El 17 de enero entró en vigor la Ley de Resiliencia Operativa Digital (DORA), normativa entre cuyos objetivos está garantizar la seguridad y la estabilidad del sector financiero. El motivo es que este depende cada vez más de la tecnología y de las empresas tecnológicas que prestan servicios financieros, por lo que las entidades están cada vez más expuestas a ciberataques. Si los riesgos relacionados con las TIC no se gestionan de manera eficaz, pueden afectar a la prestación de servicios financieros a nivel transfronterizo. A su vez, podría haber repercusiones en otras empresas, sectores e incluso en la economía en su conjunto.
¿Qué cubre DORA?
Gestión del riesgo tecnológico
- Estrategias y principios para la gestión de riesgos asociados a las TIC.
Supervisión de riesgos de terceros en TIC
- Monitoreo y control de proveedores tecnológicos críticos.
- Cláusulas contractuales esenciales para la gestión de riesgos.
Resiliencia operativa digital
- Evaluaciones básicas y avanzadas para medir la capacidad de respuesta ante incidentes.
- Pruebas de resistencia y simulaciones de ciberseguridad.
Gestión y notificación de incidentes
- Protocolos para la notificación de incidentes graves a las autoridades.
- Mecanismos de intercambio de información y ciberinteligencia.
Supervisión de proveedores tecnológicos esenciales
- Marco regulador para la vigilancia de terceros estratégicos en el sector financiero.
¿Qué implica para las pequeñas compañías?
A esta pregunta responde la AEFI (Asociación Española de Fintech e Insurtech) afirmando que DORA » representa un avance crucial para la resiliencia operativa del sector financiero europeo, pero también subraya la importancia de un enfoque equilibrado que tenga en cuenta las diferencias entre entidades». Según la asociación el desafío actual radica en asegurar una implementación eficaz que beneficie tanto a los grandes bancos como a las pequeñas FinTech. Aunque DORA representa un avance significativo, también supone desafíos, especialmente para las FinTech, que pueden enfrentar dificultades debido a la carga regulatoria y los costos asociados al cumplimiento de sus requisitos.
Además, la normativa no desarrolla de manera suficiente el principio de proporcionalidad, lo que implica que las obligaciones se aplican por igual a grandes bancos sistémicos y a pequeñas entidades no críticas. Este aspecto ha sido señalado como un punto clave a mejorar en futuras revisiones.
En este sentido, Alfonso Ayuso explica que “sería fundamental incrementar los principios de proporcionalidad de la normativa para garantizar que las empresas más pequeñas puedan cumplir con los estándares sin comprometer su viabilidad operativa”.
¿Y para la industria cripto?
El reglamento establece que l los proveedores de servicios cripto, implementen marcos integrales para la gestión de riesgos en TIC. Esto implica la identificación de activos críticos, la realización periódica de análisis de riesgos para detectar vulnerabilidades, la evaluación de sus sistemas frente a posibles amenazas y la adopción de medidas de ciberseguridad. Además, estos marcos deberán documentarse y actualizarse al menos una vez al año o tras la ocurrencia de incidentes. Asimismo, las entidades estarán obligadas a someterse a auditorías internas de manera periódica.
Estos proveedores de servicios cripto también tienen que llevar un registro de información. En él se deben incluir todos los contratos, indicando los esenciales y qué proveedores los ofrecen. Esta información se debe reportar una vez al año o cada vez que tenga lugar un cambio de función.
Las empresas estarán obligadas a realizar análisis de riesgos y pruebas de resiliencia de manera periódica. En el caso de las entidades financieras que no sean microempresas, el reglamento exige que, al menos una vez al año, se sometan a prueba todos los sistemas y aplicaciones TIC que soporten funciones esenciales o críticas. Estas pruebas deberán ser realizadas por terceros independientes.
Además, se deberá llevar a cabo una evaluación de riesgos cada vez que se introduzcan cambios significativos en la infraestructura de redes y sistemas de información, así como en los procesos o procedimientos que impacten sus funciones empresariales respaldadas por TIC.
Por último, las entidades deberán contar con planes de recuperación ante incidentes que permitan una respuesta rápida, minimicen daños y definan estrategias de recuperación. También estarán obligadas a monitorear, registrar e informar sobre incidentes tecnológicos, remitiendo los informes correspondientes tanto a las autoridades competentes como a los clientes afectados.