El pasado 17 de enero de 2025 entró en aplicación el Reglamento Europeo de Resiliencia Operativa Digital (DORA, por sus siglas en inglés), cuyo objetivo es mejorar la defensa contra ciberataques financieros a nivel europeo. Tras dos años de adaptación, bancos, aseguradoras y otros actores deben cumplir diferentes requisitos para gestionar el riesgo tecnológico, notificar posibles incidentes o realizar pruebas de resiliencia.
El Reglamento DORA busca reforzar la capacidad de las entidades financieras para resistir y recuperarse de los ataques cibernéticos y otros incidentes relacionados con las tecnologías de la información. Esta normativa responde al aumento exponencial de ciberataques en el sector financiero, que, según el Banco de España, duplicaron su frecuencia entre 2018 y 2022 a nivel global.
En particular, establece normas específicas sobre la gestión del riesgo asociado a las tecnologías, la notificación de incidentes, el seguimiento del riesgo de terceros proveedores de servicios TIC, el intercambio de información e inteligencia sobre ciberamenzas y las pruebas de resiliencia operativa digital.
El reglamento entró en vigor el 16 de enero de 2023 y es aplicable desde el pasado 17 de enero de 2025. Es decir, las entidades financieras de la Unión deben tener implementado un plan de acción con todas las medidas estructurales y organizativas necesarias para garantizar el pleno cumplimiento de DORA, así como la adaptación del sistema de gestión del riesgo relacionado con las TIC y la estrategia de resiliencia digital general.
La norma tiene un alcance muy amplio y se aplica a bancos, aseguradoras, gestores de fondos, sociedades de valores, plataformas de negociación y agencias de calificación crediticia, entre otras instituciones financieras.
DORA establece un marco legal común para todas ellas. Busca garantizar que tanto estas compañías como sus proveedores de servicios tengan las medidas adecuadas para prevenir, detectar y gestionar los incidentes informáticos que puedan amenazar la estabilidad del sistema financiero. Además, exige realizar pruebas periódicas de resiliencia operativa digital y garantizar la continuidad del negocio en escenarios adversos.
Las obligaciones que establece el Reglamento DORA se pueden dividir en cuatro áreas:
1.- Gestión y gobernanza del riesgo tecnológico: Las entidades deben implementar marcos integrales para gestionar riesgos, identificar activos críticos, evaluar amenazas de manera continua y aplicar medidas de ciberseguridad. Sus órganos directivos serán responsables de definir estrategias de gestión del riesgo y podrán enfrentarse a multas en caso de incumplimiento.
2.- Notificación de incidentes: Es obligatorio monitorizar, clasificar e informar de los incidentes tecnológicos a las autoridades y otras partes relevantes. Este proceso incluye la presentación de informes iniciales, intermedios y finales, según la gravedad y el impacto del incidente.
3.- Pruebas de resiliencia: Las entidades financieras deben someterse a evaluaciones periódicas de sus sistemas, incluyendo simulaciones de vulnerabilidades, escenarios adversos y pruebas de penetración específicas. También deben establecer acuerdos para compartir información sobre ciberamenazas y vulnerabilidades con otras organizaciones financieras.
4.- Gestión del riesgo de terceros: Se requiere una supervisión activa de los riesgos asociados a proveedores de servicios, quienes también estarán sujetos a los estándares de DORA.
La implementación del Reglamento DORA se enmarca en un esfuerzo más amplio de la Unión Europea por fortalecer la resiliencia y seguridad del sistema financiero ante los retos de la era digital.
De igual forma, la Comisión Europea ha publicado el 24-03-2025 un borrador del reglamento delegado que contiene las normas técnicas de regulación con los elementos que una entidad financiera tiene que determinar y evaluar cuando subcontrate servicios de tecnologías de la información y las comunicaciones (TIC) que apoyen funciones críticas o importantes.
Este futuro reglamento completa el Reglamento (UE) 2022/2554,2 conocido como reglamento DORA, y es una versión nueva tras el rechazo en origen de la Comisión Europea a la primera versión propuesta por las autoridades europeas de supervisión.
Resumimos lo relevante de este borrador.
1.- Modificación de las normas técnicas iniciales.
Las autoridades europeas emitieron, en julio de 2024, el borrador de normas técnicas de regulación sobre estas subcontrataciones, acordes con el reglamento DORA.
Sin embargo, el 21-1-2025, la Comisión Europea les remitió una carta en la que comunicaba su decisión de rechazar el proyecto de julio de 2024.
La Comisión consideraba que los requisitos del artículo 5 de esas normas, sobre las «Condiciones de subcontratación relativas a la cadena de subcontratistas de TIC que prestan un servicio de apoyo a una función crítica o importante de la entidad financiera», iban más allá del encargo del artículo 30.5 del reglamento DORA.
2.- Contenido del borrador de reglamento delegado.
La Comisión pidió a las autoridades europeas que eliminaran el artículo 5 y el considerando 5 del borrador de normas técnicas, que estas aceptaron el 7-3-2025, y ya refleja el nuevo borrador.
Esta supresión reduce las obligaciones contractuales de los proveedores de servicios TIC y, en concreto, la obligación de monitorizar la cadena de subcontratación, aunque mantiene la garantía, para la entidad financiera y para las autoridades competentes, de contar con el mismo derecho de acceso e inspección que para los proveedores.
El nuevo texto mantiene obligaciones importantes como:
-.los requisitos que deben trasladarse a otros proveedores, y
-. el mantenimiento de registros de la información.
Las entidades financieras son las responsables de que se cumplan y los proveedores deberán facilitarles la información necesaria.
3.- Próximos pasos.
Tras estos cambios y otros de redacción aclaratorios, el reglamento delegado sigue su trámite normal.
Desde finales de 2024, está en vigor el Reglamento de Mercados en Criptoactivos (MiCA, por sus siglas en inglés), diseñado para regular las criptodivisas y proporcionar un marco jurídico claro que promueva la innovación responsable y la protección al consumidor. Entre sus puntos clave, el Reglamento MiCA permite que los bancos europeos actúen como emisores de ‘stablecoins’ (criptomonedas estables) y proveedores de servicios de criptoactivos. También regula servicios relacionados con la custodia, negociación, intercambio y gestión de carteras de criptoactivos, incluyendo aquellos descentralizados como bitcoin o ethereum, aunque excluye de su alcance los instrumentos financieros, depósitos, seguros, pensiones, NFTs y las finanzas descentralizadas (DeFi).
En el conjunto de normativas para robustecer el sistema bancario también se encuentra la regulación que la UE está desarrollando para crear un mercado único de pagos en la región, y que implican medidas para garantizar las transacciones instantáneas, una información transparente sobre los pagos y una adecuada protección al consumidor.
Con todas estas medidas, la UE busca adaptar las reglas del sector financiero a un entorno cada vez más digitalizado y expuesto tanto a oportunidades como a amenazas globales.
