Inicio de aplicación del Reglamento DORA. Su papel como elemento de garantía de funcionamiento del sistema financiero

En  como abogados especialistas en , tenemos que hacernos eco del comienzo de aplicación del Reglamento de Resiliencia Operativa (“DORA”) a partir del 17 de enero.

En este sentido, DORA entró en vigor el 16 de enero de 2023, habiendo concedido la Unión Europea un periodo de adaptación de 2 años tras el cual comienza a aplicarse a todo el sector financiero de la Unión Europea.

El DORA, que modifica los Reglamentos (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014, (UE) nº 909/2014 y (UE) 2016/1011, tiene como objetivo reforzar la seguridad informática de las entidades financieras, especialmente bancos, compañías de seguro y empresas de servicios de inversión, garantizando que el sector financiero europeo pueda ser resiliente frente a perturbaciones operativas graves, de modo que, en plena era de digitalización de servicios, las instituciones financieras europeas estén protegidas frente, no solo ataques informáticos, sino también a fallas de servicio, mejorando la confianza de los usuarios.

De este modo, tras constatar la cada vez mayor dependencia de las instituciones financieras de la tecnología, se quiere minimizar la vulnerabilidad de este sector tan crítico. No hay que olvidar que una mala gestión de riesgos relacionados con las TIC puede causar perturbaciones de servicio graves en las instituciones financieras que pueden ser devastadores para otras empresas o sectores según informo la Junta Europea de Riesgo Sistémico en 2020.

El DORA regula, además de la gestión del riesgo relacionado con las TIC, la gestión de riesgos de terceros relacionados con las TIC, el desarrollo de pruebas de resiliencia operativa digital, notificación de incidentes relacionados con las TIC, intercambio de información y supervisión de proveedores de terceros críticos.

El DORA, asimismo, armoniza toda la normativa existente relativa a la resiliencia operativa de las entidades financieras y proveedores eliminando las disparidades legislativas y los enfoques de regulación desiguales por lo que respecta al riesgo relacionado con las TIC.

En última instancia esta disposición ha adoptado forma de Reglamento dado que, como se señala en el Considerando 14 del DORA, esta forma legislativa “contribuye a reducir la complejidad normativa, fomenta la convergencia en materia de supervisión y aumenta la seguridad jurídica y, además, contribuye a limitar los costes de cumplimiento, especialmente para las entidades financieras que operan a escala transfronteriza, y a reducir los falseamientos de la competencia.”

Este proceso ha sido bastante complejo y nada sencillo, es más, el EIOPA retiró dos directrices y anunció la modificación de un dictamen para “eliminar solapamientos y fomentar un marco normativo unificado para la resiliencia operativa digital en los sectores europeos de seguros y Fondos de Pensiones de Empleo”.

No debemos olvidar que este Reglamento se aplica a todos los operadores del sistema financiero, cada uno con sus propias particularidades.

Hay que destacar el esfuerzo llevado a cabo por ADECOSE y BIPAR para poder sacar adelante una propuesta de enmienda presentada ante el Parlamento Europeo en junio de 2021 para excluir de la aplicación del DORA a aquellas micro, pequeñas y medianas empresas de mediación de seguros que no dependan exclusivamente de sistemas de ventas automatizados con la alegación de que, efectivamente, las entidades de mediación de seguros no podían con las mismas exigencias administrativas y operativas que las compañías aseguradoras.

De este modo, en noviembre de 2021 la Comisión de Asuntos Económicos y Monetarios del Parlamento Europeo excluyó de la DORA a entidades de mediación de seguros de menos de 250 empleados, habiendo evitado así los mediadores hasta 120 exigencias administrativas según el Consejo General, plasmándose dicha exención de obligación en el Considerando 43 del DORA.

Respecto de las aseguradoras, según una encuesta de ICEA publicada en septiembre de 2024, solo el 1,2% de las entidades aseguradoras españolas afirmaban estar totalmente adecuadas al DORA y un 50% estimaba que su adaptación se encontraba completada entre un 50% y un 75%.

Las dificultades mas destacadas por las entidades aseguradoras han sido el plazo tan limitado que han tenido, la falta de personal cualificado y la falta de formación o especialización, debiendo las aseguradoras haber incrementado su presupuesto, realizar cambios organizativos, crear nuevas figuras y contratar nuevos perfiles profesionales.

Asimismo, el regulador también ha tenido que afrontar la entrada en vigor de DORA para lo cual, por ejemplo, la DGSFP ha tenido que crear una nueva división de supervisión tecnológica e innovación digital, debiendo pasar una auditoría de seguridad por parte del Esquema Nacional de Seguridad, facilitando, asimismo, una plataforma para que las aseguradoras puedan comunicar los Ciber incidentes y para facilitar pruebas voluntarias de preparación de DORA.

De igual modo, para facilitar la adaptación y comprensión a los distintos operadores del mercado, la DGSFP ha recopilado toda la información relativa al DORA en su web, pudiendo los interesados acceder al propio texto de DORA, las distintas publicaciones de EIOPA, normas desarrolladas por esta normativa, procedimientos y protocolos de notificación de ciber incidencias o ciber amenazas de cierta entidad, así como procedimientos de consulta en caso de duda sobre el Reglamento y su aplicación.

CONCLUSION: Como reflexión final nos gustaría señalar que, a medida que el sector financiero sea cada vez mas dependiente de las TIC, crecerá su vulnerabilidad frente a ataques informáticos o fallas de servicio que pueden tener efectos devastadores para la economía, disminuyen y afectando a la confianza en el sector financiero, no solo de los usuarios, sino de los operadores del mercado.

Es por ello por lo que estimamos que el marco regulatorio debe, en consecuencia, adaptarse a estas nuevas realidades, ayudando, de este modo, a aprovechar las enormes ventajas que tienen las TIC para el sistema financiero minimizando sus riesgos.

Desde el de , estamos a su disposición para analizar su problema en materia de responsabilidad civil y seguros de la manera más profesional, eficaz y solvente.

Otras publicaciones

Disputa de unos padres sobre la vacunación de los hijos contra el COVID, primera sentencia

En el Asunto de la vacunación de los menores nos encontramos con una nueva arma arrojadiza en los juzgados entre exparejas. No se discute el derecho de los progenitores a defender las creencias

Leer más

Inspección de la Autoridad para las Condiciones de Trabajo en Portugal (“ACT”) para verificar el cumplimiento de las cuotas de empleo para personas con discapacidad

Recordamos que la , estableció un sistema de cuotas de empleo para personas con discapacidad, con un grado de incapacidad igual o superior al 60%. • Las empresas con 75 o más trabajadores

Leer más

Cuando deben ser oídos los hijos menores en los procesos de familia

Desde el de queremos abordar este tema tan interesante y que tanto preocupa a los progenitores como a los operadores jurídicos, ya que tanto en el ámbito familiar como en cualquier procedimiento administrativo

Leer más

Directiva de Reporte Corporativo de Sostenibilidad: Nuevos [y mayores] desafíos para las empresas

La creciente exigencia de transparencia y prácticas sostenibles en el tejido empresarial europeo culminó en la adopción de la Directiva de Reporte Corporativo de Sostenibilidad (Corporate Sustainability Reporting Directive – CSRD). Esta directiva

Leer más

El salario regulador del despido en expatriados

Desde el de , como especialistas en procedimientos de despido y reclamaciones de expatriados venimos informando desde el año 2015 de las diferentes sentencias y situaciones jurídicas conflictivas relativas al salario regulador por

Leer más

Análisis: Anteproyecto de Ley de la Reforma de la Jornada Laboral

Desde el de , como especialistas en , venimos a analizar las modificaciones legales que introduce el Anteproyecto de Ley para la Reducción de la Duración Máxima de la Jornada Ordinaria de Trabajo,

Leer más

Madrid
  • C/ Nuñez de Balboa 114 bis 1 Madrid
  • +34 91 562 50 76
  • madrid@belzuz.com
Lisboa
  • Av. Duque d'Ávila, 141 - 1º Dtº
  • +351 21 324 05 30
  • lisboa@belzuz.com
Oporto
  • Rua Julio Dinis 204, Off 314
  • +351 22 938 94 52
  • porto@belzuz.com