La nueva regulación DORA se inscribe en una dinámica europea que busca reforzar la ciberseguridad y la resiliencia operacional de las empresas con actividades relacionadas con las finanzas. La Unión Europea desearía que esta iniciativa sea vista como una oportunidad más que como una restricción.
La resiliencia es una palabra de moda. Frente a las dificultades que algunos pueden enfrentar, es apropiado ser resiliente, en otras palabras, poder absorber el impacto de la perturbación y recuperarse rápidamente.
¿Qué pasa con las empresas? ¿No sería importante que puedan demostrar resiliencia en caso de un mal funcionamiento temporal de su informática o incluso un ciberataque?
Estaremos de acuerdo en que esta capacidad de resiliencia aparece aún más crucial cuando la informática en cuestión es la de un banco o un proveedor de criptomonedas. La incapacidad de acceder a sus activos en euros como en bitcoin o ethereum puede ser una fuente de preocupación evidente.
Frente a estos desafíos, la Unión Europea ha implementado DORA, (Digital Operational Resilience o resiliencia operacional digital) una regulación que busca precisamente garantizar la continuidad y la seguridad de las actividades financieras.
Nacimiento de DORA
Fue a finales de septiembre de 2020 cuando la Comisión Europea publicó el proyecto de Digital Operational Resilience, una serie de medidas destinadas a aumentar la eficiencia digital del sector financiero.
El objetivo era unificar las normas y requisitos europeos con el fin de crear un marco armonizado y completo relativo a la resiliencia operacional digital de las entidades financieras. DORA busca fomentar una detección rápida de incidentes informáticos importantes, una capacidad para recuperarse rápidamente y también un análisis de las causas de las perturbaciones, acompañado de una obligación de declaración.
Ciberataques con consecuencias significativas
Este marco regulatorio se ha vuelto necesario debido al aumento de los riesgos planteados por la transformación digital de los servicios financieros, pero también por la creciente interconexión de las redes. Resulta que muchos ciberataques han tenido consecuencias enormes para instituciones de renombre.
- En 2014, JP Morgan Chase, uno de los bancos más grandes de EE. UU. sufrió una intrusión que llevó a la compromisión de más de 80 millones de identidades.
- Dos años más tarde, el hackeo del sistema de mensajería interbancaria SWIFT permitió el desvío de 81 millones de dólares del banco central de Bangladesh.
- Durante el mismo año 2016, Tesco Bank, una entidad británica, fue víctima de un ciberataque que impactó 9,000 cuentas de clientes y permitió a los piratas robar aproximadamente 2.5 millones de libras esterlinas.
- En 2017, 140 millones de artículos de Equifax, una de las principales agencias de crédito estadounidenses, fueron pirateados, dando acceso a números de seguro social, fechas de nacimiento y otros datos personales.
- En 2019, una violación de seguridad del sistema del banco estadounidense Capital One condujo al acceso a los datos personales de aproximadamente 100 millones de clientes y solicitantes de tarjetas de crédito.
La mayoría de estas empresas han sufrido las repercusiones de tales ciberataques en su imagen, la confianza de su público a menudo se vio afectada negativamente por la falta de una recuperación rápida.
Aceptaremos que este tipo de incidente solo podía abogar a favor de la implementación de reglas destinadas a garantizar la seguridad y la continuidad de las operaciones financieras.
El reglamento DORA fue adoptado por el Parlamento Europeo el 10 de noviembre de 2022 y luego por el Consejo de la UE, publicándose de inmediato en el Diario Oficial.
Desde el 17 de enero de 2025, DORA está en aplicación en todos los Estados miembros de la UE.
¿Quién está afectado por DORA?
DORA se aplica notablemente a las actividades siguientes:
- empresas de crédito;
- entidades de pago;
- empresas de inversión;
- proveedores de servicios relacionados con criptoactivos;
- empresas de seguros;
- empresas terceras que proporcionan servicios informáticos en funciones críticas o importantes.
Es de notar que el reglamento introduce un principio de proporcionalidad: algunas entidades financieras se benefician de un régimen simplificado y pueden incluso quedar exentas de DORA. Resulta que varios factores, incluida la tamaño pero también las funciones o el perfil comercial de una empresa, pueden exponerla a un nivel más o menos alto de perturbaciones digitales.
¿Cuáles son las consecuencias para las entidades financieras?
La mayoría de las entidades financieras tendrán que realizar cambios para cumplir con la regulación DORA. En primer lugar, deben realizar una evaluación de su situación actual en relación con las expectativas de DORA. Se trata para ellas de identificar los riesgos potenciales y también de estimar los niveles de perturbaciones aceptables, especialmente desde el punto de vista de los usuarios. Una vez realizada esta evaluación, deberán implementar una maduración adecuada.
La empresa debe establecer pruebas de intrusión, políticas de respaldo y restauración. Una vez ocurrido un incidente, debe ser capaz de asegurar el restablecimiento de sus sistemas y limitar el impacto global. Luego debe realizar una revisión exhaustiva, determinar las causas y establecer los remedios adecuados. Además, deberá notificar a la autoridad competente sobre estos incidentes, siguiendo modelos de informes estandarizados.
Una oportunidad más que una obligación
DORA usualmente implicará un aumento de las inversiones y recursos informáticos. Sin embargo, la Unión Europea quiere transmitir el mensaje de que esta nueva regulación no es solo una obligación. DORA participa en la evolución de las empresas hacia la digitalización y tiene la intención de ayudar en la transición de los mercados financieros europeos a la era digital, para promover un mercado sólido en el que los usuarios puedan sentir confianza.
DORA parte del principio de que los incidentes informáticos, incluso si parecen poco probables al principio, pueden ocurrir y que es necesario estar preparado para asegurar la continuidad de las actividades y los servicios críticos. La empresa financiera que ajusta su funcionamiento se beneficiará de una gestión optimizada del riesgo informático.
Por lo tanto, esta regulación debe considerarse como una oportunidad para diferenciarse en su mercado. Incluso las empresas de tamaño modesto pueden beneficiarse al dotarse de políticas robustas y procedimientos de prueba. En Francia, el AMF ha llamado a los actores del sector financiero a prepararse activamente para tal cambio.
