Amaia Chaparro Toledo
Directora del Área de Consultoría SGSI, Derten
Directora del Área de Consultoría SGSI, Derten
El Reglamento (UE) DORA (Digital Operational Resilience Act) impone una serie de requisitos a las entidades financieras para mejorar su resiliencia operativa y ciberseguridad. A partir del 17 de enero de 2025, las autoridades de supervisión pueden exigir el cumplimiento de estos requerimientos.
Las entidades financieras han encontrado varios obstáculos en el proceso de implementación de DORA. Entre los principales desafíos se incluyen:
Las entidades financieras han encontrado varios obstáculos en el proceso de implementación de DORA. Entre los principales desafíos se incluyen:
- Creación o revisión de políticas de riesgos TIC:
- Fortalecimiento de la ciberseguridad:
- Actualización de contratos:
En cuanto al estado de situación actual, el tamaño de las entidades también se hace notar en la implantación de los requerimientos de DORA.
Las entidades financieras más grandes han avanzado significativamente en la implementación del Reglamento DORA. Algunas de las medidas específicas que más les está costando implantar es la elaboración del Registro de información de terceros y la actualización de contratos con proveedores tecnológicos y de la cadena de suministro. Surgen dudas sobre el proceso de homologación de los proveedores esenciales a nivel macro.
- Limitación de recursos técnicos y humanos:
- La aplicación práctica de las directrices establecidas por las guías y estándares técnicos específicos aprobados por parte de las autoridades competentes en la práctica es compleja para las entidades financieras y sus proveedores TIC.
- Mayor gestión documental y creación de proceso de seguridad de la información, hasta ahora inexistente en muchas organizaciones.
- Creación de roles de seguridad en entidades en las que son muy pocas personas y sobre las que recaen todas las funciones de compliance de las diferentes regulaciones.
- Identificación de necesidades de bastionado adicionales en materia de ciberseguridad:
- Actualización de contratos e identificación de proveedores críticos TIC:
Las entidades deben adaptar sus contratos con proveedores tecnológicos para cumplir con las disposiciones contractuales clave de DORA.
En este punto, es necesario destacar sobre todo la necesidad de contar con proveedores TIC de confianza, especialmente en el caso de proveedores de desarrollo de Software, a los que cada entidad financiera les está solicitando la firma y adecuación de contratos adecuados a DORA. Desde este punto de vista, la gestión contractual por parte de estos proveedores está siendo también una labor ardua, porque además se ven afectados por la normativa al igual que sus entidades clientes.
- Monitorizar el cumplimiento
- Emitir directrices adicionales
- Evaluar la efectividad
- El próximo hito
Nuevas normativas europeas. Reglamento MICA
Y la cosa no queda aquí, nuevas normativas llegan de Europa.
A las entidades de gestión de criptoactivos así como a sus proveedores de servicios les es de aplicación lo dispuesto en el Reglamento MICA (Markets in Crypto-Assets) que establece un marco regulatorio para los criptoactivos y los proveedores de servicios relacionados con ellos. Su objetivo es garantizar la protección de los consumidores y la integridad del mercado, así como fomentar la innovación en el sector de los criptoactivos.
De ello hablaremos más en detalle en nuestra próxima newsletter.
