El pasado 24 de septiembre, la Comisión Europea publicó el borrador de Reglamento de resiliencia digital operativa, (Dora por sus siglas en inglés -Digital Operational Resilience Act-) para el sector financiero. La propuesta forma parte del paquete de finanzas digitales, un paquete de medidas para seguir propiciando y apoyando el potencial de las finanzas digitales en términos de innovación y competencia, mitigando al mismo tiempo los riesgos que se derivan de ella. Está en consonancia con las prioridades de la Comisión de hacer que Europa esté adaptada a la era digital y construir una economía preparada para el futuro y al servicio de las personas.

Este Reglamento de resiliencia digital operativa pretende establecer un marco único europeo de obligaciones, principios y requerimientos en materia de ciberseguridad para el sector financiero con el objetivo de garantizar que la Unión adopte la revolución digital y la impulse con empresas europeas innovadoras en la vanguardia, poniendo los beneficios de las finanzas digitales a disposición de los consumidores y las empresas. Además de esta propuesta, el paquete incluye también una propuesta de Reglamento relativo a los mercados de criptoactivos, una propuesta de Reglamento sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado (TRD), y una propuesta de Directiva para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. La digitalización y la resiliencia operativa en el sector financiero son dos caras de la misma moneda. Las tecnologías digitales o de la información y la comunicación (TIC) presentan tanto oportunidades como riesgos, que deben ser bien comprendidos y gestionados, especialmente en momentos de tensión.

La ley propuesta abarca empresas financieras de casi todos los tamaños en todos los sectores de la industria financiera, desde instituciones de crédito y fondos de inversión, hasta proveedores de servicios de crowdfunding. Dora es el primer paso de un gran cambio, ya que la propia Comisión tiene la intención de extender los esquemas regulatorios incluidos en este borrador a otros sectores estratégicos (agua, transportes, energía, etc.).  

Este marco profundizará en la dimensión de gestión del riesgo digital del código normativo único. En particular, mejorará y racionalizará la gestión de los riesgos de las TIC por parte de las entidades financieras, establecerá pruebas exhaustivas de los sistemas de las TIC, aumentará la concienciación de los supervisores sobre los riesgos cibernéticos y los incidentes relacionados con las TIC a los que se enfrentan las entidades financieras, y facultará a los supervisores financieros para supervisar los riesgos derivados de la dependencia de proveedores terceros de servicios de TIC por parte de las entidades financieras. La propuesta creará un mecanismo coherente de notificación de incidentes que contribuirá a reducir las cargas administrativas para las entidades financieras y reforzará la eficacia de la supervisión.

Todo esto supone la necesidad de enfrentar procesos de cambio interno en el sector financiero que establezcan modelos complejos de gobernanza de la ciberseguridad, basados en el concepto de defensa en profundidad. La política de ciberseguridad debe focalizarse en tres parámetros fundamentales: tecnología, personas y procesos. En este sentido, el borrador de la norma imita el enfoque existente en el Reglamento de General Protección de Datos y establece como prioridad una gobernanza sólida de la ciberseguridad como un aspecto que debe ser parte integral de la organización.