Ley de Resiliencia Operativa Digital

Reglamento sobre la resiliencia operativa digital

Desde el 16 de enero de 2023, el reglamento DORA, junto con su directiva asociada, tiene como objetivo reforzar la seguridad de los servicios financieros frente a la transformación digital y los ciberataques.

En My Data Solution, le ayudamos a integrar este nuevo marco regulatorio mientras fomentamos la innovación y garantizamos la protección de los consumidores.

¿Quiénes están afectados por la normativa DORA?

DORA se aplica a una amplia gama de actores del sector financiero, incluyendo:

En My Data Solution le ayudamos a comprender estas obligaciones y anticipar su impacto estratégico y operativo.

Calendario de aplicaciones:

Enero de 2025: Entrada en vigor oficial del reglamento DORA.

Transposición de la Directiva 2022/2556 por los Estados miembros antes de esta fecha.

Experiencia necesaria para el cumplimiento de DORA y la mejora de la resiliencia operativa digital

Para navegar por las complejidades de la Ley de Resiliencia Operacional Digital (DORA) y fortalecer su resiliencia operativa digital, un equipo multidisciplinario es esencial.
El Reglamento DORA se diferencia de los marcos anteriores al consolidar varios aspectos de la resiliencia operativa digital en un único acto legislativo integral.
A diferencia de regulaciones anteriores, que pueden haber abordado estas cuestiones de manera fragmentada, DORA ofrece un enfoque unificado dirigido específicamente a las entidades financieras.
Por primera vez en la UE, DORA establece un marco detallado centrado en garantizar que las instituciones financieras puedan resistir y recuperarse eficazmente de las disrupciones digitales.
Además, establece un mecanismo de supervisión directa para los proveedores de servicios TIC críticos a nivel de la UE.
Esta supervisión está diseñada para fortalecer la rendición de cuentas y la transparencia, a diferencia de los marcos anteriores que normalmente dependían de sistemas nacionales o menos centralizados.
Este equipo debe ser capaz de ofrecer un enfoque integral y coordinado, aprovechando la experiencia en varias áreas críticas:

Gestión de riesgos y seguridad

Gestión de riesgos de las TIC:

Son imprescindibles profesionales capacitados en la identificación y gestión de riesgos asociados a las Tecnologías de la Información y la Comunicación (TIC). Deben tener un conocimiento profundo de los desafíos y soluciones específicos de la industria para abordar la resiliencia digital.

Ciberseguridad y gestión de crisis:

Especialistas capaces de implementar medidas de ciberseguridad robustas y estrategias de gestión de crisis son cruciales. Esto incluye la protección contra amenazas potenciales y la garantía de continuidad y recuperación tras perturbaciones.

Experiencia regulatoria y legal

Cumplimiento normativo:

Se necesitan expertos legales para interpretar y abordar los requisitos regulatorios. Ayudan a comprender el alcance completo y la aplicación de los mandatos de DORA y los estándares relacionados (RTS, ITS, etc.).

Revisiones contractuales:

Son cruciales los expertos que pueden revisar y renegociar contratos con proveedores de servicios TIC. Se aseguran de que todos los aspectos legales estén alineados con los objetivos de resiliencia operativa y los estándares regulatorios.

Al reunir un equipo con habilidades que abarquen estas áreas, las organizaciones pueden garantizar mejor el cumplimiento de DORA y construir un marco sólido para la resiliencia operativa digital.

¿Cómo se alinea el reglamento DORA con la estrategia de finanzas digitales de la Comisión Europea?

La Ley de Resiliencia Operativa Digital (DORA) es un elemento clave de la estrategia de finanzas digitales de la Comisión Europea. Este reglamento apoya el objetivo de la estrategia de aprovechar la innovación e integrar nuevas tecnologías. Al mismo tiempo, garantiza la estabilidad del sistema financiero y protege los intereses de los consumidores.

Fomento de la innovación y la adopción tecnológica

Fomento de nuevas tecnologías: DORA está diseñado para crear un entorno donde las empresas financieras puedan explorar e implementar soluciones digitales de vanguardia.

Simplificar el cumplimiento: al estandarizar la gestión de riesgos digitales en toda la UE, la Ley facilita que las empresas innoven en un entorno seguro y compatible.

Garantizar la estabilidad financiera y la protección del consumidor

Medidas robustas de ciberseguridad: Uno de los objetivos de DORA es fortalecer las defensas de las instituciones financieras contra las amenazas cibernéticas, manteniendo así la confianza del mercado.
Directrices uniformes: El reglamento proporciona directrices claras, promueve la resiliencia de las operaciones financieras y ayuda a prevenir perturbaciones que podrían afectar la estabilidad económica.

En resumen, DORA es esencial para la estrategia financiera digital más amplia al combinar innovación y prudencia, lo que en última instancia conduce a un ecosistema financiero más seguro y avanzado en Europa.

Los 5 pilares de la resiliencia operativa digital

Gestión de riesgos
relacionados con las TIC

Desarrollo y seguimiento de un sistema integral de gestión de riesgos para contrarrestar las amenazas digitales.

Gestión e informes
de incidentes TIC

Armonización de los procesos de notificación para una respuesta rápida y una mejor anticipación a las ciberamenazas.

Pruebas de resiliencia operativa digital

Implementación de un programa anual de pruebas incluyendo funciones críticas y pruebas avanzadas como TLPT.

Gestión de riesgos
relacionados con los proveedores de TIC

Integración de políticas de gestión de terceros y seguimiento continuo de las relaciones con proveedores de servicios críticos.

Compartir información
en ciberseguridad

Creación de comunidades confiables para compartir información sobre amenazas cibernéticas y mejores prácticas.

Transformando desafíos en oportunidades con My Data Solution

Nuestra misión: ayudarle a transformar sus obligaciones regulatorias en una palanca de competitividad. Al reforzar su resiliencia operativa, ganará en agilidad, fiabilidad y confianza por parte de sus clientes.

Nuestros servicios de soporte DORA:

Asesoramiento estratégico sobre el cumplimiento de DORA

Desarrollo de planes de acción a medida para integrar eficazmente los requisitos de la normativa DORA en su organización.

Formación dedicada
a los equipos

Sesiones de formación específica para concienciar a sus empleados sobre los retos y las mejores prácticas relacionadas con la resiliencia operativa digital.

Externalización de la función DPO/DPD

Apoyo completo y profesional, con garantías de transparencia y eficacia, para optimizar la gestión de su cumplimiento normativo.

Preguntas frecuentes sobre finanzas bancarias

SUS PREGUNTAS SOBRE EL RGPD PARA EL SECTOR BANCARIO Y FINANCIERO

¿Qué es la Directiva Dora?

El reglamento DORA tiene como objetivo armonizar los requisitos existentes para la gestión de los riesgos asociados a los proveedores de servicios TIC externos. Entre las obligaciones impuestas a las entidades financieras, se encuentra el establecimiento de una estrategia respecto de los riesgos vinculados a los proveedores de servicios de TI de terceros.

¿Cuál es el objetivo de DORA?

El objetivo de DORA está explícitamente definido en su considerando 105, un preámbulo que precede al texto de la ley y expone sus motivaciones: « alcanzar un alto nivel de resiliencia operativa digital para todas las entidades financieras reguladas ».

Pero, concretamente, ¿qué se entiende por « resiliencia operativa digital »? Según el propio texto de DORA, esto se refiere a: “la capacidad de una entidad financiera para desarrollar, garantizar y reevaluar su integridad y fiabilidad operativas asegurando, directa o indirectamente, mediante el uso de servicios proporcionados por proveedores externos de servicios TIC, la totalidad de las capacidades relacionadas con las TIC necesarias para garantizar la seguridad de las redes y sistemas de información que utiliza, y que sustentan la prestación continua de servicios financieros y su calidad, incluyendo en caso de perturbaciones” – DORA, Artículo 3(1)

¿Quién debe preocuparse por el cumplimiento de DORA?

El Reglamento sobre la resiliencia operativa digital afecta a 21 tipos de entidades. Estas son las que se describen en el Artículo 2:

las entidades de crédito;
las entidades de pago, incluidas las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366;
los proveedores de servicios de información sobre cuentas;
las entidades de dinero electrónico, incluidas las entidades de dinero electrónico exentas en virtud de la Directiva 2009/110/CE;
las empresas de inversión;
los proveedores de servicios sobre criptoactivos y los emisores de tokens relacionados con uno o varios activos;
los depositarios centrales de valores;
las contrapartes centrales;
las plataformas de negociación;
los registros centrales;
los gestores de fondos de inversión alternativos;
las sociedades de gestión;
los proveedores de servicios de comunicación de datos;
las empresas de seguros y reaseguro;
los intermediarios de seguros, los intermediarios de reaseguro y los intermediarios de seguros como actividad secundaria;
las instituciones de pensiones profesionales;
las agencias de calificación crediticia;
los administradores de índices de referencia de importancia crítica;
los proveedores de servicios de financiación participativa;
los registros de titulización;
los proveedores de servicios TIC externos

DORA : la liste des exceptions

Sont exclus du champ d’application de DORA :

les gestionnaires de fonds d’investissement alternatifs visés à l’Article 3(2) de la directive 2011/61/UE;
les entreprises d’assurance et de réassurance en fonction de leur taille, telles que visées à l’Article 4 de la directive 2009/138/CE;
les institutions de retraite professionnelle qui gèrent des régimes de retraite qui, ensemble, ne comptent pas plus de quinze affiliés au total;
les personnes physiques ou morales exemptées en vertu des Articles 2 et 3 de la directive 2014/65/UE;
les intermédiaires d’assurance, intermédiaires de réassurance et intermédiaires d’assurance à titre accessoire qui sont des micro-entreprises ou des PME. La définition est donnée dans l’article 4(60) de DORA : qui emploie moins de dix personnes et dont le CA annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros;
les offices des chèques postaux visés à l’article 2(5.3), de la Directive 2013/36/UE.

A noter que les États membres peuvent choisir d’exclure du scope de DORA certaines entités nationales de crédit ou d’investissement très spécifiques, telles que visées à l’Article 2(5) de la directive 2013/36/UE. En France par exemple, l’Etat pourrait choisir d’épargner la Caisse des dépôts et consignations.

¿Qué es el RGPD y cómo afecta al sector bancario y financiero?

El RGPD, Reglamento General de Protección de Datos, es un reglamento de la Unión Europea que tiene como objetivo proteger los datos personales de las personas. También afecta al sector bancario y financiero, ya que las instituciones con frecuencia recopilan y procesan datos sensibles de sus clientes, como información bancaria y detalles de tarjetas de crédito.

¿Cuáles son las consecuencias de una violación del RGPD en el sector financiero?

En caso de violación del RGPD, las empresas del sector bancario y financiero pueden enfrentarse a multas de hasta el 4% de su facturación global anual o 20 millones de euros, lo que sea mayor. Además de las multas, las infracciones pueden provocar una pérdida de confianza del cliente y daños graves a la reputación de la empresa.

¿Cuáles son los principales pasos para cumplir con el RGPD en el sector financiero?

Los pasos clave para el cumplimiento del RGPD incluyen: realizar una evaluación de datos, implementar políticas de protección de datos, obtener el consentimiento informado de las personas, fortalecer la seguridad de los datos, aumentar la conciencia de los empleados e implementar un proceso de gestión de los derechos de los interesados.

¿Cómo puedo obtener el consentimiento del cliente para el tratamiento de sus datos personales?

Para obtener un consentimiento válido, asegúrese de que su solicitud de consentimiento sea clara, comprensible y específica para cada propósito de procesamiento. Los clientes deben dar su consentimiento de forma libre, informada y sin presiones. También debe informar a los clientes de su derecho a retirar su consentimiento en cualquier momento.

¿Qué medidas de seguridad deben implementarse para proteger los datos personales en el sector financiero?

Las medidas de seguridad incluyen el uso de técnicas de encriptación para proteger datos, restringir el acceso a datos confidenciales, implementar controles de acceso, concientizar a los empleados sobre la seguridad de los datos y realizar auditorías periódicas para evaluar la efectividad de las medidas.

¿Cómo puede My Data Solution ayudar a nuestra empresa a lograr el cumplimiento del RGPD?

My Data Solution ofrece una gama de servicios personalizados para ayudarle a lograr el cumplimiento del RGPD. Realizamos evaluaciones de cumplimiento, desarrollamos planes de acción personalizados, capacitamos a su personal en las mejores prácticas, gestionamos los derechos individuales y realizamos auditorías periódicas para garantizar el cumplimiento continuo.

¿Cuáles son los beneficios concretos del cumplimiento del RGPD para el sector bancario y financiero?

El cumplimiento del RGPD genera confianza con sus clientes al demostrar su compromiso con la protección de sus datos. Esto le ayuda a evitar multas costosas por incumplimiento, protege su reputación y le brinda una ventaja competitiva al atraer clientes preocupados por la privacidad.