Una web de INFORMA D&B S.A.U. (S.M.E) NEWSLETTER

Autónomos, Pymes y Emprendedores

Reglamento Europeo de Resiliencia Operativa Digital (DORA)

11 marzo, 2024

En la era digital, las tecnologías de la información y la comunicación (TIC) son el soporte de sistemas complejos utilizados en actividades cotidianas. Estas TIC mantienen nuestras economías en marcha en sectores clave como el sector financiero, mejorando el funcionamiento del mercado interior.

Sin embargo, el aumento de la digitalización y la interconexión también amplifica los riesgos relacionados con las TIC, volviendo a la sociedad en su conjunto y al sistema financiero particularmente más vulnerables a las ciberamenazas y perturbaciones tecnológicas.

Para abordar esta creciente vulnerabilidad, la Unión Europea ha promulgado el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014, (UE) nº 909/2014 y (UE) 2016/1011 (conocido como DORA, por las siglas en inglés de Digital Operational Resilience Act).

¿Qué es el Reglamento Europeo de Resiliencia Operativa Digital (DORA)?

El reglamento es un hito importante en la ciberseguridad financiera y establece un marco vinculante y exhaustivo para la gestión de riesgos de las TIC en el sector financiero de la UE.

Determina normas técnicas que las entidades financieras y sus terceros proveedores de servicios tecnológicos críticos deben implementar en sus sistemas TIC antes del 17 de enero de 2025. El objetivo es fortalecer la resiliencia operativa digital y garantizar la continuidad de los servicios financieros incluso en situaciones de crisis.

Objetivos del Reglamento Europeo de Resiliencia Operativa Digital

El Reglamento Europeo de Resiliencia Operativa Digital (DORA) tiene como objetivo fundamental fortalecer la ciberseguridad en el sector financiero de la Unión Europea. Los objetivos clave son:

Resiliencia operativa digital

DORA busca mejorar la resiliencia operativa digital de las entidades financieras. Esto implica asegurar que puedan resistir y responder eficazmente a cualquier perturbación o amenaza relacionada con las tecnologías de la información y la comunicación (TIC) y recuperarse de ellas.

Armonización normativa

El reglamento DORA establece un marco regulador homogéneo en todos los estados miembros de la UE. Al armonizar las normas, se busca garantizar que las empresas financieras cumplan con requisitos uniformes para proteger la estabilidad del sistema financiero.

Integración de la resiliencia digital

Reconociendo la creciente digitalización en el sector financiero, DORA busca integrar mejor la resiliencia digital en los marcos operativos más amplios de las entidades financieras. Esto implica considerar la ciberseguridad como parte integral de la gestión de riesgos y la estrategia empresarial.

Protección de la confianza ciudadana

Al fortalecer la seguridad de las TIC en el sector financiero, DORA busca proteger la confianza de los ciudadanos en los servicios financieros digitales. La confianza es fundamental para el buen funcionamiento de los mercados y la economía en general.

Por todo ello, el reglamento tiene como objetivo primordial crear un entorno más seguro y resiliente para las operaciones financieras digitales, protegiendo tanto a las instituciones como a los ciudadanos de las amenazas cibernéticas.

Principales ejes del Reglamento Europeo de Resiliencia Operativa Digital

Estos son los principales ejes:

Seguridad de redes y sistemas de información

DORA establece requisitos uniformes para la seguridad de las redes y sistemas de información de las empresas y organizaciones que operan en el sector financiero. Esto incluye tanto a las entidades financieras como a terceros proveedores de servicios relacionados con las TIC, como plataformas en la nube o servicios de análisis de datos.

El reglamento DORA exige que las entidades financieras realicen una evaluación de impacto de TIC. Esto implica analizar y comprender cómo los riesgos cibernéticos pueden afectar sus operaciones y servicios. Las organizaciones deben identificar los activos críticos, evaluar las amenazas y vulnerabilidades, y diseñar estrategias para mitigar los riesgos.

Esta evaluación es fundamental para desarrollar planes de contingencia efectivos y garantizar la continuidad del negocio en caso de incidentes tecnológicos.

Integración de la resiliencia digital

Aunque la digitalización es fundamental para las actividades financieras, el reglamento DORA reconoce la necesidad de integrar mejor la resiliencia digital en los marcos operativos más amplios de las entidades financieras. Esto implica considerar la resiliencia operativa digital como parte integral de la gestión de riesgos y la estrategia empresarial.

DORA establece la necesidad de realizar pruebas de resistencia digital. Estas pruebas simulan situaciones de crisis, como ataques cibernéticos o fallos en sistemas clave. Las entidades financieras deben probar sus capacidades de respuesta y recuperación, identificar debilidades y ajustar sus estrategias según los resultados. Las pruebas de resistencia son esenciales para fortalecer la resiliencia operativa y garantizar que las organizaciones estén preparadas para enfrentar cualquier eventualidad.

Cooperación y comunicación

El reglamento DORA promueve la cooperación y comunicación entre las partes interesadas. Las entidades financieras deben colaborar con otras instituciones, reguladores y proveedores de servicios tecnológicos. Esto incluye compartir información sobre amenazas, incidentes y mejores prácticas. La comunicación efectiva es crucial para una respuesta rápida y coordinada ante cualquier perturbación digital.

Sanciones por incumplimiento del reglamento DORA

El incumplimiento de DORA puede resultar en sanciones financieras significativas. Las autoridades de supervisión tienen el poder de imponer multas a las entidades financieras que no cumplan con los requisitos del reglamento. Estas sanciones buscan garantizar la aplicación efectiva de las medidas de resiliencia operativa y proteger la estabilidad del sistema financiero.

Alcance del Reglamento Europeo de Resiliencia Operativa Digital

El Reglamento Europeo de Resiliencia Operativa Digital (DORA) tiene un alcance amplio y se aplica a todas las instituciones financieras de la Unión Europea.

Esto incluye tanto a entidades financieras tradicionales, como bancos, empresas de inversión e instituciones de crédito; como a entidades no tradicionales, como proveedores de servicios de criptoactivos y plataformas de crowdfunding.

De manera detallada, el reglamento DORA abarca:

  • entidades de crédito, de pago, de dinero electrónico y de pensiones de jubilación;
  • proveedores de servicios de información sobre cuentas, criptoactivos, notificación de datos, financiación participativa y terceros de TIC;
  • empresas de inversión, fondos de inversión alternativos, sociedades gestoras, agencias de calificación crediticia y administradores de índices de referencia cruciales;
  • registros de operaciones y titulizaciones, depositarios centrales de valores, contrapartes centrales y centros de negociación;
  • seguros, intermediarios de seguros y reaseguros.

Entidades financieras tradicionales

Esto abarca bancos, empresas de inversión y otras instituciones de crédito que operan en la UE. DORA establece normas técnicas para la seguridad de sus redes y sistemas de información.

Entidades no tradicionales

Además de las instituciones financieras convencionales, el reglamento DORA también se aplica a proveedores de servicios de criptoactivos y plataformas de crowdfunding. Estas entidades, aunque no siempre reguladas por las normativas financieras, deben cumplir con los requisitos de DORA.

Proveedores de servicios tecnológicos críticos

DORA también afecta a proveedores externos que suministran sistemas y servicios de TIC a las empresas financieras. Esto incluye proveedores de servicios en la nube, centros de datos y otros servicios esenciales de información.

 

En resumen, DORA es un paso fundamental para fortalecer la ciberseguridad en el sector financiero europeo. Al adoptar estas medidas, la UE busca proteger la confianza de los ciudadanos y asegurar la continuidad de los servicios financieros en un mundo cada vez más digitalizado.

El Reglamento Europeo de Resiliencia Operativa Digital busca establecer un marco universal para gestionar y mitigar los riesgos de las TIC en el sector financiero de la UE. Al armonizar las normas en toda la Unión Europea, se pretende mejorar la resiliencia operativa y proteger la estabilidad del sistema financiero.

                    SUBSCRIBIRSE A LA NEWSLETTER
Te puede interesar
   
Comentarios

No hay comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *