La Ley de Resiliencia Operativa Digital (DORA) de la Unión Europea marca un cambio importante en el uso de la nube en servicios financieros. Esta reconoce el papel clave del cloud en los servicios bancarios y, al mismo tiempo, subraya el riesgo de posibles interrupciones en el servicio, no solo para los clientes sino para la economía en su conjunto.

A partir de 2025, el incumplimiento de DORA resultará en sanciones financieras significativas, con multas de hasta el 1% de la facturación diaria mundial. Las empresas, incluidos los proveedores de tecnologías de la información y comunicación (TIC), deben abordar esto con previsión.

¿Qué implica exactamente DORA?

En pocas palabras, DORA aborda la gestión de riesgos de las TIC en los servicios financieros. Su objetivo es establecer normas universales para simplificar y fortalecer la resiliencia del sistema financiero.

Al eliminar brechas y conflictos entre regulaciones existentes, DORA proporciona un marco común. Esto facilita a las organizaciones financieras cumplir con estándares uniformes, en contraste con las regulaciones anteriores que a menudo se basaban en principios generales en lugar de en estándares técnicos específicos.

Antes de DORA, las regulaciones en la UE se centraban, principalmente, en garantizar recursos y capital suficientes para cubrir riesgos operativos. Sin embargo, la falta de aplicación equitativa y la emisión de requisitos individuales por naciones de la UE creaban confusión en el sector financiero. DORA busca corregir esto al proporcionar un marco unificado y específico para la gestión de riesgos en las TIC en servicios financieros.

Preparándose para DORA

DORA afecta a todas las instituciones financieras en la Unión Europea, incluyendo proveedores de servicios y sistemas TIC de terceros. Se centra en cinco pilares: gestión de riesgos TIC, informe de incidentes, pruebas de resiliencia, riesgo de terceros en TIC e intercambio de información, abordando la resiliencia y la nube.

Respecto a la ciberresiliencia, DORA busca minimizar amenazas, preguntando cómo las organizaciones garantizan la disponibilidad y reportan incidentes. Es esencial asegurar la recuperación frente a ciberataques como el ransomware.

Aunque puede parecer abrumador, es importante destacar que las entidades de menor tamaño tendrán estándares diferentes. El intercambio de información se fomenta -aunque no es obligatorio-, siendo un avance significativo tanto para la industria como para los proveedores.

La segunda área clave aborda el riesgo de concentración en la nube, reconocida como una plataforma efectiva para servicios financieros. DORA establece controles para reducir riesgos con proveedores de servicios en la nube, previniendo impactos en la economía nacional.

¿Cómo pueden las organizaciones prepararse para DORA?

DORA entrará en vigor en 2025, por lo que las empresas disponen de poco más de un año para prepararse. En este período, es esencial que las organizaciones centren sus esfuerzos en fortalecer su Marco de Resiliencia Digital, desarrollando capacidades y procesos necesarios para cumplir con las evaluaciones, pruebas e informes anuales requeridos.

DORA se convertirá en el referente principal en esta área, teniendo prioridad sobre otras regulaciones como NIS (Network and Information Security) o las directrices de la ESA (European Supervisory Authorities). Para las empresas, esto significa utilizar DORA como la guía principal para evitar lagunas en los procesos antes de que la regulación entre en vigor. Después de ese momento, la mejor práctica para garantizar la resiliencia y el cumplimiento será equilibrar la perspectiva de DORA como un desafío técnico y organizativo.

Es crucial entender que DORA aborda tanto aspectos culturales como procedimentales, dependiendo del intercambio de información y la colaboración entre equipos. No se limita solo a la tecnología de la información, ya que se requiere la participación de equipos diversos para recopilar y compartir información de manera efectiva. Mejorar las comunicaciones, tanto internas como externas, será esencial para una adaptación exitosa a DORA. Los equipos de riesgos, seguridad e informática deben trabajar de manera coordinada, y lograr el nivel necesario de cooperación interna puede resultar más desafiante que cumplir con los informes externos.

La inversión en mejorar las prácticas internas de gobernanza que supondrá la adaptación a DORA también puede ser beneficiosa. Las organizaciones menos maduras en este aspecto deberán asignar más recursos y fondos para adquirir la capacidad necesaria para cumplir con la regulación. Abordar esto lo antes posible es clave ya que, si las entidades financieras no adoptan una mentalidad preventiva, es probable que enfrenten costes considerables más adelante.