La Asociación Española de FinTech e InsurTech (AEFI), en colaboración con Ontier y Formalize, ha elaborado un documento para analizar el nuevo Reglamento de Resiliencia Operativa Digital (DORA, por sus siglas en inglés), una normativa que busca fortalecer la estabilidad operativa y la seguridad digital del sector financiero a nivel europeo. DORA ofrece una respuesta regulatoria, con un enfoque en la ciberseguridad y en la supervisión de proveedores tecnológicos, para beneficiar tanto a empresas como a consumidores, estableciendo un marco integral de requisitos y prácticas para que las instituciones financieras puedan prevenir, responder y recuperarse de todo tipo de incidentes digitales.
Desde ambas entidades señalan que el nuevo Reglamento de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) es una normativa diseñada para que las empresas mejoren su capacidad para identificar y mitigar amenazas digitales e implementen protocolos de respuesta y recuperación ante incidentes. Un aspecto crucial del reglamento es la supervisión de proveedores de servicios críticos, como los proveedores de servicios en la nube, cuya operativa es fundamental para el buen funcionamiento del sector.
El alcance de DORA es amplio y afecta desde bancos y aseguradoras hasta empresas de inversión y proveedores de servicios tecnológicos que gestionan datos o funciones críticas para estas instituciones.
DORA responde a la necesidad urgente de proteger al sector financiero europeo frente a riesgos operativos y cibernéticos. En un contexto actual, en el que cada vez más instituciones financieras dependen de servicios digitales externos, contar con una normativa de este tipo refuerza la seguridad, protege a los consumidores y garantiza la estabilidad del mercado financiero en su conjunto.
Álvaro Blanco, General Manager en Formalize, partner de la AEFI, explica que “la tecnología es fundamental para facilitar el cumplimiento de las entidades a DORA, requiere una información detallada de proveedores, contratos, sistemas y funciones para reportarlo a las autoridades en los formatos exigidos (RTS e ITS). Automatizar todo este proceso para optimizar tiempo y minimizar errores humanos es clave para el sector financiero que ya emplea gran cantidad de recursos al cumplimiento».
DORA ha seguido una trayectoria que fija plazos estrictos para su adaptación y cumplimiento en todos los Estados miembros de la UE. La propuesta inicial para la puesta en marcha de este reglamento se remonta a 2020, aunque su entrada en vigor se produjo el 16 de enero de 2023 y se aplicará a partir del 17 de enero de 2025, justo un año después. De ahí que las entidades financieras de todo el continente europeo estén en pleno proceso de adaptación, con auditorías y pruebas de cumplimiento que comenzarán en 2025. Esto exige que las empresas y proveedores del sector financiero se preparen y adapten sus operaciones rápidamente para cumplir con los requisitos establecidos.
Gonzalo Navarro Ruiz, director del área de regulatorio financiero en ONTIER, partner jurídico de la AEFI explica que “uno de los mayores obstáculos de DORA es la carga regulatoria impuesta en materia de políticas de gobernanza, líneas de reporte, planes de seguimiento y establecimientos de registros, entre otros, así como el hecho de que afecta a un amplio abanico de entidades, gestoras de fondos, plataformas de financiación participativa, entidades de dineros electrónico, empresas de seguros, empresas de servicios de inversión, entre otras, y la adaptación no es sencilla, especialmente en lo relacionado con la coordinación entre los aspectos regulatorios, técnicos y de cumplimiento y gobierno corporativo”.
La implementación de DORA representa una oportunidad significativa para consolidar un entorno financiero seguro y robusto en España. En particular, los actores fintech e insurtech nacionales tienen la oportunidad de posicionarse como líderes en resiliencia digital en Europa ya que, con DORA, se espera que las compañías puedan reforzar su seguridad, proteger a sus clientes y mejorar la transparencia operativa, contribuyendo así a consolidar la posición destacada que ya tienen las entidades financieras y aseguradoras españoles, que son referencia en el sector financiero a nivel europeo.
Desde ambas compañías han señalado que la normativa tiene unas serie de pilares.
La gestión de riesgos en TIC (Tecnologías de la Información y Comunicación): DORA exige que las empresas implementen estrategias específicas para la gestión de riesgos relacionados con las tecnologías digitales, anticipándose así a posibles amenazas y vulnerabilidades en sus sistemas.
La notificación de incidentes: la normativa requiere que las instituciones notifiquen inmediatamente cualquier incidente significativo, lo que permite a las autoridades y al sector financiero en su conjunto reaccionar de manera ágil y coordinada ante posibles amenazas.
Pruebas de resiliencia operativa: para asegurar la solidez de sus sistemas, las empresas deben realizar pruebas periódicas que garanticen su capacidad para soportar situaciones adversas sin afectar la calidad de sus servicios.
Gestión de riesgos de terceros proveedores: uno de los puntos más relevantes de DORA es la supervisión de proveedores críticos, en especial aquellos que ofrecen servicios esenciales en la nube y en centros de datos. Esta supervisión es clave para asegurar que todos los actores de la cadena cumplan con los altos estándares de seguridad requeridos.
Intercambio de información sobre ciberamenazas: el reglamento fomenta una colaboración más estrecha entre las instituciones, promoviendo el intercambio de información sobre ciberamenazas para que los riesgos puedan ser mitigados de manera conjunta.
Por Funds Society, Madrid
