Fin de la cuenta atrás: el reglamento DORA ya es aplicable a las entidades financieras de la UE

Es innegable que en las últimas décadas las tecnologías de la información y la comunicación (TIC) han adquirido un papel esencial en la prestación de servicios financieros, hasta tal punto que, en la actualidad, tienen una importancia fundamental en la operativa cotidiana de todas las entidades financieras. Sin embargo, el aumento de la digitalización y el uso generalizado de las TIC han dado lugar a un nuevo riesgo relacionado con las mismas, el derivado de las ciberamenazas y otras perturbaciones, que pueden generar disrupciones en los sistemas TIC y en la actividad de las entidades.

En este contexto, el 27 de diciembre de 2022 se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE) 2022/2554 del parlamento europeo y del consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (el “reglamento” o “DORA”), tiene por objeto lograr un elevado nivel común de resiliencia operativa digital, estableciendo requisitos uniformes relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de las entidades financieras.

En particular, establece normas específicas sobre la gestión del riesgo asociado a las tecnologías, la notificación de incidentes, el seguimiento del riesgo de terceros proveedores de servicios TIC, el intercambio de información e inteligencia sobre ciberamenzas y las pruebas de resiliencia operativa digital.

El reglamento entró en vigor el 16 de enero de 2023 y es aplicable desde este 17 de enero de 2025. Es decir, desde hoy, las entidades financieras de la Unión deberán tener implementado un sistema sólido de resiliencia operativa digital en consonancia con los exigentes requisitos establecidos en DORA.

Para ello, durante este periodo de dos años, las entidades financieras deberían haber realizado un mapeo de sus estructuras, políticas y procesos internos de gestión de riesgos relacionados con las TIC; clasificado los requisitos establecidos en el reglamento en función de su relevancia y prioridad con el fin de tener una visión clara de las medidas, herramientas y procesos necesarios; y llevado a cabo un análisis exhaustivo de las diferencias entre los requisitos de DORA, por un lado, y la estructura interna de gestión de riesgos TIC y las medidas y herramientas de gobernanza que ya tenían adoptadas e implantadas, por otro.

Una vez realizado este “gap analysis”, las entidades deberían haber elaborado un plan de acción con todas las medidas estructurales y organizativas necesarias para garantizar el pleno cumplimiento de DORA, así como la adaptación del sistema de gestión del riesgo relacionado con las TIC y la estrategia de resiliencia digital general.

Habida cuenta de la inminente aplicación del reglamento, en los últimos meses los reguladores españoles han desarrollado algunas actuaciones en caminadas a iniciar la supervisión y control del cumplimiento de DORA. A modo de ejemplo, el Banco de España remitió en noviembre de 2024 a las entidades financieras bajo su supervisión una comunicación en la que establecía las obligaciones que las mismas debían cumplir a corto plazo en el contexto de la aplicación de DORA.

En concreto, requería a las entidades para que antes de este 17 de enero de 2025 adaptasen sus procesos de gestión de incidentes relacionados con las TIC a lo dispuesto en reglamento y se adhiriesen al nuevo servicio electrónico de notificación de incidentes graves y amenazas importantes bajo DORA. Asimismo, la comunicación requiere que las entidades financieras comuniquen al Banco de España durante el mes de abril de 2025 el registro completo de sus acuerdos contractuales relativos a servicios TIC, las categorías de proveedores terceros, el tipo de acuerdos contractuales y los servicios y funciones prestados.

Por su parte, la Comisión Nacional del Mercado de Valores (CNMV) lanzó un formulario de supervisión con el objetivo de conocer el estado de preparación de sus entidades supervisadas con respecto a DORA y de incentivar un ejercicio de autoevaluación que permitiese a las mismas identificar los aspectos que las distanciaban del cumplimiento del reglamento y planificar su implementación. Asimismo, el 9 de diciembre de 2024 emitió un comunicado en el que detallaba el procedimiento a seguir para la notificación de incidentes graves relacionados con las TIC y la notificación voluntaria de las ciberamenzas importantes.

Sin lugar a dudas, el proceso de adaptación al reglamento está siendo desafiante para las entidades financieras, que han tenido que hacer frente a las complejidades técnicas, operativas y regulatorias que supone la aplicación de DORA, así como a los costes que su implementación conlleva. Sin embargo, dada la creciente dependencia de las instituciones financieras respecto a sus proveedores tecnológicos, esta regulación es un paso adelante muy significativo para mejorar el nivel de resiliencia del sector financiero.

Por primera vez en la Unión Europea existe una regulación única sobre resiliencia tecnológica aplicable a todo tipo de instituciones financieras (de manera proporcional a su tamaño y complejidad), que representa una oportunidad estratégica para que la industria financiera refuerce su infraestructura digital, mejore su gestión de riesgos y aumente la confianza de consumidores y empresas en los servicios financieros digitales. Indiscutiblemente estamos avanzando de manera progresiva hacia un futuro financiero digital más seguro y resiliente en Europa.