El 16 de enero de 2023 entró en vigor un nuevo Reglamento europeo (Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022), conocido como Reglamento DORA (Reglamento de Resiliencia Operativa Digital). Desde Interafi, vamos a contarte lo necesario para que adaptes estos cambios normativos a tu empresa.
¿A qué entidades financieras afecta DORA?
El alcance de DORA es amplio, se aplica a las entidades financieras y proveedores que operan en la UE, independientemente de si tienen su sede en la Unión Europea o en un país tercero. Algunas de las entidades afectadas incluyen:
- Bancos: tanto bancos comerciales como bancos de inversión.
- Compañías de seguros: compañías que ofrecen servicios de seguros de diferentes tipos.
- Gestores de fondos: entidades que administran y gestionan fondos de inversión.
- Empresas de servicios de inversión.
- Plataformas de negociación: plataformas electrónicas que facilitan la compra y venta de instrumentos financieros.
- Proveedores de servicios de compensación y liquidación de valores: entidades encargadas de la compensación y liquidación de transacciones de valores.
- Agencias de calificación crediticia: entidades que emiten evaluaciones y calificaciones sobre la solvencia crediticia de entidades financieras y emisores de valores.
¿Qué requisitos establece DORA para las entidades financieras?
DORA establece una serie de obligaciones específicas para la implementación de un marco de gestión de riesgos relacionados con las TIC:
- Adoptar ciertas medidas de gobernanza y organización interna (elaboración de políticas, procedimientos y herramientas) que garantice una gestión efectiva y prudente del riesgo relacionado con las TIC. Será responsabilidad directa del órgano de dirección de la entidad financiera definir las estrategias de gestión del riesgo.
- Encomendar la gestión y la supervisión del riesgo relacionado con las TIC a una función de control con un nivel adecuado de independencia para evitar conflictos de intereses.
- El marco de gestión del riesgo relacionado con las TIC se documentará y revisará al menos una vez al año, así como cuando se produzcan incidentes graves relacionados con las TIC.
- Este marco de gestión de riesgos será objeto de Auditoría Interna llevada a cabo por auditores expertos con carácter periódico.
- El propio reglamento recoge la posibilidad de externalizar, a empresas externas o de su mismo grupo las tareas de verificación del cumplimiento de los requisitos de gestión del riesgo relacionado con las TIC.
¿Qué plazos tiene el reglamento DORA?
Las entidades financieras tendrán hasta el 16 de enero 2025 para implantar las obligaciones recogidas en el reglamento DORA.
A partir del 17 de enero de 2025 las entidades financieras tienen que estar cumpliendo los requisitos establecidos en el reglamento.
¿Qué tipo de sanciones y qué importes se prevén en el caso de incumplimiento?
El Reglamento DORA señala que serán los reguladores designados en cada Estado miembro de la UE, conocidos como “autoridades competentes” los encargados de supervisar su cumplimiento.
Estas autoridades competentes dispondrán de todas las facultades de supervisión, investigación y sanción necesarias para cumplir sus obligaciones, y podrán solicitar que las entidades financieras adopten medidas de seguridad específicas y corrijan las vulnerabilidades. También podrán imponer sanciones administrativas (y, en algunos casos, penales) a las entidades que no las cumplan. Cada Estado miembro decidirá sus propias sanciones.
Desde nuestra empresa intentamos que todas las empresas se adapten a los cambios normativos de forma sencilla y rápida. Si quieres conocer más información sobre este nuevo reglamento o tienes preguntas no dudes en contactarnos, nuestro equipo te ayudará encantado a resolver todas tus cuestiones.