El futuro Reglamento Europeo de Resiliencia Operativa Digital
Mejorará la igualdad de condiciones en Europa, permitiendo simplificar y armonizar las normas
La propuesta del Reglamento de Resiliencia Operativa Digital (DORA) pertenece a un paquete legislativo más amplio sobre finanzas digitales y ha sido recientemente acordado por el Consejo Europeo como paso previo a su adopción en la Unión Europea. Será una realidad en 2023, pero obligará a todo tipo de las entidades financieras (entidades de crédito, compañías de seguros, entidades de pago, entidades de dinero electrónico, gestoras, fondos de pensiones, agencias de calificación crediticia, etcétera) a trabajar intensamente desde su promulgación.
La tendencia en materia de supervisión por las autoridades competentes está evolucionando para complementar los tradicionales alcances financieros hacia los ámbitos más operativos. La regulación está poniendo cada vez más el foco en los ámbitos tecnológicos a partir de los cuales se llevan a cabo las operaciones de la actividad financiera. La tecnología se convierte, por tanto, en parte de la estrategia bancaria soslayando su percepción como un simple medio.
El disponer de un reglamento mejorará el level playing field, o la igualdad de condiciones, en Europa, permitiendo simplificar y armonizar las normas en resiliencia operativa digital, sin perjuicio de aquellas directrices fijadas por otras autoridades (EBA, ESMA o EIOPA) sobre esta materia, así como las prácticas habidas en los niveles de supervisión nacionales.
En la coyuntura actual la digitalización se ha mostrado como una palanca clave para la normalización de la actividad bancaria y sus operaciones, así como en la recuperación económica. Pero los riesgos de las tecnologías de la información y las comunicaciones (TIC) pueden tornarse cruciales para la supervivencia y resiliencia de las entidades. Por ello, los reguladores y supervisores bancarios identifican esto como una potencial vulnerabilidad y lo incorporan como parte de sus prioridades en sus programas de trabajo.
Y no solo se considera el riesgo implícito en las infraestructuras IT propias de las entidades, sino que el ecosistema de impacto es mucho mayor. La tendencia de externalización de infraestructuras en servicios proporcionados por hyperscalers, y su posición cada vez más extendida en los servicios financieros, como proveedores para el almacenamiento y procesamiento de las operaciones bancarias (procesamiento en la nube), hace que empresas no consideradas como entidades financieras sean de facto parte del flujo de análisis de riesgo.
Más allá de la nube, el riesgo derivado de la externalización de funciones o servicios esenciales o importantes es otra preocupación de especial relevancia para el supervisor por ser una fuente de origen de riesgos TIC. DORA endurece en este particular los marcos actuales de gobierno, gestión y control de las entidades financieras, así como introduce requerimientos a lo largo de los journeys de relación con los terceros proveedores TIC (en evaluación y homologación previa al contrato, en la fase contractual, durante a transcurso de la colaboración y en la estrategia de salida y continuidad).
Ahora bien, el riesgo tecnológico no sólo tiene su origen en la externalización, sino también en el riesgo de disponibilidad y continuidad de sistemas, de seguridad, de cambio de sistemas o de integridad de datos. Todos estos riesgos han de estar contemplados y gestionados en las políticas y procedimientos de riesgos TIC globales, junto con la manera prevista de actuación ante incidentes.
La vertebración por proceso de negocio que utiliza el reglamento implica que los terceros proveedores TIC son actor más y por tanto están sometidos, entre otros, a participar en los planes de continuidad de negocio y ser parte de las auditorías tanto internas como externas, incluidas las revisiones supervisoras. Además, los esquemas de arquitectura empresarial tomarán cada vez más protagonismo. Éstos ligan de manera bidireccional los procesos de negocio con los activos/sistemas/servicios IT que los soportan y habilitan una gestión integral del riesgo tecnológico, riesgo operacional y ciberseguridad.
Advertir también que esta gestión trasciende al ámbito de sistemas (CTO; CIO), de seguridad de la información (CISO) o de datos (CDO) sino que emerge una figura muy relevante dentro del área de control, el chief technology risk officer (CTRO), que ha de ser convenientemente empoderada por las organizaciones.
Ahondando en el capítulo de la organización, DORA atribuye al consejo de administración funciones muy concretas y exigentes, atribuyendo la responsabilidad última de los riesgos TIC. Debe definir los cometidos y responsabilidades de todas las funciones relacionadas con las tecnologías de la información y la comunicación, así como la tolerancia a estos riesgos. Por otro lado, para dar adecuado cumplimiento a su responsabilidad ha de aprobar ciertas políticas, estar informado de ciertos asuntos (como acuerdos con proveedores e incidentes producidos relacionados con las TIC), encontrarse capacitado para hacer frente a sus obligaciones en ciberseguridad (para lo que necesitará una formación adecuada) y asignar el presupuesto adecuado para satisfacer las necesidades de resiliencia operativa digital de la entidad financiera con respecto a todos los tipos de recursos (humanos y materiales).
Fernando Valles, director de Riesgos y cumplimiento en NTT DATA Europe & LATAM