En Francia, como en el resto del mundo, la digitalización acelerada de los servicios financieros ha amplificado los riesgos en términos de cyberseguridad y de resistencia operativa. En este contexto, la Unión Europea ha introducido el Digital Operational Resilience Act (DORA), un marco normativo destinado a reforzar la resistencia de las entidades financieras frente a las amenazas digitales. Aprobada en noviembre de 2022 por el Consejo de la UE, DORA y su Directiva asociada entraron en vigor el 16 de enero de 2023.

¿POR QUÉ DORA?

La Ley de Resiliencia Operativa Digital (el otro nombre de DORA) es un reglamento hecho en Europa. Fue propuesta en septiembre de 2020 nada menos que por la Comisión Europea, como parte de su estrategia para las finanzas digitales. ¿Por qué es necesaria esta legislación? Porque las autoridades han reconocido la creciente vulnerabilidad de las infraestructuras financieras frente a los ciberataques y las perturbaciones tecnológicas.

Por ello, el DORA pretende garantizar que todas las entidades financieras de la UE dispongan de las capacidades, recursos y herramientas necesarios para prevenir, detectar, gestionar y recuperarse de los incidentes relacionados con las TIC (Tecnologías de la Información y la Comunicación).

¿Cuáles son los principales objetivos de DORA?
  1. Reforzar la resistencia operativa de las instituciones financieras, es decir, garantizar que las entidades financieras puedan seguir funcionando en caso de incidentes perturbadores.
  2. Armonizar los requisitos reglamentarios en toda la UE creando un marco coherente y uniforme para todas las entidades financieras, reduciendo así las disparidades normativas entre los Estados miembros.
  3. Mejorar el seguimiento y la gestión de riesgos estableciendo mecanismos sólidos para identificar y gestionar de forma proactiva los riesgos tecnológicos.

¿A QUIÉN VA DIRIGIDO DORA?

El DORA se aplica a una (muy) amplia gama de entidades financieras. He aquí una lista no exhaustiva:

  • bancos y entidades de crédito;
  • empresas de inversión;
  • aseguradoras y reaseguradoras;
  • sociedades de gestión de activos;
  • infraestructuras de los mercados financieros (cámaras de compensación, depositarios centrales de valores);
  • proveedores de servicios de pago.

Y eso no es todo: el DORA también impone obligaciones a los terceros proveedores que suministran servicios esenciales a las entidades financieras. Así pues, se ha reconocido (por fin) la interdependencia crítica entre estos proveedores y el sector financiero.

LOS 5 PILARES DE LA NORMATIVA DORA

#1 Gestión de riesgos

Ante todo, el DORA exige a las entidades financieras que establezcan un marco de gestión de riesgos sólido y documentado. Debe tener en cuenta varios componentes: prevención, detección, respuesta y aprendizaje.

Por tanto, una estrategia eficaz de gestión de riesgos incluye:

  • la aplicación de medidas de seguridad adecuadas para prevenir incidentes;
  • supervisión continua de los sistemas para detectar incidentes y vulnerabilidades;
  • el diseño de planes detallados para responder a los incidentes y restablecer los servicios;
  • la organización de evaluaciones posteriores a los incidentes para mejorar los procesos y controles.
#2 Pruebas de resistencia operativa

La prueba de resistencia operativa es el primer nivel de pruebas introducido por el DORA. ¿En qué consiste? Simular un ataque informático a un activo, para identificar sus principales vulnerabilidades.

Obligatorias para todas las organizaciones que participan en el DORA, estas pruebas se dividen en dos categorías:

  • pruebas internas, que deben realizarse periódicamente para evaluar la capacidad de resistir y recuperarse de los incidentes;
  • pruebas de penetración basadas en amenazas (TIBER-EU), mucho más avanzadas y dedicadas a entidades críticas.

Los resultados de las pruebas deben (por supuesto) compartirse con los reguladores para garantizar la transparencia y el cumplimiento en todas las circunstancias.

#3 Gestión de terceros y proveedores de servicios

Que los proveedores de servicios sean externos a la empresa no significa que no cuenten. Al contrario: las relaciones con estos actores son cruciales para la resiliencia operativa.

De acuerdo con su misión, el DORA impone obligaciones específicas en materia de gestión de terceros:

  • realizar una evaluación preliminar exhaustiva de los proveedores antes de celebrar contratos;
  • incluir cláusulas contractuales específicas para garantizar la resistencia y seguridad de los servicios prestados;
  • establecer mecanismos de control para evaluar de forma continua el rendimiento y los riesgos de los proveedores;
  • preparar planes de salida para gestionar la rescisión de contratos sin perturbar las operaciones.
#4 Notificación de incidentes

Prevenir incidentes está muy bien. Pero cuando por desgracia ocurran, no te los guardes para ti. Al contrario, notificar los incidentes es una parte crucial de la normativa DORA (y de la ciberseguridad en general).

Para proporcionar un marco a esta práctica, el DORA impone en primer lugar unos plazos de notificación estrictos: las entidades deben notificar a las autoridades competentes los incidentes graves en las 24 horas siguientes a su detección. Este requisito de rapidez tiene por objeto garantizar una respuesta rápida y coordinada para minimizar el impacto potencial del incidente.

Los informes de incidentes presentados a las autoridades deben ser detallados y completos. Deben incluir:

  • la naturaleza del incidente (descripción precisa de lo ocurrido, incluido el tipo de ataque o avería);
  • su impacto en las operaciones de la empresa, los clientes y los socios (pérdidas financieras, interrupción del servicio, violaciones de la seguridad de los datos, etc.);
  • las medidas adoptadas para contener y mitigar el incidente (medidas técnicas, acciones de comunicación, operaciones de recuperación en caso de catástrofe, etc.);
  • el análisis de las causas del incidente y la formalización de medidas preventivas para evitar incidentes similares en el futuro (mejoras en los procesos de seguridad, actualizaciones de software, formación del personal, etc.).
#5 Gobernanza y supervisión

La normativa DORA hace hincapié en la responsabilidad del consejo de administración y la alta dirección de las entidades financieras, que deben participar directamente en la gestión de riesgos. ¿Su principal obligación? Garantizar que todo el personal esté formado y sea consciente de los riesgos y las medidas de resistencia.

Pero los reguladores nacionales y europeos no se quedan atrás: también tienen un papel que desempeñar, ya que son responsables de controlar el cumplimiento, realizar inspecciones e imponer sanciones en caso de incumplimiento.

El DORA hace hincapié en la cooperación y coordinación entre las distintas autoridades reguladoras de la UE. Se les exige no sólo que compartan información, sino también que colaboren para garantizar que la respuesta global sea coherente y eficaz. O cómo colaboración y protección pueden ir de la mano.

¿CUÁLES SON LAS IMPLICACIONES PARA LAS INSTITUCIONES FINANCIERAS?

1. Mayor inversión en tecnología

Desde la entrada en vigor del DORA, las entidades financieras han tenido que realizar importantes inversiones en sus infraestructuras tecnológicas para cumplir estos nuevos requisitos.

Estas inversiones pueden referirse a:

  • la mejora de los sistemas de ciberseguridad en general;
  • la implantación de soluciones avanzadas de vigilancia y detección;
  • la automatización de los procesos de gestión de riesgos.

Las entidades financieras también deben invertir en la formación continua de su personal para asegurarse de que comprenden tanto los nuevos riesgos cibernéticos como los protocolos de resistencia.

2. Cambios en las políticas y procedimientos

Otro cambio es que las políticas internas y los procedimientos operativos de las empresas deben revisarse para incorporar los nuevos requisitos del DORA. Planes de continuidad de negocio, procedimientos de respuesta a incidentes, protocolos de gestión de proveedores… ¡todo necesita una actualización!

3. Compromiso con los proveedores

Para garantizar que cumplen (y siguen cumpliendo) el DORA, las entidades financieras deben reforzar sus relaciones con sus proveedores de servicios. Esto puede implicar:

  • la renegociación de contratos;
  • el establecimiento de nuevos acuerdos de nivel de servicio (SLA);
  • la aplicación de mecanismos de control más estrictos.

RETOS EN LA APLICACIÓN DE LA LEY DE RESILIENCIA OPERATIVA DIGITAL

1. Una normativa compleja

El DORA es una normativa útil y pertinente… pero es compleja y exigente. Por eso, para las pequeñas y medianas empresas con recursos limitados, puede resultar difícil de aplicar. En cualquier caso, el cumplimiento del DORA requiere una planificación cuidadosa, una inversión considerable y un seguimiento constante.

Y puesto que estamos hablando de integrar nuevos requisitos en un sistema ya existente, las entidades financieras deben asegurarse de que sus sistemas pueden interactuar eficazmente con las nuevas soluciones de resistencia y supervisión.

2. Cuestiones de gestión de terceros

La gestión de los proveedores de servicios, que de por sí no es tarea fácil, puede resultar especialmente difícil en el marco de la normativa DORA. ¿Cuáles son los principales problemas? La supervisión y evaluación continua de los riesgos asociados a sus proveedores.

Se imponen una serie de requisitos a las instituciones financieras:

  • implantar mecanismos de supervisión y auditorías periódicas para garantizar que los proveedores cumplen las normas de seguridad y resistencia operativa;
  • evaluar los riesgos que plantean sus proveedores, sobre todo en términos de continuidad de la actividad, mediante análisis de toda la cadena de suministro.

En resumen, tienen que colaborar estrechamente con sus proveedores para garantizar el cumplimiento de los requisitos del DORA sin comprometer las operaciones. Esto puede implicar contratos detallados, cláusulas específicas de gestión de incidentes u obligaciones de transparencia e información.

3. Una coordinación normativa inevitable

Para garantizar una aplicación armoniosa de la normativa DORA en todos los países afectados, es necesario que las (numerosas) autoridades nacionales y europeas se comuniquen y trabajen juntas. ¿El objetivo? Armonizar los requisitos y procesos del DORA, para facilitar las cosas a las empresas que operan en varios países.

Esto es bueno, aunque para las instituciones financieras significa navegar por un panorama normativo aún más complejo y cambiante… Deben permanecer vigilantes para adaptarse a los posibles cambios en la normativa, mediante una supervisión normativa continua.

¿CUÁLES SON LAS VENTAJAS DE LA NORMATIVA DORA?

Como su nombre indica, la Ley de Resiliencia Operativa Digital pretende… mejorar la resiliencia operativa de las entidades financieras. Su objetivo es simple (pero doble): reducir la probabilidad y el impacto de los incidentes de seguridad, y reforzar así la estabilidad y la confianza en el sistema financiero europeo.

1. Reducir los riesgos

Al imponer estrictos requisitos de gestión del riesgo cibernético, el DORA está ayudando a las instituciones financieras a comprender y gestionar mejor sus vulnerabilidades tecnológicas. El resultado: menor riesgo de ciberataques e interrupciones operativas.

2. Mantener la confianza de los consumidores

DORA contribuye a aumentar la confianza de los consumidores en los servicios financieros digitales al ofrecer una mayor protección de datos y resistencia operativa. El resultado: como los consumidores saben que sus datos y transacciones son seguros, están más dispuestos a utilizar estos servicios.

3. Armonizar el panorama normativo europeo

Por último, pero no por ello menos importante, el DORA armoniza los requisitos de resistencia operativa en toda la UE, creando un marco normativo coherente para todas las entidades financieras. Además de simplificar y normalizar los procesos, esta ley pretende facilitar las operaciones transfronterizas.

El DORA representa, pues, un gran paso adelante para la ciberseguridad del sector financiero. Su reciente entrada en vigor no es casual, ya que es una reacción al crecimiento exponencial de la amenaza cibernética, especialmente en un ámbito tan sensible. Sin embargo, por el lado positivo, el DORA es también una oportunidad para construir un ecosistema financiero estable y resistente en el que los consumidores puedan confiar.