En las últimas décadas, el sector financiero, como el resto de sectores, ha sufrido una rápida y en ocasiones descontrolada transición digital con el fin de abastecer la demanda de absoluta conectividad entre las empresas europeas y norteamericanas. Esto ha obligado a su sobreexposición a ciberriesgos más numerosos y sofisticados según un estudio de 2020 la Junta Europea de Riesgo Sistémico y a la creación de DORA.
Ante esta situación, la aplicación del Reglamento de Resiliencia Operativa Digital (DORA) es clara: dotar de una seguridad informática eficaz y resiliente a las entidades financieras como los bancos, las compañías de seguros o las empresas de inversión, para garantizar su resiliencia digital, necesaria en caso sufrir cualquier incidente o ciberataque.
¿Qué es la «resiliencia operativa digital»?
Europa parece considerar la “resiliencia operativa digital” como la capacidad de que un ente financiero sea capaz de desarrollar, asegurar y revisar su integridad y fiabilidad en sus operaciones cuando estas dependan de servicios tecnologías de la información (muchas veces prestadas por por terceros) con el fin de preservar la integridad y disponibilidad de los sistemas con los que prestan sus servicios. Los ámbitos que cubre DORA son:
- ICT risk management
- Principios y requisitos sobre el marco de gestión de riesgos TIC.
- ICT third-party risk management
- Monitorización de riesgos de terceros proveedores TIC.
- Disposiciones contractuales clave.
- Digital operational resilience testing
- Pruebas básicas y avanzadas de resiliencia digital.
- ICT-related incidents
- Requisitos generales.
- Notificación de incidentes TIC importantes a las autoridades competentes.
- Information sharing
- Intercambio de información e inteligencia sobre ciberamenazas.
- Oversight of critical third-party providers
- Marco de supervisión para proveedores TIC críticos.
Directivas que integra DORA
En esta dimensión, DORA se sitúa como el culmen definitivo a un largo trayecto de legislación entorno al riesgo relacionado con las TIC y su protección ante riesgos en materia digital, que durante años ha sido apartada en detrimento de la regulación financiera en el ámbito más económico. Finalmente se agrupan y armonizan todas las directivas creadas por las autoridades de supervisión financiera de la UE (ABE, AESPJ y AEVM) alrededor de los distintos organismos e instrumentos financieros. Dichas directivas son:
- (CE) 1060/2009 Sobre las agencias de calificación crediticia.
- (UE) 648/2012 Relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones.
- (UE) 600/2014 Relativo a los mercados de instrumentos financieros.
- (UE) 909/2014 Sobre la mejora de la liquidación de valores en la Unión Europea y los depositarios centrales de valores.
- (UE) 2016/1011 Sobre los índices utilizados como referencia en los instrumentos financieros y en los contratos financieros o para medir la rentabilidad de los fondos de inversión.
DORA modifica reglamentos como (CE) 1060/2009 sobre las agencias de calificación crediticia, (UE) 600/2014 sobre los mercados de instrumentos financieros o (UE) 909/2014 sobre la mejora de la liquidación de valores en la UE y los depositarios centrales de valores, entre otros, además de agrupar otras normativas creadas por los Estados Miembro y el solapamiento de lagunas entre ellas.
También coordina el funcionamiento de la parte tecnológica del sector financiero con la normativa ya condensada sobre el funcionamiento de los servicios bancarios y el modo de procedimiento para garantizar la estabilidad económica europea, a través del Reglamento (UE) 575/2013 sobre los requisitos prudenciales de las entidades de crédito y las empresas de inversión, conocido como Single Rulebook.
Para conseguir esta resiliencia, el reglamento se compone de seis puntos de acción que serán ejecutados por las tres Autoridades de Supervisión mencionadas: gestión del riesgo relacionado con las TIC; gestión, clasificación y notificación de incidentes relacionados con las TIC; pruebas de resiliencia operativa digital; gestión de incidentes relacionados con las TIC; intercambio de información y supervisión de proveedores terceros críticos. En cada uno de estos puntos se establecen las acciones a ejecutar por las entidades.
Caso práctico
Imaginemos el caso de Safety Seguros, con sede en España, y que ofrece servicios también en Francia y en Italia. Nuestra compañía detecta una anomalía en su base de datos que está alterando la información de sus clientes y las primas aportadas por cada uno a sus seguros, lo que provoca errores en los pagos de las primas y genera desconfianza en sus clientes quienes confían su salud o casa sobre la compañía. A través de la nueva regulación DORA, la compañía debe seguir un procedimiento para poder entender, eliminar y reducir el riesgo para el futuro en sus bases de datos.
Primero debe evaluar y gestionar este riesgo (arts.5-16) a través de un sistema de riesgos tecnológicos que tenía instalado con anterioridad y activar los protocolos de ciberseguridad que tengan establecidos. Seguidamente debe notificar el incidente al Banco de España (al ser el lugar de origen de la empresa, incluso si surge el ataque en otro Estado) (arts.17-23), además del deber de informar a los clientes afectados y que sufran o puedan sufrir consecuencias por el ataque y de las medidas adoptadas para mitigar los efectos del ataque.
Mitigado el ataque y para prevenir nuevos riesgos en el futuro, Safety debe reforzar o renovar si es necesario los protocolos de seguridad además de realizar pruebas de resiliencia operativa (arts.24-30). Entre las pruebas a realizar para comprobar y reforzar la resiliencia de las TIC se encuentran las evaluaciones y exploraciones de las vulnerabilidades de los sistemas, análisis del software de código abierto o evaluaciones de seguridad de la red, entre otros.
Finalmente, en el caso de que esta base de datos estuviera contratada a un proveedor externo (arts.31-42), Safety debe comprobar que la compañía cumple con las normas de seguridad establecidas en este reglamento, que en caso de no cumplirlas podría revisar o cancelar el contrato con este proveedor. A través de este ejemplo podemos observar que el objetivo de DORA es que las empresas financieras se preparen, prevengan y respondan a las anomalías que surjan en las tecnologías TIC utilizadas para ofrecer sus servicios de la forma más eficaz posible, garantizando la estabilidad del sector financiero.
Distintas opiniones en el sector legal
En cuanto a la opinión real del sector legal tanto entre juristas como equipos del sector financiero se suscitan diversas opiniones. En el área de juristas, aceptan positivamente la regulación «como armonizadora de legislación y normativas dispares en la protección de los riesgos latentes con las TIC», como señalan desde Belzuz Abogados, aunque otros, como Ana Martínez-Pina, directora y socia de Regulatorio Financiero de Gómez-Acebo y Pombo, creen que «todavía deben subsanarse algunas cuestiones como las designaciones de proveedores de servicios TIC a través de normativa complementaria».
Sin embargo, parece que en la práctica real de las empresas los fallos son más latentes, así Tim Wright, socio y abogado tecnológico en Fladgate opina que «los extensivos requerimientos para la implantación de DORA son lentos y angustiosos ya que las empresas deben mapear y clasificar todos sus contratos con sus proveedores de servicios relacionados con las TIC», que en el sector financiero son la gran mayoría, añadiendo además la complejidad para comunicarse y regular las relaciones con los mismos proveedores.
Pese a este debate, la aplicacion del Reglamento DORA parece ser un paso importante y necesario para el sector financiero, especialmente la correcta armonización del modo de protección ante riesgos a todo el mercado financiero de la Unión Europea y sus Estados Miembro, que además de competitivo, debe ser seguro ante las amenazas del gigante mercado global con el que compite.
