¿Qué es DORA? Seguridad digital en la Unión Europea

dora

En un entorno socio económico en el que la digitalización es cada vez más importante, los riesgos de seguridad que enfrentan las entidades financieras son muy distintos de los de hace unos años. En este sentido, la aparación de nuevas infraestructuras tecnológicas atrae nuevos tipos de peligros, como los ciberataques. Por ello, las empresas dedican cada vez un mayor presupuesto a protegerse de este tipo de amenazas. La normativa DORA en la Unión Europea busca la harmonización de las empresas frente a este cambio.

dora

DORA: El contexto

DORA se traduce como el Reglamento de Resiliencia Operativa Digital, y es la normativa de la UE que busca homogeneizar el modo en que las entidades financieras gestionan el riesgo digital en las finanzas. Esta normativa es consecuencia de varios factores, los cuales condicionan enormemente la gestión de riesgos corporativa:

  1. Nivel creciente de digitalización. No solo en las finanzas, sino en cualquier otro sector, la digitalización está cambiando la forma en que las empresas funcionan. Esto tiene, indudablemente, grandes ventajas, pero igualmente se traduce en nuevos riesgos. Los ciberataques o la dependencia de las tecnologías son aspectos que deben cuidarse, no sólo para proteger los datos de clientes, sino para prevenir interrupciones de servicios, fraudes, etc.
  2. Alto nivel de globalización. En los países desarrollados, las relaciones internacionales entre empresas de cualquier sector es algo muy común y positivo. Sin embargo, un nivel de relación como el actual puede provocar reacciones en cascada no siempre positivas. En la crisis financiera de 2008, sin ir más lejos, la globalización fue uno de los motivos de la rápida extensión de los problemas. En economías más aisladas, estas situaciones se hubieran contenido con daños mucho menores.
  3. Dependencia de servicios TIC. Por último, aunque muy relacionado con el punto anterior, está la dependecia de las Tecnologías de Información y Comunicaciones (TIC). La externalización de este tipo de servicios y la falta de regulación de los riesgos asociados dificulta la resiliencia de cualquier compañía cuando estos servicios fallan.

Por todo lo anterior, la creación de un marco regulatorio común como DORA puede ayudar a que las empresas gestionen de forma más segura ciertos riesgos. Así, si bien no se evita la existencia de riesgos, sí se limitan significativamente su alcance e impacto.

Alcance y empresas afectadas

La normativa DORA no pretende regular las empresas europeas, sino proteger la resiliencia de las empresas que operan en el ámbito de la UE. Por ello, independientemente de su domicilio fiscal, las empresas estarán afectadas siempre y cuando operen en el territorio de la UE. Sin embargo, no todas las compañías están bajo el alcance de DORA. En principio, el Reglamento está dirigido únicamente a las entidades del sector financiero. Es decir, están incluidos los bancos, las aseguradoras, las compañías fintec, empresas de gestión de activos, etc.

Sin embargo, ya hemos comentado la dependencia que existe de estas compañías de los servicios TIC. Por ello, todas aquellas empresas que se dedican a proveer este tipo de servicios están también afectadas. De esta forma, empresas de tecnología de la información (TI), proveedores de servicios en la nube o servicios de pagos electrónicos, y otras empresas de servicios digitales también forman parte del alcance de DORA.

Al cubrir ambos tipos de entidades, el alcance de la normativa protege toda la cadena de provisión de servicios. Desde los servicios digitales y tecnológicos hasta el servicio financiero final, toda la cadena está amparada por la misma regulación. Esto facilita el cumplimiento de las obligaciones, y mejora la resiliencia de todo el sector financiero.

Objetivos de DORA

Aunque ya hemos mencionado cuál es el objetivo principal de DORA, podemos desglosar dicho objetivo en 4 enfoques básicos:

  1. Mejorar la resistencia operativa del sector financiero de la UE. Este es el objetivo principal. DORA pretende garantizar que las entidades financieras dispongan de procesos y sistemas sólidos para resistir y responder a cualquier tipo de problema de origen digital. Entre ellos podemos citar amenazas como ciberataques, fallos informáticos y otras situaciones.
  2. Aumentar la protección de datos de los clientes. Como complemento al Reglamento General de Protección de datos (GDPR en inglés), DORA obliga a las entidades financieras a aplicar medidas de ciberseguridad para salvaguardar los datos de clientes y evitar las violaciones de datos.
  3. Homogeneizar las condiciones en la UE. Con un marco regulatorio común, las empresas que operen en la UE contarán con unas reglas y requisitos iguales para todos. Este paso es imprescindible en un mercado internacional y transversal como el de la Unión Europea.
  4. Reforzar el papel de las autoridades. Con este reglamento, los supervisores nacionales y europeos contarán con mayores competencias en materia de supervisión. De esta forma, se refuerza su papel a la hora de detectar y subsanar riesgos en materia de resiliencia digital.

Este Reglamento, por lo tanto, complementa y actualizaduna serie de regulaciones que se han desarrollado en la UE (GDPR, PSD) con el ánimo de detectar y subsanar diversos riesgos del sector financiero. Si bien en principio las entidades financieras son las más afectadas, no serán las únicas. Está previsto que múltiples normativas de este tipo se desarrollen en los próximos años para otros sectores. Así, se pretende abarcar todas aquellas industrias con un peso sistémico en la sociedad.

Requisitos y obligaciones

Los requisitos y obligaciones que impone DORA a las distintas compañías van asociados a la detección y gestión de riesgos por un lado, y a la transparencia y testeo de metodologías por otro. De esta forma, podemos agrupar las obligaciones en las siguientes categorías:

  • Elaboración de un marco de gestión
    • Definición de protocolos y y procedimientos de actuación ante todos los riesgos contemplados
    • Implantación de medidas de ciberseguridad adecuadas y proporcionales a las potenciales amenazas
  • Realización de pruebas
    • Mapeo y testeo de servicios, procesos y sistemas informáticos
    • Desarrollo de una prueba de continuidad que garantice la resiliencia de la compañía ante interrumpciones puntuales de los servicios
    • Realización de pruebas de los planes de resiliencia y formación para los empleados
  • Garantía de transparencia y gobernanza apropiadas
    • Notificación de cualquier incidencia que ponga en riesgo la actividad de la compañía
    • La empresa debe definir claramente las líneas de responsabilidad y resistencia operativas
  • Monitorización de la cadena de valor
    • Las entidades deben definir los riesgos asociados a la externalización de cualquier servicio y garantizar su seguimiento periódico

Para cumplir con los requisitos anteriores, las entidades deberán adaptar nuevas prácticas y procedimientos en sus sistemas informáticos. En esencia, las consecuencias de dichos requisitos son las descritas a continuación.

Cumplimiento

DORA fue publicada por el Parlamento Europeo el 14 de diciembre de 2022. Sin embargo, su implementación efectiva no llegará hasta el 17 de enero de 2025, cuando todas las empresas afectadas deberán haber completado su adaptación. De esta forma, se otorga un plazo de 2 años para que entidades y autoridades puedan hacer los cambios correspondientes.

ciberseguridad

Más allá del régimen sancionador previsto para aquellas entidades que no cumplan con este Reglamento, hay que tener en cuenta otros tipos de consecuencias en caso de incumplimiento. Estas abarcan desde la imposición de medidas correctoras hasta la retirada de la autorización para operar. Por ello, como cualquier otra normativa, es muy importante que las empresas cumplan y hagan un esfuerzo para adaptarse.

Al final, se trata de crear un marco común que ayude a proteger a las entidades ante cualquier tipo de amenaza a sus sistemas informáticos. Sin embargo, no cabe duda de que esta normativa requerirá un gran esfuerzo de adaptación. Veámoslo con mayor detalle.

Consecuencias de DORA para las empresas

Como ocurre con la implantación de cualquier nueva regulación, DORA tendrá un fuerte impacto en las compañías a las que aplique. En primer lugar, estas empresas tendrán que realizar un esfuerzo significativo de tiempo y recursos para desarrollar las medidas correspondientes de gestión de riesgos.

Además, al tratarse de un entorno cambiante y con un fuerte componente tecnológico, es probable que las empresas se vean forzadas a dedicar un área específica para manejar este tipo de cuestiones, con lo que eso supone de contratación y formación de personal. El hecho de que exista la obligación de gestionar ciertos riesgos técnicos podría también afectar al modo en que las compañías se relacionan con sus clientes.

En el lado positivo, la aplicación de DORA puede ser muy positiva para las empresas. Una mejor gestión de los riesgos y amenazas a la resiliencia es algo valorado por cualquier compañía. Por eso, y a pesar de los costes asociados, es probable que a largo plazo las empresas se vean favorecidas en el cómputo global.

Consecuencias de DORA para las autoridades

Para los reguladores también existen consecuencias significativas. Esta normativa implica nuevas competencias en términos de supervisión y vigilancia. Además, es posible que no todas las compañías estén al tanto del tipo de amenazas y riesgos a los que se enfrentan. Por ello, los reguladores tendrán también un doble papel: por un lado, el de orientadores de las compañías. Por otro, los reguladores deben estar capacitados para entender e incorporar todas las amenzas que puedan surgir. Al tratarse de un entorno tan cambiante, la gestión de los riesgos y amenzas debe hacerse de forma dinámica.

Es importante también tener en cuenta la integración de esta normativa con otras similares. Todas las normativas deben ser complementarias y no contradictorias, para favorecer su correcta implantación. En último lugar, la normativa debe diseñarse de forma que tenga el menor impacto posible en el negocio de las compañías. Obviamente, los esfuerzos de adaptación dependerán de cada empresa, y eso no se puede controlar. Sin embargo, cualquier regulación debe definirse de forma que no suponga una barrera para el desarrollo del negocio habitual. De otra forma, supondrá un freno al desarrollo económico.

Conclusión

En conclusión, la normativa definida en DORA pretende proteger a las empresas del sector financiero frente a las amenazas y riesgos de carácter digital. La mayor digitalización de la economía es, junto con la aparición de amenazas a los datos de clientes, el principal motivo de esta regulación. Sus obligaciones dotan a las empresas del sector financiero de un marco estándar de gestión de riesgos. Por otro lado, al abarcar toda la cadena de valor, pone el foco también en los proveedores de servicios TIC.

Esta normativa supone, por lo tanto, un esfuerzo significativo de adaptación para todas las compañías. Sin embargo, permite aumentar la resiliencia de las mismas ante ciertas amenazas. Por ello, es importante que las empresas se adapten, pero minimizando el impacto en el desarrollo del negocio. De esta forma, empresas y reguladores verán cumplidos sus objetivos.

Related articles

ethereum

Guía completa de Ethereum y su token ETH. ¿Cómo funcionan?

¿Os imagináis un mundo en el que todas las aplicaciones estuviesen soportadas por la misma tecnología? ¿Y si esa tecnología permitiese hacer pagos a cualquier parte del mundo de manera rápida y segura? Sería genial ¿verdad? En el caso de que esa tecnología no estuviese dirigida por ninguna entidad o gobierno, sino que fuera 100% […]

Learn More
efectivo

El uso del efectivo y la digitalización de la economía

En los últimos años, la aparición de las criptomonedas ha puesto de manifiesto una situación que venía de mucho más atrás. La sociedad utiliza cada vez menos efectivo, y este está dejando de ser el medio de pago preferido por los consumidores. Por ello, vamos a realizar un análisis en retrospectiva, para ver cómo hemos […]

Learn More
cbdc

¿Pueden convivir el dinero privado y el público?

Introducción Anteriormente hemos explicado el impacto de la tecnología blockchain en las autoridades financieras de todo el mundo. Muchos de los principales Bancos Centrales están valorando la posibilidad de emitir una divisa digital propia. Estas divisas (conocidas como CBDC por sus siglas en inglés) permitirían digitalizar aún más la economía y ofrecer una alternativa al […]

Learn More

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.