Dora entra en vigor: ¿Qué implica para la industria cripto?
Los proveedores de activos digitales tienen que cumplir con este reglamento para obtener la licencia MiCA. La normativa afecta también a bancos, aseguradoras y empresas de inversión
Este viernes ha entrado en vigor DORA, la ley de Resiliencia Operativa Digital. El reglamento pretende reforzar la seguridad informática y minimizar el riesgo tecnológico estableciendo requisitos uniformes en materia de redes y sistemas de información que sustenten los procesos de las entidades financieras. En opinión de los expertos, la normativa supone la creación del Código Civil de la tecnología para el sector ya que abarca el conjunto de las entidades reguladas de la Unión Europea: bancos, aseguradoras, empresas de inversión, entidades de pago y de dinero electrónico, proveedores cripto autorizados por MiCA y proveedores Tic (tecnologías de la información y la comunicación).
En una región en la que existen unas 22.000 entidades financieras, cualquier ciberincidente puede propagarse rapidísimamente. Por ello, en caso de que un agente perturbador, como un hacker, una pandemia o cualquier otro evento afecte la actividad de una empresa, Dora exige que las entidades cuenten con un plan B para seguir operando sin que el evento influya en su operativa, para garantizar la estabilidad financiera y la protección de los consumidores.
El reglamento prevé que las entidades, incluidos los proveedores de servicios cripto, desarrollen marcos integrales de gestión del riesgo de las TIC, identificando activos críticos, realizando análisis de riesgos de forma regular para detectar vulnerabilidades, probando sus sistemas ante ciertas amenazas y estableciendo medidas de ciberseguridad. Tendrán que documentarse y revisarse al menos una vez al año y cada vez que se produzcan incidentes. Deberán además someterse a una auditoría interna con carácter periódico.
En estos marcos se tiene que identificar toda la cadena de proveedores. Cristina Carrascosa, CEO y fundadora de ATH21, explica que la gran novedad que trae este reglamento es que por primera vez pide que el sujeto obligado tenga un control de absolutamente toda la cadena de contratación y subcontratación. “A la hora de implementarlo está siendo difícil porque una empresa puede tener un proveedor TIC que subcontrata muchas tareas y la firma tiene que identificar hasta el último subcontratado”.
De hecho, todos los proveedores de servicios de cripto bajo Dora tienen que cumplir con un registro de información que incluya todos los contratos que tienen en vigor, identificando cuáles son esenciales y qué proveedores los ofrecen. Deberán reportar la información una vez al año y cada vez que se prevea un cambio de función.
Las empresas también deberán realizar análisis de riesgos y pruebas de resiliencia con carácter periódico. Las entidades financieras que no sean microempresas deberán garantizar, según el texto, que al menos una vez al año se efectúen las pruebas de todos los sistemas y aplicaciones de TIC que sustenten funciones esenciales o importantes. Estas pruebas serán realizadas por terceros independientes. Asimismo, el texto establece que deberán llevar a cabo una evaluación del riesgo cada vez que se produzca un cambio importante en la infraestructura de las redes y los sistemas de información, en los procesos o procedimientos que afecten a sus funciones empresariales sustentadas por Tic.
Finalmente, deberán contar con planes de recuperación en caso de incidencia, que garanticen una respuesta rápida, limiten los daños y establezcan acciones de recuperación. Las entidades, asimismo, deben monitorear, registrar e informar sobre incidentes relacionados con estas tecnologías a través de informes a las autoridades competentes y a sus clientes afectados.
La normativa representa un reto para las entidades, especialmente por su complejidad y muchos expertos señalan falta de claridad en algunas cuestiones interpretativas del reglamento. Para Fontcuberta es un campo muy gris, que necesita ser aclarado: “Un hosting es claramente un servicio de TIC, ¿pero consultoría hasta que punto lo es?”, se pregunta. Por otro lado, también acusan el retraso en la publicación por parte de las autoridades competentes de todas las normas técnicas de desarrollo (RTS) que desgranan de manera concreta lo que establece el reglamento. “Por ejemplo, Dora dice que las cláusulas contractuales con proveedores de servicios Tic tienen que ser claras, concretas y definir los procesos, pero no dice cómo. Luego publican una RTS y detallan las cláusulas exactas que hay que poner”, destaca Carrascosa.
Fontcuberta incide en que el retraso en la publicación de las normas técnicas no ayuda a estas entidades. “La sola plantilla de registro de los proveedores, donde se indican todos lo contratos que una entidad tiene en vigor, cuáles funciones derivan de ellos y cuáles proveedores se encargan de las mismas, no salió hasta diciembre. Y las empresas han ido muy cojas, porque han tenido un mes y medio para obtener tanta cantidad de información”, espeta.
Pese a su complejidad, Carrascosa destaca que los proveedores de servicios de cripto son por su naturaleza empresas tecnológicas que conocen los marcos de gestión de riesgo o los reportes de incidentes, por lo que su adaptación a Dora no es complicada. No obstante, cree que para las entidades cripto no era necesaria. “MiCA ya incluye la obligación de tener que tener un sistema resiliente. Y la autorización de MiCA no se otorga si una entidad no es capaz de tener un plan de liquidación ordenado en caso de un incidente de seguridad”, señala.
En este sentido, la abogada señala que hay mucho desconocimiento entre los proveedores cripto sobre esta normativa, que es de obligado cumplimiento para obtener la autorización MiCA. “Vemos que muchos prestadores no lo saben y piden autorizaciones a CNMV sin saber que si no cumplen con Dora no se las van a dar. Y toda la documentación lleva tiempo. Si algún cliente está esperando tener la autorización en julio, por ejemplo, seguramente se va a retrasar porque tiene que cumplir con la documentación de Dora”, aclara.
A diferencia de MiCA, Dora entra en vigor este viernes y no prevé un periodo de transición. Las autoridades competentes (como la CNMV o Banco de España) tienen hasta abril para notificar a las autoridades europeas todos los acuerdos contractuales con proveedores de servicios tecnológicos comunicadas por las entidades financieras. A partir de ese momento, los supervisores anunciarán cuáles de estos terceros proveedores Tic son críticos, es decir, aquellos con mucha concentración en entidades y que, por ello, necesitan requisitos reforzados.
Estos serán, previsiblemente, grandes empresas como Microsoft, Google, SAP, y van a estar regulados y supervisados directamente por la Esma (Autoridad Europea de Valores y Mercados), la EBA (Autoridad Bancaria Europea) y Eiopa (Autoridad Europea de Supervisión de Seguros y Pensiones de Jubilación). Aquí Fontcuberta identifica otra debilidad del reglamento. “Si hasta mediados de 2025 las autoridades no determinan cuáles proveedores son críticos y cuáles no, puede que una firma los haya considerado no críticos y no esté adecuando los contratos en la medida en que debería”, concluye.
