Togas.biz

DORA: nuevo Reglamento Europeo sobre Resiliencia Operativa Digital del Sector Financiero

En la era digital, las tecnologías de la información y la comunicación (TIC) son el soporte de sistemas complejos utilizados en actividades cotidianas y, entre otras, mantienen nuestras economías en marcha en sectores clave como el sector financiero, y mejoran el funcionamiento del mercado interior. El aumento de la digitalización y la interconexión también amplifica el riesgo relacionado con las TIC, y hace que la sociedad en su conjunto, y el sistema financiero en particular, sea más vulnerable a las ciber amenazas o a las perturbaciones de las TIC.

Como consecuencia de la cada vez mayor exposición y dependencia de las entidades financieras a los proveedores de servicios TIC, la falta de un marco regulatorio armonizado para la gestión de riesgos TIC y el inadecuado marco regulatorio actual en materia de externalización de este tipo de servicios, surge una nueva regulación única en Europa sobre resiliencia tecnológica que persigue determinar las obligaciones aplicables a entidades financieras que externalizan servicios con proveedores TIC y supervisar los proveedores TIC considerados como esenciales por las autoridades supervisoras.

Por todo lo mencionado anteriormente, el 14 de diciembre de 2022 se publicó el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, sobre la resiliencia operativa digital del sector financiero (en adelante, DORA) y por el que se modifican los Reglamentos (CE) 1060/2009, (UE) 648/2012, (UE) 600/2014, (UE) 909/2014 y (UE) 2016/1011. Esta regulación entró en vigor el 17 de enero de 2023 y será aplicable de forma directa desde el 17 de enero de 2025.

La aplicación de esta regulación afectará tanto a entidades financieras (entidades de crédito; entidades de pago; entidades de dinero electrónico; empresas de servicios de inversión; sociedades gestoras de fondos; aseguradoras y reaseguradoras; intermediarios de seguros; proveedores de servicios de cripto activos; etc.) como a sus proveedores de servicios tecnológicos (servicios cloud, desarrolladores de software; soporte de software; servicios digitales; servicios de datos; etc.)

Las autoridades de supervisión (EBA, ESMA o EIOPA) evaluarán a los proveedores esenciales de servicios de TIC sobre la base de los siguientes criterios:

  • Impacto sistémico en la estabilidad, continuidad o calidad de la prestación de los servicios financieros en caso de un posible fallo operativo a gran escala del proveedor.
  • Carácter o importancia sistémicos de las entidades financieras que dependen del proveedor (número de entidades de importancia sistémica mundial u otras entidades de importancia sistémica dependientes de este, interdependencia entre las mencionadas entidades).
  • Dependencia de las entidades financieras respecto de los servicios prestados por el proveedor en relación con funciones esenciales o importantes que impliquen al mismo proveedor.
  • Grado de sustitución del proveedor, considerando la falta de alternativas reales o las dificultades relacionadas con la migración parcial o total de los datos y cargas de trabajo del proveedor en cuestión a otro proveedor.

A continuación, se detallan las áreas principales que regula DORA y los principales aspectos en los que se deberán enfocar las entidades financieras para cumplir con este marco regulatorio.

  1. Requisitos de gobierno y organización en relación con las TIC

Se establece el principio de plena responsabilidad con la existencia de un Órgano de gestión responsable de los riesgos de las TIC que deberá cumplir con las siguientes obligaciones:

  • Establecer funciones y responsabilidades claras para todas las funciones TIC.
  • Determinar el nivel adecuado de tolerancia al riesgo de las TIC.
  • Aprobar, supervisar y revisar periódicamente los planes de continuidad, los planes de auditoría de las TIC y las auditorías.
  • Establecer una nueva función para supervisar los acuerdos con proveedores de servicios externos.
  1. Marco de gestión del riesgo TIC
  • Identificar y clasificar, según criticidad, de funciones y activos soporte TIC y sus interdependencias con terceros.
  • Disponer de sistemas, protocolos y herramientas de TIC debidamente actualizados.
  • Aplicar una debida protección y prevención de los activos de información y activos TIC.
  • Disponer de mecanismos de detección rápida de actividades anómalas.
  • Contar con una Política de continuidad de la actividad en cuanto a TIC para garantizar la continuidad de funciones esenciales de la entidad financiera.
  1. Incidentes relacionados con las TIC
  • Establecer procesos de gestión de incidentes.
  • Disponer de una clasificación de incidentes y ciber amenazas.
  • Notificar los incidentes considerados graves a la autoridad competente que proceda.
  1. Programa de pruebas de resiliencia dentro del marco de gestión del riesgo TIC
  • Considerar anualmente y de forma independiente todo riesgo específico al que esté expuesta la entidad y cualquier factor que se considere apropiado.
  • Ejecutar pruebas anuales de todos los sistemas y aplicaciones críticos TIC (vulnerabilidades, análisis de código, rendimiento, capacidad). • Pruebas avanzadas específicas, validadas por las autoridades supervisoras.
  • Realizar anualmente pruebas avanzadas de amenazas sobre funciones y servicios críticos. Esta verificación se debe realizar por una entidad certificada con un nivel adecuado de idoneidad, capacidades y conocimientos, acreditación y garantías.
  • Asegurar la dedicación de recursos suficientes para ejecutar las pruebas.
  1. Gestión del riesgo relacionado con las TIC derivado de terceros
  • Definir una estrategia sobre el riesgo de las TIC frente a terceros y una política sobre su uso.
  • Llevar un registro de información de proveedores de servicios TIC.
  • Notificar a las autoridades competentes los proveedores de servicios TIC y sus contratos.
  • Identificar y evaluar las funciones esenciales o importantes.
  • Realizar una evaluación preliminar del riesgo del proveedor de servicios de TIC.
  • Completar la diligencia debida del proveedor de servicios de TIC.
  • Evaluar los riesgos de concentración TIC.
  1. Contratos con proveedores de servicios de TIC
  • Formalizar contratos por escrito.
  • Determinar un clausulado mínimo en todos los contratos: métricas SLAs y KPIs; obligaciones de información; cumplimiento en materia de seguridad de IT; seguimiento continuo con derechos ilimitados de acceso, inspección y auditoría.
  1. Intercambio de información e inteligencia sobre ciber amenazas entre entidades financieras

Establecer acuerdos para intercambiar información e inteligencia sobre ciberamenazas entre entidades para aumentar la concienciación sobre el riesgo de las TIC y apoyar las capacidades defensivas de las entidades financieras.

Gonzalo García-Liñan

Socio en el área de Risk Advisory

Categoria

Derecho Comunitario - Comunitario, Derecho Financiero - Derecho Financiero, TIC - TIC

Fuente: BDO Abogados y Asesores Tributarios, S.L.P.

Source
Subscribirse al Directorio Escribir un Artículo

Destacadas

Diapositiva de Fotos

Etiquetas

Acerca de nosotros

Directorio de profesionales

Newsletter

¡Suscríbase a nuestro newsletter para estar al día con las últimas noticias y ofertas!

Contacte con nosotros

Togas.biz
Togas.biz - Newco Professional SL
Deu i Mata, 152
Barcelona, Barcelona 08029
P: +34 606 96 07 82 ( Urgencias )

2024 © Togas.biz - Newco Professional SL. Todos los derechos reservados. Terminos y Condiciones | Política de Privacidad

Actualidad

Auditoría - Auditoría Derecho Administrativo - Administrativo Derecho Administrativo - Consumidores y Usuarios Derecho Administrativo - Contencioso Administrativo Derecho Administrativo - Contratación Administrativa Derecho Administrativo - Energía Derecho Administrativo - Expropiaciones Derecho Administrativo - Medio Ambiente Derecho Civil - Accidentes de Tráfico Derecho Civil - Arrendamientos Derecho Civil - Civil Derecho Civil - Comunidad de Propietarios Derecho Civil - Derecho Contractual Derecho Civil - Derecho de los Consumidores y Usuarios Derecho Civil - Derechos de Imagen Derecho Civil - Familia y Adopciones Derecho Civil - Responsabilidad Civil Derecho Civil - Seguros Derecho Civil - Sucesiones Derecho Comunitario - Comunitario Derecho Constitucional - Constitucional Derecho Financiero - Corporate Finance Derecho Financiero - Derecho Bancario Derecho Financiero - Derecho Financiero Derecho Financiero - Mercados de Valores y de Capitales Derecho Fiscal - Fiscal Derecho Fiscal - Fiscalidad Internacional Derecho Fiscal - Fiscalidad matrimonial y familiar Derecho General - Opinión Derecho Internacional - Internacional Privado Derecho Laboral - Laboral Derecho Laboral - Prevención de Riesgos Derecho Laboral - Seguridad Social Derecho Mercantil - Agroalimentario Derecho Mercantil - Competencia Derecho Mercantil - Compliance - Cumplimiento Legal Derecho Mercantil - Concursal Derecho Mercantil - Consumidores y Usuarios Derecho Mercantil - Contratación Mercantil Derecho Mercantil - Empresa Familiar Derecho Mercantil - Franquicias Derecho Mercantil - Fundaciones y Asociaciones Derecho Mercantil - Fusiones y Adquisiciones Derecho Mercantil - Mercantil Derecho Mercantil - Reclamaciones de Cantidad Derecho Mercantil - Societario Derecho Mercantil - Transportes y Marítimo Derecho Penal - Accidentes de Tráfico Derecho Penal - Consumidores y Usuarios Derecho Penal - Corporate Compliance Derecho Penal - Derecho Penitenciario Derecho Penal - Negligencias Médicas Derecho Penal - Penal Derecho Penal - Penal - Honor e Imagen Derecho Penal - Penal Económico Derecho Penal - Penal Laboral Derecho Penal - Penal Medio Ambiente Derecho Penal - Penal Societario Derecho Procesal - Procesal Extranjería y Nacionalidad - Extranjeria y Nacionalidad Formación - Formación Hipotecario y Registral - Hipotecario y Registral Inmobiliario y Urbanismo - Construcción Inmobiliario y Urbanismo - Inmobiliario Inmobiliario y Urbanismo - Urbanismo Innovación y Emprendimiento - Biotecnología Innovación y Emprendimiento - Nuevas tecnologías, medios y telecomunicaciones Innovación y Emprendimiento - Startups Institucional - Actualidad despachos Institucional - Colegios y Entidades Profesionales Institucional - Organismos Públicos Inversiones en el extranjero - Inversiones en el extranjero Investigación Privada - Investigación Privada Marketing y Gestión - Marketing y Gestión Mediación y Arbitraje - Mediación y Arbitraje Noticias - Despachos News Noticias - Entorno Jurídico Ocio y Deporte - Deportivo Ocio y Deporte - Industria del Ocio Peritaje - Peritaje Prop Industrial e Intelectual - Competencia Prop Industrial e Intelectual - Propiedad Industrial, Patentes y Marcas Prop Industrial e Intelectual - Propiedad Intelectual Sanitario y Farmacéutico - Negligencias Médicas Sanitario y Farmacéutico - Sanitario y Farmacéutico TIC - Audiovisual TIC - Comercio Electrónico TIC - Derecho Informático TIC - Protección de Datos TIC - Telecomunicaciones TIC - TIC

Directorio

Abogados Accidentes de Tráfico Abogados Accidentes Laborales Abogados Alquileres y Arrendamientos Abogados Blanqueo de Capitales Abogados Blockchain Abogados Comercio Electrónico Abogados Comunidad de Propietarios Abogados Contencioso Administrativo Abogados Contratación Administrativa Abogados Contratación Mercantil Abogados Corporate Compliance Abogados Corporate Finance Abogados Derecho Administrativo Abogados Derecho Aduanero Abogados Derecho Agrario Abogados Derecho Agroalimentario Abogados Derecho Audiovisual Abogados Derecho Bancario Abogados Derecho Civil Abogados Derecho Comunitario Abogados Derecho Concursal Abogados Derecho Constitucional Abogados Derecho de Extranjería y Nacionalidad Abogados Derecho de Franquicias Abogados Derecho de la Competencia Competencia desleal Abogados Derecho de la Construcción Abogados Derecho de la Energía Abogados Derecho de las Telecomunicaciones Abogados Derecho de las TIC Abogados Derecho de los Consumidores Abogados Derecho de los Seguros Abogados Derecho de Sucesiones Abogados Derecho de Transportes y Marítimo Abogados Derecho del Medio Ambiente Abogados Derecho Deportivo Abogados Derecho Financiero Abogados Derecho Fiscal Abogados Derecho Hipotecario y Registral Abogados Derecho Informático Abogados Derecho Inmobiliario Abogados Derecho Internacional Privado Abogados Derecho Laboral Abogados Derecho Mercantil Abogados Derecho Penal Penalistas Abogados Derecho Penal Económico Abogados Derecho Penitenciario Abogados Derecho Procesal Abogados Derecho Sanitario y Farmacéutico Abogados Derecho Societario Abogados Derechos de Imagen Abogados Divorcios Familia y Adopciones Abogados Empresa Familiar Abogados Expropiaciones Abogados Fiscalidad Internacional Abogados Fiscalidad matrimonial y familiar Abogados Fusiones y Adquisiciones Abogados Gestión de Riesgos Abogados Herencias y Testamentos Abogados Impuestos Especiales Abogados Industria del Ocio Abogados Inversiones en el extranjero Abogados Investigación Privada Abogados Marketing y Gestión Abogados Mediación y Arbitraje Abogados Mercados de Valores y de Capitales Abogados Negligencias Médicas Abogados Nulidades eclesiásticas Abogados Penal Honor e Imagen Abogados Penal Laboral Abogados Penal Medio Ambiente Abogados Penal Societario Abogados Peritaje Abogados Prevención de Riesgos Laborales Abogados Propiedad Industrial Patentes y Marcas Abogados Propiedad Intelectual Abogados Protección de Datos Abogados Reclamaciones de Cantidad Abogados Responsabilidad Civil Abogados Seguridad Social Abogados Urbanismo Peritos Abogados Administradores Concursales Peritos Accidentes y Siniestros Peritos Actuarios de Seguros Peritos Administradores Auditores Concursales Peritos Agentes de la Propiedad Inmobiliaria Peritos Arquitectos Peritos Arquitectos Técnicos Peritos Auditores de Cuentas Peritos Averías Peritos Biólogos Peritos Caligrafos Pericia Caligrafica Peritos Cirugía Plástica Estética y Reparadora Peritos Comisario de Averías Marítimo Peritos Construcción Rehabilitación y Urbanismo Peritos Criminalistas Peritos Daños Peritos Documentoscópicos Peritos Economistas Peritos Economistas Administradores Concursales Peritos Expertos Inmobiliarios Peritos Filatelia y Numismática Peritos Geología y Medio Ambiente Peritos Informática Forense Peritos Ingenieros Agrónomos Peritos Ingenieros de Caminos Peritos Ingenieros de Telecomunicaciones Peritos Ingenieros Industriales Peritos Ingenieros Informáticos Peritos Ingenieros Navales Peritos Ingenieros Técnicos Agrícolas Peritos Ingenieros Técnicos Industriales Peritos Instalaciones eléctricas Peritos Mediación concursal Peritos Medicina del Trabajo Peritos Peritos Judiciales Peritos Peritos Médicos Medicina Pericial y Forense Peritos Prevención de Riesgos Laborales Peritos Propiedad Industrial e Intelectual Peritos Pruebas de ADN Peritos Psicólogos Psicología Pericial y Forense Peritos Psiquiatras Psiquiatría Pericial y Forense Peritos Químicos Peritos Reconstrucción de accidentes Peritos Recursos Humanos y Salud Laboral Peritos Técnicos Informáticos Peritos Tasadores Peritos Tasadores de Arte y Pintura Peritos Tasadores de Joyas y Gemología Valoraciones Peritos Tasadores de Seguros Peritos Tasadores inmobiliarios Valoración de Inmuebles Peritos Tasadores Textiles Peritos Titulados Mercantiles y Empresariales Peritos Topógrafos Ingenieros Técnicos en Topografía Peritos Toxicología Peritos Valoracion del Daño Corporal Peritos Valoraciones de empresas Peritos Veterinarios Procuradores Procuradores Detectives Detectives Privados Asesoría Fiscal Asesores Fiscales Agentes Propiedad Industrial Agentes de la Propiedad Industrial Agentes Propiedad Industrial Registro Patentes y Marcas Gestores Gestores Administrativos Auditores Auditoría de Cuentas Administración Concursal Administradores Concursales

Provincias

Álava Albacete Alicante Almería Asturias Ávila Badajoz Barcelona Burgos Cáceres Cádiz Cantabria Castellón Ceuta Ciudad Real Córdoba Cuenca Girona Granada Guadalajara Guipúzcoa Huelva Huesca Islas Baleares Jaén La Coruña La Rioja Las Palmas León Lleida Lugo Madrid Málaga Melilla Murcia Navarra Orense Palencia Pontevedra Salamanca Santa Cruz de Tenerife Segovia Sevilla Soria Tarragona Teruel Toledo Valencia Valladolid Vizcaya Zamora Zaragoza