Grupo Aseguranza

El Reglamento de Resiliencia Operativa Digital (DORA, en sus siglas en inglés) entró en vigor el 16 de enero de 2023, pero la UE concedió un periodo de adaptación de 2 años, que acaba de concluir. Por tanto, ya no hay vuelta atrás y hoy 17 de enero de 2025 empieza a aplicarse el Reglamento DORA a todo el sector financiero de la UE.

El objetivo de esta normativa comunitaria es reforzar la seguridad informática de las entidades financieras, especialmente bancos, compañías de seguros y empresas de inversión, como gestores de fondos o sociedades de valores. Y, en paralelo, se quiere garantizar que el sector financiero de Europa pueda mantener su resiliencia en caso de sufrir perturbaciones operativas graves. Cabe recordar que DORA también se va a aplicar a proveedores de servicios TIC a terceros.

Los legisladores comunitarios adoptaron esta decisión tras la cada vez mayor dependencia del sector financiero por la tecnología a la hora de prestar sus servicios, haciendo a las entidades que forman parte de esta industria muy vulnerables ante ciberataques u otros incidentes de calado. Las autoridades europeas temían que, una mala gestión de los riesgos relacionados con las TIC, pudieran ocasionar perturbaciones en los servicios financieros esenciales para el correcto funcionamiento de la economía y llegar a impactar en otras empresas o sectores, dejando muy debilitado el sistema. Para evitar estas situaciones, se apostó por reforzar resiliencia operativa digital del sector financiero.

En concreto, el Reglamento DORA regula los siguientes aspectos: gestión del riesgo relacionado con las TIC, gestión de riesgos de terceros relacionados con las TIC, desarrollo de pruebas de resiliencia operativa digital, notificación de incidentes relacionados con las TIC, intercambio de información y supervisión de proveedores de terceros críticos.

Proceso complejo

Hasta ahora, convivían muchas normas relativas a la resiliencia operativa del sector financiero aplicables a 20 tipos diferentes de entidades financieras y proveedores, pero todas se han armonizado en este Reglamento. Si bien, el proceso no ha sido fácil ya que se han detectado muchas duplicidades. De hecho, a finales de diciembre, Eiopa retiró dos directrices y anunció la modificación de un dictamen para "eliminar solapamientos y fomentar un marco normativo unificado para la resiliencia operativa digital en los sectores europeos de seguros y Fondos de Pensiones de Empleo".

Y también ha sido muy complejo el proceso para acordar el texto definitivo, por aglutinar a tantos y tan diferentes actores del sector financiero, cada uno con sus particularidades y necesidades. Quienes acabaron saliendo victoriosos fueron los mediadores de seguros, aunque sus representantes tuvieron que sudar mucho para sacar adelante algunas de sus peticiones. En junio de 2021, cuando se estaba negociando el contenido de la normativa, Adecose y Bipar comunicaron que habían presentado ante el Parlamento Europeo una propuesta de enmienda para excluir de DORA a aquellas micro, pequeñas y medianas empresas de mediación de seguros que no dependan exclusivamente de sistemas de ventas automatizados. Se alegaba, con razón, que la mediación no podía cumplir con el mismo número de exigencias administrativas que las compañías aseguradoras. Finalmente, en noviembre de 2022, el Parlamento Europeo decidió dejar fuera del Reglamento DORA a las empresas de mediación de seguros con menos de 250 empleados. El Consejo General también estuvo presionando de la mano de Bipar para que estos requerimientos salieran adelante. Según el Consejo General, los mediadores han evitado así 120 nuevas exigencias administrativas.

Para las aseguradoras, en estos dos últimos años, DORA ha sido un quebradero de cabeza. Según una encuesta de ICEA, que desgranamos en septiembre en Aseguranza, solamente un 1,2% de las compañías españolas afirmaba que ya estaba totalmente adecuada al reglamento. La mitad estimaba que su nivel de adaptación se encontraba entre un 50% y un 75%. Preguntadas por si iban a ser capaces de estar totalmente adaptadas a DORA en enero de 2025, un 41,7% confiaba en que sí, aunque más de la mitad se debatía entre la incertidumbre (34,5%) y el no (23,8%). Entre las principales dificultades a las que se estaban enfrentando, señalaban el plazo limitado que han tenido para adaptar la organización a DORA (coincidía el 97,5%), la falta de personal cualificado (62,5%) y la falta de formación o especialización (42,5%). Para adaptarse a DORA, la mayoría de las aseguradoras han tenido que incrementar su presupuesto, realizar cambios organizativos, crear nuevas figuras y contratar nuevos perfiles profesionales.

El supervisor también se prepara

Pero no solo las aseguradoras y los proveedores del sector asegurador han tenido que prepararse para cumplir con las obligaciones del Reglamento DORA, también los supervisores. Así lo contó Francisco Javier Baena, coordinador de Tecnología de la DGSFP, en una jornada de ICEA a finales de septiembre de 2024. Por ejemplo, la DGSFP ha tenido que crear una división de supervisión tecnológica e innovación digital y pasar una auditoría de seguridad por parte del Esquema Nacional de Seguridad. También, ha puesto en marcha una plataforma para que las aseguradoras puedan comunicar los ciberincidentes y facilitado pruebas voluntarias de preparación de DORA.

La DGSFP ha recopilado toda la información relacionada con DORA en un espacio dentro de su web. Ahí, los interesados podrán acceder al propio Reglamento, a las distintas publicaciones de Eiopa, a todas las normas que han ido desarrollando esta normativa, al procedimiento para notificar ciberincidentes graves o ciberamenazas importantes, o cómo se pueden realizar consultas en caso de duda acerca del Reglamento y su aplicación.

Si quiere recibir diariamente y GRATIS noticias como esta, pinche aquí.