Pasar al contenido principal

Implementación del Reglamento DORA: Fortalecimiento de la Resiliencia Operativa Digital en el Sector Financiero

DORA establece los principios y procedimientos que deben seguir las organizaciones financieras para proteger sus redes y sistemas de información.

El Reglamento (UE) 2022/2554, aprobado por el Parlamento Europeo y el Consejo el 14 de diciembre de 2022, introduce un marco normativo integral destinado a mejorar la resiliencia operativa digital de las entidades financieras en la Unión Europea. Este reglamento, conocido por sus siglas en inglés como DORA (Digital Operational Resilience Act), establece los principios y procedimientos que deben seguir las organizaciones financieras para proteger sus redes y sistemas de información. Su promulgación responde a la necesidad de mitigar los riesgos que la dependencia digital impone al sector financiero, una lección aprendida tras la crisis económica de 2008.

Uno de los puntos más relevantes que aborda el reglamento en sus primeros considerandos es la necesidad de asegurar que la infraestructura europea siga siendo accesible y se gestione eficientemente, promoviendo al mismo tiempo la interoperabilidad entre distintos sistemas y organizaciones. Además, el marco de DORA subraya la importancia de la investigación y la innovación para consolidar la competitividad económica de la Unión Europea, haciendo énfasis en la cooperación entre los Estados miembros para promover un entorno financiero más robusto y equitativo.

Un aspecto clave de la normativa es la obligación de involucrar a todas las partes interesadas, tanto públicas como privadas, en la creación y aplicación de políticas, garantizando que las decisiones tomadas reflejen las necesidades de todas las organizaciones participantes en este ecosistema financiero.

Estructura y contenido principal

El Reglamento DORA está organizado en nueve capítulos que abordan cinco áreas temáticas principales. Estas áreas incluyen desde la gestión de riesgos relacionados con las tecnologías de la información y comunicación (TIC), hasta la notificación de incidentes, pruebas de resistencia operativa, y la supervisión de los riesgos asociados a la dependencia de proveedores externos.

Objetivos

DORA tiene como objetivo unificar y actualizar los requisitos relativos a la gestión del riesgo TIC, que hasta ahora habían sido tratados de manera separada en diferentes normativas de la Unión Europea. Con este reglamento, se busca establecer un enfoque coherente y unificado que integre todas las disposiciones normativas relacionadas con el riesgo digital en una única pieza legislativa.

Entre sus finalidades, DORA pretende subsanar las deficiencias y lagunas que existían en legislaciones previas, armonizando la terminología y estableciendo normas específicas para mejorar la gestión del riesgo TIC, la notificación y seguimiento de incidentes y la realización de pruebas de resiliencia operativa. De esta forma, el reglamento no solo incrementa la consciencia sobre la importancia del riesgo digital, sino que también refuerza la estabilidad de las entidades financieras, reconociendo que la falta de resiliencia digital puede comprometer la viabilidad de todo el sistema financiero.

 

Ámbito de aplicación

Este reglamento tiene un alcance amplio, cubriendo diversas entidades del sector financiero dentro de la Unión Europea. Entre ellas se incluyen:

Entidades bancarias

Entidades bancarias

Tanto bancos comerciales como de inversión.

Compañías de seguros

Compañías de seguros

Responsables de ofrecer coberturas ante riesgos diversos.

Gestores de fondos de inversión

Gestores de fondos de inversión

Administradores de carteras colectivas.

Sociedades de valores

Sociedades de valores

Involucradas en la intermediación financiera.

Plataformas de negociación electrónica

Plataformas de negociación electrónica

Facilitadoras del comercio de activos financieros.

Proveedores de servicios de compensación y liquidación de valores

Proveedores de servicios de compensación y liquidación de valores

Encargados de la liquidación de transacciones de valores.

Agencias de calificación crediticia

Agencias de calificación crediticia

Entidades que emiten calificaciones sobre la solvencia financiera de instituciones y emisores.

Plazos de adecuación

El reglamento DORA entró en vigor el 16 de enero de 2023, y las organizaciones afectadas disponen de un plazo de dos años para adaptarse a los nuevos requisitos. La fecha límite para que todas las entidades cumplan con el reglamento es el 17 de enero de 2025, momento en el cual deberán haber implementado plenamente las medidas exigidas por DORA.

Alcance del Servicio

DORA introduce un conjunto de normas diseñadas para asegurar que las entidades financieras sean capaces de resistir y recuperarse ante posibles incidentes que afecten su infraestructura digital. Para apoyar a las organizaciones en este proceso de adecuación, ofrecemos un servicio especializado de Análisis de Brechas/Gap y elaboración de un Plan de Acción personalizado. Este proceso detallado ayudará a las empresas a identificar las áreas de mejora y a implementar las medidas necesarias para cumplir con los requerimientos del reglamento.

Nuestro servicio está pensado para ajustarse a las necesidades específicas de cada organización, lo que garantiza un enfoque adaptado a la realidad particular de cada cliente.

Fases del Proyecto

Fase I: Análisis Gap

El primer paso es una reunión de lanzamiento del proyecto en la que se establecerán los aspectos logísticos del proyecto y se resolverán cualquier duda que pueda surgir. Posteriormente, se llevará a cabo un análisis detallado del nivel de cumplimiento de la organización con los requisitos establecidos por DORA.

El Análisis Gap se centrará en revisar aspectos clave, como la gestión de riesgos TIC, auditorías internas y planes de continuidad operativa. Durante esta fase, se evaluará la documentación existente y se identificarán las posibles brechas que deban ser corregidas para cumplir con el reglamento.

Fase II: Plan de Acción

Con base en los hallazgos del análisis Gap, elaboraremos un informe detallado que incluirá un Plan de Acción correctivo. Este informe no solo identificará las áreas donde la organización no cumple con DORA, sino que también proporcionará recomendaciones específicas para abordar las deficiencias encontradas. La implementación del plan será monitoreada para garantizar el cumplimiento efectivo antes del plazo final.

Resultados

Documentación entregada

Durante el desarrollo del proyecto, entregaremos la siguiente documentación:

  • Fase I: Presentación de lanzamiento del proyecto y Evaluación de la aplicabilidad de DORA.
  • Fase II: Informe de análisis y Plan de Acción, incluyendo detalles sobre los requisitos, evidencias documentales, interlocutores y el estado de cumplimiento.

 

Reunión de Cierre

Al finalizar el proyecto, organizaremos una reunión de cierre en la que se discutirán los resultados y se resolverán las dudas finales que puedan surgir. Este cierre formal marcará el cumplimiento total de las obligaciones contractuales y garantizará que la organización esté preparada para enfrentar los desafíos de la resiliencia operativa digital.

No dudes en ponerte en contacto con nosotros si necesitas más información

Mandanos tus dudas y nos pondremos en contacto contigo lo antes posible.
Por favor, introduzca un número de teléfono válido.
CAPTCHA
Esta pregunta es para comprobar si usted es un visitante humano y prevenir envíos de spam automatizado.