La carrera contrarreloj del Reglamento de Resiliencia Operativa Digital
Aunque 2025 es la fecha límite para su aplicación obligatoria, debido a su complejidad es crucial empezar a implantar sus requisitos
Si trabaja en una entidad financiera (bancos, aseguradoras, empresas de servicios de criptomonedas, agencias de calificación crediticia, etcétera) o en una empresa que brinda servicios tecnológicos a estas entidades, es probable que le afecte el Reglamento de Resiliencia Operativa Digital (DORA, por sus siglas en inglés). Este reglamento fue publicado el 27 de diciembre de 2022 en el Diario Oficial de la Unión Europea, entró en vigor el 16 de enero de 2023 y su aplicación será obligatoria a partir del 17 de enero de 2025.
El objetivo de este reglamento es garantizar la resiliencia operativa digital del sector financiero europeo frente a perturbaciones y amenazas relacionadas con las tecnologías de la información y las comunicaciones. En otras palabras, busca que estas entidades puedan recuperarse y seguir funcionando ante incidentes disruptivos relacionados con la tecnología.
La importancia de este nuevo marco regulatorio supera con creces a la de regulaciones anteriores y establece numerosas obligaciones en el ámbito de la ciberseguridad. Esto implica que las entidades financieras deberán implementar modelos complejos de gobernanza de la ciberseguridad sobre su tecnología, procesos y personal.
Aunque la fecha límite de enero de 2025 puede parecer lejana, en realidad, dado la amplitud y complejidad de este reglamento, es crucial empezar a implantar sus requisitos cuanto antes. Esto implica realizar un diagnóstico para evaluar el nivel de cumplimiento actual de DORA, desarrollar un plan de adecuación ajustado al plazo establecido y asignar un presupuesto que permita abordarlo.
Uno de los desafíos para su adopción es que las autoridades supervisoras europeas aún deben desarrollar y publicar diversas normas técnicas de regulación (RTS) que especifiquen cómo abordar e implantar ciertos aspectos de DORA. Se prevé que la emisión de estas RTS podría extenderse más allá de mediados de 2024, lo que deja poco margen de maniobra. Por tanto, la mejor estrategia es identificar y adoptar lo antes posible las medidas que exige DORA, ajustándolas según se publiquen las RTS.
Además, para aumentar las posibilidades de éxito, es conveniente que el área de auditoría interna de estas entidades revise periódicamente la evolución de este proceso de adopción. Para ello, no solo ha de valorar el diagnóstico y el plan de adecuación resultante, sino también estar pendiente de las particularidades que vayan surgiendo a través de las RTS y ha de potenciar sus propios procedimientos de evaluación y programas de trabajo, incorporando las exigencias de DORA.
En definitiva, DORA va a significar un punto de inflexión para las entidades financieras y las empresas de servicios tecnológicos que colaboran con ellas. Su correcta implantación fortalecerá significativamente la cultura de la ciberseguridad de estas organizaciones, lo que a largo plazo redundará en una mayor robustez frente a ciberataques y otras amenazas tecnológicas.
Lograr su adopción no es una tarea sencilla ni económica e implica dar prioridad a su implantación si se quiere conseguir resultados útiles y en los plazos estipulados.
Manuel Mendiola, socio responsable de Riesgos Tecnológicos en PKF Attest