Ilier Navarro. Ya falta menos para que las entidades financieras tengan que cumplir con todos los requisitos que establece el Reglamento DORA, conocido así por sus siglas en inglés (Digital Operational Resilience Act). Se trata de una normativa de la Unión Europea que establece un marco regulatorio para optimizar la gestión de riesgos de las TIC en los bancos y las aseguradoras, entidades de crédito y de inversión, de manera que presenten estándares más elevados de resiliencia digital y de ciberseguridad y que ofrezcan mayores garantías de que los servicios digitales que prestan son seguros. A partir de su entrada en vigor, las empresas obligadas tendrán que contar con capacidades y recursos necesarios para prevenir, identificar incidentes operativos y mejorar su capacidad de respuesta. También fomenta la coordinación de las autoridades financieras de la UE ante este tipo de eventos.
El Parlamento Europeo aprobó el Reglamento DORA el 14 de diciembre de 2022 (LA LEY 26819/2022). Sin embargo, ha habido tiempo para adaptarse, pues entró en vigor un mes más tarde, el 16 de enero de 2023. Desde entonces, las entidades obligadas han contado con dos años para adoptar las medidas necesarias para cumplir, una tarea que deberán completar como tarde el próximo 17 de enero de 2025. No solo deben estar al día con los requisitos las entidades que ofrezcan servicios financieros en la Unión Europea, sino también aquellas que tengan su sede en un país tercero y que operen aquí.
DORA va de la mano del Reglamento CRO (Cybersecurity Resilience Oversight Regulation): mientras el primero se centra en los riesgos operativos y en la resiliencia digital de las entidades obligadas, el segundo pone el foco en la resiliencia cibernética de las entidades financieras.
El Reglamento DORA busca mejorar la seguridad y la resiliencia de las entidades del sector finanzas frente a los riesgos asociados al uso de las tecnologías de la información y de plataformas digitales para ofrecer servicios a sus clientes. Aquí se incluyen tanto los ciberataques como las caídas de servicio. También pone el foco en la gestión de riesgos porque crea un marco para identificarlos, evaluarlos y mitigarlos, fomentando una mayor transparencia en la gestión de las plataformas y de los potenciales incidentes.
Las entidades obligadas a cumplir con el Reglamento DORA son bancos comerciales y bancos de inversión; compañías de seguros; gestoras de fondos de inversión; sociedades de valores, que ofrecen servicios de intermediación y negociación de valores; plataformas de negociación para la compra y venta de instrumentos financieros; proveedores de servicios de compensación y liquidación de valores; y agencias de calificación crediticia, dedicadas a evaluar y calificar la solvencia crediticia de entidades financieras y emisores de valores.
Obligaciones
La entidad tendrá que designar un equipo responsable de la implementación del Reglamento DORA. En él deben estar representados representantes de cumplimiento, legal, tecnología y operaciones que deben definir procesos teniendo en cuenta la protección de datos, la gestión de riesgos, la gobernanza de datos y la transparencia.
• Definir un marco de gestión y gobernanza de riesgos de las TIC. Este marco debe incluir políticas, procedimientos y herramientas para afrontar todo el ciclo de acciones necesarias para la gestión de los riesgos tecnológicos.
• Notificación de incidentes. Otra obligación novedosa es que las entidades financieras deben notificar a las autoridades competentes los incidentes de seguridad que puedan tener un impacto significativo en sus operaciones.
• Pruebas periódicas. Las entidades deben realizar pruebas de resiliencia operativa digital para evaluar la capacidad de resistencia de sus sistemas. Las pruebas incluyen evaluaciones de vulnerabilidades y pruebas basadas en escenarios, así como pruebas de penetración con amenazas especificas dirigías a entidades financieras.
• Intercambio de información sobre ciberamenazas. Las entidades deben firmar acuerdos para intercambiar información e inteligencia sobre las amenazas y las vulnerabilidades de ciberseguridad.
• Gestión de riesgos de terceros. Las entidades obligadas deben ser activas en la gestión de riesgos de terceros y establecer acuerdos específicos en los contratos, además de mapear la cadena de suministro. Se supervisará de manera directa a los proveedores de servicios TIC críticos y también tendrán que cumplir con DORA.
Incidentes
En caso de incidente, las entidades deben acometer una serie de tareas:
1. Identificación del incidente. La entidad debe haberse dotado de procedimientos internos para identificar, rastrear, registrar, categorizar y clasificar todos los incidentes relacionados con las TIC. Los mecanismos deben ser adecuados y eficaces. Y las organizaciones también deben responsabilizarse de hacer seguimiento y de dar un tratamiento y una respuesta coherentes, así como documentar y abordar las causas subyacentes de los incidentes para prevenir su recurrencia.
2. Evaluación de la gravedad. La entidad debe valorar el impacto del incidente para determinar si tiene que notificarlo. Los incidentes de carácter grave deben ser comunicados a los altos directivos y al órgano de dirección, así como sus repercusiones, las medidas adoptadas y los controles que se implantarán. Para la evaluación, se pueden utilizar criterios basados en umbrales (número de operaciones o de clientes afectados, por ejemplo) y se debe considerar la taxonomía del incidente, el riesgo para los clientes y el impacto en la seguridad de la información, así como en la confidencialidad, integridad o disponibilidad de los datos.
3. Notificación a la Autoridad de Supervisión Competente (ASC). Se debe informar a la ASC en el plazo establecido. En España, el Banco de España es el supervisor de las entidades de crédito. Primero habrá una notificación inicial y después un informe intermedio, si el incidente ha cambiado significativamente; y un informe final, con las conclusiones. Debe incorporar información relevante sobre la naturaleza del incidente, su impacto previsto o actual, las medidas adoptadas o previstas y otros datos solicitados por supervisor.
En caso de incumplimiento, el reglamento prevé la imposición de diversas sanciones dependiendo de la gravedad. Queda poco tiempo para adaptarse, ya que el próximo 17 de enero de 2025 las entidades del sector finanzas deben cumplir todos los requisitos del Reglamento DORA.