DORA et labora

La nueva regulación de la UE para fortalecer la resiliencia operativa digital dirigida a las entidades financieras, también conocida como DORA, impone grandes exigencias a ciertas empresas. ¿Qué empresas se ven afectadas por la regulación y qué deben hacer? Responderé a estas preguntas en mi publicación de blog.

Aunque DORA entró en vigor el 17 de julio de 2023, las empresas tendrán un plazo de dos años para cumplir con sus reglas. Esto es similar a lo que sucedió durante la implementación del GDPR. La regulación se promulgó primero, y la obligación de cumplir con sus normas llegó más tarde.

Cualquier empresa que desee posponer el asunto hasta 2025 haría bien en recordar los meses de agitación previos a la fecha límite para cumplir con las reglas impuestas por el GDPR. Sería mejor que se tomaran el tiempo ahora para explorar cómo DORA impactará realmente a su empresa, ya que la nueva regulación probablemente significará mucho trabajo adicional para algunas.

¿Qué se entiende por "digital operational resilience"?

Las entidades financieras necesitan funcionar sin problemas. Sistemas robustos de TIC, procesos resilientes y los acuerdos necesarios con proveedores de servicios aseguran que esto ocurra.

La regulación proporciona una definición más detallada del concepto.

Según esta, la resiliencia operativa digital se define como "la capacidad de una entidad financiera para construir, asegurar y revisar su integridad operativa y confiabilidad asegurando, ya sea directamente o indirectamente a través del uso de servicios proporcionados por proveedores de servicios de TIC de terceros, el rango completo de capacidades relacionadas con TIC necesarias para abordar la seguridad de la red y los sistemas de información que utiliza una entidad financiera, y que apoyan la provisión continua de servicios financieros y su calidad, incluso a lo largo de interrupciones" (Artículo 3(1) DORA).

¿Qué se regula bajo DORA?

DORA establece "requisitos uniformes en relación con la seguridad de los sistemas de red y de información que apoyan los procesos comerciales de las entidades financieras" (Art. 1(1) DORA).

A continuación se presentan solo algunos de los requisitos:

• 1. Requisitos aplicables a las entidades financieras en relación con:

  • a. Gestión de riesgos de TIC
  • b. informes de incidentes importantes relacionados con TIC y pagos, así como, de manera voluntaria, amenazas cibernéticas a las autoridades competentes
  • c. pruebas de resiliencia operativa digital
  • d. compartir información e inteligencia sobre amenazas cibernéticas y vulnerabilidades
  • e. medidas para una gestión adecuada por parte de las entidades financieras del riesgo de terceros de TIC
• 2. Requisitos en relación con los acuerdos contractuales concluidos entre proveedores de servicios de TIC de terceros y entidades financieras.
• 3. Reglas sobre el establecimiento e implementación del marco de supervisión para proveedores críticos de servicios de TIC de terceros al proporcionar servicios a entidades financieras.
• 4. Reglas sobre cooperación entre autoridades competentes y reglas sobre supervisión y aplicación por parte de autoridades competentes en relación con todos los asuntos cubiertos por esta regulación.

¿Cuáles son las partes activas?

En términos amplios, hay tres tipos de partes activas:

• 1. Entidades financieras
• 2. Proveedores de servicios de TIC de terceros
• 3. Supervisores

Entidades Financieras

Los requisitos establecidos en DORA (Artículo 2(1)) se aplican a todas las

• instituciones de crédito,
• instituciones de pago,
• proveedores de servicios de información de cuentas,
• instituciones de dinero electrónico,
• firmas de inversión,
• proveedores de servicios de criptoactivos,
• depositarios centrales de valores,
• lugares de negociación,
• repositorios de negociación,
• gestores de fondos de inversión alternativa,
• compañías de gestión,
• proveedores de servicios de informes de datos,
• entidades de seguros y reaseguros,
• intermediarios de seguros y reaseguros,
• instituciones de pensiones ocupacionales,
• agencias de calificación,
• proveedores de servicios de financiación colectiva,
• y así sucesivamente.

Las entidades financieras afectadas se pueden dividir en dos grupos:

1. Entidades financieras que ya deben cumplir con estrictos requisitos de seguridad de la información impuestos por la Autoridad Federal de Supervisión Financiera de Alemania (BaFin) (bancos, compañías de seguros, proveedores de servicios de pago, compañías de gestión de capital).

Conocen los "requisitos regulatorios de TIC" emitidos por BaFin (xAIT) que les son aplicables. Además, las empresas suelen tener sistemas de gestión funcionales para la seguridad de la información, riesgos, emergencias y proveedores de servicios, y operan un sistema de gestión de servicios de TIC alineado a sus necesidades.

DORA agrega una variedad de otros aspectos a los temas existentes. El desafío es evaluar los nuevos requisitos e implementarlos correctamente en los sistemas de gestión existentes.

2. Entidades financieras que hasta ahora solo han tenido que proporcionar un nivel básico de protección.

En este caso, es importante revisar todos los requisitos.

Las verificaciones de preparación han demostrado ser una excelente opción aquí, ya que permiten cumplir con los requisitos de manera estructurada haciendo preguntas específicas y utilizando las respuestas para desarrollar planes de acción.

La regulación define umbrales de proporcionalidad para mantener el trabajo requerido de las entidades financieras dentro del ámbito de lo posible.

Existen los siguientes tipos de entidades financieras:

• microempresas que emplean a menos de diez personas y cuyo volumen de negocios y/o total de balance anual no supera los 2 millones de euros,
• pequeñas empresas que emplean a diez o más personas, pero menos de 50, y tienen un volumen de negocios y/o total de balance anual que supera los 2 millones de euros, pero no excede los 10 millones de euros,
• empresas medianas que emplean entre 50 y 250 personas y tienen un volumen de negocios que no excede los 50 millones de euros y/o que tienen un balance anual que no excede los 43 millones de euros,
• todas las empresas que superan los requisitos para las empresas medianas.

En particular, las microempresas se benefician de un marco simplificado de gestión de riesgos de TIC y no están obligadas a establecer una oficina para supervisar los acuerdos de proveedores de servicios de TIC de terceros, revisar el marco de gestión de riesgos de TIC al menos una vez al año, realizar análisis de riesgos regulares sobre sistemas heredados de TIC, establecer una función de gestión de crisis, mantener capacidad redundante de TIC o establecer un esquema completo de pruebas de resiliencia operativa digital.

Todos los demás proveedores de servicios financieros deben cumplir con estos y otros requisitos.

Las entidades financieras están obligadas a desarrollar y realizar regularmente capacitación obligatoria en seguridad de TIC y resiliencia operativa digital para todos los empleados y, cuando sea apropiado, para los proveedores de servicios de TIC de terceros también. La capacitación debe tener un nivel de complejidad "proporcional a la responsabilidad de sus funciones" (Art. 13(6) DORA).

Proveedores de servicios de TIC de terceros

Además de las entidades financieras que están bajo la regulación, DORA también requiere que sus proveedores de servicios garanticen una prestación de servicio estable. Un "proveedor de servicios de TIC de terceros" se define en el Art. 3 No 19 DORA como "una empresa que proporciona servicios de TIC".

"Servicios de TIC" significa "servicios digitales y de datos proporcionados a través de sistemas de TIC a uno o más usuarios internos o externos de manera continua, incluidos hardware como servicio y servicios de hardware que incluyen la provisión de soporte técnico a través de actualizaciones de software o firmware por parte del proveedor de hardware, excluyendo servicios telefónicos analógicos tradicionales" (Art. 3 No 21 DORA).

Esta definición es bastante amplia, por lo que se recomienda la transparencia por ambas partes. Las entidades financieras necesitan conocer a sus proveedores de servicios de TIC relevantes, y los proveedores de servicios de TIC deben prepararse para los clientes que necesitan cumplir con los requisitos de DORA.

Para completar, las entidades financieras que "tienen acuerdos contractuales para el uso de servicios de TIC para ejecutar sus operaciones comerciales seguirán siendo, en todo momento, [responsables] de cumplir con, y de la ejecución de, todas las obligaciones bajo esta regulación y la legislación de servicios financieros aplicable" (Artículo 28(1)(a) DORA).

Por lo tanto, las entidades financieras están obligadas a garantizar que sus proveedores de servicios de TIC (así como sus subcontratistas) estén trabajando de acuerdo con los procedimientos adecuados y que gestionen el "riesgo de terceros de TIC".

Las entidades financieras solo pueden celebrar acuerdos contractuales con proveedores de servicios de TIC de terceros que cumplan con estándares apropiados de seguridad de la información. Al ejercer derechos de acceso, inspección y auditoría en relación con el proveedor de servicios de TIC de terceros, las entidades financieras deberán determinar de antemano, sobre la base de un enfoque basado en riesgos, la frecuencia de auditorías e inspecciones y las áreas a auditar.

Las entidades financieras también deberán asegurarse de que los acuerdos contractuales cumplan con estándares mínimos definidos y puedan ser rescindidos, por ejemplo, si los riesgos son demasiado altos. Se deben establecer estrategias y planes de salida con respecto a los servicios de TIC que apoyan funciones críticas o importantes de la entidad financiera.

Supervisores

DORA ha sido publicada pero aún no está completamente desarrollada.

El 17 de enero de 2024 o seis meses después, se pondrán a disposición estándares regulatorios técnicos por parte del regulador bancario europeo, que cubrirán, entre otros, los temas de:

• seguridad de la red,
• salvaguardias contra intrusiones y uso indebido de datos,
• controles de derechos de gestión de acceso,
• detección de actividades anómalas y monitoreo de comportamiento anómalo y procesos de respuesta,
• planificación de continuidad del negocio de TIC,
• revisión del marco de gestión de riesgos de TIC,
• clasificación de incidentes relacionados con TIC y amenazas cibernéticas,
• informes de incidentes graves relacionados con TIC,
• pruebas avanzadas de herramientas,
• sistemas y procesos de TIC basadas en TLPT,
• principios clave para una gestión adecuada del riesgo de terceros de TIC;
• armonización de los requisitos para llevar a cabo actividades de monitoreo.

Además, el regulador bancario europeo también clasifica a los proveedores de servicios de TIC de terceros como críticos y, por lo tanto, sujetos a una supervisión especial.

Y finalmente, también se definen las condiciones generales bajo las cuales se impondrán sanciones.

Los Estados miembros de la UE deberán garantizar que sus autoridades nacionales competentes supervisen eficazmente el cumplimiento de los requisitos de DORA. Además, las sanciones serán "efectivas, proporcionales y disuasorias" (Artículo 50(3) DORA), teniendo en cuenta las circunstancias del caso individual. Del mismo modo, las autoridades públicas podrán adoptar cualquier "tipo de medida, incluida de naturaleza pecuniaria" (Art. 50(4)(c) DORA) para obligar a las entidades financieras a remediar violaciones de los requisitos de DORA o para cesar cualquier conducta que la autoridad competente considere contraria a las disposiciones de DORA.

Conclusión

Incluso si hoy en día permanecen sin respuesta preguntas específicas, el objetivo de DORA es claro.

Es difícil cumplir con todos los requisitos y requiere la acción coordinada de diferentes unidades corporativas.

Por eso es importante que las entidades financieras y los proveedores de servicios de TIC tomen los siguientes pasos al principio del proceso:

• 1. Evaluar los requisitos y determinar el grado de cumplimiento.
• 2. Identificar campos de acción.
• 3. Crear una hoja de ruta.
• 4. Implementar paquetes de trabajo.
• 5. Realizar una comparación objetivo/rendimiento.

También necesitan marcar los requisitos que aún no se han cumplido como riesgos de TIC de acuerdo con las reglas establecidas en DORA.

¿Te gustaría aprender más sobre temas interesantes del mundo de adesso? Entonces echa un vistazo a nuestras publicaciones de blog que han aparecido hasta ahora.