La Asociación Española de FinTech e InsurTech (AEFI), en colaboración con Ontier y Formalize, analiza el nuevo Reglamento de Resiliencia Operativa Digital (DORA), normativa que busca fortalecer la estabilidad operativa y la seguridad digital del sector financiero a nivel europeo. Centrada principalmente en la ciberseguridad y en la supervisión de proveedores tecnológicos, la nueva norma recoge una serie de requisitos y prácticas cuyo objetivo es que las empresas del sector puedan prevenir, responder y recuperarse de todo tipo de incidentes digitales.
¿Qué es el reglamento DORA?
Es una normativa creada para fortalecer la capacidad de las empresas de detectar y gestionar riesgos digitales, así como para establecer protocolos efectivos de respuesta y recuperación ante incidentes. Un aspecto central del reglamento es la supervisión de proveedores de servicios críticos, como los servicios en la nube, fundamentales para garantizar el buen funcionamiento del sector financiero.
¿Por qué es tan necesaria una regulación así?
DORA surge como respuesta a la creciente necesidad de proteger al sector financiero europeo frente a riesgos operativos y cibernéticos. En un contexto en el que las instituciones financieras dependen cada vez de más servicios digitales externos, este reglamento refuerza la seguridad, protege a los consumidores y asegura la estabilidad del sistema financiero.
Álvaro Blanco, Director General de Formalizar, socio de la AEFI, señala que “la tecnología es fundamental para facilitar el cumplimiento de las entidades a DORA, requiere una información detallada de proveedores, contratos, sistemas y funciones para reportarlo a las autoridades en los formatos exigidos (RTS e ITS). Automatizar todo este proceso para optimizar tiempo y minimizar errores humanos es clave para el sector financiero que ya emplea gran cantidad de recursos al cumplimiento».
¿Cuándo empezará a aplicarse?
El reglamento DORA fue propuesto inicialmente en 2020, pero su entrada en vigor oficial tuvo lugar el 16 de enero de 2023. No obstante, su aplicación será obligatoria a partir del 17 de enero de 2025. Esto da a las instituciones financieras un plazo para adaptarse, mediante auditorías y pruebas que comenzarán en esa fecha Por ello, las empresas del sector deben preparar y ajustar sus operaciones lo antes posible para cumplir con los requisitos.
Gonzalo Navarro Ruiz, director del área regulatoria financiera en ONTIER, socio jurídico de la AEFI, comenta: “uno de los mayores obstáculos de DORA es la carga regulatoria impuesta en materia de políticas de gobernanza, líneas de reporte, planes de seguimiento y establecimientos de registros, entre otros, así como el hecho de que afecta a un amplio abanico de entidades, gestoras de fondos, plataformas de financiación participativa, entidades de dineros electrónico, empresas de seguros, empresas de servicios de inversión, entre otras, y la adaptación no es sencilla, especialmente en lo relacionado con la coordinación entre los aspectos regulatorios, técnicos y de cumplimiento y gobierno corporativo”.
Los pilares de la normativa
La gestión de riesgos en TIC: DORA exige que las empresas establezcan estrategias específicas para la gestión de riesgos relacionados con las tecnologías digitales, anticipándose a las posibles amenazas y vulnerabilidades en sus sistemas.
La notificación de incidentes: Las instituciones deben informar inmediatamente de cualquier incidente significativo. De esta forma las autoridades y el sector financiero podrán reaccionar de manera ágil y coordinada ante las amenazas.
Pruebas de resiliencia operativa: Para asegurar la solidez de sus sistemas, las empresas deben realizar pruebas periódicas que garanticen su capacidad para soportar situaciones adversas sin afectar la calidad de sus servicios.
Gestión de riesgos de terceros proveedores: Uno de los puntos más relevantes de DORA es la supervisión de proveedores críticos, en especial aquellos que ofrecen servicios esenciales en la nube y en centros de datos.
Intercambio de información sobre ciberamenazas: El reglamento fomenta una colaboración más estrecha entre las instituciones, promoviendo el intercambio de información sobre ciberamenazas para mitigar los riesgos de forma conjunta.