a las TIC (Tecnologías de la Información y las Comunicaciones). Al hacerlo, el DORA refuerza las regulaciones existentes en relación al uso de este tipo de tecnologías.

Crea una experiencia de empleados y clientes excepcional y prepara tu negocio para el futuro

Esta guía imprescindible muestra a bancos y aseguradoras las ventajas de modernizar su gestión de contenidos empresariales y cómo hacerlo con éxito.

Read now

¿Qué tipo de directrices incluye el DORA?

El reglamento DORA está constituido, principalmente, por directrices preventivas, ya que el objetivo de la UE es preparar a las empresas para el aumento de los riesgos cibernéticos dentro del mercado financiero. De esta forma, cuando se produzca una incidencia, las compañías de este sector estarán preparadas para responder de forma más precisa y efectiva.

Los continuos avances en el campo de la digitalización en los últimos años han traído consigo un incremento de los riesgos que, con frecuencia, proceden de las TIC o las tecnologías empleadas a nivel empresarial. Dado que las entidades financieras dependen en gran medida de estas herramientas, a menudo proporcionadas por proveedores externos, el DORA establece una serie de requisitos obligatorios relacionados con las estrategias asociadas a las TIC y la cooperación con empresas y proveedores de TIC.

Desarrollo de estrategias para la gestión de riesgos asociados a las TIC

En virtud del reglamento DORA, la UE solicita a las empresas del sector bancario, asegurador y financiero el desarrollo de estrategias que garanticen la resiliencia digital, sirvan de marco y se basen en los requisitos establecidos por los estándares internacionales en materia de gestión de riesgos asociados a las TIC. En lo que se refiere a este último punto, las empresas financieras deben fijar objetivos claros sobre la seguridad de la información.

Comunicación de incidencias graves relacionadas con las TIC

Las empresas financieras deben clasificar y comunicar todas las incidencias registradas en relación con las TIC. Como parte del marco de gestión de riesgos asociados a este tipo de tecnologías, DORA incluye planes de comunicación destinados a las compañías del sector. que se han de poner en marcha según sea necesario, especialmente en caso de que se produzca una incidencia grave en este aspecto.

Pruebas y mitigación de riesgos

Al mismo tiempo, la UE obliga a ciertas empresas financieras a llevar a cabo pruebas periódicas e independientes sobre incidencias de las TIC relacionadas con la ciberseguridad, concretamente pruebas de resiliencia operativa digital que favorezcan la monitorización por parte tanto de las compañías como de las empresas reguladoras del sector. Las pruebas de código fuente, de rendimiento y de penetración basadas en amenazas permiten demostrar si se han alcanzado los objetivos relacionados con la resiliencia operativa, por lo que forman parte integral de los procesos de gestión de riesgos.

Asimismo, con el fin de reducir los riesgos asociados a las TIC de manera general, el DORA regula la forma en la que las empresas pueden realizar intercambios voluntarios de información sobre este tema dentro de comunidades financieras de confianza.

Colaboración con proveedores de TIC externos

Cuando se trabaja con proveedores de TIC externos, las medidas previstas en el reglamento DORA también se aplican a éstos. Por tanto, las empresas financieras deben llevar registros detallados de sus relaciones contractuales con terceros y desarrollar planes de cara a posibles rescisiones de los contratos. El principal punto de atención lo conforman las estrategias que ponen en marcha tanto las compañías del sector financiero como sus socios de TIC de cara a la prevención y la gestión de riesgos. En resumidas cuentas, el DORA establece estándares de colaboración entre las instituciones financieras y los proveedores de TIC de terceros.

¿Quién debe atenerse al reglamento DORA?

El reglamento DORA se aplica a todas las empresas europeas del sector financiero y a los proveedores de servicios de TIC para empresas que operen dentro del sector financiero europeo. En Alemania, el DORA se aplica a todas las empresas financieras sujetas a la regulación de la Autoridad Federal de Supervisión Financiera (BaFin), incluidas las siguientes:

  • Entidades bancarias
  • Empresas aseguradoras y reaseguradoras
  • Proveedores de servicios de pago tradicionales
  • Proveedores de servicios relacionados con las criptomonedas
  • Entidades de dinero electrónico
  • Entidades de crédito
  • Centros de negociación
  • Otros proveedores de servicios financieros
  • Proveedores de servicios de información sobre cuentas
  • Empresas de servicios de inversión
  • Fondos de inversión y gestión de éstos

Implicaciones del DORA para los proveedores de servicios de TIC

El reglamento DORA es especialmente importante para los proveedores de servicios relacionados con las TIC. Ahora, las empresas de TIC deben implementar el reglamento DORA en sus procesos, independientemente de si su sede central se encuentra dentro o fuera de la UE. Si trabajan con empresas financieras que operan dentro de la Unión, deben cumplir con las obligaciones estipuladas en el DORA.

Asimismo, la normativa recoge un nuevo marco de supervisión para proveedores de servicios relacionados con las TIC en el que se incluye la observación de proveedores de servicios TIC críticos por parte de las autoridades de supervisión europeas. Esto representa un avance significativo hacia la armonización de los requisitos normativos a nivel de la UE.

¿Cuándo se debe implementar el reglamento DORA?

El 14 de diciembre de 2022, el Parlamento Europeo y el Consejo Europeo adoptaron el reglamento (UE) 2022/2554, es decir, el reglamento DORA, que entró oficialmente en vigor el 17 de enero de 2023 como parte del paquete de digitalización de las finanzas. Por otro lado, la UE estableció un plazo de implementación de 24 meses,
por lo que el DORA será aplicable a partir del 17 de enero de 2025. A partir de esa fecha, las empresas financieras y de TIC que operen dentro del sector europeo de finanzas deberán cumplir con esta normativa.

Contexto del DORA

El DORA nace a partir de la idea de la Comisión Europea de crear una resiliencia operativa digital dentro del sector financiero. Así, el objetivo de este reglamento es abordar los cuatro grandes problemas descritos a continuación:

  1. Incremento de las incidencias cibernéticas graves dentro de las empresas financieras: el DORA refuerza la resiliencia digital y la ciberseguridad dentro del sector de las finanzas.
  2. Fragmentación normativa a la hora de gestionar los problemas de ciberseguridad dentro de la UE: el DORA tiene por objetivo armonizar y estandarizar los requisitos de operatividad digital y seguridad a nivel de la Unión Europea.
  3. Interrupciones graves de la actividad empresarial provocadas por ciberataques: el DORA establece una serie de estándares destinados a que las empresas estén mejor preparadas frente a los riesgos cibernéticos y sean capaces de ofrecer una respuesta eficaz ante ellos.
  4. Preservación de la confianza en el sector financiero: el DORA contribuye a garantizar que tanto los consumidores como los inversores sigan confiando en la fiabilidad y la seguridad del sector financiero.

Implementación del DORA por parte de la UE

Desde la entrada en vigor del reglamento DORA, los organismos reguladores han estado desarrollando proyectos de normas técnicas de regulación (RTS, por sus siglas en inglés) y normas técnicas de ejecución (ITS, por sus siglas en inglés).

El 17 de enero de 2024, se publicaron las propuestas finales de las RTS y las ITS del reglamento DORA, adoptadas por la Comisión Europea el 13 de marzo de 2024. Actualmente, estas normativas se encuentran en una fase de prueba de tres meses de duración.

Resumen Ejecutivo: Estudio del Impacto Económico Total™

Resumen Ejecutivo: Estudio del Impacto Económico Total™

Leer ahora

Implementación del reglamento DORA en Alemania

Dado que el DORA es un reglamento de la Unión Europea, se aplica directamente a la legislación nacional. El Ministerio Federal de Finanzas ha presentado un proyecto gubernamental como parte de la iniciativa de digitalización de los mercados financieros. De esta forma, está prevista la publicación de una ley de digitalización del mercado financiero (FinmadiG) que reúne diversas leyes y normas, incluidas las del reglamento DORA.

Preparación para la implementación del DORA y garantía de cumplimiento de la normativa de BaFin

El gobierno, la autoridad de supervisión BaFin y las empresas e instituciones del sector financiero deben empezar a cumplir con el marco normativo del DORA antes del 17 de enero de 2025. Nosotros, como proveedores de servicios de IT, también nos estamos preparando para su implementación. De hecho, las plataformas de gestión de contenido empresarial como Doxis pueden contribuir de forma significativa al cumplimiento de las obligaciones del reglamento DORA, dado que permiten respaldar la gestión, la seguridad y la continuidad de la información y los procesos de las instituciones financieras.

Preguntas frecuentes sobre el reglamento DORA

¿Qué significa DORA?
DORA son las siglas en inglés del Reglamento sobre la Resiliencia Operativa Digital, un reglamento de la UE destinado a reforzar la resiliencia digital del sector financiero.
¿Quién debe atenerse al reglamento DORA?
El reglamento DORA se aplica a todas las empresas financieras con sede en Europa, desde los proveedores de servicios de pago hasta las entidades bancarias y de crédito. Asimismo, está dirigida a las compañías y los proveedores de servicios relacionados con las Tecnologías de la Información y las Comunicaciones (TIC).
¿Cuándo entra en vigor el reglamento DORA?
Si bien las obligaciones estipuladas en el reglamento DORA entraron en vigor el 17 de enero de 2023, las empresas tienen de plazo máximo hasta el 17 de enero de 2025 para implementarlas.