Se ha alcanzado un acuerdo provisional sobre la Ley de Resiliencia Operativa Digital (DORA). Responder a esto planteará una serie de desafíos para los bancos en Europa, y ¿qué deberían hacer ahora para enfrentarlos de frente?

El 10 de mayo, el Consejo Europeo y el Parlamento Europeo llegaron a un acuerdo provisional sobre la Ley de resiliencia operativa digital (DORA), acercando la Ley a la realidad. DORA cubrirá todo el sector financiero, incluidos los proveedores de terceros (CTPP) críticos, como los proveedores de software y computación en nube. Forma parte del paquete de financiación digital de la Comisión Europea de septiembre de 2020, junto con una estrategia de financiación digital, un proyecto de Reglamento sobre mercados de activos criptográficos (mica) y una propuesta sobre tecnología de contabilidad distribuida.

DORA es un hito en la regulación financiera europea. Establecerá un marco global y coherente de la UE para las instituciones financieras reguladas, garantizando la resiliencia de las tecnologías de la información y las comunicaciones (TIC) frente a todo tipo de perturbaciones y amenazas. Sustituye al mosaico actual de normativas y otras iniciativas relacionadas con las TIC de la UE. En lugar de ver las disciplinas de seguridad de forma aislada, su objetivo es crear un marco holístico de supervisión y control que abarque la gestión de riesgos de TIC, la notificación de incidentes, la gestión de continuidad y la subcontratación.

Según el Informe anual sobre los resultados del cuestionario de riesgo DE TI SREP de 2020, la subcontratación se utiliza ampliamente en el sector bancario europeo, con un 60% de los bancos que realizan actividades de subcontratación total o en gran medida. Además, el 85% de los bancos utilizan cualquier tipo de servicios de cloud computing, y los gastos relacionados con la nube se duplican, pasando del 3% de los gastos totales de externalización de TI en 2018 al 6% en 2019. Esto indica que DORA es un tema muy relevante para la industria bancaria europea debido a su ya extendido uso de CTPPs y computación en nube.

DORA pretende abordar los riesgos derivados del aumento de la interconectividad, la digitalización y la dependencia de servicios de terceros mediante:

  • Racionalización y mejora de la normativa existente, introduciendo nuevas normas cuando existan lagunas
  • Mejorar la alineación entre las estrategias empresariales y la gestión de riesgos de las TIC, fortalecer el control de riesgos y garantizar que las empresas puedan identificar vulnerabilidades y evaluar su capacidad de recuperación
  • Armonizar y racionalizar los mecanismos de notificación de incidentes, reduciendo la carga de costos de las empresas y aumentando la visión de los supervisores al darles acceso a información relevante
  • Aplicar los requisitos de pruebas de manera proporcional, en función del tamaño, el negocio y el perfil de riesgo de las empresas
  • Fortalecimiento de la supervisión y supervisión de las empresas de las operaciones de TIC de terceros
  • Aumentar la conciencia sobre el riesgo de las TIC y minimizar su propagación mediante el intercambio de información, lo que permite a las empresas intercambiar información sobre amenazas cibernéticas

DORA podría plantear importantes desafíos potenciales para las instituciones financieras. En primer lugar, será difícil aplicar un marco único a entidades que van desde grupos grandes y complejos hasta pequeñas y sencillas empresas. En segundo lugar, atrae a los proveedores de software y otros proveedores de servicios al perímetro normativo. En tercer lugar, está respaldada por amplios poderes de aplicación.

Para los bancos en particular, DORA aparece en un momento en que muchos todavía están trabajando para implementar las Directrices de la ABE sobre acuerdos de externalización, que es una expectativa clave del BCE, a pesar de todos los demás documentos que tienen un cruce sobre temas relacionados, incluidos los Principios de Basilea para la resiliencia operativa, la Directiva de seguridad de la información de la red y otros requisitos nacionales. Existe un claro margen para la superposición o interacción entre las diferentes iniciativas.

Con esto en mente, partes de la legislación DORA será difícil de implementar para los bancos, y es probable que éstas incluyan:

  • ICT risk management: Es probable que algunos elementos de DORA, como el artículo 10, que exige el mantenimiento de registros detallados de las actividades antes y durante un incidente de TI, o el artículo 11, que exige la restauración de los datos de los que se ha realizado una copia de seguridad en un entorno operativo no relacionado, sean costosos de lograr y puedan limitar la flexibilidad. Serán especialmente difíciles para los bancos más pequeños y podrían impulsar potencialmente la fragmentación de la tecnología, ya que la mayoría de los grupos bancarios generalmente no estructuran las TIC entidad por entidad.
  • Procedimientos de prueba avanzados: Aumentará el énfasis en las pruebas de resiliencia para los bancos, y las pruebas de penetración de sistemas que funcionan, basadas en amenazas, serán obligatorias para más organizaciones, y será posible incluir a varias autoridades nacionales en los procedimientos de prueba. Esto podría aumentar considerablemente los costos y otras necesidades de recursos.
  • Riesgo de TIC de terceros: DORA introduce una mayor supervisión de los CTPPs, ya que los datos financieros son hospedados cada vez más activamente o procesados pasivamente por terceros. Los proveedores designados como «críticos» estarán bajo la supervisión directa de las autoridades europeas, aunque la definición de proveedores críticos no está clara actualmente. Los requisitos prescriptivos, como la aplicación de los estándares de seguridad más recientes, pueden suponer un reto para los bancos más pequeños o para aquellos con sistemas heredados.
  • Clasificación y notificación de incidentes graves: Los nuevos requisitos de notificación son más claros y coherentes, pero los nuevos requisitos de notificación específicos de la ubicación pueden hacer que la gestión de un incidente mayor sea más difícil y menos segura. Tampoco está claro cómo gestionarán los reguladores enormes volúmenes de notificaciones de incidentes y llevarán a cabo análisis posteriores de las causas raíz.

Entonces, ¿qué pueden hacer ahora los bancos para hacer frente a estos desafíos? En nuestra opinión, las principales prioridades son:

  1. Comprender que se necesita un enfoque nuevo y coherente. Incluso los principales bancos tendrán que hacer cambios para cumplir con el nuevo régimen y satisfacer las expectativas más consistentes de los supervisores en materia de controles, gestión de riesgos, informes y recuperación. En algunos casos, será necesaria la transformación de los modelos operativos.
  2. Conocer su estado actual. Los bancos deberían entender su posición actual y compararlos con los requisitos de DORA. Como mínimo, deben identificar las lagunas y movilizar los recursos necesarios para planificar e implementar una transformación exitosa.
  3. Poner en práctica las responsabilidades y el talento adecuados. Los bancos deben asegurarse de que sus modelos operativos tengan las responsabilidades y el talento necesarios para la transición de su posición actual al estado final necesario para cumplir con las expectativas de DORA.
  4. Sea realista acerca de los posibles gastos. Dependiendo de su situación actual, los bancos pueden descubrir que los requisitos adicionales de DORA en una serie de disciplinas de seguridad podrían implicar una inversión significativa y afectar a los futuros objetivos de rentabilidad, que ya es un tema clave del BCE en sus evaluaciones de modelos de negocio.
  5. Aproveche la oportunidad. DORA no es simplemente un requisito de cumplimiento. Al unificar la regulación de la gestión de riesgos de TIC, ofrece a los bancos la oportunidad de aunar sus capacidades de control de riesgos operativos y lograr un alto nivel de preparación operativa y resiliencia en toda la organización.

En conclusión, DORA es una respuesta al entorno tecnológico cada vez más complejo en el que operan los bancos. La necesidad de que las instituciones estén preparadas para los incidentes y sean capaces de responder y recuperarse de ellos con eficacia es mayor que nunca. DORA representa tanto un reto como una oportunidad para reiniciar la resiliencia cibernética.

Contáctenos

Autor

Pierre Guerineau
Senior Manager, KPMG ECB Office
KPMG in Germany

Contáctenos