La Comisión Europea presentó la propuesta del Reglamento DORA (Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero) en septiembre de 2020, el cual tiene su base jurídica en el artículo 114 del Tratado de Funcionamiento de la Unión Europea. Este Reglamento forma parte del paquete de finanzas digitales, que trata de una serie de medidas destinadas a garantizar el buen funcionamiento del mercado interior digital, apoyando las nuevas tecnologías financieras y sin dejar de proteger a los consumidores e inversores.
Este Reglamento de alcance general y aplicable directamente en cada Estado Miembro, modifica los anteriores Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011 y tras su propuesta en 2020, el inicio de las negociaciones en 2021, y el acuerdo provisional aprobado en mayo de 2022 se ha concluido en la adopción del mismo.
Hasta el momento, ninguna norma europea había abordado la resiliencia
operativa en servicios financieros, ni los riesgos derivados de la
digitalización. Después de la crisis financiera de 2008, la UE priorizo otros
objetivos destinados a recuperar la estabilidad económica, razón por la cual se
dejó en un segundo plano las posibles consecuencias de las TIC en el sector
financiero.
La Comisión Europea valoró cuatro opciones; la primera, no hacer nada,
la segunda, introducir colchones de capital para que las entidades pudieran
hacer frente a las pérdidas derivadas de la falta de resiliencia operativa
digital, la tercera, la adopción de un texto legislativo sobre resiliencia
operativa y en cuarto lugar, un texto legislativo (opción 3) además del
establecimiento de una nueva autoridad de control para controlar la prestación
de servicios TIC por terceros proveedores. Finalmente, se optó por la segunda
opción, ya que se consideró que lograba los objetivos de manera más eficiente y
en armonía con el resto de políticas europeas. Europa debe adaptarse a la era
digital y la economía debe prepararse para el futuro.
Todas las entidades financieras europeas (sujetos obligados) tienen que
poder hacer frente a cualquier riesgo materializable en relación con las TIC.
Es por ello, que el DORA establece unos parámetros uniformes relativos a la
seguridad de los sistemas informativos de las entidades, estableciendo las
obligaciones que se deben de llevar a cabo respecto a terceros proveedores de
servicios TIC. El capítulo II del Reglamento titulado “Gestión de riesgos” está
dedicado a establecer dichos parámetros y requisitos; ejemplo de ello es la
necesidad de llevar a cabo evaluaciones de riesgo de los sistemas o la
obligación de estar al tanto de posibles fugas de información en relación a las
fuentes de riesgo.
La gestión de riesgo es el epicentro del Reglamento DORA, y las
obligaciones se resumen en lo siguiente; establecer un marco regulatorio de
procedimientos y protocolos internos individualizado en cada entidad
(atendiendo a sus circunstancias y necesidades), la realización de pruebas
reiteradas de dichos protocolos y de los sistemas de las entidades, la
notificación por parte de las entidades a los sujetos implicados en caso de
incidente para la seguridad de los mismos con la máxima antelación posible y un
seguimiento exhaustivo de los servicios tecnológicos que se subcontraten.
Entre los beneficios del Reglamento nos encontramos con la eliminación de trámites burocráticos, ya que la armonización de pruebas de resiliencia operativa digital reducirá los costes de las entidades. DORA también garantiza un alto nivel de protección de derechos fundamentales, haciendo hincapié en el derecho a la protección de datos, siendo estos el activo más importante de cualquier empresa y sobre todo de las entidades financieras.
FUENTE: LEGAL TODAY