El pasado jueves 27 de Enero, mantuvimos una sesión del grupo Dinero Digital y Sistemas de Pago,  (DDSP) y del Foro de Mercados Financieros (FMF) de Fide Fundación sobre el reglamento europeo de resiliencia operativa digital – DORA, parte del paquete de finanzas digitales de la Comisión Europea con el objetivo de posicionar la UE ante la transformación digital de las finanzas.

En la sesión contamos con Enrique Titos, Director del Grupo de Trabajo DDSP de Fide, Silvia Senabre del Banco de España, Israel Hernández Ortiz, de PwC, Maria E. Tsani de AWS y Gabriel Lopez Serrano de Microsoft, moderados por Antonio del Campo, del Instituto de Oficiales de Cumplimiento y Co-Director del Foro de Mercados Financieros de Fide.

Todos resaltaron el relativo desconocimiento del reglamento por los afectados, su carácter estratégico pese a su alto componente técnico y la responsabilidad de la alta dirección de las entidades financieras (no solo los bancos) en su cumplimiento. El reglamento está actualmente en negociación en trílogos en Europa y se espera entre en vigor en 2024.

• DORA convivirá con la Directiva NIS, sobre ciberseguridad, traspuesta a leyes nacionales (en España en 2021) y que afecta a todos los sectores, frente a DORA, que aplica únicamente al sector financiero (+20 tipos de entidades), firmas de auditoria y proveedores de tecnología.

• La definición de proveedores de tecnología es muy amplia, no sólo servicios en la nube. Hay gran dificultad para trazar las dependencias de los terceros tecnológicos dentro de la cadena de servicios (multitenant environment). Es muy importante tener el mapa extendido de la entidad financiera.

• La supervisión de DORA se plantea a través de un Forum Oversight integrado por las ESAs y las autoridades nacionales, con el ECB y otros entes europeos como observadores, estableciendo una vigilancia sobre las entidades financieras y sobre los proveedores tecnológicos.

• Será clave la proporcionalidad de aplicación, vinculada no solo al tamaño sino a la complejidad del riesgo tecnológico de la entidad. Será clave aprender durante el proceso, ya que el cambio tecnológico que puede alterar el perfil de riesgo. El marco se inspira mucho en las guías de la EBA, lo que hace que los bancos, en general, estén mejor preparados.

• Dado que DORA solo aplica a servicios prestados en la UE y dado que la tecnología es global, no será sencillo trazar y controlar la prestación de servicios que tengan base en jurisdicciones fuera de la UE.

• El “elefante en la habitación” es el capítulo V sobre vigilancia y supervisión de los proveedores tecnológicos críticos.

Compatibilizar innovación con regulación es uno de los mayores retos competitivos en la Unión Europea y específicamente en el sector financiero, en plena dinámica de transformación con la llegada de blockchain y la IA, donde el riesgo de fragmentación puede afectar a la estabilidad financiera, ya que las finanzas son confianza en mayúsculas. Dada la ausencia de proveedores tecnológicos globales europeos, DORA tiene implicaciones no sólo estratégicas para las entidades financieras sino también geopolíticas.

Enrique Titos

Consejero Independiente. Consejero Asesor. Director del GT DDSP de Fide, Consejero Académico de Fide.

Información de la Sesión

SESIÓN: EL REGLAMENTO DORA (DIGITAL OPERATIONAL RESILIENCE ACT): UNA HERRAMIENTA DE RESILIENCIA Y COMPETITIVIDAD (ONLINE)

JUEVES 27 DE ENERO, 2022
 16:00 – 18:00

Presenta la sesión:

• Enrique Titos Martinez, Consejero Independiente. Consejero Asesor. Director del GT “Dinero Digital y Sistemas de Pago” de Fide, Consejero Académico de Fide

Ponentes:

• Israel Hernández Ortiz, Socio Business Solutions, PwC. IT Risk & Cybersecurity
• Gabriel López Serrano, Director de Asuntos Regulatorios para Microsoft Ibérica, Miembro del Consejo Académico de Fide
• Silvia Senabre, Experta en IT, Banco de España
• María Tsani, Head of Financial Services Public Policy & Regulatory Affairs EMEA at Amazon Web Services (AWS)

Moderador:

• Antonio del Campo de los Santos, Presidente del Instituto de Oficiales de Cumplimiento, Consejero Académico de Fide

Objetivos:
La Comisión Europea publicó en septiembre de 2020, dentro del paquete de Finanzas Digitales, un borrador del Reglamento de Resiliencia Operativa (Digital Operational Resilience Act o DORA), dirigido a reforzar la resiliencia operativa digital de las instituciones financieras con el fin de asegurar la estabilidad e integridad del sistema financiero europeo.

A tal efecto, la propuesta DORA, que se articulará como Reglamento de directa aplicación y obligado cumplimento a todas las entidades que presten servicios financieros dentro de la Unión Europea, busca establecer normas comunes para gestionar los riesgos asociados a las tecnologías de la información (ICT por sus siglas en inglés), así como los derivados de la externalización de servicios a proveedores tecnológicos. El Reglamento establece también mecanismos de clasificación y comunicación de incidentes y requerimientos en materia de pruebas de ciberresiliencia, y otorga poderes adicionales a las autoridades supervisoras para la monitorización de los riesgos antes mencionados.

Dado que los ataques cibernéticos se siguen multiplicando, afectando a todo tipo de empresas participantes en los distintos servicios financieros. El Reglamento DORA deberá ser compatible con la propuesta de Directiva NIS II (Network & Information Security II) y garantizar la coordinación entre ambas normas y entre las distintas autoridades implicadas, si bien habrá que esperar a la versión final de ambos textos para conocer la articulación definitiva.

Las entidades del sistema financiero exhiben una creciente dependencia de la provisión de servicios tecnológicos por terceras partes. A la externalización “tradicional” de funciones y procesos hay que añadir otros actores como startups o scaleups del mundo fintech, insurtech o regtech o proveedores de servicios basados en la nube.
Ha de quedar claro que DORA, abordando una problemática transversal para todo el sistema financiero, se aplicará a un extenso y variado número de actores financieros bajo el ámbito de oversight de las autoridades supervisoras, entre las que se incluyen el Banco de España, la Comisión Nacional del Mercado de Valores y la Dirección General de Seguros y Fondos de Pensiones en el caso de España. De la misma forma, y dada la concentración de servicios en grandes tecnológicas, DORA establece un marco de vigilancia de las autoridades europeas sobre aquellos proveedores tecnológicos que sean considerados críticos para el conjunto del sector financiero europeo. Esto último supone una gran novedad con respecto al marco regulatorio actual.

Para las entidades financieras la mejora de su resiliencia operativa es un factor de oportunidad para que puedan competir y diferenciarse partiendo de una sólida gestión de los riesgos ICT y ciberriesgos.
La iniciativa DORA se encuentra en fase avanzada de negociación pendiente de las negociaciones finales del trílogo. Su fecha de entrada en vigor se estima en 2024 con un período de adaptación de entre 18 y 24 meses.

En esta sesión queremos abordar la última actualización del estado del Reglamento, valorar el nivel de implicación y conocimiento por parte de los distintos agentes financieros objeto de su alcance, y finalmente obtener la visión de dos líderes tecnológicos afectados por el futuro reglamento en su condición de proveedores de soluciones y sujetos afectados.