(+34) 954 86 95 61
·
info@detrinidadyasociados.com
·
L - J 9:00-20:00 | V: 9:00 - 14:00
Contactar
 
21
Abr

El reglamento DORA.

, ,
Ningún comentario

El pasado 17 de enero de 2025 entró en aplicación el Reglamento Europeo de Resiliencia Operativa Digital (DORA, por sus siglas en inglés), cuyo objetivo es mejorar la defensa contra ciberataques financieros a nivel europeo. Tras dos años de adaptación, bancos, aseguradoras y otros actores deben cumplir diferentes requisitos para gestionar el riesgo tecnológico, notificar posibles incidentes o realizar pruebas de resiliencia.

El Reglamento DORA busca reforzar la capacidad de las entidades financieras para resistir y recuperarse de los ataques cibernéticos y otros incidentes relacionados con las tecnologías de la información. Esta normativa responde al aumento exponencial de ciberataques en el sector financiero, que, según el Banco de España, duplicaron su frecuencia entre 2018 y 2022 a nivel global.

En particular, establece normas específicas sobre la gestión del riesgo asociado a las tecnologías, la notificación de incidentes, el seguimiento del riesgo de terceros proveedores de servicios TIC, el intercambio de información e inteligencia sobre ciberamenzas y las pruebas de resiliencia operativa digital.

El reglamento entró en vigor el 16 de enero de 2023 y es aplicable desde el pasado 17 de enero de 2025. Es decir,  las entidades financieras de la Unión deben tener implementado un plan de acción con todas las medidas estructurales y organizativas necesarias para garantizar el pleno cumplimiento de DORA, así como la adaptación del sistema de gestión del riesgo relacionado con las TIC y la estrategia de resiliencia digital general.

La norma tiene un alcance muy amplio y se aplica a bancos, aseguradoras, gestores de fondos, sociedades de valores, plataformas de negociación y agencias de calificación crediticia, entre otras instituciones financieras.

DORA establece un marco legal común para todas ellas. Busca garantizar que tanto estas compañías como sus proveedores de servicios tengan las medidas adecuadas para prevenir, detectar y gestionar los incidentes informáticos que puedan amenazar la estabilidad del sistema financiero. Además, exige realizar pruebas periódicas de resiliencia operativa digital y garantizar la continuidad del negocio en escenarios adversos.

Las obligaciones que establece el Reglamento DORA se pueden dividir en cuatro áreas:

1.- Gestión y gobernanza del riesgo tecnológico: Las entidades deben implementar marcos integrales para gestionar riesgos, identificar activos críticos, evaluar amenazas de manera continua y aplicar medidas de ciberseguridad. Sus órganos directivos serán responsables de definir estrategias de gestión del riesgo y podrán enfrentarse a multas en caso de incumplimiento.

2.- Notificación de incidentes: Es obligatorio monitorizar, clasificar e informar de los incidentes tecnológicos a las autoridades y otras partes relevantes. Este proceso incluye la presentación de informes iniciales, intermedios y finales, según la gravedad y el impacto del incidente.

3.- Pruebas de resiliencia: Las entidades financieras deben someterse a evaluaciones periódicas de sus sistemas, incluyendo simulaciones de vulnerabilidades, escenarios adversos y pruebas de penetración específicas. También deben establecer acuerdos para compartir información sobre ciberamenazas y vulnerabilidades con otras organizaciones financieras.

4.- Gestión del riesgo de terceros: Se requiere una supervisión activa de los riesgos asociados a proveedores de servicios, quienes también estarán sujetos a los estándares de DORA.

La implementación del Reglamento DORA se enmarca en un esfuerzo más amplio de la Unión Europea por fortalecer la resiliencia y seguridad del sistema financiero ante los retos de la era digital.

De igual forma, la Comisión Europea ha publicado el 24-03-2025 un borrador del reglamento delegado que contiene las normas técnicas de regulación con los elementos que una entidad financiera tiene que determinar y evaluar cuando subcontrate servicios de tecnologías de la información y las comunicaciones (TIC) que apoyen funciones críticas o importantes.

Este futuro reglamento completa el Reglamento (UE) 2022/2554,2 conocido como reglamento DORA, y es una versión nueva tras el rechazo en origen de la Comisión Europea a la primera versión propuesta por las autoridades europeas de supervisión.

Resumimos lo relevante de este borrador.

1.- Modificación de las normas técnicas iniciales.

Las autoridades europeas emitieron, en julio de 2024, el borrador de normas técnicas de regulación sobre estas subcontrataciones, acordes con el reglamento DORA.

Sin embargo, el 21-1-2025, la Comisión Europea les remitió una carta en la que comunicaba su decisión de rechazar el proyecto de julio de 2024.

La Comisión consideraba que los requisitos del artículo 5 de esas normas, sobre las «Condiciones de subcontratación relativas a la cadena de subcontratistas de TIC que prestan un servicio de apoyo a una función crítica o importante de la entidad financiera», iban más allá del encargo del artículo 30.5 del reglamento DORA.

2.- Contenido del borrador de reglamento delegado.

La Comisión pidió a las autoridades europeas que eliminaran el artículo 5 y el considerando 5 del borrador de normas técnicas, que estas aceptaron el 7-3-2025, y ya refleja el nuevo borrador.

Esta supresión reduce las obligaciones contractuales de los proveedores de servicios TIC y, en concreto, la obligación de monitorizar la cadena de subcontratación, aunque mantiene la garantía, para la entidad financiera y para las autoridades competentes, de contar con el mismo derecho de acceso e inspección que para los proveedores.

El nuevo texto mantiene obligaciones importantes como:

-.los requisitos que deben trasladarse a otros proveedores, y
-. el mantenimiento de registros de la información.

Las entidades financieras son las responsables de que se cumplan y los proveedores deberán facilitarles la información necesaria.

3.- Próximos pasos.

Tras estos cambios y otros de redacción aclaratorios, el reglamento delegado sigue su trámite normal.

Desde finales de 2024, está en vigor el Reglamento de Mercados en Criptoactivos (MiCA, por sus siglas en inglés), diseñado para regular las criptodivisas y proporcionar un marco jurídico claro que promueva la innovación responsable y la protección al consumidor. Entre sus puntos clave, el Reglamento MiCA permite que los bancos europeos actúen como emisores de ‘stablecoins’ (criptomonedas estables) y proveedores de servicios de criptoactivos. También regula servicios relacionados con la custodia, negociación, intercambio y gestión de carteras de criptoactivos, incluyendo aquellos descentralizados como bitcoin o ethereum, aunque excluye de su alcance los instrumentos financieros, depósitos, seguros, pensiones, NFTs y las finanzas descentralizadas (DeFi).

En el conjunto de normativas para robustecer el sistema bancario también se encuentra la regulación que la UE está desarrollando para crear un mercado único de pagos en la región, y que implican medidas para garantizar las transacciones instantáneas, una información transparente sobre los pagos y una adecuada protección al consumidor.

Con todas estas medidas, la UE busca adaptar las reglas del sector financiero a un entorno cada vez más digitalizado y expuesto tanto a oportunidades como a amenazas globales.

Artículos recientes

Prescripción de las deudas ejecutadas o en ejecución.
abril 25, 2025
Estafas por Bizum.
abril 23, 2025
Proyecto de Ley Orgánica de Protección de Menores en Entornos Digitales. ¿Cómo protegerá España a los más vulnerables en internet?
abril 15, 2025
Cuestión prejudicial. Nulidad de contratos de transmisión de derechos de aprovechamiento por turno de bienes inmuebles de uso turístico. Prescripción de la acción de restitución.
abril 7, 2025
Primera copia ejecutiva extraviada. Actuación de jurisdicción voluntaria por la que se acuerda remitir mandamiento judicial a la notaría para que expida copia con eficacia ejecutiva de la Escritura de préstamo hipotecario.
abril 7, 2025
¿Está el abogado obligado a entregar a su cliente copia de las actuaciones judiciales?
abril 2, 2025
La nueva Ley 1/2025: El impulso definitivo hacia la mediación en la Justicia española.
abril 2, 2025
Defensa del ejecutado ante la ejecución de título no judicial fundada en una cláusula de vencimiento anticipado abusiva.
marzo 25, 2025
La cláusula pari passu.
marzo 21, 2025
Sentencia TC 26/2025, de 29 de enero de 2025. Anulación de los requisitos de procedibilidad exigidos a grandes tenedores.
marzo 19, 2025
Gestación subrogada. Sentencia del Tribunal Supremo de 4 de diciembre de 2024.
marzo 18, 2025
Reconocimiento del derecho a pensión de viudedad, el registro como pareja de hecho y existencia de hijo común.
marzo 17, 2025
Indemnización por retraso del avión y prácticas abusivas de las aerolíneas.
marzo 3, 2025
Las «actas notariales de WhatsApp».
febrero 21, 2025
Ciberseguridad. Suplantación de identidad online y retirada de contenidos sensibles.
febrero 20, 2025
El Constitucional ampara a un abogado sancionado por un LAJ.
febrero 19, 2025
«Dies a quo» para el cómputo de la prescripción de la acción para exigir el cumplimiento de los contratos de préstamo.
febrero 18, 2025
Préstamo del socio a la sociedad. Requisitos e impuestos.
febrero 18, 2025
La “doctrina Cakarevic”.
febrero 14, 2025
Multa de la Audiencia Nacional de 7.000 euros a Mercadona por no facilitar las grabaciones de las cámaras de vigilancia a una clienta accidentada.
febrero 14, 2025
Ir al contenido