La Comisión Nacional del Mercado de Valores (CNMV) ha publicado recientemente un informe sobre los resultados de una autoevaluación realizada por 245 entidades, incluidas empresas de servicios de inversión, gestoras y plataformas de financiación participativa, sobre los requisitos del reglamento DORA de ciberseguridad. El informe revela deficiencias en la gestión de incidentes, pruebas y el riesgo de proveedores de servicios TIC.
El ejercicio ha ayudado a concienciar a las entidades supervisadas por la CNMV sobre los requisitos de DORA y ha permitido conocer su preparación antes de la entrada en vigor del reglamento el 17 de enero de 2025.
Aunque se han encontrado buenas prácticas en gobernanza, ciberseguridad y continuidad de negocio, muchos no realizan revisiones periódicas o el seguimiento adecuado. Las mayores deficiencias se encuentran en la gestión de incidentes, pruebas y el riesgo de proveedores de servicios TIC, siendo las entidades más pequeñas las peor preparadas.
Aunque se han encontrado buenas prácticas en gobernanza, ciberseguridad y continuidad de negocio, muchos no realizan revisiones periódicas o el seguimiento adecuado. Las mayores deficiencias se encuentran en la gestión de incidentes, pruebas y el riesgo de proveedores de servicios TIC, siendo las entidades más pequeñas las peor preparadas.
Así, las entidades financieras deben adaptarse al nuevo reglamento, con el reto de mejorar su resiliencia y la oportunidad de fortalecer sus capacidades. El informe indica que la CNMV trabajará con el sector para asegurar una implementación eficiente y realizará un seguimiento continuo.
Dicho esto, ¿qué es el reglamento DORA? ¿Cuál es su propósito y qué obligaciones implica para las entidades financieras? En este artículo vamos a desgranar las principales claves del Reglamento de Resiliencia Operativa Digital, una normativa de la Unión Europea que va a conllevar importantes retos para las entidades afectadas, pero que es necesaria para impulsar la seguridad y la mejora del sector financiero.
Dicho esto, ¿qué es el reglamento DORA? ¿Cuál es su propósito y qué obligaciones implica para las entidades financieras? En este artículo vamos a desgranar las principales claves del Reglamento de Resiliencia Operativa Digital, una normativa de la Unión Europea que va a conllevar importantes retos para las entidades afectadas, pero que es necesaria para impulsar la seguridad y la mejora del sector financiero.
Qué es el Reglamento DORA
El reglamento DORA (Digital Operational Resilience Act) es una regulación de la Unión Europea que tiene como objetivo mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, específicamente en relación con los riesgos relacionados con las tecnologías de la información y la comunicación (TIC).
Con la implementación de DORA, las entidades financieras deben establecer requisitos para la gestión de incidentes de ciberseguridad con el fin de proteger, detectar, contener, recuperar y reparar incidentes relacionados con las TIC.
DORA establece unos requisitos y obligaciones específicos para la gestión del riesgo de las TIC, la notificación de incidentes, la realización de pruebas de resiliencia operativa, el establecimiento de acuerdos de intercambio de ciberamenazas y la monitorización del riesgo de la cadena de suministro de las entidades financieras.
Este reglamento reconoce que los incidentes de ciberseguridad y la falta de resiliencia operativa tienen la posibilidad de poner en peligro la solidez de todo el sistema financiero.
¿Qué requisitos establece DORA para las entidades financieras?
DORA establece requisitos de cumplimiento en 4 ejes de actuación:
- Gestión y gobernanza del riesgo en TIC: Las entidades financieras deben implementar marcos completos para gestionar el riesgo en las tecnologías de la información y comunicación (TIC). Esto implica identificar y clasificar los activos críticos, llevar a cabo evaluaciones continuas de riesgos y aplicar medidas de ciberseguridad apropiadas. La responsabilidad de establecer estrategias de gestión del riesgo recaerá en el órgano de dirección de la entidad, quien podrá enfrentar responsabilidades personales por incumplir las regulaciones.
- Notificación de incidentes: Las entidades financieras deben contar con sistemas adecuados para monitorear, gestionar, registrar, clasificar y reportar incidentes relacionados con las TIC. Es necesario informar a las autoridades competentes, así como a los clientes y socios afectados en caso de incidentes graves. Esto incluye presentar informes iniciales, intermedios y finales. También se pueden notificar voluntariamente aquellos incidentes considerados importantes.
- Pruebas de resiliencia operativa digital e intercambio de información sobre amenazas: Las entidades financieras deben llevar a cabo pruebas periódicas de sus sistemas TIC para medir su robustez y detectar vulnerabilidades. Estas pruebas comprenden evaluaciones de vulnerabilidades, simulaciones basadas en escenarios y pruebas de penetración con amenazas específicas para el sector financiero. Además, deben establecer acuerdos para el intercambio de información e inteligencia sobre ciberamenazas y vulnerabilidades de ciberseguridad con otras entidades financieras.
- Gestión de riesgos con terceros: Las entidades financieras deben gestionar activamente los riesgos asociados a terceros proveedores de TIC. Esto implica establecer acuerdos contractuales específicos y mapear las dependencias de la cadena de suministro. Los proveedores de servicios críticos de TIC estarán sometidos a supervisión directa y deberán cumplir con los requisitos estipulados por DORA.
¿Qué entidades financieras deben cumplir con el reglamento DORA?
El reglamento DORA será de aplicación para una amplia variedad de entidades financieras dentro en la Unión Europea. Algunos de los tipos de entidades que deberán adaptarse para cumplir con esta ley son:
- Bancos: tanto los comerciales como los de inversión.
- Compañías de seguros: compañías que ofrecen servicios de seguros de diferentes tipos.
- Gestores de fondos: entidades que gestionan y operan fondos de inversión.
- Sociedades de valores: empresas que ofrecen servicios de intermediación y negociación de valores.
- Plataformas de negociación: plataformas digitales de compraventa de instrumentos financieros.
- Proveedores de servicios de compensación y liquidación de valores: entidades que llevan a cabo operaciones de compensación y liquidación de transacciones de valores.
- Agencias de calificación crediticia: entidades que realizan evaluaciones y calificaciones sobre la solvencia crediticia de entidades financieras y emisores de valores.
¿Cómo, cuándo y a quién deben notificar los incidentes las entidades sujetas al Reglamento DORA?
Para notificar un incidente, las entidades financieras deben seguir los siguientes pasos:
1. Identificación del incidente
La entidad financiera debe habilitar procedimientos organizados para identificar, rastrear, registrar, categorizar y clasificar cualquier incidente relacionado con las tecnologías de la información y la comunicación (TIC).
También debe contar con mecanismos que permitan detectar y evaluar los incidentes de forma efectiva, así como procesos adecuados de seguimiento, tratamiento y respuesta a los mismos. Todas estas deben documentarse para poder realizar análisis de las causas subyacentes de los incidentes y prevenir su recurrencia.
También debe contar con mecanismos que permitan detectar y evaluar los incidentes de forma efectiva, así como procesos adecuados de seguimiento, tratamiento y respuesta a los mismos. Todas estas deben documentarse para poder realizar análisis de las causas subyacentes de los incidentes y prevenir su recurrencia.
2. Evaluación de la gravedad
El siguiente paso que debe realizar la entidad financiera es efectuar una evaluación de la gravedad o relevancia del incidente. El objetivo es determinar la necesidad de realizar la notificación. Los incidentes que se consideren graves deben ser comunicados a los altos directivos que corresponda y al órgano de dirección, concretando explicando las repercusiones, las medidas de respuesta adoptadas y los mecanismos de control adicionales que se prevé introducir para evitar futuros incidentes similares.
En los criterios de evaluación pueden establecerse umbrales para determinar el nivel de impacto en los servicios financieros. Estos umbrales pueden aplicarse a datos como el número de clientes perjudicados, las transacciones afectadas, el alcance geográfico del incidente o la duración de la interrupción de las actividades. Además, se debe considerar la taxonomía del incidente, el riesgo para los clientes y el impacto en la seguridad de la información con respecto a la integridad, confidencialidad y disponibilidad de los datos.
En los criterios de evaluación pueden establecerse umbrales para determinar el nivel de impacto en los servicios financieros. Estos umbrales pueden aplicarse a datos como el número de clientes perjudicados, las transacciones afectadas, el alcance geográfico del incidente o la duración de la interrupción de las actividades. Además, se debe considerar la taxonomía del incidente, el riesgo para los clientes y el impacto en la seguridad de la información con respecto a la integridad, confidencialidad y disponibilidad de los datos.
3. Notificación a la Autoridad de Supervisión Competente (ASC)
La entidad financiera estará obligada a informar sobre el incidente a la autoridad de supervisión competente correspondiente dentro el plazo que establece el reglamento DORA. La autoridad competente a la que deberá dirigirse variará en función del tipo de entidad financiera y el ámbito concreto en el que desarrolle su actividad.
La notificación del incidente debe contener la información relevante sobre su naturaleza, su impacto esperado o actual, las medidas adoptadas o previstas, así como cualquier otra información requerida por la autoridad de supervisión competente.
En España, el Banco de España actúa como autoridad supervisora de las entidades de crédito. Además, INCIBE-CERT es uno de los equipos de referencia en la respuesta ante incidentes, y mantiene una relación estrecha con otros organismos nacionales e internacionales.
La notificación del incidente debe contener la información relevante sobre su naturaleza, su impacto esperado o actual, las medidas adoptadas o previstas, así como cualquier otra información requerida por la autoridad de supervisión competente.
En España, el Banco de España actúa como autoridad supervisora de las entidades de crédito. Además, INCIBE-CERT es uno de los equipos de referencia en la respuesta ante incidentes, y mantiene una relación estrecha con otros organismos nacionales e internacionales.
4. Reportes e informes
Por último, la entidad deberá adoptar las medidas necesarias para poder reportar y actualizar el estado del proceso en la respuesta al incidente. Además de la notificación inicial, hay que elaborar un informe intermedio en caso de que la situación del incidente cambie sustancialmente durante el transcurso de su gestión, y un informe final que contenga las conclusiones del análisis y las causas que han provocado el incidente.
Sanciones por incumplir el reglamento DORA: ¿qué conlleva
El Reglamento DORA establece diversos tipos de sanciones por incumplimiento, las cuales pueden variar según la gravedad del mismo. Por tanto, el importe económico de la sanción también puede ser distinto según la obligación incumplida.
El reglamento dispone que las sanciones deben ser efectivas, proporcionadas y disuasorias. Sin embargo, todavía no incluye de manera específica los tipos de sanciones ni las restricciones operativas ni las cuantías exactas que supondrán las multas.
El reglamento dispone que las sanciones deben ser efectivas, proporcionadas y disuasorias. Sin embargo, todavía no incluye de manera específica los tipos de sanciones ni las restricciones operativas ni las cuantías exactas que supondrán las multas.
Plazos del reglamento DORA: fechas clave
El reglamento DORA cuenta con varias fechas clave en su proceso de implantación. Las más importantes son las siguientes:
Fechas importantes
- 16 de enero de 2023: Entrada en vigor de DORA.
- Del 17 de enero 2023 al 16 de enero 2025: Durante este plazo de dos años, las empresas deben hacer todo lo necesario para cumplir los requisitos establecidos en el reglamento DORA.
- 17 de enero 2025: Las entidades financieras tienen que estar cumpliendo los requisitos establecidos en el reglamento DORA, ya que a partir de esa fecha las autoridades competentes en esta materia iniciarán las actividades de supervisión.
Retos de las entidades financieras par adaptarse a la regulación de DORA
Para adaptarse a esta nueva normativa y cumplir con los requisitos exigidos, las entidades financieras se enfrentan a una serie de retos importantes. Estos desafíos abarcan desde aspectos técnicos y organizativos hasta cuestiones relacionadas con recursos humanos y procesos internos.
Estos son algunos de los principales retos que plantea el reglamento DORA:
Estos son algunos de los principales retos que plantea el reglamento DORA:
1. Integración de un Marco Integral de Gestión del Riesgo TIC
- Complejidad de los sistemas existentes: Muchas entidades financieras cuentan con infraestructuras tecnológicas heredadas (legacy systems) difíciles de actualizar o integrar con nuevas prácticas de gestión del riesgo.
- Identificación y clasificación de activos críticos: Mapear y clasificar activos críticos puede ser complejo debido a la gran cantidad de sistemas y aplicaciones que una entidad financiera utiliza.
- Evaluación continua de riesgos: La necesidad de monitorear y evaluar riesgos de manera constante requiere implementar herramientas avanzadas y procesos automatizados que pueden ser costosos y complejos de desarrollar.
2. Fortalecimiento de la ciberseguridad
- Medidas de ciberseguridad adecuadas: Adaptarse a estándares más estrictos implica invertir en tecnologías avanzadas de ciberseguridad y garantizar su mantenimiento continuo.
- Cumplimiento regulatorio: Asegurarse de que todas las medidas de ciberseguridad cumplen con la normativa es un desafío constante, especialmente con la rápida evolución de las amenazas cibernéticas.
- Responsabilidad del órgano de dirección: La responsabilidad personal de los directivos en caso de incumplimiento puede generar una presión adicional para adoptar medidas rápidas y efectivas.
3. Gestión y reporte de incidentes
- Capacidad de respuesta eficiente: Las entidades deben desarrollar equipos y procesos de respuesta rápida para gestionar incidentes de TIC.
- Documentación y reporting: Implementar sistemas para registrar, clasificar e informar incidentes graves de manera estructurada y oportuna requiere recursos humanos y tecnológicos adicionales.
- Comunicación con autoridades y clientes: Establecer procesos claros para informar tanto a reguladores como a clientes y socios sin comprometer la reputación de la entidad.
4. Resiliencia operativa digital
- Realización de pruebas periódicas: Las pruebas de vulnerabilidades, escenarios y penetración requieren una inversión continua en recursos técnicos y humanos especializados.
- Simulaciones de amenazas específicas: Desarrollar pruebas realistas y adaptadas al entorno financiero es un proceso complejo y que demanda colaboración con expertos en ciberseguridad.
- Detección y corrección de vulnerabilidades: Identificar debilidades es solo una parte del proceso; solucionarlas de manera efectiva puede ser un reto, especialmente si involucra grandes modificaciones en los sistemas.
5. Intercambio de información sobre amenazas
- Colaboración interinstitucional: El proceso de intercambio de información entre entidades financieras puede verse limitado por preocupaciones de confidencialidad o competitividad.
- Plataformas seguras de intercambio: Establecer canales seguros y eficientes para compartir inteligencia sobre amenazas sin comprometer datos sensibles es un reto tecnológico y de confianza.
6. Gestión del riesgo de terceros
- Evaluación de proveedores de TIC: Identificar y supervisar a terceros proveedores críticos implica un esfuerzo adicional de monitoreo y auditoría constante.
- Dependencias de la cadena de suministro: Mapear completamente las dependencias de terceros puede ser complejo, especialmente si se trata de proveedores globales o con múltiples niveles de subcontratación.
- Cumplimiento de DORA por parte de proveedores: Asegurarse de que los proveedores cumplen con los requisitos regulatorios añade una capa de complejidad a las relaciones contractuales.
7. Recursos humanos y formación en ciberseguridad
- Falta de personal especializado: Existe una alta demanda de profesionales en ciberseguridad y gestión de riesgos, lo que, sumado a la falta de profesionales en el sector, supone un importante reto. La dificultad de atraer y fidelizar talento requiere actuaciones urgentes para que cada vez más personas quieran trabajar en ciberseguridad. Más aún en un sector complejo donde las ramificaciones y especialidades son tan diversas.
- Capacitación continua: Es necesario formar continuamente al personal para garantizar que esté al día con las mejores prácticas y las nuevas exigencias normativas.
8. Costes asociados
- Inversión tecnológica y operativa: Adaptarse a la normativa requiere una inversión considerable en infraestructura tecnológica, herramientas de ciberseguridad y capacitación del personal.
- Balance entre costes y eficiencia: Implementar estas medidas sin afectar la rentabilidad y eficiencia operativa de la entidad es un desafío estratégico.
