Reglamento DORA y resiliencia digital en el sector financiero. Obligaciones clave, pero... ¿solo cosa de bancos?

En los últimos años, el sector financiero ha asistido a una digitalización e interconexión prácticamente universales, lo que ha ampliado el riesgo relacionado con las TIC (tecnologías de la información y la comunicación), al hacerlo más vulnerable a las ciberamenazas. También en estos últimos años, el sector financiero (como tantos otros) ha venido sufriendo ciberataques graves, con el consiguiente riesgo para los sistemas de pago y la economía en su conjunto.

De este modo, con el fin de prevenir y mitigar las ciberamenazas, asegurando que el sector financiero en la Unión Europea (UE) consiga un alto nivel de resiliencia operativa digital, es decir, de seguridad de las redes y de sistemas de información, el Consejo de la UE aprobaba formalmente el 28 de noviembre de 2022, el Reglamento sobre la resiliencia operativa digital del sector financiero (Reglamento DORA). En este reglamento, se establecen por primera vez, requisitos uniformes en todos los Estados Miembros de la Unión Europea para la seguridad de las redes y sistemas de información de las empresas y organizaciones que operan en el sector financiero, así como de terceros que les presten servicios esenciales relacionados con las TIC.

Las principales medidas que DORA exigirá a las entidades financieras están basadas en lo que constituye la otra gran innovación reciente en esta materia, las Directrices de la Autoridad Bancaria Europea (EBA) sobre gestión de los riesgos TIC y de seguridad (EBA/GL/2019/04), vigentes desde el 30 de junio de 2020. Como es sabido, dichas Directrices imponen ya a las entidades financieras a ellas sujetas, requerimientos sobre gobierno y estrategia, gestión de riesgos y pruebas de seguridad y de continuidad de negocio. De ahí que no deba extrañar que ahora DORA exija a sus sujetos obligados:

• Procedimientos de gestión del riesgo relacionado con el uso de las TIC;
• notificación a las autoridades competentes de incidentes graves relacionados con las TIC y, con carácter voluntario, de ciberamenazas importantes;
• pruebas de resiliencia operativa digital (los denominados pentests);
• intercambio de información e inteligencia en relación con las ciberamenazas y las vulnerabilidades cibernéticas;
• y medidas para la buena gestión del riesgo relacionado con las TIC derivado de terceros (por ejemplo a través de contratos).

En general, esto supondrá que las entidades financieras deban realizar un seguimiento y un control permanentes de la seguridad y funcionamiento de los sistemas y herramientas de las TIC, mediante procesos continuos (y no puntuales o esporádicos), que terminen plasmándose en políticas, procedimientos, protocolos y herramientas en esta materia, a fin de garantizar la resiliencia, la continuidad y la disponibilidad de las redes y los sistemas TIC.

Es cierto que el nivel de exigencia se gradúa en función del tamaño y perfil de riesgo general de la entidad, así como de la naturaleza, escala y complejidad de sus servicios, actividades y operaciones. Sin embargo, y esto es un aspecto capital, el Reglamento va mucho más allá de ser "cosa solo de bancos", al afectar a la totalidad de las instituciones financieras. En concreto, vinculará a todas las entidades de crédito, las entidades de pagos y entidades asimiladas, como son los proveedores de servicios de información sobre cuentas, así como a las entidades de dinero electrónico. Su amplísimo ámbito subjetivo se extiende, asimismo, a las empresas y cualesquiera entidades de inversión. También, lo que es una importante novedad, a los proveedores de servicios de criptoactivos; a las empresas e intermediarios de seguros y de reaseguros, junto a los fondos de pensiones de empleo; y a las agencias de calificación crediticia, administradores de índices de referencia cruciales, proveedores de servicios de financiación participativa y registros de titulizaciones.

Como antes mencionábamos, DORA extiende su campo de vigilancia respecto de proveedores terceros de servicios esenciales de TIC, como, por ejemplo (aunque no solamente), de servicios en nube, en lo que, sin duda, constituye una de sus principales novedades, y también de sus retos, pues es sabido que el sistema financiero europeo se ancla, en este sentido, en los servicios de las grandes tecnológicas mundiales, fundamentalmente las estadounidenses. Una autoridad nacional de supervisión previamente designada evaluará si han establecido normas, procedimientos, mecanismos y disposiciones completos, sólidos y eficaces para gestionar los riesgos TIC que sus servicios puedan plantear a las entidades financieras de que se trate. El incumplimiento de la normativa DORA conllevará la imposición de multas por parte del supervisor nacional previamente designado, que podrían llegar a ser de hasta un 1% del volumen de negocio diario medio a escala mundial del proveedor en el ejercicio precedente. Con la nueva legislación comunitaria, se da pues un paso más hacia la definitiva inclusión de los proveedores de servicios TIC que prestan sus servicios a las entidades financieras en el régimen de supervisión al que están sujetas las propias entidades financieras.

En relación con las entidades financieras, el incumplimiento conllevará sanciones penales y administrativas, así como la imposición de medidas de corrección, las cuales deberán ser eficaces, proporcionadas y disuasorias, y quedarán tipificadas en la normativa nacional de desarrollo. Las encargadas de supervisar el cumplimiento por parte de las entidades financieras y, en su caso, de imponerles sanciones, serán las autoridades nacionales, en función de sus respectivas competencias (crediticias, financieras o de seguros).

Una duda clave que esta nueva normativa suscita es su impacto sobre la llamada Directiva NIS, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, que data de 2016 (y se desarrolló en España mediante Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información). El propio Consejo de la UE aclara preliminarmente esta duda, al señalar que DORA preserva, en todo caso, la vigencia de la Directiva NIS, respecto de la cua,l el Reglamento DORA operará como "lex specialis", es decir, concretando y desarrollando diversos aspectos de la Directiva que pudieran verse afectados.

El Reglamento DORA, por otra parte, no solo reforma diversos preceptos de otros reglamentos comunitarios en esta materia, sino que ha debido a la vez, venir acompañado de la llamada Directiva DORA, encargada de hacer lo propio respecto de diversas directivas ya vigentes en este mismo ámbito.

La aprobación formal del Reglamento DORA llevada a cabo por el Consejo de la UE es el último paso legislativo previo a su publicación oficial. El texto entrará en vigor a los 20 días de su publicación y será directamente aplicable transcurridos dos años desde la fecha de publicación, es decir, muy probablemente a fines del año 2024. El propio Consejo hace notar, no obstante, que los Estados miembros deberán ajustar algunos de los preceptos de DORA a sus correspondientes ordenamientos nacionales.

También destaca el Consejo de la UE, que las autoridades europeas de supervisión financiera (EBA en el ámbito bancario, ESMA en el de mercados financieros y EIOPA en el de seguros) habrán de dictar las oportunas normas técnicas de desarrollo, que deberán presentar a la Comisión Europea en el plazo de un año desde la entrada en vigor de este nuevo Reglamento. La experiencia de estos años al hilo de las mencionadas Directrices técnicas de la EBA en esta materia (EBA/GL/2019/04) es el mejor indicio para augurar que las normas técnicas de desarrollo jugarán un papel capital en el día a día del Reglamento DORA, siendo previsible que, también en este caso, dichas pautas técnicas terminen erigiéndose en su baremo práctico de aplicación.

Tiempo queda sin duda para continuar con la adaptación a estas nuevas exigencias, que nos consta viene siendo llevada a cabo desde hace años por muchas entidades financieras. Aun cuando la severidad de las nuevas obligaciones, unida a su elevada complejidad técnica, exige que las instituciones financieras le sigan prestando la mayor atención, estando como está en juego, un bien de tanto relieve como es la seguridad de la información. Y que, por cierto, se haga así no solo por "los bancos", sino por la totalidad de las entidades financieras, pues hemos visto que son sencillamente todas ellas quienes quedan vinculadas por esta nueva regulación.

Contacto