El reto del sector financiero para cumplir con el reglamento DORA

En una sociedad digitalizada e hiperconectada, la resiliencia operativa del sector financiero ante una posible ciber amenaza resulta clave para la seguridad de los ciudadanos de la Unión Europea. Por este motivo se aprobó y publicó en diciembre de 2022 el Reglamento (UE) 2022/2554, conocido por todos como reglamento DORA por ser el acrónimo en inglés de Digital Operational Relience Act, que, si bien entró en vigor a los veinte días de su publicación, resultará de plena aplicación a partir del próximo 17 de enero de 2025.

Podrá el ciudadano preguntarse en qué consiste exactamente esto de la resiliencia operativa del sector financiero. Pues muy sencillo, se trata de garantizar que nuestras entidades financieras (incluyendo entre otros, bancos, entidades de crédito, de pagos, de sistemas de información sobre cuentas, de servicios de inversión, compañías aseguradoras, de intermediación de seguro o fondos de pensiones) y sus proveedores de sistemas de tecnología de información y comunicación (TIC) cuenten con los recursos suficientes (tanto técnicos como humanos), así como con un sistema de control de riesgos adecuado, que permita garantizar la continuidad del servicio financiero y su calidad, aún en caso de un incidente.

Es decir, el reglamento DORA tiene como objetivo asegurar que en un suceso que pueda tener repercusiones negativas en la confidencialidad, disponibilidad, integridad o autenticidad de los datos o servicios prestados por las entidades financieras, éstas, debidamente soportadas por sus proveedores TIC, puedan garantizar la continuidad del servicio con una calidad adecuada.

Esto implica un importantísimo esfuerzo tanto de las entidades financieras como de sus proveedores TIC, de ahí el aparente amplio plazo de adaptación previsto por el reglamento DORA. En todo caso el reto es mayúsculo, no sólo por la envergadura de la tarea (que requiere una gran inversión en recursos propios y externos), sino también por la falta de claridad en algunas cuestiones interpretativas. En términos generales DORA impone obligaciones de medios, no de resultados (la necesidad de revisar políticas de gestión de riesgos, fortalecer los sistemas de ciberseguridad o actualizar los contratos con proveedores tecnológicos.

Sin embargo, la falta de publicación por parte de las autoridades competentes (al menos a la fecha de la preparación de esta tribuna) de suficientes directrices y guías sobre estándares técnicos y regulatorios específicos aplicables, está complicando aún más si cabe la tarea de las entidades financieras y sus proveedores TIC.

Cuestiones esenciales como la identificación de aquellos proveedores considerados críticos o importantes y qué obligaciones deben de recaer en cada uno de los actores de la cadena de suministro, no resultan fáciles, y a día de hoy, los sujetos obligados tan sólo cuentan en muchos casos con borradores de estándares técnicos para apoyar la interpretación de esta norma. Sin perjuicio de ello, las autoridades competentes, conscientes del reto, vienen apoyando a las entidades financieras con la publicación de algunas directrices y con algunos ejercicios de ensayo o dry run sin duda relevantes.

Dicho lo anterior, el verdadero desafío para las entidades financieras y sus proveedores TIC, no será únicamente cumplir el 17 de enero de 2025 con el reglamento DORA, sino mantener de manera continuada los recursos suficientes y adecuados que garanticen conforme al estado de la técnica aplicable en cada momento y los futuros potenciales riesgos, la disponibilidad e integridad de los servicios prestados.

Estamos pues ante la consecuencia lógica de la transformación digital sin precedentes que ha experimentado el sector financiero en los últimos tiempos, que, si bien ha permitido agilizar y garantizar el acceso a servicios a los cuales hasta hace unos años únicamente se podía acceder de forma presencial, también ha incrementado significativamente los riesgos a la confidencialidad y seguridad del sistema.