El Reglamento Dora: entrada en vigor y aplicación en Europa

  1. Inicio
  2. Opinión y Artículos Ceca Magán
  3. El Reglamento Dora: entrada en vigor y aplicación en Europa
El Reglamento Dora: entrada en vigor y aplicación en Europa, por CECA MAGÁN Abogados
16 Ene 2025

Tabla de contenidos

Las entidades financieras, entre otras, bancos, financieras, aseguradoras y reaseguradoras mañana contarán con un nuevo Reglamento. El Reglamento Dora que entró en vigor en 2023 y será aplicable este viernes 17 de enero y tiene como finalidad establecer un marco de resiliencia operativa digital. Lo que permitirá garantizar que todo el ecosistema financiero esté protegido frente a riesgos digitales como ciberataques o los fallos tecnológicos. 

¿Cuándo entra en vigor DORA?

Nos remontamos al 16 de enero de 2023 cuando el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, que establece un marco para fortalecer la resiliencia operativa digital del sector financiero en la Unión Europea o, lo que es lo mismo, DORA (Digital Operational Resilience Act) entró en vigor.  Si bien, el viernes 17 de enero de 2025 es ya la fecha en la que resulta plenamente aplicable en la Europa de los 27, es decir, en España, Alemania, Bélgica, Croacia, Dinamarca, Francia, Irlanda, Letonia, Luxemburgo, Países Bajos, Suecia, Bulgaria, Eslovaquia, Estonia, Grecia, Malta, Polonia, República Checa, Austria, Chipre, Eslovenia, Finlandia, Hungría, Italia, Lituania, Portugal y Rumanía.

Fechas de entrada en vigor de Reglamento Dora, de CECA MAGÁN Abogados
 
¿Qué es el Reglamento DORA?

El Reglamento DORA que entró en vigor en 2023 y será aplicable desde el 17 de enero de 2025 es una normativa de la Unión Europea diseñada para fortalecer la resiliencia operativa digital en el sector financiero, pero ¿de qué hablamos cuando nos referimos a la resiliencia operativa digital? 

Pues bien, la resiliencia operativa digital de una entidad financiera es su capacidad para construir, proteger y mantener la integridad y confiabilidad de sus operaciones, lo que incluye garantizar, tanto por sus propios medios como con la ayuda de proveedores externos de servicios tecnológicos, que todas las herramientas y sistemas necesarios para proteger sus redes e información estén en buen estado. 

Así, las entidades financieras pueden continuar ofreciendo servicios financieros de manera segura y de calidad, incluso cuando ocurran interrupciones o problemas inesperados como pudieran ser los ciberataques o los fallos tecnológicos. 

¿Quién tiene que cumplir con DORA?

Los sujetos obligados al Reglamento DORA desde su entrada en vigor en 2023 son:

1. Las Entidades financieras, término bajo el que DORA incluye a:

  • Entidades de crédito.
  • Entidades de pago.
  • Proveedores de servicio de información sobre cuentas.
  • Entidades de dinero electrónico.
  • Empresas de servicios de inversión.
  • Proveedores de servicios de criptoactivos autorizados. 
  • Depositarios centrales de valores.
  • Entidades de contrapartida central.
  • Centros de negociación.
  • Registros de operaciones.
  • Gestores de fondos de inversión alternativos. 
  • Sociedades de gestión . 
  • Proveedores de servicios de suministros de datos. 
  • Empresas de seguros y reaseguros. 
  • Intermediarios de seguros, reaseguros y de seguros complementarios. 
  • Fondos de pensiones de empleos. 
  • Agencias de calificación crediticia.
  • Administradores de índices de referencia cruciales.
  • Proveedores de servicios de financiación participativa.
  • Registros de titularización. 

2. Proveedores TIC (Tecnología de la Información y la Comunicación). El Reglamento abarca una amplia variedad de proveedores terceros de servicios de TIC, incluidos los proveedores de servicios de computación en nube, proveedores y empresas de desarrollo y/o implantación de software, proveedores de servicios de análisis de datos y los proveedores de servicios de centros de datos. 
    
Asimismo, a la luz de la evolución del mercado de servicios de pago, los participantes en este ecosistema que presten actividades de procesamiento de pagos o gestionen infraestructuras también deben considerarse proveedores terceros de servicios de TIC con arreglo a DORA.

¿Por qué se incluye a los Proveedores TIC?

El objetivo de incluir a todas estas entidades financieras y a los proveedores de servicios TIC de las anteriores, y garantizar que todo el ecosistema financiero esté protegido frente a riesgos digitales, reconociendo que las vulnerabilidades pueden surgir no solo dentro de una institución, sino también a través de terceros proveedores.

En este sentido, y teniendo en cuenta el posible riesgo sistémico que suponen el aumento de las prácticas de externalización y la concentración de terceros en el sector de las TIC, DORA considera que es necesario establecer un marco de supervisión adecuado que permita hacer un seguimiento continuo de las actividades de los proveedores terceros de servicios de TIC, fundamentalmente, y así lo destaca DORA, que sean esenciales para las entidades financieras.  

Así se obliga a las entidades financieras a aplicar un enfoque proporcionado al seguimiento de los riesgos que surjan a nivel de los proveedores terceros de servicios de TIC teniendo en cuenta la naturaleza, la escala, la complejidad y la importancia de sus dependencias relacionadas con las TIC, el carácter esencial o la importancia de los servicios, procesos o funciones, sujetos a los acuerdos contractuales y, en última instancia, sobre la base de una evaluación cuidadosa de cualquier posible consecuencia para la continuidad y calidad de los servicios financieros. Para evaluar y controlar periódicamente la capacidad del proveedor tercero de servicios TIC para prestar servicios de forma segura a la entidad financiera sin que ello produzca efectos adversos para la capacidad de resiliencia operativa digital de esta, deben armonizarse varios elementos contractuales fundamentales con estos proveedores

¿Qué implica el Reglamento DORA a partir de su entrada en vigor y posterior aplicación?

Conforme nos indica el Instituto Nacional de Ciberseguridad de España, el Reglamento DORA establece requisitos específicos en cuatro dominios principales:

  1. Gestión y Gobernanza del Riesgo TIC: Las entidades financieras deben implementar marcos sólidos para gestionar los riesgos asociados a las tecnologías de la información y la comunicación. Esto implica identificar y clasificar activos clave, realizar evaluaciones continuas de riesgos y establecer medidas de ciberseguridad adecuadas. La dirección de la entidad será responsable de definir las estrategias para gestionar estos riesgos y podría enfrentar consecuencias personales si no se cumple la normativa.
  2. Notificación de Incidentes: Es obligatorio contar con sistemas para monitorear, gestionar, registrar y clasificar incidentes relacionados con las TIC. Las entidades deben informar a las autoridades, clientes y socios afectados sobre los incidentes graves, proporcionando informes detallados en distintas fases (iniciales, intermedios y finales). También se pueden notificar de manera voluntaria incidentes relevantes.
  3. Pruebas de Resiliencia Digital e Intercambio de Amenazas: Las entidades financieras deben realizar pruebas periódicas para evaluar la fortaleza de sus sistemas TIC y detectar vulnerabilidades. Estas pruebas incluyen simulaciones de escenarios, evaluaciones de vulnerabilidades y pruebas de penetración específicas para el sector financiero. Asimismo, se fomenta el intercambio de información e inteligencia sobre ciberamenazas y vulnerabilidades entre las entidades del sector.
  4. Gestión de Riesgos de Terceros: Las entidades deben tomar un rol activo en la gestión de los riesgos asociados a terceros proveedores de servicios TIC. Esto incluye establecer contratos claros y mapear las dependencias dentro de la cadena de suministro. Los proveedores críticos estarán bajo supervisión directa y deberán cumplir con los estándares establecidos por DORA.

Pasos de la entrada en vigor del reglamento DORA, por CECA MAGÁN Abogados

Explicación de los pasos de entrada en vigor de Reglamento Dora por CECA MAGÁN Abogados

¿Quién es la Autoridad de Supervisión Competente?

En España, con carácter general es el Banco de España. Esta regla se exceptúa en el caso de las empresas proveedoras de servicios de criptoactivos, en cuyo caso, la autoridad competente es la Comisión Nacional del Mercado de Valores, de acuerdo con lo dispuesto en el Reglamento MICA y la Travel Rule.

¿Qué sanciones impone el Reglamento DORA?

El Reglamento DORA establece que las sanciones por incumplimiento pueden variar en su gravedad y cuantía, y que deben ser efectivas, proporcionadas y disuasorias. No obstante, no detalla los tipos específicos de sanciones ni las cantidades de las multas o restricciones operativas que se pueden imponer. Por consiguiente, y frente al nuevo panorama que entra en vigor este día 17, se observará con cautela que baremo establecerá el supervisor frente a las potenciales infracciones y consecuentemente, sus correspondientes sanciones.

En CECA MAGÁN Abogados podemos ayudar a estas entidades financieras y empresas TIC cumpliendo los estándares exigidos por el Reglamento DORA que será aplicable a partir del 17 de enero de 2025Puedes contactar con nuestro equipo aquí.

Ramón Mesonero-Romanos, Joaquim Matinero e Ingrid González

Área de Blochchain, activos digitales y Web 3 y área de protección de datos y derecho digital

Blockchain, Activos digitales y Web3 Área Protección de Datos y Derecho Digital
Derecho digital Reglamento Dora Derecho financiero Entidades financieras Derecho bancario Sector asegurador

Añadir nuevo comentario

Acerca de formatos de texto