Llegamos a ustedes gracias a:



Reportajes y análisis

Conozca el nuevo reglamento DORA de la UE

[07/12/2020] En octubre del 2020, la Unión Europea (UE) publicó un proyecto de ley para codificar la forma en que las empresas financieras gestionan el riesgo digital. Anunciado como parte de la nueva estrategia de financiación digital de la UE, el proyecto de Ley de Resiliencia Operativa Digital (DORA por sus siglas en inglés) tiene por objeto "consolidar y mejorar los requisitos de riesgo de las TIC [tecnologías de la información y las comunicaciones]" en todas las entidades financieras para garantizar que todas las empresas estén "sujetas a un conjunto de normas comunes para mitigar los riesgos de las TIC".

Este amplio conjunto de normas podría afectar a casi todos los rincones del sector financiero en empresas grandes y pequeñas. Para muchas, la legislación propuesta puede ser menos onerosa que los requisitos actuales, y no hace más que consolidar los actuales esfuerzos de resiliencia.

¿Qué es la Ley de Resiliencia Operativa Digital (DORA)?

En febrero del 2020, la Junta Europea de Riesgo Sistémico advirtió a que un solo incidente cibernético podría provocar una crisis sistémica que amenazara la estabilidad financiera. Como las empresas financieras dependen cada vez más de sus sistemas digitales, la UE decidió que debía obligar a las empresas a garantizar que esas operaciones sean lo más resilientes posible.

La ley propuesta abarca empresas financieras de casi todos los tamaños en todos los sectores de la industria financiera, desde instituciones de crédito y fondos de inversión, hasta proveedores de servicios de criptoactivos. El objetivo es crear una única ley que aborde el riesgo de las TIC en las finanzas en toda la unión. La UE afirma que DORA reducirá la complejidad de la reglamentación -que actualmente está repartida en reglamentos como CRD IV, PSD2, Solvencia II, EMIR y MIFID, además de los requisitos locales y supervisados por varios organismos diferentes-, y disminuirá las cargas financieras y administrativas causadas por el actual mosaico de reglamentos.

La ley abarca estos ámbitos de la gestión de riesgos de las TIC:

  • Gestión de riesgos: Las empresas tendrían que establecer y mantener sistemas e instrumentos de TIC resilientes para identificar y reducir al mínimo el riesgo de las TIC de manera continua, establecer medidas de protección y prevención, y establecer políticas de continuidad de las actividades y planes específicos y amplios/completos de recuperación en caso de desastre.
  • Notificación de incidentes: La ley exigiría a las empresas que establecieran y aplicaran un proceso de gestión para supervisar, clasificar y notificar a las autoridades competentes los incidentes importantes relacionados con las TIC (según se define en la Directiva sobre el NIS).
  • Prueba de resiliencia operativa digital: Se exigiría a las empresas poner a prueba la resiliencia operativa de las capacidades y funciones incluidas en el marco de gestión de riesgos de las TIC para identificar los puntos débiles, las deficiencias o las lagunas. Esas pruebas incluirían evaluaciones y escaneos de vulnerabilidad, análisis de código abierto, evaluaciones de la seguridad de la red, análisis de las deficiencias, exámenes de la seguridad física, cuestionarios y soluciones de software de escaneado, exámenes del código fuente, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento y pruebas de penetración.
  • Riesgo de terceros en materia de TIC: Además de exigir a las empresas que evalúen, supervisen y documenten el riesgo de terceros en materia de TIC, y que se aseguren de que en todos los contratos con esas partes se establezcan las obligaciones que les incumben en virtud de la ley, DORA también exigiría que los proveedores externos de servicios críticos de TIC en los sectores financieros se adhieran a un marco de supervisión.
  • Intercambio de inteligencia: DORA permitiría y alentaría a las entidades financieras a establecer acuerdos para intercambiar información e inteligencia sobre amenazas cibernéticas entre ellas.

Farhan Chaudhry, un ejecutivo de tecnología y, hasta hace poco, CIO de State Street Corporation, señala que las propuestas de DORA formalizan hacia lo que las empresas están madurando, pero el impacto de dicha ley variará dependiendo del tamaño y la madurez de estas.

"DORA establece un claro enfoque para impulsar la madurez de la resiliencia cibernética, operacional y tecnológica", comenta Chaudhry. Esta reúne las recientes iniciativas regulatorias, tales como las directrices de la Autoridad Bancaria Europea [ABE] sobre los acuerdos de subcontratación, y la gestión de los riesgos de seguridad y de las TIC. DORA también se alinea con el Banco de Inglaterra, la Autoridad de Regulación Prudencial (PRA) y los requisitos de la Autoridad de Conducta Financiera (FCA) para fortalecer la resiliencia operativa en el sector de los servicios financieros, añade.

¿Qué empresas se ven afectadas por DORA?

Entre los tipos de empresas que figuran en el ámbito de aplicación de DORA se encuentran:

  • Instituciones de crédito
  • Instituciones de pago
  • Instituciones de dinero electrónico
  • Empresas/Firmas de inversión
  • Proveedores de servicios de criptoactivos
  • Depósitos centrales de valores
  • Contrapartes centrales
  • Lugares comerciales
  • Depósitos comerciales
  • Gestores de fondos de inversión alternativos y empresas gestoras
  • Proveedores de servicios de comunicación de datos
  • Empresas de seguros y reaseguros
  • Intermediarios de seguros, reaseguros y seguros auxiliares
  • Instituciones para las pensiones de jubilación de los trabajadores
  • Agencias de calificación crediticia
  • Auditores legales y empresas de auditoría
  • Administradores de puntos de referencia críticos
  • Proveedores de servicios de crowdfunding

"DORA es realmente una evolución de otras normas y marcos establecidos en otras partes del sector y la industria", sostiene Mike Butler, un experto independiente en resiliencia y asesor de la startup de orquestación Cutover. "Hasta ahora ha habido una respuesta bastante débil por parte de la industria. Se esperaba que esto pasara y es realmente la próxima iteración en una larga línea de legislación de la UE y una larga línea de normas y marcos regulatorios".

Butler considera que DORA tendrá un impacto limitado en la mayoría de los bancos multinacionales, porque ya tienen estrategias que incorporan mejoras en la resiliencia operativa. "Para los bancos más pequeños, las empresas de tecnología financiera, las compañías de seguros y las empresas de gestión de fondos y patrimonios, esto podría suponer un cambio material de estrategia y desviar la financiación del crecimiento empresarial para reconstruir los cimientos de las empresas", anota, "pero también una oportunidad de utilizar las medidas reglamentarias para ofrecer nuevas tecnologías resilientes y seguras que, en última instancia, darán a la empresa la capacidad de escalar en el futuro".

DORA y el riesgo de terceros

Uno de los aspectos más notables de DORA es su enfoque en el riesgo de terceros. La UE afirma que, a pesar de que el sector financiero depende cada vez más de las empresas de tecnología de la información, no existen facultades específicas para hacer frente a los riesgos de las TIC derivados de esos terceros. La ley pondría a los proveedores externos de servicios críticos de TIC al alcance de los reguladores, y los sometería a un marco de supervisión a nivel de la UE.

"DORA continúa con el impulso dado en el último decenio a la subcontratación y la gobernanza de terceros", señala Chaudhry, "centrándose en la externalización en cadena y la resiliencia, con la claridad de que los proveedores externos de servicios críticos de TIC, incluyendo los de servicios en la nube, deben estar dentro del perímetro reglamentario".

En virtud de estas normas, las Autoridades Europeas de Supervisión (AEE) tendrían derecho a acceder a los documentos, realizar inspecciones y someter a terceros a multas si lo consideran necesario. La multa será el 1% del promedio de la facturación mundial diaria del proveedor de servicios en cuestión durante el año comercial anterior, y se emitirá diariamente durante un máximo de seis meses. Aún no se han definido los criterios de lo que constituiría un tercero "esencial".

William Rimington, director ejecutivo de la Práctica de Riesgo Cibernético de Kroll, dice que el enfoque de DORA en los proveedores de TI de terceros es bienvenido, y que proporcionar el escrutinio y la autoridad para asegurar que los security ducks de los proveedores estén en fila equivale a un "apoyo fantástico" para la industria de servicios financieros. "Tenemos normas de garantía de terceros, las del tipo SOC2, y estoy seguro de que esos vehículos pueden adaptarse y adoptarse para cumplir con estas normas a medida que evolucionan", anota. "No creo que haya nada particularmente nuevo o diferente en cuanto al momento en el que las instituciones financieras auditan a sus proveedores externos, etc., pero impulsará la coherencia en los comportamientos y asegurará que se ha hecho consistentemente según un estándar, algo que como consumidores debería darnos a todos un poco más de comodidad".

En su análisis de la regulación, Deloitte dijo que la mayoría de las empresas del sector acogerán con satisfacción la introducción de un marco de supervisión, ya que proporcionará más seguridad jurídica en torno a lo que es permisible, un nivel de garantía sobre la seguridad de sus activos en la nube, y probablemente aumentará la confianza y el apetito de las empresas para la transición de algunas de sus actividades a la nube.

Sin embargo, Anton Konopliov, fundador y director general de Palma Violets Loans, advierte que, aunque las normas propuestas son beneficiosas para reducir el riesgo, podrían "causar un caos" para muchas empresas, tanto del lado de los clientes como de los proveedores, en torno a los presupuestos y las obligaciones contractuales. "Una vez aprobada, la Ley limitará los acuerdos contractuales que las entidades financieras pueden concertar con los proveedores de servicios de TIC", señala. "Las entidades financieras tampoco tendrán ya la libertad de establecer sus propios términos contractuales con los proveedores de servicios de TI de terceros. Se espera que estos cambios más estrictos provoquen un aumento de los precios de los proveedores externos de servicios de TIC. Desmantelará los presupuestos de las entidades financieras".

Notificación de incidentes y distribución de amenazas

Como parte de los requisitos de notificación de incidentes, las empresas tendrán que proporcionar informes de análisis de causa a más tardar un mes después de que se produzca un incidente importante de TIC. Además de tener como objetivo proporcionar una plantilla estandarizada para la notificación de incidentes en todo el sector financiero de Europa, la ley también podría sentar las bases para el establecimiento de un centro único para la notificación de incidentes por parte de las empresas financieras.

"El objetivo de armonizar la clasificación y la notificación de incidentes de TIC, las pruebas de resiliencia y las normas de gestión de riesgos es un siguiente paso que se acoge con satisfacción, ya que significa reforzar la resiliencia operativa del sector financiero y de las distintas empresas que lo integran", sostiene Chaudhry. "DORA se basa en el TIBER-EU (marco europeo para la formación de equipos éticos basados en Inteligencia de Amenazas), que se inspira en el CBEST y en otras iniciativas, e impulsa aún más la orientación sobre las pruebas de resiliencia operativa digital. Junto con el NIST, las empresas tienen un conjunto claro de normas y amenazas para impulsar las capacidades y considerarlas desde una perspectiva cibernética, tecnológica y de resiliencia operativa".

¿Cuándo se aprobará la DORA?

En un artículo de un blog, Anna Carrier, asesora principal de Norton Rose Fulbright en asuntos gubernamentales y regulatorios, dijo que el proyecto de ley será transferido al Parlamento Europeo y al Consejo de Ministros para su revisión, enmienda y adopción. La revisión de esas legislaciones puede llevar entre 18 y 24 meses, seguidos de un período de transición que se prescribirá en un acto jurídico definitivo.