Reglamento DORA: Resiliencia operativa digital en el sector financiero
La Ley de Resiliencia Operativa Digital (DORA por sus siglas en inglés: Digital Operational Resilience Act ) es un Reglamento a nivel europeo que entró en vigor el 16 de enero de 2023 y se aplicará a partir del 17 de enero de 2025.
El objetivo de DORA es fortalecer la seguridad informática de entidades financieras como bancos, compañías de seguros y firmas de inversión, asegurando que el sector financiero en Europa pueda mantenerse resiliente ante interrupciones operativas severas.
Entre sus objetivos, DORA busca armonizar las normas relacionadas con la resiliencia operativa para el sector financiero, aplicando a 20 tipos diferentes de entidades financieras y proveedores de servicios de tecnologías de la información.
La necesidad de este Reglamento surge de las innovación que se ha venido dando en el sector financiero, ya que cada vez depende más de la tecnología y de las empresas tecnológicas para ofrecer servicios financieros. Esto hace que las entidades financieras sean vulnerables a ciberataques o incidentes.
Cuando los riesgos de las tecnologías de la información y la comunicación (TIC) no se gestionan adecuadamente, esto puede llevar a problemas a escala global debido a naturaleza transfronteriza que cada vez más están implementando los servicios financieros. Esto, a su vez, puede tener un impacto en otras empresas, sectores e incluso en el resto de la economía, lo que subraya la importancia de la resiliencia operativa digital del sector financiero.
Aquí es donde entra en juego la Ley de Resiliencia Operativa Digital, o DORA y en este artículo, exploraremos los aspectos clave de DORA y su impacto en las entidades financieras.
¿Qué es DORA, Ley de Resiliencia Operativa Digital?
La Ley de Resiliencia Operativa Digital (Reglamento (UE) 2022/2554) resuelve un problema importante en la regulación financiera de la UE. Antes de DORA, las instituciones financieras gestionaban las principales categorías de riesgo operativo principalmente con la asignación de capital.
Con DORA, ahora también deben seguir reglas para la protección, detección, contención, recuperación y reparación respecto de incidentes relacionados con la ciberseguridad. DORA se refiere explícitamente al riesgo de las TIC y establece reglas sobre la gestión del riesgo de las mismas, la notificación de incidentes, las pruebas de resiliencia operativa y el monitoreo del riesgo de terceros relacionado con las TIC.
Este Reglamento reconoce que los incidentes de TIC y la falta de resiliencia operativa tienen la posibilidad de poner en peligro la solidez de todo el sistema financiero, incluso si hay capital «adecuado» para las categorías tradicionales de riesgo.
Para llevar a cabo lo anterior, DORA establece un marco regulatorio sólido para la gestión de riesgos relacionados con las tecnologías de la información y la comunicación (TIC) en las entidades financieras. Sus objetivos principales son:
- Gestión de riesgos TIC: Las instituciones financieras deben identificar, evaluar y gestionar los riesgos informáticos y de ciberseguridad.
- Continuidad de la actividad: Desarrollar planes integrales de continuidad de negocio para garantizar la prestación de servicios durante interrupciones operativas.
- Supervisión y vigilancia: Las autoridades de supervisión evaluarán la resistencia operativa de las entidades financieras.
Siguiendo lo anterior y al análisis del artículo 1 de este Reglamento, podemos extraer que con la finalidad de lograr un alto nivel común de resiliencia operativa digital, es necesario cumplir con unos requisitos uniformes sobre la seguridad de los sistemas de red e información que respaldan los procesos comerciales de las entidades financieras.
Estos requisitos incluyen:
(a) Para entidades financieras:
- Gestión del riesgo de tecnologías de la información y la comunicación (TIC).
- Notificación de incidentes importantes y amenazas cibernéticas significativas a las autoridades competentes.
- Notificación de incidentes importantes relacionados con pagos operativos o de seguridad.
- Realización de pruebas de resiliencia operativa digital.
- Intercambio de información sobre amenazas y vulnerabilidades cibernéticas.
- Implementación de medidas para gestionar adecuadamente el riesgo de terceros relacionado con las TIC.
(b) Requisitos en los acuerdos contractuales entre proveedores de servicios de terceros relacionados con las TIC y entidades financieras.
(c) Establecimiento y realización del Marco de Supervisión para proveedores de servicios críticos de terceros relacionados con las TIC cuando prestan servicios a entidades financieras.
(d) Reglas de cooperación entre autoridades competentes, así como reglas de supervisión y ejecución en relación con todos los aspectos cubiertos por el reglamento.
DORA y RGPD
Como sabemos, el Reglamento de Protección de Datos Personales (RGPD) es una normativa transversal, por lo que afecta prácticamente a todos los sectores, en este caso vamos a analizar si DORA hace también algún tipo de énfasis en el cumplimiento de requisitos en materia de protección de datos personales.
DORA también enfatiza la protección de datos personales. Si bien es cierto que el texto señala la importancia de fomentar el intercambio de información e inteligencia sobre ciberamenazas entre entidades financieras, y además, se destaca la necesidad de aprovechar colectivamente el conocimiento y la experiencia práctica para mejorar la evaluación, seguimiento, defensa y respuesta ante las ciberamenazas.
Se insta a que durante la participación en acuerdos de intercambio de información para prevenir y responder a las ciberamenazas de manera efectiva se apliquen también mecanismos de seguridad para que estos intercambios de información respeten las normativas de la UE sobre competencia y protección de datos, basándose éstas en las disposiciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, que establece las bases legales para el tratamiento de datos personales en interés legítimo, cumplimiento legal u obligaciones de interés público.
Además de lo anterior, es importante resaltar que entre los requisitos establecidos para las entidades financieras aparece también la obligatoriedad de incluir en los acuerdos con las TIC y terceros proveedores cláusulas contractuales que incluyan la garantía a la accesibilidad, la disponibilidad, la integridad, la seguridad y la protección de los datos personales.
Si eres una entidad financiera u otro tipo de entidad que pueda recaer bajo el ámbito de aplicación de DORA, no dudes en hacernos llegar tus dudas e inquietudes. En Letslaw somos expertos en materia Fintech de sectores regulados y contamos con amplia experiencia como abogados de protección de datos personales.
Senior Lawyer IP/IT
María José cuenta con experiencia profesional en Derecho de las Nuevas Tecnologías, en Derecho de Contratos Comerciales, Regulatorio y Compliance.