Nuevos requisitos en materia de ciberseguridad: Visión general del Reglamento DORA
Introducción
El 16 de enero de 2023 entró en vigor el Reglamento 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital en el sector financiero («DORA» o «Reglamento«). Las entidades financieras y los proveedores terceros de servicios de tecnologías de la información y la comunicación («TIC«) tienen hasta el 17 de enero de 2025 para cumplir con DORA antes de que comience su aplicación.
La Unión Europea está prestando especial atención a la digitalización del sector financiero y al consiguiente aumento de los riesgos para la seguridad. Esto ha dado lugar a la aplicación de un marco normativo armonizado en materia de ciberseguridad.
El objetivo general de DORA es reforzar la resistencia operativa digital del sector financiero de la UE y garantizar que este último siga siendo resiliente tras una perturbación operativa grave.
Para ello, DORA racionaliza y actualiza las normas existentes, pero también impone nuevas obligaciones tanto a las entidades financieras como a los proveedores terceros de servicios esenciales para reforzar la seguridad de los sistemas informáticos que utilizan y garantizar que se recuperan de cualquier amenaza relacionada con las TIC.
Las entidades financieras deben empezar a realizar su evaluación de deficiencias basándose en el Reglamento y en las normas técnicas de regulación («NTR«) que han publicado las Autoridades Europeas de Supervisión (AES), es decir, la ABE, la AESPJ y la AEVM, el 17 de enero de 2024.
¿Cuáles son las claves de DORA? ¿A quién se aplica este reglamento?
(1) Ámbito de aplicación de DORA
DORA abarca una amplia variedad de entidades financieras reguladas a nivel de la UE, incluidas las entidades de crédito y las empresas de servicios de inversión, las entidades de pago y de dinero electrónico, las entidades de contrapartida central y de registro de operaciones, los gestores de fondos de inversion alternativos, las empresas e intermediarios de (re)seguros, los proveedores de servicios de criptoactivos, y los emisores y proveedores de servicios de crowdfunding.
Aunque la mayoría de estas entidades ya están sujetas a algún tipo de normativa de ciberseguridad en la UE, DORA amplía significativamente el alcance de esta normativa y se aplicará a la mayoría de las actividades empresariales de una entidad que se considere dentro del ámbito de aplicación en la UE.
Además, las AES podrán designar «proveedores terceros de servicios TIC esenciales» basándose en criterios preestablecidos y en el potencial impacto sistémico que podrían causar si sufrieran un fallo operativo de gran envergadura.
(2) Principales disposiciones de DORA
DORA exige a todas las entidades financieras reguladas en la UE que garanticen que pueden resistir todo tipo de perturbaciones y amenazas relacionadas con las TIC.
Esto implica la aplicación de medidas en los siguientes ámbitos fundamentales, que se denominan los cinco pilares de la resiliencia:
a) Gestión de riesgos de las TIC. El primer pilar se refiere a la adopción de un marco integral de gestión de riesgos y gobernanza de las TIC para hacer frente a la evolución de los riesgos digitales. En particular, las entidades financieras deberán garantizar que su documentación en materia de TIC (procedimientos, políticas, controles, herramientas) cumple los requisitos de DORA. A este respecto, el Reglamento exige que el marco de gestión de riesgos de las TIC abarque la identificación, protección y detección de los riesgos de las TIC y establezca mecanismos que permitan aprender de los incidentes externos e internos.
La gobernanza de las TIC también deberá adaptarse. El Reglamento exige explícitamente que los miembros del órgano de dirección de la entidad financiera se mantengan activamente al día con los conocimientos y competencias suficientes para comprender y evaluar el riesgo de TIC y su impacto en las operaciones de la entidad financiera, incluso siguiendo regularmente una formación específica acorde con el riesgo de TIC que se esté gestionando. Además, los miembros del órgano de dirección deben desempeñar un papel activo y central en la dirección y adaptación a DORA del marco de riesgo de TIC de la entidad y de la estrategia general de resiliencia digital.
b) Gestión y notificación de incidentes relacionados con las TIC. El segundo pilar se refiere a la gestión y notificación de incidentes relacionados con las TIC. Las entidades financieras utilizarán un procedimiento simplificado para registrar y clasificar los incidentes relacionados con las TIC y notificar los incidentes importantes a las autoridades.
Esto minimiza el posible impacto de las amenazas cibernéticas en la confianza del consumidor y la estabilidad financiera, garantizando una respuesta rápida y coordinada.
DORA también establece requisitos para notificar, voluntariamente, a las autoridades competentes una ciberamenaza importante.
c) Pruebas de resiliencia operativa digital. El tercer pilar exige que las instituciones financieras realicen periódicamente evaluaciones, como evaluaciones de vulnerabilidad, pruebas de intrusión y ejercicios basados en distintos escenarios.
Todos los sistemas y procesos esenciales serán sometidos a pruebas rigurosas y exhaustivas por parte de DORA para garantizar que pueden resistir y recuperarse de las perturbaciones operativas.
d) Estrategia para el riesgo de terceros en el ámbito de las TIC. Se imponen obligaciones a las entidades financieras que adoptarán y revisarán periódicamente una estrategia para evaluar regularmente los riesgos procedentes de proveedores terceros de servicios de TIC, incluidos los servicios en la nube.
La estrategia sobre el riesgo de terceros en materia de TIC incluirá una política sobre el uso de servicios de TIC que presten apoyo a «funciones críticas o importantes» prestados por proveedores terceros de servicios de TIC.
Además, las organizaciones financieras deben asegurarse de que sus proveedores terceros cumplen los mismos requisitos exigentes de resiliencia operativa. Esto implica llevar a cabo la diligencia debida, supervisar el rendimiento y asegurarse de que los acuerdos contractuales contengan cláusulas que obliguen al cumplimiento de los requisitos de DORA.
Se mantendrá un registro de la información relacionada con todos los acuerdos contractuales sobre el uso de servicios de TIC.
e) Intercambio de información e inteligencia. El quinto pilar prevé la posibilidad, con carácter opcional, de que las entidades financieras intercambien información e inteligencia sobre ciberamenazas, mejorando la capacidad global del sector financiero para identificar, responder y reducir los riesgos de las TIC.
«DORA abarca una amplia variedad de entidades financieras reguladas a nivel de la UE, incluidas las entidades de crédito y las empresas de servicios de inversión, las entidades de pago y de dinero electrónico, las entidades de contrapartida central y de registro de operaciones, los gestores de fondos de inversion alternativos, las empresas e intermediarios de (re)seguros, los proveedores de servicios de criptoactivos, y los emisores y proveedores de servicios de crowdfunding.»
(3) Normas técnicas de DORA recientemente publicadas
Las AES han recibido el mandato de desarrollar conjuntamente varios instrumentos normativos, que complementarán los pilares de DORA.
A este respecto y como se ha indicado anteriormente, el 17 de enero de 2024, las AES publicaron el primer conjunto de proyectos de normas técnicas de regulación (NTR) y una nueva norma técnica de ejecución (NTE), que representan directrices que las partes interesadas deben cumplir para concretar los requisitos de DORA.
Las NTR y las NTE abarcan los siguientes aspectos:
a) NTR sobre el marco de gestión de riesgos de las TIC y sobre un marco simplificado de gestión de riesgos de las TIC
Las normas reglamentarias esbozadas en este documento especifican los criterios específicos expuestos en los artículos 15 y 16.3 de DORA.
Estos criterios se refieren a las directrices y procedimientos para salvaguardar, prevenir, identificar y responder a los riesgos de las TIC en el ámbito de la gestión.
Las normas destacan los componentes esenciales a los que deben atenerse las instituciones financieras que operan bajo el régimen simplificado y que poseen menores niveles de escalabilidad, riesgo, tamaño y complejidad. Establecen un marco simplificado para la gestión de los riesgos de las TIC, haciendo hincapié en los principios de proporcionalidad y en un enfoque basado en el riesgo.
El marco de las TIC está regulado por las NTR, que exigen un conjunto exhaustivo de 20 políticas y procedimientos que abarcan ámbitos como la gestión de activos de TIC, el cifrado y los controles criptográficos, la gestión de proyectos de TIC, la adquisición, el desarrollo y el mantenimiento de sistemas de TIC, la seguridad física y medioambiental, los recursos humanos, la gestión de identidades, el control de accesos, la gestión de incidentes relacionados con las TIC y la continuidad de las actividades de TIC.
El 17 de julio de 2024 se publicarán normas técnicas adicionales para la comprobación avanzada de los sistemas de TIC mediante pruebas de penetración basadas en amenazas.
Además, las AES podrán considerar la posibilidad de elaborar nuevas directrices en los ámbitos que se han suprimido por el momento de las NTR, así como sobre aspectos de seguridad derivados de los servicios en la nube.
b) NTR sobre los criterios de clasificación de los incidentes relacionados con las TIC
Estas nuevas NTR especifican los criterios para la clasificación de incidentes graves relacionados con las TIC, incluido el enfoque para la clasificación de incidentes graves, los umbrales de materialidad de cada criterio de clasificación, los criterios y umbrales de materialidad para determinar las ciberamenazas significativas, los criterios para que las autoridades competentes evalúen la relevancia de los incidentes para las autoridades competentes de otros Estados miembros, y los detalles de los incidentes que deben compartirse a este respecto.
Estas NTR también establecen una lista de siete criterios de clasificación para determinar si un incidente constituye un «incidente importante relacionado con las TIC», así como umbrales que detallan la importancia relativa de cada criterio. Los criterios son los siguientes: clientes y contrapartidas financieras afectados, impacto en la reputación, extensión geográfica, duración y tiempo de inactividad del servicio, pérdidas de datos, servicios esenciales afectados e impacto económico.
Los detalles del proyecto de plantillas de notificación de incidentes se publicarán el 17 de julio de 2024.
c) NTR para especificar la política relativa a los servicios de TIC de apoyo a funciones críticas o importantes prestados por proveedores de servicios de TIC externos.
Estas nuevas NTR especifican partes de los acuerdos de gobernanza, gestión de riesgos y marco de control interno que las entidades financieras deben establecer en relación con el uso de proveedores de servicios de TIC externos. Su objetivo es garantizar que las organizaciones financieras mantengan la autoridad sobre sus riesgos operativos, la seguridad de los datos y la continuidad de la actividad durante la vigencia de sus acuerdos contractuales con estos proveedores terceros de servicios de TIC.
Se centran en los acuerdos contractuales con terceros proveedores de servicios de TIC (intragrupo). El proyecto de NTR se ha elaborado teniendo en cuenta las especificaciones ya existentes que figuran en las Directrices sobre acuerdos de externalización publicadas por las AES y otras especificaciones pertinentes que figuran en las Directrices de la ABE sobre las TIC y la gestión de los riesgos de seguridad.
El 17 de julio de 2024 se publicarán otras normas técnicas sobre cómo evaluar a los proveedores de servicios de TIC en el contexto de la subcontratación de «funciones críticas o importantes», así como sobre cómo llevar a cabo la supervisión de los proveedores de servicios de TIC identificados como esenciales.
d) Normas Técnicas de Ejecución (NTE) para establecer las plantillas del registro de información
Las plantillas proporcionadas establecen el marco para un registro de subcontratación de TIC que las entidades financieras deben mantener y actualizar periódicamente en relación con sus acuerdos contractuales con terceros proveedores de servicios de TIC.
El registro de subcontratación de TIC desempeñará un papel fundamental en la gestión de los riesgos de los proveedores de servicios externos de TIC para las entidades financieras y será utilizado por las autoridades competentes para supervisar el cumplimiento de DORA e identificar a los proveedores de servicios externos de TIC esenciales sujetos a la supervisión de DORA. El establecimiento de este registro requerirá un esfuerzo significativo para muchas empresas, ya sea introduciendo nuevas herramientas o realizando amplias modificaciones en los sistemas existentes.
Las AES presentarán el proyecto final de RTS a la Comisión Europea para su adopción. Tras su adopción en forma de Reglamento Delegado de la Comisión, se someterá al examen del Parlamento Europeo y del Consejo antes de su publicación en el Diario Oficial de la Unión Europea. La fecha prevista de aplicación de estas NTR es el 17 de enero de 2025.
(4) Aplicación en Luxemburgo
El 4 de agosto de 2023, se presentó al Parlamento luxemburgués (Chambre des Députés) el proyecto de ley nº 82911 («Proyecto de Ley»).
Considerando que las disposiciones del Reglamento serán directamente aplicables en el Derecho luxemburgués a partir del 17 de enero de 2025, los principales objetivos del Proyecto de Ley se limitan a lo siguiente:
a) Designar a las autoridades luxemburguesas competentes responsables de velar por la aplicación del Reglamento por parte de las entidades incluidas en el ámbito de aplicación sujetas a su supervisión, a saber, la Commission de Surveillance du Secteur Financier (CSSF) y el Commissariat aux Assurances (CAA).
b) Dotar a la CSSF y al CAA de los poderes de supervisión e investigación necesarios para el desempeño de sus funciones.
c) Establecer un sistema adecuado de sanciones y otras medidas administrativas.
«Las AES presentarán el proyecto final de RTS a la Comisión Europea para su adopción. Tras su adopción en forma de Reglamento Delegado de la Comisión, se someterá al examen del Parlamento Europeo y del Consejo antes de su publicación en el Diario Oficial de la Unión Europea. La fecha prevista de aplicación de estas NTR es el 17 de enero de 2025.»
Sobre la base del Proyecto de Ley en su versión actual, la CSSF y la CAA estarán especialmente facultadas para pronunciar, dentro de los límites de sus respectivas competencias, sanciones específicas contra las personas sujetas a su respectiva supervisión si se infringen determinadas disposiciones de DORA.
Además de implementar DORA, el Proyecto de Ley transpone a la legislación luxemburguesa la Directiva (UE) 2022/2556 de 14 de diciembre de 2022 («Directiva de modificación de DORA»), que modifica directivas europeas específicas del sector financiero para implementar requisitos de resiliencia digital y seguridad de las TIC.
En este sentido, el Proyecto de Ley introduce modificaciones puntuales en nueve leyes luxemburguesas relacionadas con el sector financiero, como son la ley de 5 de abril de 1993 sobre el sector financiero (modificada) («LFS»); la ley de 10 de noviembre de 2009 sobre servicios de pago (modificada) («LPS»); la ley de 17 de diciembre de 2010 sobre organismos de inversión colectiva (modificada); la ley de 12 de julio de 2013 sobre gestores de fondos de inversión alternativos (modificada); y la ley de 7 de diciembre de 2015 sobre el sector asegurador (modificada).
«Sobre la base del Proyecto de Ley en su versión actual, la CSSF y la CAA estarán especialmente facultadas para pronunciar, dentro de los límites de sus respectivas competencias, sanciones específicas contra las personas sujetas a su respectiva supervisión si se infringen determinadas disposiciones de DORA.»
(5) Implicaciones prácticas: ¿Qué significa DORA para las entidades financieras luxemburguesas?
a) Acuerdos de externalización
En febrero de 2019, la Autoridad Bancaria Europea (ABE) publicó directrices revisadas sobre acuerdos de externalización, que fueron integradas por la CSSF en su práctica administrativa y enfoque normativo mediante la Circular CSSF 22/806 sobre acuerdos de externalización de 22 de abril de 2022 («Circular CSSF 22/806«).
Dada la aplicación de DORA y la transposición de la Directiva a la legislación nacional de Luxemburgo, cabe esperar que la Circular CSSF 22/806 se vea afectada. De hecho, los acuerdos de externalización deberán cumplir en todo momento los requisitos organizativos para la externalización de conformidad con las disposiciones de la LFS y la LPS.
Dado que estas dos leyes se modificarán para incorporar/seguir el nuevo régimen de DORA, en última instancia significa que la mencionada Circular CSSF 22/806 también requerirá una revisión.
Aun así, las entidades pertinentes que actualmente siguen las normas de externalización implementadas en la Circular CSSF 22/806 tendrán cierto grado de tranquilidad al saber que ya habrá elementos significativos de cumplimiento.
b) Impacto en la contratación con terceros
La aplicación de DORA es amplia. No sólo se aplica a los acuerdos de externalización, sino también a los servicios de TIC en su conjunto.
En la práctica, este ámbito de aplicación más amplio significa que las entidades de servicios financieros que ya han completado un proyecto para cumplir con las directrices reglamentarias sobre externalización tendrán que revisar aquellos servicios que no se consideraban externalización pero que entrarán en la definición de servicios TIC de DORA.
A continuación, tendrán que evaluar esos contratos en relación con los requisitos contractuales de DORA.
Para todos los contratos que impliquen a una entidad financiera y a terceros proveedores de servicios de TIC sobre el uso de servicios de TIC, DORA establece requisitos contractuales, con normas más estrictas aplicables a los proveedores que apoyan «funciones esenciales o importantes«. El artículo 3 de DORA define las funciones de la siguiente manera:
«cuya perturbación afectaría significativamente al rendimiento financiero de una entidad financiera o a la solidez o continuidad de sus servicios y actividades o cuya interrupción o ejecución defectuosa o fallida afectaría significativamente al cumplimiento continuado de una entidad financiera con las condiciones y obligaciones de su autorización, o con sus demás obligaciones con arreglo al Derecho aplicable en materia de servicios financieros».
Esto afectará tanto a los contratos nuevos como a los ya existentes. Los derechos y obligaciones de la entidad financiera y del proveedor de servicios de TIC deben establecerse expresamente en los contratos pertinentes, que deben constar por escrito.
Los criterios contractuales de DORA siguen de cerca las Directrices de la ABE para los contratos de externalización mencionadas anteriormente. Varias cláusulas, como las siguientes, le resultarán familiares:
- Una lista exhaustiva de especificaciones contractuales (por ejemplo, descripción de los servicios, lugares de prestación de los servicios y almacenamiento y tratamiento de datos).
- Requisitos para incluir derechos de rescisión específicos.
- Obligaciones del proveedor de TIC de, entre otras cosas, cumplir las normas adecuadas de seguridad de la información.
- Disposiciones para garantizar el acceso, la recuperación y la devolución de los datos en caso de insolvencia, resolución o interrupción de las operaciones del proveedor de TIC, o en caso de rescisión del contrato.
DORA va un paso más allá y exige la incorporación de nuevas disposiciones contractuales (por ejemplo, los proveedores de TIC deberán ofrecer asistencia «sin coste adicional o a un coste que se determine a priori» cuando surjan problemas específicos relacionados con las TIC que repercutan en el servicio).
c) «Proveedores terceros de servicios TIC esenciales».
Como se ha indicado anteriormente, las AES estarán facultadas para examinar a los proveedores terceros de servicios de TIC sobre la base de los criterios especificados en el artículo 31 de DORA y clasificarlos como » esenciales » en caso necesario, en función de varios factores, entre ellos los siguientes
- El posible impacto sistemático en la prestación de servicios financieros en caso de fallo a gran escala.
- El tipo y la importancia de las entidades que dependen del proveedor.
- La facilidad de sustitución del proveedor.
Cuando el proveedor de servicios externos de TIC pertenezca a un grupo, los criterios antes mencionados se considerarán en relación con los servicios de TIC prestados por el grupo en su conjunto.
Para cada proveedor de servicios terceros de TIC esencial, se designará a una de las AES como «supervisor principal«. Los poderes del Supervisor Principal con arreglo al artículo 35, apartado 1, de DORA incluyen los siguientes derechos:
- Solicitar toda la información y documentación que considere necesaria para el desempeño de sus funciones.
- Realizar investigaciones generales e inspecciones (in situ).
- Solicitar informes al término de las actividades de supervisión.
- Formular recomendaciones, por ejemplo, sobre requisitos de seguridad y calidad de las TIC o sobre subcontratación.
El supervisor principal notificará al proveedor de servicios de TIC a terceros el resultado de la evaluación que conduzca a su designación como «proveedores terceros esenciales de servicios de TIC».
Tras designar a un proveedor tercero de servicios de TIC como esencial, las AES, a través del Comité Mixto2, notificarán al proveedor tercero de servicios de TIC dicha designación y la fecha a partir de la cual estará efectivamente sujeto a las actividades de supervisión.
Dicha fecha de inicio no podrá ser posterior a un mes después de la notificación. El proveedor tercero de servicios de TIC notificará a las entidades financieras a las que preste servicios su designación como esenciales.
Conclusión
Aunque la mayoría de las instituciones financieras ya están sujetas a algún tipo de normativa de ciberseguridad en la UE y en Luxemburgo (por ejemplo, la NIS 1 y la próxima NIS 2), DORA amplía significativamente el alcance de estas normativas y se aplicará al menos a algunas de sus actividades empresariales en la UE.
Por ello, recomendamos encarecidamente a las entidades financieras que lleven a cabo lo siguiente:
a) Revisar las medidas de seguridad técnicas y organizativas existentes (incluidos sistemas, protocolos y herramientas) en relación con los requisitos de DORA.
b) Determinar en qué medida pueden aprovecharse o actualizarse los procesos y procedimientos actuales.
c) Integrar los requisitos de gestión de riesgos de las TIC de DORA en un marco de riesgos organizativos más amplio.
d) Implicar a las partes interesadas de toda la empresa, incluidos los departamentos jurídicos, de cumplimiento normativo y de informática, con la supervisión última del Consejo de Administración.
[1] Proyecto de ley nº 8291 destinado a: (i) transponer el Reglamento (UE) 2022/2554, de 14 de diciembre de 2022, sobre la resistencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011; (ii) la transposición de la Directiva (UE) 2022/2556, de 14 de diciembre de 2022, por la que se modifican las Directivas 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341 en lo que respecta a la resiliencia operativa digital del sector financiero; (iii) la modificación de (a) la ley modificada de 5 de abril de 1993 sobre el sector financiero; (b) la ley modificada de 13 de julio de 2005 sobre organismos de previsión para la jubilación en forma de SEPCAV y ASSEP; (c) la ley modificada de 10 de noviembre de 2009 sobre los servicios de pago; (d) la ley modificada de 17 de diciembre de 2010 sobre los organismos de inversión colectiva; (e) la ley modificada de 12 de julio de 2013 sobre los gestores de fondos de inversión alternativos; (f) la ley modificada de 7 de diciembre de 2015 sobre el sector de los seguros; (g) la ley modificada de 18 de diciembre de 2015 sobre la quiebra de entidades de crédito y de determinadas empresas de inversión; (h) la ley modificada de 30 de mayo de 2018 sobre los mercados de instrumentos financieros; (i) la ley modificada de 16 de julio de 2019 sobre la aplicación de la normativa europea en el ámbito de los servicios financieros.
[2] «Comité Mixto«: el comité a que se refiere el artículo 54 de los Reglamentos (UE) nº 1093/2010, (UE) nº 1094/2010 y (UE) nº 1095/2010.
Autores
Jean-François Trapp
Partner
Baker & McKenzie
Ana Vazquez
Director
Baker & McKenzie
Buscar publicaciones por temáticas
Alternative Investment (3)
AML (1)
Arte (1)
Asesoramiento (6)
Asset Management (15)
Banca Digital (5)
Banking (14)
Capital Riesgo (4)
Compliance (1)
Consejero Independiente (5)
Criptoactivos (3)
Distribución de fondos (15)
Diversidad (3)
Empresas Familiares (3)
Family Offices (2)
Finanzas Sostenibles (20)
Fintech (10)
Gestión Patrimonial (10)
Gobernanza (8)
Internacionalización (1)
Inversiones Alternativas (17)
LATAM (3)
Legal (6)
Precios de Transferencia (1)
Reaseguro (1)
RRHH (8)
Seguros (1)
Seguros de vida Unit-linked (5)
Tax (12)
Tecnología (6)
Tendencias (16)
TIC (1)
UE (6)