El Reglamento DORA va a marcar un antes y un después en la revolución digital que ya ha alcanzado a la Unión Europea.

En general, ya hace tiempo que esta transformación del papel a lo digital, está afectando a las empresas, no sólo de la Unión Europea, sino de todo el mundo, y se pueden poner muchísimos ejemplos.

Durante la pandemia del COVID-19, ¿quién no ha realizado sus compras online? Es más, ¿a que seguís haciéndolas, al menos, más que antes?

El Reglamento DORA (por sus siglas en inglés, Digital Operational Resilience Act) proviene de la Ley de Resiliencia Operativa Digital (aún en estado de borrador) que fue lanzado por la Unión Europea el 24 de septiembre de 2020.

Este reglamento, afectará a las entidades financieras, pero es cuestión de tiempo que se generen regulaciones de este tipo para otros sectores también estratégicos, como la salud, la energía, las telecomunicaciones, el transporte, etc.

No obstante, el sector financiero está en el punto de mira de la Unión Europea.

Podemos poner de ejemplo, la Directiva (UE) 2019/1937 del 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (Directiva Whistleblowing).

En un artículo anterior, hablamos de la Directiva Whistleblowing, que establece que las empresas del sector de los servicios de tipo financiero con más de 50 personas trabajadoras, tiene que implantar un canal de denuncias antes del 17 de diciembre de 2021.

Puedes leer el artículo completo aquí.

¿Qué es el Reglamento DORA? Cuestiones que aborda y objetivos

Anteriormente ya se han dado algunas pistas sobre qué es el Reglamento DORA, pero vamos explicarlo mejor.

Se trata de un nuevo reglamento elaborado por la Unión Europea que pretende regular la forma en la que las organizaciones del sector financiero gestionan el riesgo de tipo digital.

Es por ello por lo que también lo llaman el reglamento de ciberseguridad.

Se trata de una propuesta que forma parte del paquete de medidas para finanzas digitales de la Unión Europea, que pretenden fomentar y potenciar las finanzas digitales mediante la mitigación de los riesgos derivados del uso de las TIC, permitiendo así la innovación y competencia.

Es decir, modernizar el sector financiero europeo para que se mantenga actualizado y a la vanguardia en el contexto de la transformación digital.

El Reglamento DORA, establece per se un marco normativo común y unificado, un alineamiento normativo que aglutina diferentes normas y regulaciones, como EBA, PSD, EIOPA, eIDAS, etc.

Por lo tanto, el objetivo que persigue este reglamento es el de fomentar la resiliencia de las entidades del sector financiero frente a las TIC, desde el punto de vista de los riesgos digitales.

En definitiva, las TIC proporcionan nuevas oportunidades, pero también son origen de nuevos riesgos que hay que saber cómo gestionar bajo cualquier contexto.

Implicaciones del Reglamento DORA y empresas a las que afecta

En general, las implicaciones del Reglamento DORA están relacionadas con el alcance que va a tener en las organizaciones:

  • Gestión de riesgos digitales, estableciendo pruebas exhaustivas para los sistemas TIC.
  • Los incidentes y notificación: análisis de la causa, presentación de notificaciones e informes en un centro unificado y plantillas normalizadas para la comunicación de los accidentes.
  • Pruebas de resiliencia operativa digital.
  • Riesgos de terceros: análisis y control exhaustivo de proveedores y del cumplimiento normativo, así como una revisión periódica de riesgos por externalizaciones.
  • Intercambio de información entre entidades del sector financiero.

Estos cambios, darán lugar al aumento de la concienciación de los supervisores de riesgos de ciberseguridad y de los incidentes relacionados a los que se tendrán que enfrentar, facultando a los supervisores financieros para supervisar los riesgos derivados de terceros.

Para saber más sobre herramientas para el aseguramiento de terceros, lea nuestro artículo sobre Certificación ISO 27001 vs Informe de aseguramiento ISAE.

Para terminar, el Reglamento DORA afecta a:

  • Entidades financieras.
  • Intermediarios de seguros
  • Entidades de dinero electrónico
  • Proveedores de servicios TIC, Cloud o servicios digitales
  • Auditores legales
  • Sociedades de gestión.
  • Agencias de calificación.

Según las previsiones, el Reglamento DORA entrará en vigor en mayo del año 2022, con un plazo para su aplicación total de un año.

Ingertec es una consultora con más de 20 años de experiencia especializada en el sector de las TIC, por lo que podemos ofrecer garantías de éxito en la adaptación al Reglamento DORA. ¡Contáctanos aquí!