El reglamento europeo sobre resiliencia operativa digital del sector financiero, DORA por sus siglas en inglés (Digital Operational Resilience Act), entra en vigor el 17 de enero de 2025, pero aún hay cuestiones de la norma que no están totalmente clarificadas por los supervisores. Por ello, en un reciente desayuno informativo, CACEIS compartió con representantes del sector financiero las últimas novedades tecnológicas y normativas relacionadas con la nueva norma.
Tras una introducción de Ramón Parrilla Sánchez, Innovation Head Spain & Latam de CACEIS, sobre las aplicaciones de la inteligencia artificial en el sector financiero, así como la regulación aplicable, Eva Puerta Pérez, Chief Information Security Officer (CISO) de CACEIS Bank en España y Latinoamérica, explicó las adaptaciones que la entidad ha hecho para adecuarse a los requerimientos de DORA. Finalmente, Arrate Okerantza, Legal Manager de CACEIS, abordó los objetivos del reglamento y de qué forma pueden prepararse las entidades financieras para su entrada en vigor.
“CACEIS llevó a cabo en toda su estructura un análisis de todos los capítulos de DORA con ayuda de un auditor externo para ver en dónde hacía falta mejorar. Realizamos un gap analysis porque era la forma más eficiente para analizar la gestión de riesgos de cara a proveedores de comunicación y tecnología”, señaló Puerta.
La puntuación final fue de un 3,39 sobre 4 (marca de compliance), por lo que la entidad partía de una buena posición y ha estado trabajando estos meses en mejorar los aspectos faltantes, en su mayoría temas de documentación de procesos ya existentes, añadió Puerta.
Capítulos de DORA
DORA se divide en una serie de capítulos en los que las entidades financieras deben realizar sus comprobaciones. Uno de ellos es el de gestión, clasificación e informes de incidentes relacionados con las empresas de servicios tecnológicos o TIC, de manera de que se clasifiquen y se determine su impacto mediante criterios como el número de clientes y homólogos afectados, la duración, la extensión geográfica y las pérdidas de datos.
Otro capítulo se refiere a las pruebas que se deben realizar para comprobar vulnerabilidades propias y de los proveedores y otro establece de manera oficial de qué forma se debe llevar a cabo el intercambio de información sobre ataques cibernéticos o amenazas, algo ya existente pero para lo que ahora se armoniza la manera de compartir esos datos.
El que puede generar más problemas a muchas entidades más pequeñas es el capítulo que aborda los riesgos de terceros, ya que exige hacer un análisis y un listado de qué proveedores se tiene, con qué procedimientos, y qué se les puede exigir, indicó Puerta.
“Lo que más exige DORA es documentar. Si tienes los procesos, lo que haces es documentarlos, acorde la normativa lo requiere”, aseguró.
Cuestiones aún pendientes
Tanto Puerta como Arrate Okerantza subrayaron que aún hay aspectos abiertos en la norma, y que aún no existe legislación estandarizada armonizada a nivel europeo que pueda compartirse entre distintos países, o de alguna autoridad nacional que pueda servir de modelo para las demás. De hecho, apenas hace unas semanas la ESA (la agrupación de las entidades europeas de supervisión EBA, ESMA y EIOPA) ha clarificado algunos puntos clave.
Así, el supervisor indicó en un Q&A que al analizar a los proveedores, la primera pregunta que se debe hacer es si se trata de un proveedor regulado o no, y en segundo lugar, si es tecnológico, o no. “Todas las entidades reguladas ya tienen una supervisión, por lo que quedan excluidas de la aplicación de DORA, es decir no es necesaria la revisión de contratos” con estos proveedores, indicó Okerantza.
El origen de DORA, explicó, se remonta a que el regulador es consciente de que mientras que las entidades financieras están supervisadas por las autoridades, no era así el caso de entidades tecnológicas que prestan servicios esenciales y críticos. Hasta ahora estaban fuera de la órbita de cualquier autoridad financiera, pese a que su colapso podría hacer caer en algunos casos a las propias entidades.
Por eso la segunda pregunta clave es si un proveedor es tecnológico o no. Y en este punto también el debate está abierto, porque la definición sigue siendo muy general. “A día de hoy, y esto puede cambiar si cambia la definición, desde CACEIS no nos consideramos un servicio tecnológico, sino un proveedor que utiliza tecnología. Nosotros no proveemos un servicio tecnológico en sí, como un software incluido en un contrato que me comprometo a actualizar, o de desarrollo de una aplicación”, dijo Okerantza.
“Como ejemplo, si nuestra aplicación falla, nosotros tenemos que seguir dando el servicio de otra manera, por ejemplo el cálculo del valor liquidativo de los fondos. Tenemos que buscar la forma de no fallar y por eso tenemos contratos a su vez con nuestros proveedores tecnológicos que nos garantizan la resiliencia operativa”, indicó. “Lo que tenemos que garantizar es que tenemos los suficientes sistemas y reaseguros para que el sistema no falle”.
Por Funds Society
