Área clientes Área clientes
Protección Data

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Reglamento DORA para entidades financieras

El Fondo Monetario Internacional (FMI) en su Informe sobre la estabilidad financiera mundial de abril de 2024 advierte sobre el riesgo de sufrir pérdidas cuantiosas debido a los ataques cibernéticos. Potencialmente, esas pérdidas «podrían amenazar las finanzas y la estabilidad económica si erosionan la desconfianza en el sistema financiero, interrumpen servicios críticos o causan efectos de contagio a otras instituciones». Estas pérdidas podrían causar problemas de financiación a las empresas e incluso poner en peligro su solvencia.

Los ataques en el sector financiero son los más preocupantes, señala el FMI, ya que un incidente grave en una institución financiera «podría socavar la confianza» de los consumidores e incluso provocar el pánico. Esta situación se ve exacerbada por las crecientes tensiones geopolíticas.

El sector financiero depende cada vez más de la tecnología, así como de las empresas tecnológicas para prestar servicios financieros.

Para fortalecer a las entidades financieras, la Unión Europea aprobó el Reglamento DORA (Digital Operational Resilience Act) que tiene como objetivo mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, en particular con relación a los riesgos relacionados con las tecnologías de la información y la comunicación (TIC). Dicho Reglamento entró en vigor el 16 de enero de 2023, si bien no se aplicará hasta el 17 de enero de 2025.

El Reglamento se aplicará a un amplísimo catálogo de entidades, denominadas financieras:

  • Entidades de crédito.
  • Entidades de pago.
  • Proveedores de servicios de información sobre cuentas.
  • Entidades de dinero electrónico.
  • Empresas de servicios de inversión.
  • Proveedores de servicios de criptoactivos autorizados y emisores de fichas referenciadas a activos.
  • Depositarios centrales de valores.
  • Entidades de contrapartida central.
  • Centros de negociación.
  • Registros de operaciones
  • Gestores de fondos de inversión alternativos.
  • Sociedades de gestión.
  • Proveedores de servicios de suministro de datos.
  • Empresas de seguros y de reaseguros.
  • Intermediarios de seguros y reaseguros e intermediarios de seguros complementarios.
  • Fondos de pensiones de empleo.
  • Agencias de calificación crediticia.
  • Administradores de índices de referencia cruciales.
  • Proveedores de servicios de financiación participativa.
  • Registros de titulizaciones.

También se aplicará a proveedores terceros de servicios de TIC.

El Reglamento DORA establece requisitos técnicos para entidades financieras y proveedores de TIC en cuatro dominios:

  • Gestión del riesgo relacionado con las TIC: las entidades afectadas establecerán marcos de gestión del riesgo de las TIC, concretando las políticas, protocolos y herramientas necesarias para dar respuesta a los incidentes con rapidez y eficacia. Además, las entidades, que no sean microempresas, deben:
    • Disponer de medidas internas de gobernanza y control que garanticen una gestión eficaz y prudente del riesgo de las TIC.
    • Asegurarse de que su órgano de dirección define, aprueba, supervisa y es responsable de todas las disposiciones pertinentes.
    • Utilizar y mantener sistemas y herramientas actualizados en el ámbito de las TIC que sean adecuados, fiables, tecnológicamente resistentes y tengan capacidad suficiente.
    • Identificar, clasificar y documentar los roles y responsabilidades empresariales apoyadas por las TIC.
    • Supervisar de forma continua la seguridad y el funcionamiento de los sistemas y herramientas de TIC para minimizar las repercusiones de cualquier incidente.
    • Establecer una política global de continuidad empresarial de las actividades de TIC con planes, procedimientos y mecanismos adecuados.
    • Desarrollar y documentar políticas de copias de seguridad y procedimientos de restauración y recuperación.
    • Desplegar recursos y personal para evaluar las vulnerabilidades y las ciberamenazas, los incidentes relacionados con las TIC, especialmente los ciberataques, y analizar su posible impacto en la resiliencia operativa digital de la entidad.
    • Diseñar planes de comunicación de crisis para divulgar, al menos, los incidentes o vulnerabilidades más graves relacionados con las TIC a clientes, homólogos y ciudadanos.
  • Gestión, clasificación y notificación de incidentes relacionados con las TIC: las entidades afectadas establecerán sistemas para monitorear, administrar, registrar, clasificar e informar acerca de los incidentes relacionados con las TIC. Además, deben:
    • Clasificar los incidentes y determinar su impacto mediante criterios objetivos como el número de clientes y homólogos afectados, la duración, la extensión geográfica y las pérdidas de datos.
    • Presentar informes a las autoridades competentes y a los clientes y socios afectados sobre incidentes graves, proporcionando informes iniciales, intermedios y finales.
  • Pruebas de resiliencia operativa digital: las entidades deben realizar periódicamente pruebas de resiliencia operativa digital, incluyendo evaluaciones de vulnerabilidades y, para roles críticos, pruebas de penetración con amenazas específicas. Además, deben:
    • Establecer, mantener y revisar un programa sólido y completo de pruebas operativas digitales equipado con las evaluaciones, pruebas, metodologías, prácticas y herramientas necesarias;
    • Llevar a cabo, al menos cada tres años, pruebas de penetración en el nivel de amenaza basadas en su perfil de riesgo. Únicamente utilizarán evaluadores certificados que posean la experiencia e idoneidad necesarias para tal fin.
  • Gestión del riesgo relacionado con las TIC derivado de terceros: las entidades asumirán un papel activo en la gestión del riesgo de terceros de TIC, estableciendo acuerdos contractuales específicos y mapeando dependencias de la cadena de suministro. Además deben:
    • Tener en cuenta la naturaleza, la escala, la complejidad y la importancia de las dependencias relacionadas con las TIC y cualquier riesgo potencial.
    • Sopesar las ventajas y los costes de las soluciones alternativas a la hora de identificar y evaluar los riesgos existentes.
    • Incluir en el contrato los derechos y las obligaciones de cada parte y el acuerdo de servicios.

Las entidades afectadas podrán intercambiar entre sí información e inteligencia sobre ciberamenazas, incluidos indicadores de compromiso, tácticas, técnicas y procedimientos, alertas de ciberseguridad y herramientas de configuración. A tal efecto, establecerán acuerdos de intercambio de información. 

Conclusión

El RPGD se sigue aplicando a las entidades financieras, si bien la Unión Europea ha tratado de reforzar la seguridad de las entidades financieras con el Reglamento DORA, aunque este plantea desafíos importantes para las entidades afectadas, pues exige modernizar las infraestructuras tecnológicas con un alto coste para las entidades. A ello se une la exigencia de talento especializado en ciberseguridad que existe, pero no abunda.

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Se prohíbe la reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. La infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (artículo 270 y ss. del Código Penal). Se autoriza la reproducción, distribución y exhibición con fines no lucrativos mediante enlace a la fuente original