09 de enero de 2025 - Tiempo de lectura 7 min
Qu茅 es el reglamento DORA para el sector financiero y c贸mo implementarlo
En las consideraciones iniciales del documento publicado por la Unión Europea se hace referencia a que “el uso de las TIC ha adquirido en las últimas décadas un papel fundamental en la prestación de servicios financieros, hasta el punto de que ahora tiene una importancia fundamental en la ejecución de las funciones cotidianas típicas de todas las entidades financieras” y cómo la Junta Europea de Riesgo Sistémico (JERS) reafirmó en un informe de 2020 que el elevado nivel actual de interconexión, y en particular las interdependencias de sus sistemas de TIC, entre entidades financieras, mercados financieros e infraestructuras de los mercados financieros, o nuevos modelos como las InsurTech, podría constituir una vulnerabilidad en el sistema.
Objetivos del reglamento DORA
A partir de numerosos informes previos que se detallan en el preámbulo del reglamento DORA, se establecen como principales metas:
- Gestionar los riesgos de las TIC: Proveer un marco uniforme y obligatorio para abordar los riesgos derivados de las TIC, promoviendo la seguridad y la estabilidad en el sector financiero.
- Armonizar la regulación: Establecer normas comunes para todos los Estados miembros de la UE, eliminando inconsistencias normativas que dificultaban el cumplimiento por parte de las entidades financieras.
¿Quién tiene que cumplir con DORA?
El reglamento tiene un amplio alcance, aplicándose tanto a entidades financieras tradicionales como a nuevos actores en el mercado. Algunas de las entidades afectadas incluyen:
- Bancos e instituciones de crédito.
- Compañías de seguros y reaseguros.
- Sociedades de valores y gestores de fondos.
- Plataformas de criptoactivos y de financiación participativa.
- Proveedores de servicios de TIC críticos, como servicios en la nube y centros de datos.
Cabe destacar que esta regulación afecta no solo al sector financiero sino que también es de aplicación para los proveedores de servicios TIC, ya que hoy no se puede desligar su función del core del negocio. Además las entidades financieras deben asumir un rol activo en la gestión de riesgo frente a terceros.
¿Cuáles son los requisitos de Dora?
DORA establece exigencias en cuatro áreas principales:
1. Gestión de riesgos y gobernanza de las TIC:
- Implementar un marco integral para identificar, clasificar y mitigar riesgos de TIC.
- Diseñar planes de continuidad de negocios y recuperación ante desastres.
- Responsabilizar a los órganos directivos por el cumplimiento de estos requerimientos.
- Clasificar y reportar incidentes TIC significativos a las autoridades competentes.
- Proveer informes iniciales, intermedios y finales con el fin de documentar causas y medidas adoptadas.
- Realizar evaluaciones regulares, incluidas pruebas de penetración basadas en amenazas, para identificar vulnerabilidades.
- Compartir resultados con las autoridades para su validación.
- Supervisar y documentar las dependencias con proveedores de TIC críticos.
- Asegurar que los contratos incluyan cláusulas que cumplan con los requisitos de DORA.
¿Cómo implementar DORA?
Para cumplir con el reglamento antes de la fecha límite del 17 de enero de 2025, las entidades deben seguir estos pasos:
- Evaluación de cumplimiento actual: Identificar brechas entre las prácticas actuales y los requisitos de DORA.
- Diseño de un plan de acción: Establecer estrategias y cronogramas para cerrar las brechas identificadas.
- Fortalecimiento de las capacidades de TIC: Invertir en herramientas tecnológicas y formación para el personal.
- Colaboración con terceros: Revisar los acuerdos con proveedores de TIC y garantizar su cumplimiento con las nuevas normativas.
- Pruebas y auditorías: Realizar pruebas continuas de los sistemas y preparar informes para las autoridades.
¿Cuáles son las sanciones por no cumplir con el Reglamento DORA?
El Reglamento DORA (Digital Operational Resilience Act) establece estrictas obligaciones para las entidades financieras y sus proveedores en la gestión de riesgos. Su incumplimiento puede acarrear sanciones legales severas. Son los estados miembros de la UE quienes deben crear normas para imponer sanciones administrativas y medidas correctoras, que deben ser eficaces, proporcionadas y disuasorias.
Entre las sanciones destacan:
- Multas Administrativas: Pueden llegar a 10 millones de euros o el 5% del volumen de negocio anual, aplicándose la cifra mayor para infracciones graves.-
- Medidas Correctoras: Las autoridades supervisoras pueden exigir acciones específicas para subsanar debilidades operativas.
- Amonestaciones Públicas: Una falta puede implicar señalamientos públicos, afectando la reputación de la empresa.
- Retirada de Autorización: Las entidades reincidentes podrían perder su autorización para operar.
- Indemnización por Daños: Obligación de compensar por daños y perjuicios a clientes o terceros afectados por el incumplimiento.
Responsabilidad de los directivos con DORA
Si una empresa infringe el reglamento, sus directivos también pueden ser sancionados de acuerdo a cada ley nacional. Cualquier sanción impuesta debe estar bien fundamentada y permitir un recurso, con dos premisas: Opcionalidad de sanciones administrativas y colaboración en sanciones penales. Es decir, los Estados miembros pueden optar por no aplicar sanciones administrativas o medidas correctoras si las infracciones ya están reguladas como delitos penales en su legislación nacional y, si un Estado miembro decide imponer sanciones penales, deberá garantizar que las autoridades competentes puedan comunicarse y colaborar con las autoridades judiciales y fiscales.
Los países tienen flexibilidad para decidir si regulan los incumplimientos de DORA como infracciones administrativas o delitos penales, pero deben asegurar una cooperación fluida entre autoridades para garantizar la aplicación efectiva del reglamento.
Para determinar el tipo y el nivel de una sanción administrativa o medida correctora, las autoridades tendrán en cuenta si la infracción e intencionada o una negligencia, así como otras circunstancias, entre ellas:
B. el grado de responsabilidad de la persona física o jurídica responsable de la infracción;
C. la solidez financiera de la persona física o jurídica responsable;
D. la importancia de los beneficios obtenidos o las pérdidas evitadas por la persona física o jurídica responsable, en la medida en que puedan determinarse;
E. las pérdidas causadas a terceros por la infracción, en la medida en que puedan determinarse;
F. el grado de cooperación de la persona física o jurídica responsable con la autoridad competente, sin perjuicio de la obligación de que dicha persona física o jurídica restituya las ganancias obtenidas o las pérdidas evitadas;
G. las infracciones anteriores de la persona física o jurídica responsable.
Es importante recordar que cumplir con DORA no solo evita sanciones, sino que protege la continuidad operativa en un entorno vulnerable a ciberamenazas. Además de las consecuencias legales, las empresas se enfrentan a la pérdida de confianza del mercado, con su impacto reputacional y las posibles restricciones para operar en el sector financiero.
El reglamento DORA marca un hito en la regulación financiera al abordar de manera integral los riesgos de las TIC. Su implementación no solo busca proteger a las entidades individuales, sino también asegurar la estabilidad del sistema financiero europeo en su conjunto. El cumplimiento representa una oportunidad para fortalecer la seguridad digital y aumentar la confianza de clientes y socios en el sector financiero.
Si quieres conocer todos los detalles de la nueva normativa DORA puedes acceder desde aquí al documento oficial:
Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, pp. 1-79).
Y si quieres que te ayudemos a cumplir con DORA y otras normativas de ciberseguridad, puedes contactar con tu asesor personal o visitar esta otra página sobre Ciberseguridad para grandes empresas de Vodafone.
Etiquetas relacionadas:
Contacta con nosotros: Nuestra Visión