¿Qué es el «Reglamento DORA»?

El 1 de enero de 2011 entró en vigor el Sistema Europeo de Supervisión Financiera (SESF); un sistema de autoridades microprudenciales y macroprudenciales de múltiples niveles que incluye la Junta Europea de Riesgo Sistémico (JERS), las tres Autoridades Europeas de Supervisión (AES) –en referencia a la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ) y la Autoridad Europea de Valores y Mercados (AEVM) creadas en 2010– y a los supervisores nacionales. A finales de aquella misma década, en 2019, las tres AES emitieron conjuntamente dictámenes técnicos en los que pedían un enfoque coherente del riesgo relacionado con las tecnologías de la información y la comunicación (TIC) en el ámbito financiero y recomendaban reforzar, de manera proporcionada, la resiliencia operativa digital del sector de los servicios financieros a través de una iniciativa sectorial de la Unión. Al año siguiente, la citada JERS reafirmó en un informe de 2020 sobre el ciberriesgo sistémico que el elevado nivel actual de interconexión entre entidades financieras, mercados financieros e infraestructuras de los mercados financieros, y en particular las interdependencias de sus sistemas de TIC, podría constituir una vulnerabilidad sistémica, ya que desde cualquiera de las aproximadamente 22 000 entidades financieras de la Unión podrían propagarse rápidamente a todo el sistema financiero ciberincidentes localizados, sin que los límites geográficos supongan un obstáculo.

En ese contexto, las instituciones europeas eran conscientes de que la armonización a escala de la Unión ha sido muy limitada (como las pruebas de resiliencia operativa digital) o inexistente (como el seguimiento del riesgo de relacionado con las TIC derivado de terceros); por ese motivo y con el objetivo de contribuir al buen funcionamiento del mercado interior se aprobó el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero que, en el argot de Bruselas, quedó motejado con el coloquial sobrenombre de Reglamento DORA [por el acrónimo Digital Operational Resilience Act (DORA) en inglés].

En sus extensos considerandos, esta disposición señala que colma las lagunas o subsana las incoherencias de algunos de los actos jurídicos anteriores [que se habían aprobado a partir de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, que fue el primer marco horizontal de ciberseguridad establecido a escala de la Unión], también en relación con la terminología utilizada en ellos, y hace referencia explícita al riesgo relacionado con las TIC a través de normas específicas sobre las capacidades de gestión de este riesgo, la notificación de incidentes, las pruebas de resiliencia operativa y el seguimiento del riesgo relacionado con las TIC derivado de terceros. Por consiguiente, el presente Reglamento debe también sensibilizar respecto al riesgo relacionado con las TIC y reconocer que los incidentes relacionados con las TIC y la falta de resiliencia operativa pueden poner en peligro la solidez de las entidades financieras. Hablando en plata, se trata de asegurarse de que el sector financiero de la Unión Europea continúe operando incluso si sufriera alguna perturbación, previniendo las ciberamenazas para responder a ellas de forma colectiva limitando con rapidez la propagación del riesgo relacionado con las TIC e impidiendo el posible contagio a través de los canales financieros.

Por último, el Reglamento DORA define el concepto de «resiliencia operativa digital» en el Art. 3.1) como: la capacidad de una entidad financiera para construir, asegurar y revisar su integridad y fiabilidad operativas asegurando, directa o indirectamente mediante el uso de servicios prestados por proveedores terceros de servicios de TIC, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la seguridad de las redes y los sistemas de información que utiliza una entidad financiera y que sustentan la prestación continuada de servicios financieros y su calidad, incluso en caso de perturbaciones.