17/01/2025
A partir de hoy, 17 de enero de 2025, el Reglamento DORA (Digital Operational Resilience Act) es plenamente aplicable. Este Reglamento establece un marco normativo uniforme para reforzar la ciberresiliencia en el sector financiero, un ámbito especialmente sensible ante riesgos operativos y ciberamenazas.
Este nuevo marco normativo establece obligaciones claras para las entidades financieras y, de manera destacada, para los proveedores terceros de servicios de TIC. En un contexto en el que la seguridad operativa digital se ha convertido en un eje crítico para garantizar la estabilidad financiera, DORA busca reforzar la capacidad de las entidades para prevenir, resistir y recuperarse ante incidentes cibernéticos.
El Reglamento DORA nace como respuesta a la creciente dependencia del sector financiero de los servicios digitales, y a la exposición cada vez mayor a ciberamenazas y riesgos operativos. En los últimos años, la digitalización ha transformado profundamente la operativa financiera, haciendo que tecnologías como los servicios en la nube, las plataformas digitales y los sistemas de inteligencia artificial se conviertan en elementos esenciales en el funcionamiento de las entidades del sector financiero.
Sin embargo, esta transformación ha venido acompañada de un aumento exponencial de los riesgos. Ciberataques, interrupciones de servicio y vulnerabilidades en sistemas críticos han evidenciado la necesidad de un enfoque normativo base que garantice la ciberresiliencia. Hasta ahora, la falta de uniformidad en las regulaciones nacionales y la insuficiencia de los mecanismos de supervisión, complicaban la gestión efectiva de estos riesgos a nivel europeo.
El objetivo principal de DORA es garantizar que todas las entidades financieras de la Unión Europea, independientemente de su tamaño o complejidad, cuenten con mecanismos sólidos para prevenir, mitigar y responder a incidentes de seguridad que puedan comprometer la operativa de las entidades e indirectamente afectar a la estabilidad financiera, como la confianza de los clientes en el sistema.
La normativa también refleja el reconocimiento de la interdependencia del sector financiero con otros sectores tecnológicos, destacando la necesidad de controlar los riesgos asociados a los proveedores terceros de servicios de TIC, cuyo impacto puede comprometer la estabilidad de las operaciones si no se gestionan correctamente.
Además, el Reglamento DORA se alinea con la Directiva NIS 2, que también busca reforzar la ciberseguridad en sectores clave, incluidos los servicios esenciales y críticos. Ambas normativas actúan de manera complementaria, por lo que habrá que estar atentos a la gestión de ambos marcos normativos, con especial mención del recientemente publicado anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
El Reglamento DORA aplica a un amplio abanico de entidades del sector financiero, tanto públicas como privadas, cuya actividad depende significativamente de sistemas y redes de información. Esto incluye, entre otros, bancos, aseguradoras, empresas de servicios de inversión, gestores de fondos y proveedores de servicios de criptoactivos.
Además, DORA extiende su alcance a los proveedores terceros de servicios de TIC que ofrecen soluciones esenciales o importantes a estas entidades, reconociendo el papel crucial que desempeñan en un sector financiero cada vez más digitalizado e interconectado.
Relativos a estos, DORA presta especial atención a los proveedores terceros de servicios de TIC designados como "esenciales", que estarán sujetos a requisitos adicionales y a un seguimiento más riguroso por parte de las autoridades competentes. Todo ello para garantizar que éstos cumplan con estándares de resiliencia operativa acordes con la sensibilidad de los servicios que prestan.
Como venimos comentando, el Reglamento DORA introduce un conjunto de exigencias generales diseñadas para reforzar la capacidad de las entidades obligadas para gestionar el riesgo derivado del entorno digital. Estas obligaciones giran en torno a cinco pilares fundamentales:
El Reglamento DORA otorga un protagonismo destacado a los proveedores terceros de servicios de TIC, considerando su papel crítico en la operativa de las entidades financieras.
Para garantizar un adecuado cumplimiento de las exigencias del Reglamento, los contratos entre los proveedores de servicios de TIC y las entidades financieras deben incluir disposiciones específicas para garantizar la resiliencia operativa. Entre otras cuestiones, debe incluirse una definición clara de los servicios prestados, prever procedimientos para la recuperación de datos en caso de insolvencia o interrupción del servicio, así como estrategias de salida para minimizar los riesgos de una finalización de estos contratos en relación con los servicios que esté gestionando el proveedor.
Además, el Reglamento exige que los proveedores terceros gestionen cuidadosamente cualquier subcontratación de servicios críticos; especialmente cuando estén afectados por otras jurisdicciones con vista a asegurar la continuidad del servicio en cualquier circunstancia. Esto exige asegurar que los subcontratistas cumplan con los mismos estándares de seguridad y resiliencia operativa que el proveedor, así como informar y, en ciertos casos, obtener aprobación previa de las autoridades competentes. Asimismo, deben asegurar la portabilidad de los datos y la continuidad de los servicios en caso de cambio de proveedor.
Los proveedores deben facilitar a las entidades financieras y, en su caso, a las autoridades competentes, el acceso necesario para llevar a cabo auditorías y evaluaciones que permitan verificar la seguridad y calidad de los servicios ofrecidos. Esto incluye la posibilidad de inspecciones y la provisión de información relevante, siempre dentro de los términos establecidos en los acuerdos contractuales.
Por último, el Reglamento destaca la importancia que da DORA a que los proveedores adopten medidas que refuercen la resiliencia operativa de las entidades financieras tales como planes de contingencia efectivos y una colaboración proactiva en las pruebas de ciberseguridad organizadas a las que dichas entidades están obligadas.
Por otro lado, además de las obligaciones antes mencionadas, el Reglamento introduce obligaciones específicas para aquellos designados como “proveedores terceros esenciales”.
Así, estos “proveedores terceros esenciales” son aquellos cuya actividad es fundamental para las operaciones de múltiples entidades financieras y, cuya interrupción, podría generar un impacto significativo en el sector. Una vez designados, estarán sujetos a una supervisión directa por parte de un “supervisor principal”, quien será el responsable de evaluar su cumplimiento normativo.
Aunque los proveedores no designados como esenciales no están sujetos al mismo nivel de supervisión, deben cumplir con las disposiciones generales de DORA relativas a la gestión del riesgo de TIC, la colaboración con sus clientes y la notificación de incidentes importantes.
Por último, y como no podía ser de otra manera debido de la relevancia que estas entidades financieras y proveedoras de servicios TIC tienen en el mercado, se han establecido multas por incumplimiento de gran cuantía. Y es que, en casos de incumplimiento grave, los proveedores esenciales pueden enfrentarse a multas coercitivas de hasta el 1 % de su facturación diaria global por cada día de incumplimiento.
Desde EJASO, sabemos que adaptarse a los nuevos marcos regulatorios puede ser complejo, especialmente en un entorno tan dinámico y cambiante tecnológicamente como el que estamos viviendo, donde los ciberataques están a la orden del día. Por ello, acompañamos a las empresas en cada etapa del proceso de adecuación normativa, desde la identificación de riesgos, hasta la implementación de estrategias efectivas y sostenibles, asegurando un cumplimiento normativo que refuerce su competitividad y confianza en el mercado, evitando su responsabilidad y multas por incumplimiento.
Autores
Socio. Responsable del área de Derecho Digital y Propiedad Intelectual
España & Portugal
