+34 747 460 287
info@intkgroup.com
El próximo 17 de enero de 2025 marcará un antes y un después para el sector financiero de la Unión Europea. A partir de esa fecha, entra en vigor la aplicación del Reglamento de Resiliencia Operativa Digital, conocido como DORA (Digital Operational Resilience Act), una normativa que transformará la gestión de riesgos digitales en las instituciones financieras de toda Europa. La normativa, que se adoptó el 16 de enero de 2023, tiene como objetivo garantizar que las entidades financieras sean capaces de operar y resistir incluso ante los peores escenarios de disrupción tecnológica.
El reglamento abarca un espectro amplio de actores: desde bancos y aseguradoras hasta intermediarios financieros y proveedores de servicios tecnológicos, como empresas de computación en la nube o centros de datos. En esencia, nadie relacionado con la infraestructura digital financiera queda al margen.
La verdadera fortaleza de DORA radica en su enfoque integral. Por un lado, establece que las entidades financieras sean directamente responsables de sus sistemas de gobernanza en torno a los riesgos tecnológicos. Esto incluye un principio básico: las decisiones relacionadas con la seguridad digital recaen sobre el órgano de dirección de cada organización. Además, se exige que los sistemas críticos sean sometidos a pruebas periódicas para evaluar su preparación ante incidentes y que se adopten planes claros de continuidad operativa y recuperación.
Pero DORA también reconoce que no todas las instituciones enfrentan los mismos retos. Por ello, introduce un principio de proporcionalidad, imponiendo mayores exigencias a las grandes entidades y permitiendo requisitos más flexibles para las más pequeñas.
Entre las obligaciones clave, destaca la necesidad de contar con un marco robusto para la gestión de riesgos digitales. Las instituciones tendrán que identificar las funciones críticas relacionadas con las TIC, diseñar estrategias preventivas, establecer sistemas para detectar amenazas en tiempo real y desarrollar planes de respuesta que aseguren una recuperación rápida tras un incidente.
DORA establece que los riesgos asociados a los servicios de terceros deben integrarse en las estrategias de gestión de riesgos digitales de cada entidad. Además, las autoridades europeas tendrán la facultad de supervisar a los proveedores considerados “esenciales”, pudiendo imponer sanciones en caso de incumplimientos.
Un aspecto destacable del reglamento es la obligatoriedad de notificar los incidentes graves a las autoridades competentes, algo que deberá hacerse en fases: un primer informe en 24 horas, un segundo a la semana y un análisis final al mes. Este mecanismo busca garantizar una respuesta rápida y coordinada, además de mantener informados a los clientes cuando sus intereses puedan verse afectados.
El tiempo corre y las entidades financieras deben estar listas para cumplir con esta ambiciosa normativa. Con la fecha del 17 de enero de 2025 a la vista, la implementación de DORA será una prueba de fuego para el sector.
https://cincodias.elpais.com/opinion/2024-12-12/dora-la-nueva-era-de-ciberresiliencia.html
