DORA: los bancos y las tecnológicas se parecen cada vez más

Si hay dos cosas que han caracterizado a las entidades financieras en los últimos años, han sido la presión regulatoria y la transformación tecnológica. Durante los últimos años, los Estados han aprobado una regulación muy exhaustiva y estricta aplicable al sector financiero, dirigida a mejorar su solvencia y estabilidad. Adicionalmente, la transformación tecnológica ha derivado en una dependencia cada vez mayor de las entidades de proveedores de servicios tecnológicos.

La combinación de estas dos tendencias propicia que los bancos y las empresas tecnológicas confluyan en un punto común: la regulación. Y ello se debe a que los supervisores necesitan un marco regulado que les permita comprender de primera mano las dependencias e interacciones entre entidades financieras y tecnológicas para poder hacer un seguimiento adecuado de los riesgos derivados de la prestación de tales servicios mediante el establecimiento de un marco de gestión del riesgo y de supervisión adecuado.

* Si no ves correctamente el módulo de suscripción, haz clic aquí

En este contexto, el pasado mes de diciembre se publicó el Reglamento 2022/2554 sobre resiliencia operativa digital en el sector financiero (conocido como Reglamento DORA), por el que se crea un marco normativo conforme al cual, no solo las entidades financieras, sino todas las entidades relevantes que tengan un rol significativo en el sector financiero, deben asegurarse de que mejoran sus capacidades para poder resistir y responder a cualquier tipo de perturbación y amenaza relacionada con las tecnologías de la información y la comunicación (TIC).

Con esta iniciativa regulatoria, el regulador europeo ha creado un marco normativo único y un sistema de supervisión que abarca de forma omnicomprensiva la resiliencia operativa digital y promueve la seguridad tecnológica y su buen funcionamiento, así como la capacidad de los organismos supervisores de controlar la gestión que realizan las entidades del riesgo derivado del uso de las TIC. Los proveedores esenciales de servicios TIC que incumplan estos requisitos podrían sufrir cuantiosas sanciones, que incluso podrían llegar hasta un 1% de su volumen de negocio diario medio a escala mundial.

Opinión

TE PUEDE INTERESAR

La UE normaliza la gestión del riesgo tecnológico en las entidades financieras con el reglamento DORA

María Vidal Laso

Hoy en día, resulta impensable que las entidades presten servicios financieros sin la colaboración de proveedores terceros que les proporcionen servicios TIC, tales como computación en la nube, soluciones de software y hardware y sistemas de información, haciendo que esta tipología de servicios suponga un elemento clave para garantizar la estabilidad e integridad del ecosistema financiero. La dependencia de los proveedores de servicios TIC genera un riesgo directo y potencialmente grave para las entidades financieras que, sumado a su grado de interconexión y rápida propagación, puede desencadenar en una crisis sistémica.

Es tal la relevancia que han adquirido dentro del sistema financiero que, en esta ocasión, con el objetivo de proteger la estabilidad del sistema y la integridad y la eficiencia del mercado interior, el regulador ha querido ir un paso más allá de lo que tradicionalmente venía haciendo, extendiendo el marco de supervisión no solo a las propias entidades financieras, sino también a los proveedores terceros que presten servicios TIC y, especialmente a aquellos que hayan sido designados como esenciales, atendiendo, entre otros criterios, a su dimensión, naturaleza, grado de dependencia y sustituibilidad.

La dependencia de los proveedores de servicios TIC genera un riesgo directo y potencialmente grave para las entidades financieras

Pero, ¿qué supone para los proveedores esenciales de servicios TIC estar dentro de este marco de supervisión? Los proveedores terceros esenciales de servicios TIC pasarán, entre otros aspectos, a tener un punto de contacto de referencia con el supervisor asignado; ser objeto de evaluación en normas, políticas, procedimientos y mecanismos para gestionar el riesgo relacionado con las TIC en línea con los requerimientos de las entidades financieras, de tal manera que se garantice la seguridad y continuidad de los servicios prestados; ser objeto de investigaciones e inspecciones in situ en sus propias instalaciones; o estar obligados a seguir y aplicar las recomendaciones emitidas por el supervisor, debiendo colaborar en todo lo que se les pida para asegurar el éxito de la supervisión.

Adicionalmente, los proveedores terceros de servicios TIC no solo pasarán a estar sujetos a un régimen de supervisión, sino que además deberán abonar los cánones correspondientes derivados de las labores de supervisión que ejerza el supervisor. Es vital recordar que este marco de supervisión no debe entenderse como sustitutivo de la obligación de las entidades financieras de gestionar por sí mismas los riesgos derivados de la prestación de servicios TIC por parte de terceros, así como de monitorizar los acuerdos contractuales celebrados con dichos proveedores.

TE PUEDE INTERESAR

Las aerolíneas estudian llevar a la CNMC las subidas de tasas de Aena fuera del DORA

Carla Raffin

Este nuevo panorama al que se enfrentan todas las empresas que presten servicios TIC a entidades financieras y sean susceptibles de ser designadas como esenciales —que no son pocas— resultará de aplicación a partir del 17 de enero de 2025.

Aunque cuentan con algo más de un año para acometer todos los cambios requeridos por su "nuevo supervisor", resulta esencial abordar cuanto antes todas las obligaciones que se derivan de este marco. Entre los principales aspectos aplicables a los proveedores, con foco en aquellos esenciales, destaca reforzar los acuerdos de servicio con foco en el riesgo TIC, facilitar derechos de acceso, inspección y auditoría, disponer de planes de salida que garanticen la transición del servicio y planes de contingencia para reducir potenciales disrupciones, mejorar el control sobre las subcontrataciones, colaborar en la ejecución de pruebas por parte de las entidades financieras y dar cobertura a los requerimientos exigidos por estas para garantizar que los riesgos tecnológicos se gestionan adecuadamente. Teniendo en cuenta que este conjunto de obligaciones puede resultar en gran medida desconocido para ellas, se impone acelerar la adaptación, que puede presentar retos significativos teniendo en cuenta el tamaño y complejidad organizativa de muchas de las entidades.

* Francisco Javier Ramírez Arbués es socio de Regulación Financiera en Deloitte Legal.

* Micael Gesto es socio de Risk Advisory en Deloitte.