(+34) 954 86 95 61
·
info@detrinidadyasociados.com
·
L - J 9:00-20:00 | V: 9:00 - 14:00
Contactar
 
21
Abr

El reglamento DORA.

, ,
Ningún comentario

El pasado 17 de enero de 2025 entró en aplicación el Reglamento Europeo de Resiliencia Operativa Digital (DORA, por sus siglas en inglés), cuyo objetivo es mejorar la defensa contra ciberataques financieros a nivel europeo. Tras dos años de adaptación, bancos, aseguradoras y otros actores deben cumplir diferentes requisitos para gestionar el riesgo tecnológico, notificar posibles incidentes o realizar pruebas de resiliencia.

El Reglamento DORA busca reforzar la capacidad de las entidades financieras para resistir y recuperarse de los ataques cibernéticos y otros incidentes relacionados con las tecnologías de la información. Esta normativa responde al aumento exponencial de ciberataques en el sector financiero, que, según el Banco de España, duplicaron su frecuencia entre 2018 y 2022 a nivel global.

En particular, establece normas específicas sobre la gestión del riesgo asociado a las tecnologías, la notificación de incidentes, el seguimiento del riesgo de terceros proveedores de servicios TIC, el intercambio de información e inteligencia sobre ciberamenzas y las pruebas de resiliencia operativa digital.

El reglamento entró en vigor el 16 de enero de 2023 y es aplicable desde el pasado 17 de enero de 2025. Es decir,  las entidades financieras de la Unión deben tener implementado un plan de acción con todas las medidas estructurales y organizativas necesarias para garantizar el pleno cumplimiento de DORA, así como la adaptación del sistema de gestión del riesgo relacionado con las TIC y la estrategia de resiliencia digital general.

La norma tiene un alcance muy amplio y se aplica a bancos, aseguradoras, gestores de fondos, sociedades de valores, plataformas de negociación y agencias de calificación crediticia, entre otras instituciones financieras.

DORA establece un marco legal común para todas ellas. Busca garantizar que tanto estas compañías como sus proveedores de servicios tengan las medidas adecuadas para prevenir, detectar y gestionar los incidentes informáticos que puedan amenazar la estabilidad del sistema financiero. Además, exige realizar pruebas periódicas de resiliencia operativa digital y garantizar la continuidad del negocio en escenarios adversos.

Las obligaciones que establece el Reglamento DORA se pueden dividir en cuatro áreas:

1.- Gestión y gobernanza del riesgo tecnológico: Las entidades deben implementar marcos integrales para gestionar riesgos, identificar activos críticos, evaluar amenazas de manera continua y aplicar medidas de ciberseguridad. Sus órganos directivos serán responsables de definir estrategias de gestión del riesgo y podrán enfrentarse a multas en caso de incumplimiento.

2.- Notificación de incidentes: Es obligatorio monitorizar, clasificar e informar de los incidentes tecnológicos a las autoridades y otras partes relevantes. Este proceso incluye la presentación de informes iniciales, intermedios y finales, según la gravedad y el impacto del incidente.

3.- Pruebas de resiliencia: Las entidades financieras deben someterse a evaluaciones periódicas de sus sistemas, incluyendo simulaciones de vulnerabilidades, escenarios adversos y pruebas de penetración específicas. También deben establecer acuerdos para compartir información sobre ciberamenazas y vulnerabilidades con otras organizaciones financieras.

4.- Gestión del riesgo de terceros: Se requiere una supervisión activa de los riesgos asociados a proveedores de servicios, quienes también estarán sujetos a los estándares de DORA.

La implementación del Reglamento DORA se enmarca en un esfuerzo más amplio de la Unión Europea por fortalecer la resiliencia y seguridad del sistema financiero ante los retos de la era digital.

De igual forma, la Comisión Europea ha publicado el 24-03-2025 un borrador del reglamento delegado que contiene las normas técnicas de regulación con los elementos que una entidad financiera tiene que determinar y evaluar cuando subcontrate servicios de tecnologías de la información y las comunicaciones (TIC) que apoyen funciones críticas o importantes.

Este futuro reglamento completa el Reglamento (UE) 2022/2554,2 conocido como reglamento DORA, y es una versión nueva tras el rechazo en origen de la Comisión Europea a la primera versión propuesta por las autoridades europeas de supervisión.

Resumimos lo relevante de este borrador.

1.- Modificación de las normas técnicas iniciales.

Las autoridades europeas emitieron, en julio de 2024, el borrador de normas técnicas de regulación sobre estas subcontrataciones, acordes con el reglamento DORA.

Sin embargo, el 21-1-2025, la Comisión Europea les remitió una carta en la que comunicaba su decisión de rechazar el proyecto de julio de 2024.

La Comisión consideraba que los requisitos del artículo 5 de esas normas, sobre las «Condiciones de subcontratación relativas a la cadena de subcontratistas de TIC que prestan un servicio de apoyo a una función crítica o importante de la entidad financiera», iban más allá del encargo del artículo 30.5 del reglamento DORA.

2.- Contenido del borrador de reglamento delegado.

La Comisión pidió a las autoridades europeas que eliminaran el artículo 5 y el considerando 5 del borrador de normas técnicas, que estas aceptaron el 7-3-2025, y ya refleja el nuevo borrador.

Esta supresión reduce las obligaciones contractuales de los proveedores de servicios TIC y, en concreto, la obligación de monitorizar la cadena de subcontratación, aunque mantiene la garantía, para la entidad financiera y para las autoridades competentes, de contar con el mismo derecho de acceso e inspección que para los proveedores.

El nuevo texto mantiene obligaciones importantes como:

-.los requisitos que deben trasladarse a otros proveedores, y
-. el mantenimiento de registros de la información.

Las entidades financieras son las responsables de que se cumplan y los proveedores deberán facilitarles la información necesaria.

3.- Próximos pasos.

Tras estos cambios y otros de redacción aclaratorios, el reglamento delegado sigue su trámite normal.

Desde finales de 2024, está en vigor el Reglamento de Mercados en Criptoactivos (MiCA, por sus siglas en inglés), diseñado para regular las criptodivisas y proporcionar un marco jurídico claro que promueva la innovación responsable y la protección al consumidor. Entre sus puntos clave, el Reglamento MiCA permite que los bancos europeos actúen como emisores de ‘stablecoins’ (criptomonedas estables) y proveedores de servicios de criptoactivos. También regula servicios relacionados con la custodia, negociación, intercambio y gestión de carteras de criptoactivos, incluyendo aquellos descentralizados como bitcoin o ethereum, aunque excluye de su alcance los instrumentos financieros, depósitos, seguros, pensiones, NFTs y las finanzas descentralizadas (DeFi).

En el conjunto de normativas para robustecer el sistema bancario también se encuentra la regulación que la UE está desarrollando para crear un mercado único de pagos en la región, y que implican medidas para garantizar las transacciones instantáneas, una información transparente sobre los pagos y una adecuada protección al consumidor.

Con todas estas medidas, la UE busca adaptar las reglas del sector financiero a un entorno cada vez más digitalizado y expuesto tanto a oportunidades como a amenazas globales.

Artículos recientes

En caso de ruptura de pareja, el dinero o los regalos que uno ha entregado al otro ¿son una donación o un préstamo reclamable?
septiembre 17, 2025
La ganancia patrimonial que se obtuviera en la transmisión a un tercero distinto del acreedor mediante dación en pago de la vivienda habitual hipotecada queda exenta en IRPF si se cumplen los requisitos del art. 33.4d) de la LIRPF
septiembre 17, 2025
Donación en Andalucía: cómo beneficiarse de la exención fiscal del 99 %.
septiembre 16, 2025
Los consumidores tienen derecho a impugnar la transmisión de la propiedad ante cláusulas abusivas en ejecuciones hipotecarias.
septiembre 16, 2025
Un suelo urbano no consolidado que no tiene planeamiento de desarrollo ha de valorarse como rústico. Sentencia del TSJA nº. 267/25, de 24 de marzo de 2025.
septiembre 15, 2025
Negligencia médica en parto prematuro.
septiembre 4, 2025
Trasplante de órganos y derecho.
septiembre 3, 2025
Consecuencias procesales de la omisión del precio de tasación de la finca para subasta y del domicilio a efectos de requerimientos y notificaciones.
septiembre 3, 2025
Certificación registral y subasta electrónica.
septiembre 3, 2025
ChatGPT y derecho. Chat GPT Jurídico. Abogado digital.
septiembre 3, 2025
Responsabilidad penal del empresario.
septiembre 2, 2025
Derecho de desistimiento de los consumidores en el contrato de mediación inmobiliaria celebrado fuera del establecimiento mercantil.
septiembre 2, 2025
Facultad resolutoria del artículo 1504 del Código Civil.
julio 29, 2025
Carga de la prueba en materia de cláusulas abusivas cuando el demandante es consumidor y se trate de condiciones generales de la contratación.
julio 29, 2025
¿Negligencia médica en operación de pecho?
julio 28, 2025
Doctrina del retraso desleal.
julio 16, 2025
Improcedencia de aplicar la prescripción de acciones en el procedimiento de ejecución.
julio 16, 2025
Falta de información abogado-cliente/consumidor.
julio 8, 2025
Prohibición de disponer, ejecución hipotecaria y registro de la propiedad.
junio 24, 2025
Embargamos al Banco Santander S.A. por no pagar las costas de la ejecución hipotecaria tras vencerles.
junio 23, 2025
Ir al contenido