Reglamento sobre resiliencia operativa digital (DORA)

Con la rápida evolución del panorama digital, garantizar la resiliencia de los sistemas financieros frente a las ciberamenazas y las interrupciones operativas se ha convertido en una prioridad absoluta para los organismos reguladores de todo el mundo. Uno de los avances normativos más importantes en este ámbito es el Reglamento sobre resiliencia operativa digital de la Unión Europea, también conocido como DORA (del inglés Digital Operational Resilience Act). Lucanet ayuda a las instituciones financieras a superar estos retos normativos, con nuestro software financiero. En esta entrada del blog, profundizaremos en lo que implica el reglamento DORA, su calendario de implementación, las entidades obligadas a presentar informes en virtud de este reglamento y el marco de responsabilidad que lo rige.

 

¿Qué es el Reglamento sobre resiliencia operativa digital (DORA)?

Este reglamento es una medida legislativa fundamental, destinada a reforzar la resiliencia operativa digital del sector financiero de la UE. El objetivo principal de DORA es garantizar que todas las entidades que operan dentro del sistema financiero posean las salvaguardias necesarias para resistir, responder y recuperarse en caso de verse afectadas por diversos tipos de perturbaciones y amenazas cibernéticas. Abarca un amplio abanico de requisitos, desde sólidos protocolos de gestión de riesgos de las TIC (tecnologías de la información y la comunicación) hasta la estricta notificación de incidentes y la supervisión de riesgos por terceros.

La responsabilidad de supervisar la implementación y la aplicación de DORA corresponde a varios organismos nacionales y de la UE. Los dos principales son:

• Las Autoridades Europeas de Supervisión (AES), que incluye a la ABE (Autoridad Bancaria Europea), la AESPJ (Autoridad Europea de Seguros y Pensiones de Jubilación) y la AEVM (Autoridad Europea de Valores y Mercados). Estas autoridades proporcionarán orientación, supervisión y aplicación a nivel de la UE.
• Las Autoridades Nacionales Competentes (ANC). Cada Estado miembro de la UE implicará a sus respectivas ANC para supervisar el cumplimiento a nivel nacional, garantizando que las entidades se adhieren a la normativa dentro de su jurisdicción.

 

¿Cuándo entrará en vigor el reglamento DORA?

El Parlamento Europeo y el Consejo adoptaron DORA en noviembre de 2022. Según lo estipulado, DORA entrará en vigor oficialmente el 17 de enero de 2025. Este calendario de implementación ofrece a las entidades financieras un periodo transitorio para adaptar sus operaciones y sistemas a los nuevos requisitos reglamentarios.

 

¿Quién debe presentar informes en virtud de DORA?

El reglamento DORA tiene una amplia cobertura de entidades que operan en el sector financiero. El reglamento establece que los siguientes tipos de organizaciones deben cumplirlo y presentar los informes correspondientes:

1. Entidades de crédito: incluidos los bancos tradicionales y los bancos digitales.
2. Empresas de inversión: empresas que realizan servicios y actividades de inversión.
3. Compañías de seguros y reaseguros: entidades que ofrecen diversos productos de seguros.
4. Entidades de pagos: empresas que prestan servicios de pagos.
5. Entidades de dinero electrónico: empresas emisoras de dinero electrónico.
6. Proveedores de servicios de criptoactivos (CASP): empresas que ofrecen servicios de criptoactivos.
7. Centros de negociación y entidades de contrapartida central: entre ellos, bolsas de valores y cámaras de compensación.
8. Infraestructuras de mercados financieros: por ejemplo, depositarios centrales de valores.
9. Terceros proveedores de TIC: proveedores de servicios tecnológicos críticos para las instituciones financieras (por ejemplo, proveedores de servicios en la nube o centros de datos).

 

En total, se calcula que más de 22000 entidades de toda la UE estarán sujetas a los requisitos de informes establecidos por DORA. Esta extensa red de informes garantiza un amplio ámbito protector para las operaciones digitales del sector financiero.

 

Las cinco bases de DORA

DORA se basa en cinco bases fundamentales que, en conjunto, contribuyen a mejorar la resiliencia operativa digital de las instituciones financieras:

1. Gestión de riesgos de TIC: las instituciones deben establecer marcos integrales de gestión de riesgos de TIC. Esto implica identificar, evaluar y mitigar los riesgos de las TIC para evitar disrupciones. Las entidades financieras deben actualizar y poner a prueba periódicamente sus políticas de gestión de riesgos, para adaptarse a la evolución de las amenazas.
2. Informes de incidentes: se exige a las entidades que desarrollen mecanismos sólidos de notificación de incidentes. Los incidentes importantes relacionados con las TIC deben notificarse sin demora a las autoridades competentes. Esta base garantiza una respuesta rápida a los incidentes, minimizando los daños potenciales.
3. Pruebas de resiliencia operativa digital: es obligatorio realizar pruebas periódicas de la resiliencia operativa digital. Las instituciones financieras deben realizar evaluaciones de vulnerabilidad, pruebas de penetración y pruebas de penetración basadas en amenazas (TLPT) para garantizar la capacidad de sus sistemas para resistir y recuperarse de las ciberamenazas y las interrupciones operativas.
4. Gestión de riesgos de terceros: dada la dependencia de terceros proveedores de servicios de TIC, DORA hace hincapié en la supervisión y gestión de los riesgos de terceros. Las entidades financieras deben asegurarse de que sus terceros proveedores de servicios cumplen normas de resiliencia similares y disponen de planes de contingencia.
5. Seguridad de la información: DORA promueve el intercambio de información relacionada con las ciberamenazas y los riesgos de las TIC entre las instituciones financieras. Este enfoque colaborativo ayuda a identificar las amenazas emergentes y a mejorar la preparación colectiva.

 

Preparativos de implementación de DORA

Para garantizar la preparación ante los próximos cambios normativos, la Autoridad Bancaria Europea (ABE) ha iniciado un Simulación de DORA. Esta medida proactiva tiene por objeto probar y perfeccionar los mecanismos de presentación de informes establecidos por DORA. Permite a las entidades financieras simular la implementación de los mandatos de DORA, lo que proporciona valiosos perspectivas y reacciones que ayudarán a agilizar los procesos de cumplimiento reales una vez que la normativa entre en vigor.

Lucanet participa activamente en la simulación, junto con las Autoridades Nacionales Competentes que utilizan nuestro portal XBRL. Así podemos garantizar que nuestras soluciones y clientes estarán preparados para la próxima implementación de DORA.

 

¿Cómo presentar informes con arreglo a DORA?

Aunque no se ha comunicado claramente cómo deben comunicarse exactamente los datos en el marco de DORA, la ABE ya ha publicado una ampliación de su taxonomía XBRL como parte de su marco de información 3.5. DORA podría ser la primera implementación en vivo de la nueva norma XBRL-CSV. Esta taxonomía se utiliza actualmente en la simulación de DORA.

Las herramientas XBRL de Lucanet ya cuentan con la certificación XBRL para XBRL-CSV. Nuestro portal XBRL es la herramienta perfecta para crear informes XBRL de conformidad con DORA. Díganos si le gustaría probarlo ahora.

En conclusión, el Reglamento sobre resiliencia operativa digital (DORA) supone un paso fundamental para reforzar el sector financiero de la UE frente a las amenazas digitales. La fecha límite se acerca y es crucial que todas las entidades implicadas empiecen a prepararse para este cambio normativo. Lucanet está a su disposición para guiarle y apoyarle de cara al pleno cumplimiento de la normativa y la resiliencia operativa.

Conozca nuestro portal XBRL