Miguel Ángel Perea Mora

Como hemos visto, el Reglamento DORA (Digital Operational Resilience Act) no solo ha supuesto un cambio en la forma en que el sector financiero de la Unión Europea (UE) gestiona los riesgos derivados de la digitalización, sino que también, este cambio ha afectado relativamente al papel que desempeñan los organismos supervisores de la UE. Dentro de este marco, las Autoridades Europeas de Supervisión (AES) desempeñan un importante papel a la hora de conseguir garantizar el cumplimiento normativo y la seguridad del ecosistema financiero digital. Pero ¿qué funciones tienen dentro del marco DORA? Vamos a tratar de desgranar con algunos ejemplos cuales serían algunas funciones y ventajas en cuanto al papel de las AES. ¿Qué son las AES y cuáles operan dentro de DORA? Antes de todo, no está de más si se explica lo que son estas Autoridades Europeas de Supervisión (AES), que están compuestas por: EBA (Autoridad Bancaria Europea): es el organismo regulador de la Unión Europea, encargado de garantizar la estabilidad e integridad del sistema bancario europeo, siendo una de sus funciones la de desarrollar un marco regulatorio y de supervisión único para todas las entidades bancarias de la UE. ■ Esto incluye la elaboración de normas técnicas, directrices y estándares que aseguren la protección de consumidores, la transparencia en los servicios bancarios y una gestión prudente de los riesgos financieros. ESMA (Autoridad Europea de Valores y Mercados): esta autoridad es la encargada de mejorar el funcionamiento de los mercados financieros y de proteger a los consumidores. Entre sus funciones está la de supervisar mercados de valores, agencias de calificación, proveedores de datos financieros, etc. ■ Su papel es clave para garantizar un mercado transparente, eficiente y estable, desarrollando (al igual que la EBA) normas técnicas y directrices varias. EIOPA (Autoridad Europea de Seguros y Pensiones de Jubilación): EIOPA, como organismo que supervisa el sector de los seguros y pensiones en Europa, trata de proteger a los asegurados, pensionistas y beneficiarios mediante la promoción de la estabilidad y transparencia del mercado. ■ Adicionalmente, tal y como se ha trasladado con la EBA y la ESMA, EIOPA también desarrolla directrices, recomendaciones y normas técnicas para reforzar la resiliencia y solidez de las entidades del sector. Por tanto, estas entidades, en coordinación con el Banco Central Europeo (BCE) y otras autoridades nacionales, se encargan de velar por la estabilidad financiera en el entorno digital, armonizando normativas y asegurando que las entidades cumplan con los requisitos de resiliencia operativa. Supervisión y cumplimiento normativo Además de los requisitos que se indican en el Reglamento, otro de los pilares de DORA es la creación de un marco de supervisión robusto a nivel europeo, y, en este sentido, las AES tienen un papel importante por ejemplo a la hora de: Supervisar a las entidades financieras y a proveedores esenciales de servicios TIC: Evaluarán la resiliencia operativa digital de bancos, aseguradoras, empresas de inversión y otros actores clave dentro del sector financiero. La coordinación con otras autoridades nacionales, que en el caso de España se puede nombrar a la CNMV, la DGSFP o el BdE: Garantizarán la aplicación homogénea de DORA en todos los Estados miembros. La aplicación de sanciones (recientemente se ha publicado el Anteproyecto de Ley de digitalización y modernización del sector financiero): En caso de incumplimiento, las AES pueden imponer medidas correctoras y sanciones económicas a las entidades incumplidoras. Notificación y gestión de incidentes La gestión de ciberincidentes es clave en el Reglamento DORA y también en las normas técnicas publicadas. Las AES, también en este caso, juegan un papel importante: Centralizan la información sobre incidentes graves y garantizan que las entidades informen dentro de los plazos establecidos. Coordinan respuestas para tratar de evitar la propagación de amenazas en el ecosistema financiero europeo. Analizan tendencias y emiten recomendaciones para reforzar la seguridad digital de las instituciones financieras. Además, también pueden recibir información sobre ciberamenazas importantes. ■ Recordemos que según el Reglamento DORA, un incidente TIC clasificado como grave deberá ser notificado en un plazo máximo de 24 horas desde su detección. Supervisión de proveedores terceros de servicios TIC Quizá una de las cuestiones más relevantes dentro de DORA, y es que el Reglamento establece requisitos para implementar un control estricto sobre los proveedores TIC que se consideren esenciales para el sector financiero. En este aspecto, las AES tienen la potestad de: Solicitar y llevar a cabo un registro de proveedores TIC de Entidades Financieras a nivel de la UE. Evaluar y designar proveedores críticos para garantizar su fiabilidad. Exigir auditorías periódicas y evaluaciones de riesgos y realizar otro tipo de supervisiones. Solicitar que se tomen medidas traten de corregir o paliar las deficiencias identificadas si presentan riesgos para la seguridad. Además, contar con el gobierno en la gestión documental bien definido facilita la adaptación a nuevas regulaciones, integrando mejoras sin necesidad de reestructurar todo el sistema de gestión documental. Pruebas de penetración Las AES también supervisan las pruebas de penetración basadas en amenazas (TLPT, por sus siglas en inglés), diseñadas para evaluar la capacidad de resiliencia de las entidades. Las funciones que llevarán a cabo incluyen: Definir metodologías de pruebas TLPT basadas en el marco TIBER-EU, pruebas éticas basadas en inteligencia de ciberamenazas para el sistema financiero de la Unión Europea. Evaluar y seleccionar a las entidades que deben someterse a pruebas obligatorias según su perfil de riesgo. Supervisar la aplicación de medidas correctivas tras los resultados de las pruebas que se lleven a cabo. Ventajas de contar con las AES en el marco DORA El papel de las AES dentro de DORA aporta beneficios para el sector financiero europeo y para los usuarios de los servicios, por poner ejemplos podríamos citar los siguientes: Mayor armonización y coherencia regulatoria: Se evitan diferencias normativas entre países, garantizando igualdad de condiciones para todas las entidades y consiguiendo un panorama normativo más cohesionado. Mejor protección ante ciberamenazas: La supervisión también mejora la preparación del sector ante ataques u otros eventos disruptivos. Transparencia y confianza en el mercado: La regulación refuerza la credibilidad de las entidades financieras y de sus proveedores de frente a la sociedad en general. Conclusión Las Autoridades Europeas de Supervisión desempeñan un papel clave dentro de DORA al garantizar que el sector financiero sea más seguro, resiliente y preparado ante los retos digitales. Su trabajo en la supervisión de entidades, la regulación de proveedores TIC y la gestión de ciberincidentes refuerza la estabilidad económica de la UE. Por último, esta colaboración será cada vez más importante porque en un mundo cada vez más interconectado, contar con organismos fuertes y bien coordinados marcará la diferencia entre la seguridad y la vulnerabilidad financiera. ■ MÁS DE ESTA SERIE Telefónica Tech Reglamento DORA (I): desafíos en la digitalización del sector financiero 19 de marzo de 2025 Telefónica Tech Reglamento DORA (II): impacto en la gobernanza. El papel del órgano de dirección 2 de abril de 2025 ■ RELACIONADO Telefónica Tech Mastering DORA: Estrategias prácticas para garantizar la resiliencia operativa en el sector financiero 27 de marzo de 2025

Mucho se ha hablado ya del Reglamento DORA (Digital Operational Resilience Act) debido ya que obliga a las Entidades Financieras a adoptar medidas para garantizar su resiliencia operativa digital, y entre estas medidas, se encuentran también medias organizativas. En este sentido, un aspecto clave en el Reglamento es el de la documentación con la que estas entidades deben contar, abarcando desde políticas estratégicas hasta procedimientos operativos. La pregunta que nos hacemos es la siguiente: ¿cómo gestionar la aprobación de la documentación generada? Definir el nivel de aprobación adecuado es esencial para garantizar una gobernanza efectiva y evitar el exceso de burocracia y la falta de control en decisiones críticas. Definir el nivel de aprobación adecuado es esencial para garantizar una gobernanza efectiva y evitar el exceso de burocracia y la falta de control en decisiones críticas. En esta serie de artículos, analizaremos en detalle los aspectos clave de este anteproyecto, sus implicaciones, los avances y desafíos que enfrenta el sector financiero, y el impacto del Reglamento DORA en la mejora de la seguridad, resiliencia y modernización del sector. Tipos de documentación y su nivel de aprobación Para entender mejor como puede afectar el Reglamento a la gobernanza dentro de las entidades, comenzamos distinguiendo varios tipos de documentos, siendo entre otros: Políticas: Son directrices generales que establecen principios estratégicos. Deben ser aprobadas por la Alta Dirección o el Consejo de Administración. Procedimientos: Detallan los pasos operativos para aplicar las políticas. Generalmente, su aprobación corresponde al CISO (Chief Information Security Officer), CIO (Chief Information Officer) o responsables de seguridad. Planes y estrategias: Incluyen continuidad de negocio, resiliencia operativa o gestión de incidentes. Deben ser aprobados en algunos casos por la Alta Dirección debido a su impacto estratégico. Registros y auditorías: Documentan la actividad y el cumplimiento normativo. Normalmente suelen ser gestionados y aprobados por responsables técnicos y departamentos de auditoría. Definir el nivel de aprobación adecuado es esencial para garantizar una gobernanza efectiva y evitar el exceso de burocracia y la falta de control en decisiones críticas. En cuanto a los niveles de aprobación, el Reglamento DORA establece en su Artículo 5 que el Órgano de Dirección es el responsable de aprobar el marco de gestión de riesgos TIC, incluidas las políticas principales. Pero, además de esta mención, podemos distinguir otras, por ejemplo: Indica que el Órgano de Dirección debe aprobar los planes de continuidad y recuperación establecidos en el artículo 11. En cuanto a la gestión de terceros, establece que el Órgano de Dirección debe aprobar la política de proveedores TIC, revisando además los riesgos derivados de estos terceros, tal y como se indica en el artículo 28. ■ Por tanto, el papel del Órgano de dirección en la gestión documental se entiende muy importante, apuntalando así el impacto que el Reglamento DORA tiene en el gobierno de la Ciberseguridad y la resiliencia dentro de las entidades. Ejemplos prácticos de niveles de aprobación En vista de los niveles de aprobación que indica DORA, se podrían tomar como partida los siguientes documentos e intentar analizar cómo se podría aplicar en nuestra entidad: Ejemplo 1: Gestión de riesgos TIC Política de Gestión de Riesgos TIC → Órgano de Dirección Se trata de un documento que define cómo la entidad gestiona los riesgos TIC. Tiene un alto impacto en la resiliencia operativa y debe contar con el respaldo de la dirección. Procedimiento de Evaluación de Riesgos TIC → CISO / Responsable de Riesgos Este documento detalla la metodología utilizada para evaluar los riesgos. Podríamos entender que, al ser operativo, su aprobación podría recaer en los responsables de su ejecución. Ejemplo 2: Control de accesos Política de Gestión de Accesos → Órgano de Dirección Define los principios y normas generales sobre acceso a sistemas y datos críticos. Entendiendo que afectará de manera global dentro de la Entidad, se podría tomar como punto de partida que sea la Alta Dirección quien apruebe esta política. Procedimiento de Control de Accesos → CISO / Responsable de Seguridad Describe los pasos concretos para otorgar, modificar y revocar accesos, por lo que podría ser aprobado por la capa más operativa. Ejemplo 3: Relación con proveedores TIC Política de Supervisión de Proveedores TIC → Órgano de Dirección Dado que los proveedores TIC pueden representar riesgos críticos, su supervisión debe ser aprobada a nivel estratégico. Procedimiento de Evaluación de Proveedores TIC → Responsable de Terceros (si existe) Este documento establece los controles específicos a aplicar en las evaluaciones periódicas. Es evidente que, estos casos dependerán de la naturaleza de cada entidad, dado que no siempre ni en todas las entidades se contará con un elevado número de responsables técnicos. Definir correctamente el nivel de aprobación no es solo un requisito normativo, sino que tiene un impacto directo en la gobernanza y la eficiencia operativa. Impacto en la gobernanza y toma de decisiones Introduciéndonos más en las distintas cuestiones que marca el anteproyecto, podemos ver que este introduce sanciones enfocadas a la seguridad digital y operativa de las entidades financieras. Una vez vistos unos ejemplos de cómo se podría aplicar este requisito, podemos entender que, definir correctamente el nivel de aprobación no es solo un requisito normativo, sino que tiene un impacto directo en la gobernanza y la eficiencia operativa: Equilibrio entre control y agilidad: Si el Órgano de Dirección aprobara cada procedimiento técnico, se ralentizaría la operativa diaria. Delegar su aprobación agiliza procesos sin perder el control estratégico. Claridad en la responsabilidad: Cada nivel de la organización sabe qué decisiones le corresponden, evitando solapamientos o falta de supervisión. Esto facilita, por ejemplo, el cumplimiento normativo y la eficacia en la toma de decisiones. Optimización de la estructura organizativa: Una correcta asignación de aprobaciones permite distribuir mejor las responsabilidades entre los niveles estratégicos y operativos, favoreciendo la especialización y eficiencia. Cumplimiento normativo asegurado: Una estructura clara de aprobación ayuda a las entidades a demostrar su alineamiento con DORA en auditorías, minimizando el posible riesgo de sanciones. Además, contar con el gobierno en la gestión documental bien definido facilita la adaptación a nuevas regulaciones, integrando mejoras sin necesidad de reestructurar todo el sistema de gestión documental. Las políticas estratégicas deben ser aprobadas por el Órgano de Dirección, mientras que los procedimientos técnicos pueden ser gestionados por responsables operativos. Conclusión: la estrategia clave en la gobernanza DORA establece que las políticas y estrategias clave deben ser aprobadas por el Órgano de Dirección, mientras que los procedimientos técnicos podrán ser gestionados por responsables operativos. Esta diferenciación es clave para optimizar la gobernanza y la resiliencia operativa. El quid de la cuestión está en que, sin una correcta asignación de responsabilidades en la aprobación documental, las organizaciones pueden enfrentarse a ineficiencias, solapamiento de funciones y falta de supervisión adecuada. Definir correctamente estos niveles de aprobación no solo ayuda a cumplir con DORA, sino que refuerza la estructura de control interno de la entidad y mejora la capacidad de respuesta ante riesgos TIC. Por ello, es crucial que cada entidad revise y ajuste sus procesos documentales para asegurar que cumplen con la normativa y, al mismo tiempo, facilitar una gestión ágil y efectiva de la resiliencia operativa digital. Una correcta asignación de responsabilidades en la aprobación documental no solo ayuda a cumplir con DORA, sino que refuerza la estructura de control interno de la entidad y mejora la capacidad de respuesta ante riesgos TIC. Además, la implicación de la alta dirección refuerza la cultura de cumplimiento y responsabilidad dentro de la entidad. Cuando los directivos respaldan y aprueban documentos críticos, se fomenta un entorno donde todos los niveles de la organización comprenden la importancia de seguir los procedimientos establecidos, minimizando riesgos y mejorando la preparación ante auditorías y posibles incidentes. Esta implicación a la larga también acelera la toma de decisiones y la eficacia en su ejecución. Finalmente, la supervisión directa de la alta dirección en la aprobación documental aumenta la credibilidad de la empresa ante reguladores, clientes y socios. Demuestra un compromiso real con la ciberseguridad, la continuidad de negocio y la gestión de riesgos, elementos esenciales en el Reglamento DORA. Con una estructura documental sólida y bien aprobada desde arriba, la organización se fortalece, minimizando incertidumbres y mejorando su capacidad de adaptación a nuevas normativas y desafíos operativos. La supervisión directa de la alta dirección en la aprobación documental refuerza la credibilidad de la empresa y demuestra un compromiso genuino con la ciberseguridad y la gestión de riesgos. ■ MÁS DE ESTA SERIE Telefónica Tech Reglamento DORA (I): desafíos en la digitalización del sector financiero 19 de marzo de 2025 Telefónica Tech El Reglamento DORA (III) Las Autoridades Europeas de Supervisión en DORA. Claves de su papel regulador 15 de abril de 2025 ■ RELACIONADO Telefónica Tech Mastering DORA: Estrategias prácticas para garantizar la resiliencia operativa en el sector financiero 27 de marzo de 2025

Como es sabido, la transformación digital en el sector financiero ha adquirido un papel central en la evolución de la economía global y, por ende, también en la nacional. En España, esta transformación se ha reforzado recientemente por el Anteproyecto de Ley de Digitalización y Modernización del sector financiero, que busca armonizar la innovación tecnológica con un marco regulador sólido. En esta serie de artículos, analizaremos en detalle los aspectos clave de este anteproyecto, sus implicaciones, los avances y desafíos que enfrenta el sector financiero, y el impacto del Reglamento DORA en la mejora de la seguridad, resiliencia y modernización del sector. La digitalización en el sector Financiero El avance de las tecnologías digitales ha permitido lograr una mayor eficiencia operativa en las entidades financieras. La automatización de procesos, el crecimiento de los servicios digitales y la búsqueda de una mejor experiencia de usuario son un buen ejemplo de ello, sin embargo, estos mismos avances plantean nuevos retos en ciberseguridad y esto implica, a su vez, retos en cuanto a planteamientos regulatorios. Ciberresiliencia: un pilar fundamental Uno de los ejes del anteproyecto es el de la implementación del Reglamento DORA (siglas en inglés de Digital Operational Resilience Act) que, como sabemos, exige a diversas entidades del sector financiero la adopción de medidas frente a ciberataques, gestión de riesgos y notificación de incidentes, así como a otros organismos el crear mecanismos de supervisión e incluso sanciones por posibles incumplimientos. El objetivo es evitar, en la medida de lo posible, la indisponibilidad de los servicios financieros y el de establecer también responsabilidades de seguridad. Un marco sancionador para garantizar la resiliencia digital de las entidades Introduciéndonos más en las distintas cuestiones que marca el anteproyecto, podemos ver que este introduce sanciones enfocadas a la seguridad digital y operativa de las entidades financieras. Por un lado, las multas se clasificarán según la gravedad de la infracción. Se podrán imponer sanciones por incumplimientos en aspectos como la gestión de incidentes, la falta de adaptación al propio Reglamento DORA, o la ausencia de protección adecuada en las infraestructuras. También se sancionará a empresas que incumplan el requisito de capacitación y formación en materia de ciberseguridad del personal. Finalmente, se establece la responsabilidad de los Directivos y Administradores en las entidades, introduciendo medidas correctivas obligatorias y/o sanciones personales. Siguiendo con este marco sancionador, y debido a que este anteproyecto aún debe ser aprobado, daremos solo algunos ejemplos sobre las multas o sanciones anteriormente expuestas. Sanciones por incumplimientos en la gestión de incidentes: Falta de notificación de incidentes. Multas que podrían llegar a los 2 millones de euros. Clasificación incorrecta de incidentes. La ausencia de protocolos adecuados podría derivar en sanciones que tienen en cuenta el porcentaje de volumen de negocios actual. Ausencia de planes de recuperación, que podría llevar a la suspensión temporal de operaciones. Ciberseguridad Estrategias de Ciberseguridad para proteger el sector financiero 10 de octubre de 2023 Sanciones por falta de adaptación al Reglamento DORA: Deficiencias en la supervisión de proveedores TIC. La subcontratación de servicios sin garantías de seguridad adecuadas puede acarrear sanciones de hasta el 5% de la facturación anual. Incumplimiento en la implementación de pruebas de resiliencia. Se pueden imponer sanciones a las entidades que no realicen simulacros o pruebas periódicas. Falta de estrategia de Gestión de Riesgos TIC. La entidad que no implemente un marco de gestión de riesgos adecuado podría afrontar sanciones económicas y deberá aplicar medidas correctivas en caso necesario. El papel del Banco de España y la CNMV Estas instituciones tendrán la responsabilidad de garantizar que las entidades implementen las medidas necesarias y de imponer las sanciones en caso de posibles infracciones. No obstante, el anteproyecto también prevé mecanismos de cooperación entre reguladores nacionales e internacionales. En todo caso, las entidades podrán establecer cambios bajo la supervisión del Banco de España o la CNMV, y algunas sanciones podrían agravarse en caso de reincidencia. Desafíos que se presentan a las entidades financieras La implementación de los requisitos del Reglamento DORA puede presentar diversos desafíos, como los costes que tendrán que asumir las entidades para evitar este tipo de sanciones, o la necesidad de realizar auditorías frecuentes para garantizar un alto nivel de cumplimiento. Hacia un sector financiero más resiliente El anteproyecto de Ley de Digitalización y Modernización del Sector Financiero en España establece un régimen sancionador riguroso para garantizar la ciberresiliencia del sector financiero y de las entidades afectadas por el Reglamento DORA. Para reforzar la seguridad y resiliencia, este anteproyecto contempla desde sanciones económicas significativas hasta medidas correctivas obligatorias. En consecuencia, estas medidas fortalecerán también la confianza del público en los servicios ofrecidos por las entidades financieras. Ante todo, y para finalizar, con este marco regulador España busca garantizar un entorno más seguro y estable para empresas y consumidores. Sin embargo, al tratarse de un anteproyecto, este texto es una propuesta inicial y conviene destacar que aún no ha sido aprobado, por lo que su contenido puede verse modificado durante su tramitación parlamentaria. Por tanto, solo después de su aprobación podremos conocer la versión final y todas sus implicaciones, aunque sí es cierto que, aun sujeto a posibles cambios, podemos hacernos ya una idea acerca de las multas o sanciones que podrían imponerse en caso de incumplimiento de los requisitos del DORA. ■ MÁS DE ESTA SERIE Telefónica Tech Reglamento DORA (II): impacto en la gobernanza. El papel del órgano de dirección 2 de abril de 2025 Telefónica Tech El Reglamento DORA (III) Las Autoridades Europeas de Supervisión en DORA. Claves de su papel regulador 15 de abril de 2025 ■ RELACIONADO Telefónica Tech Mastering DORA: Estrategias prácticas para garantizar la resiliencia operativa en el sector financiero 27 de marzo de 2025

A poco menos de un mes de cumplirse un año de la publicación y posterior entrada en vigor del Reglamento DORA, poco a poco se van conociendo más detalles sobre cómo los sujetos obligados por el Reglamento deben prepararse para cumplir con esta norma, y ser capaces de adecuarse a sus requisitos antes de su aplicabilidad, marcada a partir del 17 de enero de 2025. Antecedentes En efecto, DORA, el nuevo (o ya no tan nuevo) Reglamento europeo sobre la resiliencia operativa digital del sector financiero, nace con la idea de dar respuesta al papel fundamental en la prestación de servicios financieros que ha supuesto el uso de las tecnologías de la información y la comunicación (TIC), adquiriendo una importancia primordial en la ejecución de las funciones típicas de todas las entidades financieras. DORA pretende lograr un elevado nivel común de resiliencia operativa digital dentro de las entidades financieras de la UE. Adicionalmente, el hecho de la creciente digitalización en el sector financiero, que conlleva una mayor eficiencia para las entidades y una mayor comodidad para los clientes, también implica una serie de riesgos que las entidades financieras deben gestionar, ya que esta mayor digitalización hace a estas entidades más vulnerables a las Ciberamenazas. Para intentar dar respuesta, el Reglamento DORA establece requisitos uniformes relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de las entidades financieras. Los requisitos establecidos por el Reglamento se pueden dividir en 6 grandes ámbitos: 1. Gobernanza de las TIC dentro de las Entidades Financieras. 2. Gestión de los riesgos de TIC. 3. Gestión de los riesgos TIC de terceros. 4. Gestión y notificación de incidentes. 5. Pruebas de resiliencia operativa. 6. Intercambio de información. Ahora bien, dentro de todos los requisitos exigidos en los artículos del Reglamento, se incide en que algunos de estos deberán ser tratados de manera más específica, la cual, deberá ser desarrollada por las Autoridades Europeas de Supervisión (AES) de manera más precisa a la que el Reglamento indica. ¿Qué mandato establece DORA a las AES respecto a la gestión de riesgos? En concreto, DORA indica que estas AES, compuestas por la European Banking Authority (EBA), la European Insurance and Occupational Pensions Authority (EIOPA), y la European Securities and Markets Authority (ESMA), en consulta con la Unión Europea para la Ciberseguridad (ENISA) desarrollarán Normas Técnicas de Regulación comunes (RTS por sus siglas en inglés) a fin de especificar otros elementos que no se encuentran en el Reglamento pero que los sujetos obligados deberán aplicar también en su Organización. Este mandato conferido a las AES por parte de las autoridades competentes se desarrolla en algunos artículos del Reglamento, por lo que, centrándonos en los aspectos relativos a la gestión de riesgos, los artículos 15 y 16.3 de DORA, indican en resumen que: Artículo 15. Mayor armonización de las herramientas, métodos, procesos y políticas de gestión del riesgo relacionado con las TIC Las AES desarrollarán normas técnicas a fin de: a) Especificar otros elementos que deban incluirse en las políticas, procedimientos protocolos y herramientas en materia de seguridad de las TIC; b) Desarrollar nuevos componentes de los controles de los derechos de gestión de accesos c) Desarrollar más detalladamente mecanismos que permitan la rápida detección de actividades anómalas y los criterios que activen los procesos de detección de incidentes relacionados con las TIC y de respuesta a los mismos; d) Especificar más detalladamente los componentes de la política de continuidad de la actividad en materia de TIC; e) Especificar más detalladamente las pruebas de los planes de continuidad de la actividad en materia de TIC; f) Especificar más detalladamente los componentes de los planes de respuesta y recuperación en materia de TIC; g) Especificar en mayor medida el contenido y el formato del informe sobre la revisión del marco de gestión del riesgo relacionado con las TIC. Estas RTS deben tener en cuenta el tamaño y el perfil de riesgo general de la entidad financiera, así como la naturaleza, la escala y la complejidad de sus servicios, actividades y operaciones. Artículo 16.3 Marco simplificado de gestión del riesgo relacionado con las TIC Este artículo se aplica a ciertas entidades financieras más pequeñas o menos interconectadas, y establece requisitos sobre: a) Elementos a incluir en el marco de gestión del riesgo relacionado con las TIC; b) Especificar más detalladamente los elementos en relación con los sistemas, protocolos y herramientas para minimizar las consecuencias del riesgo relacionado con las TIC; c) Especificar más detalladamente los componentes de los planes de continuidad de la actividad en materia de TIC; d) Especificar más detalladamente las normas sobre las pruebas de los planes de continuidad de la actividad y garantizar la efectividad de los controles llevados a cabo; e) Especificar más detalladamente el contenido y el formato del informe sobre la revisión del marco de gestión del riesgo relacionado con las TIC. Estas RTS, también tendrán que tener en cuenta el tamaño y el perfil de riesgo general de la entidad financiera, así como la naturaleza, la escala y la complejidad de sus servicios, actividades y operaciones. Por último, tanto el artículo 15 como el artículo 16.3 establecen como fecha límite de presentación de estas normas técnicas el día 17 de enero de 2024. Cyber Security Estrategias de Ciberseguridad para proteger el sector financiero 10 de octubre de 2023 Estado actual de las Normas Técnicas de Regulación Como acabamos de mencionar, la presentación de las Normas Técnicas será realizada en breve. Aún así, las AES han venido publicando borradores sobre estas normas, que, después de haber sido sometidos a consulta, se está a la espera de su presentación oficial y definitiva. Adicionalmente a lo expuesto, aunque en este artículo solo nos hemos referido a las RTS relativas a la gestión de riesgos, se espera también la publicación de otras normas que maticen otros requisitos establecidos por el Reglamento. En particular, las Normas que se presentarán como muy tarde el 17 de enero de 2024 serán las siguientes: Marco de Riesgos de las TIC. RTS sobre el marco de gestión de riesgos de las TIC (Art.15) y RTS sobre el marco simplificado de gestión de riesgos (Art.16.3). Clasificación y notificación de incidentes relacionados con las TIC. RTS sobre criterios de clasificación de incidentes relacionados con las TIC (Art. 18.3) Gestión de riesgos de terceros. ITS para establecer las plantillas de registro de información (Art.28.9) y RTS para especificar la política sobre servicios TIC realizados por terceros (Art.28.10). En resumen, las Normas que se esperan son las que citamos a continuación, marcando en azul las que se presentarán a principios de 2024: Cumplimiento de DORA y las Normas Técnicas Pero, después de todo lo expuesto, ¿cómo debemos cumplir con estas Normas Técnicas? O más aún, ¿cumplimos solo con las Normas, solo con el Reglamento, o con ambas? Las AES y las demás autoridades competentes, indican explícitamente que estas Normas se deberán cumplir de manera adicional a los requisitos exigidos en el Reglamento, por lo que todos los sujetos obligados deberán adecuarse tanto a las obligaciones procedentes del Reglamento, como a las directrices desarrolladas en las Normas Técnicas. En concreto, tal y como nos indican las AES en la publicación a consulta sobre los RTS, “los requisitos establecidos en las normas son complementarios a los requisitos para el marco de gestión de riesgos de las TIC ya establecidos en DORA y, por lo tanto, deben leerse junto con los artículos relacionados con DORA (artículos 5-16)”. Conclusión Un año después de la publicación del Reglamento, y con la inminente publicación de las primeras Normas Técnicas por parte de las AES, se podrá estar en disposición de acometer de manera robusta las diferentes acciones que cada Organización deba realizar para adecuarse al cumplimiento de DORA. En este sentido, el momento actual invita a realizar ya esta adecuación, ya que se cuenta con suficiente información para acometerla, y, además, se cuenta con un tiempo prudencial para realizar las acciones necesarias sin necesidad de llegar a la fecha de aplicación del Reglamento sin estar suficientemente preparados para su cumplimiento. ◾Desde Govertis, parte de Telefónica Tech, ofrecemos las soluciones necesarias para las entidades obligadas, estableciendo las acciones en tiempo y forma para la adecuación y cumplimiento de DORA, y así llegar preparados al día clave de aplicación del Reglamento. Cyber Security AI of Things IA Generativa como parte de la estrategia y liderazgo empresarial 20 de septiembre de 2023