El Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (en adelante, DORA) es de aplicación efectiva a las entidades financieras y proveedores de las Tecnologías de la Información y las Comunicaciones (TIC), desde el pasado 17 de enero de 2025.
No obstante, pese a haber alcanzado la fecha de aplicación efectiva, de conformidad con el reciente informe de la CNMV de diciembre del año pasado, la situación en España no va demasiado alineada con los plazos previstos por el legislador europeo. Solo el 18% de las entidades encuestadas han revisado su cumplimiento con DORA y asignado recursos específicos para su implementación. Siendo un preocupante 82% de sujetos obligados, los que no han finalizado dicha revisión. De los cuales, un 58% sí que han iniciado los procesos de adecuación, y un restante 24% que no ha realizado ningún esfuerzo significativo.
En aras de comprender las implicaciones de estas cifras, debemos considerar el objetivo de DORA, que reside en mejorar la resiliencia operativa del sector financiero frente a ciber amenazas y riesgos tecnológicos, introduciendo una nueva perspectiva de gestión del riesgo centrada en la respuesta ante incidentes, asegurando la continuidad de negocio.
Así pues, resulta crucial realizar una evaluación de los principales retos que supone la aplicación de DORA a las entidades afectadas, en aras a determinar donde se deberán centrar los esfuerzos para su adaptación y poder establecer prioridades. En primer lugar, las entidades financieras deberán desarrollar una estrategia para gestionar los riesgos asociados a las TIC que abarque desde sus propios socios tecnológicos hasta sus procesos internos, en aras de prevenir amenazas que puedan poner en jaque sus infraestructuras críticas que soportan sus actividades de negocio.
Para la consecución del hito anterior, resulta necesario identificar los servicios críticos y activos esenciales, en aras de analizar su nivel de exposición en el marco de la infraestructura interna de las compañías obligadas para definir la "entidad mínima viable". Para ello, puede resultar altamente complementario las estrategias existentes en materia de protección de datos de carácter personal. Vemos una vez más, como el 'tsunami normativo' acaecido en los últimos años intenta complementarse entre las distintas regulaciones.
En segundo lugar, la norma alude a un concepto sumamente utilizado en el ámbito tecnológico, llamado "resiliencia operativa". Se podría definir como la capacidad de diseñar y realizar pruebas operativas que satisfagan, en este caso, las exigencias del regulador. No sin más, se trata de un ejercicio técnico y económico relevante, pues implica varios activos, procesos, habilidades y herramientas que deben coordinarse. Sobre este extremo, DORA determina como necesario que las entidades financieras establezcan pruebas periódicas que permitan identificar deficiencias o brechas de seguridad operativas, para que éstas puedan ser debidamente gestionadas o subsanadas como parte del proceso de mejora continua.
No estamos ante nada excesivamente novedoso, simplemente se sigue la tendencia normativa centrada en que las distintas normativas comunitarias resultan interoperables o, al menos, ese es el objetivo pretendido. Encontraremos sinergias con la legislación de protección de datos antes señalada, pero también con estándares de certificación existentes en materia de seguridad de la información como la ISO 27001, que ayudarán a crear ese marco de controles que facilitará el despliegue de DORA. Entre otras aspectos, dicho framework aborda aspectos tales como la gestión de proveedores TIC o la necesidad de disponer de planes de contingencia y de continuidad de negocio. Tampoco podemos dejar de poner el foco en la Directiva NIS2, así como las propias Guías de gestión de riesgos TIC y Seguridad o de externalización de la Autoridad Bancaria Europea (EBA), entre otras.
En tercer lugar, haciendo hincapié en las obligaciones relevantes de DORA, cabe citar la revisión y actualización de las cláusulas contractuales para asegurar la gestión de riesgos durante todo el ciclo de vida del contrato. En especial, revisando las medidas de seguridad y los planes de salida. Dichas actuaciones deberán complementarse con medidas de monitorización y evaluación continua, que permitan determinar si la diligencia del proveedor se respeta durante el transcurso de la relación jurídica.
Por último, resulta oportuno poner de manifiesto la necesidad de cooperación entre autoridades de control y sujetos obligados. La complejidad existente del escenario financiero, así como también la necesidad de intentar garantizar la seguridad jurídica a la par que no se pone en jaque la competitividad de las prácticas de mercado, hacen crucial que este aspecto deba ser balanceado escrupulosamente.
