El Reglamento DORA (Digital Operational Resilience Act) ha marcado un hito importante en la regulación de la resiliencia operativa digital del sector financiero en la Unión Europea. Aunque entró en vigor el 16 de enero de 2023, se estableció un periodo de transición de dos años que finaliza en el día de hoy, 17 de enero de 2025; la fecha límite marcada para que todas las entidades financieras de la UE cumplan plenamente con los requisitos establecidos en el citado Reglamento.
Esta normativa, diseñada para fortalecer la capacidad del sector financiero para resistir y recuperarse de interrupciones cibernéticas y tecnológicas, afecta a una amplia gama de instituciones, incluyendo bancos, aseguradoras, empresas de inversión y proveedores de servicios tecnológicos críticos. El objetivo principal es garantizar que estas entidades puedan identificar, mitigar y responder eficazmente a las amenazas digitales, implementando protocolos robustos de respuesta y recuperación ante incidentes.
Merece la pena volver a reiterar los cambios más importantes y las obligaciones que el citado Reglamento incorpora a la vida cotidiana de todas las empresas afectadas:
- Deben implementar marcos sólidos para identificar, gestionar y mitigar los riesgos tecnológicos, incluyendo, y esto es una de las grandes novedades, la evaluación de proveedores externos críticos.
- En relación a las obligaciones de notificación de incidentes, las empresas deben reportar de manera adecuada y estructurada cualquier incidente relacionado con la ciberseguridad que afecte a sus operaciones.
- A su vez, deben llevar a cabo pruebas periódicas de resiliencia para asegurar que sus sistemas pueden hacer frente a cualquier evento o ciberamenaza.
- Finalmente, el Reglamento DORA exige un control estricto sobre los proveedores de servicios TIC externos, estableciendo responsabilidades compartidas en caso de riesgos derivados de sus operaciones.
La implementación del Reglamento DORA representa tanto un desafío como una oportunidad para el conjunto del sector financiero. Las entidades llevan ya dos años trabajando para adecuar sus estructuras y procesos internos a estos nuevos estándares de seguridad, lo que está implicando un gran volumen de esfuerzo e inversiones.
Desde la Fundación ESYS llevamos tiempo colaborando y trabajando con las empresas afectadas por el cumplimiento del Reglamento para que no sólo se familiaricen a fondo con la normativa y se tomen las medidas necesarias para garantizar su cumplimiento, sino que también revisen y actualicen sus políticas de gestión de riesgos, la mejora de sus sistemas de seguridad y la formación de su personal en las nuevas prácticas y requisitos.
Con la entrada en vigor de manera definitiva del Reglamento DORA en el día de hoy se inicia de facto una nueva era en la resiliencia operativa digital del sector financiero europeo. Se espera que esta normativa no solo refuerce la seguridad y la estabilidad del sistema financiero, sino que también fomente la innovación y la competitividad en un entorno digital cada vez más complejo y desafiante.
DORA también refleja el cambio que se está produciendo en la Unión en relación a los equilibrios entre la regulación a nivel nacional y la del conjunto de la Unión. Así, el Reglamento se está confirmando como el formato regulatorio que prevalece frente a la Directiva, al objeto de abordar no solo los asuntos digitales, sino también los relativos a la seguridad y a la ciberseguridad (ámbitos donde tradicionalmente han sido competentes los estados miembros), puesto que el contexto actual exige una gobernanza con una perspectiva conjunta a nivel de la Unión Europea.
Hoy se inicia de facto una nueva era en la resiliencia operativa digital del sector financiero europeo
Además, con el Reglamento DORA la Unión Europea confirma su papel protagonista como actor global estableciendo estándares y reglas globales para el mundo digital, de forma que DORA continúa en este sentido la senda establecida por otros Reglamentos como el Reglamento General de Protección de Datos, la Digital Services Act (DSA), la Digital Market Act (DMA) o la Data Act, entre otros.
Europa se enfrenta en los próximos años a enormes desafíos en el marco geoestratégico y uno de ellos tiene que ver con la seguridad, como ha quedado reflejado en el establecimiento de las prioridades marcadas por la Presidenta de la Comisión Europea, Von der Layen, al inicio de esta nueva legislatura comunitaria. Reglamentos como DORA constituyen en este sentido uno de los pilares de esta nueva cosmovisión a la que debemos hacer frente el conjunto de instituciones, empresas y ciudadanos de la Unión.
Desde ESYS seguiremos trabajando, como lo venimos haciendo desde hace tiempo, para ayudar a todas las empresas afectadas por el cumplimiento de esta norma, convencidos de que no sólo se trata de cumplir en términos de compliance, sino que es una apuesta por la sostenibilidad y el éxito de las empresas en el medio y en el largo plazo.
SOBRE LA FIRMA Carlos López Blanco es presidente del Patronato de la Fundación ESYS (Empresa, Seguridad y Sociedad), abogado del Estado (ex.) y presidente de la Comisión de Economía Digital de la Cámara de Comercio Internacional (ICC), entre otros cargos.