El Reglamento DORA (III) Las Autoridades Europeas de Supervisión en DORA. Claves de su papel regulador

15 de abril de 2025

Como hemos visto, el Reglamento DORA (Digital Operational Resilience Act) no solo ha supuesto un cambio en la forma en que el sector financiero de la Unión Europea (UE) gestiona los riesgos derivados de la digitalización, sino que también, este cambio ha afectado relativamente al papel que desempeñan los organismos supervisores de la UE.

Dentro de este marco, las Autoridades Europeas de Supervisión (AES) desempeñan un importante papel a la hora de conseguir garantizar el cumplimiento normativo y la seguridad del ecosistema financiero digital. Pero ¿qué funciones tienen dentro del marco DORA?

Vamos a tratar de desgranar con algunos ejemplos cuales serían algunas funciones y ventajas en cuanto al papel de las AES.

¿Qué son las AES y cuáles operan dentro de DORA?

Antes de todo, no está de más si se explica lo que son estas Autoridades Europeas de Supervisión (AES), que están compuestas por:

  • EBA (Autoridad Bancaria Europea): es el organismo regulador de la Unión Europea, encargado de garantizar la estabilidad e integridad del sistema bancario europeo, siendo una de sus funciones la de desarrollar un marco regulatorio y de supervisión único para todas las entidades bancarias de la UE.

    Esto incluye la elaboración de normas técnicas, directrices y estándares que aseguren la protección de consumidores, la transparencia en los servicios bancarios y una gestión prudente de los riesgos financieros.
  • ESMA (Autoridad Europea de Valores y Mercados): esta autoridad es la encargada de mejorar el funcionamiento de los mercados financieros y de proteger a los consumidores. Entre sus funciones está la de supervisar mercados de valores, agencias de calificación, proveedores de datos financieros, etc.

    Su papel es clave para garantizar un mercado transparente, eficiente y estable, desarrollando (al igual que la EBA) normas técnicas y directrices varias.
  • EIOPA (Autoridad Europea de Seguros y Pensiones de Jubilación): EIOPA, como organismo que supervisa el sector de los seguros y pensiones en Europa, trata de proteger a los asegurados, pensionistas y beneficiarios mediante la promoción de la estabilidad y transparencia del mercado.

    Adicionalmente, tal y como se ha trasladado con la EBA y la ESMA, EIOPA también desarrolla directrices, recomendaciones y normas técnicas para reforzar la resiliencia y solidez de las entidades del sector.

Por tanto, estas entidades, en coordinación con el Banco Central Europeo (BCE) y otras autoridades nacionales, se encargan de velar por la estabilidad financiera en el entorno digital, armonizando normativas y asegurando que las entidades cumplan con los requisitos de resiliencia operativa.

Supervisión y cumplimiento normativo

Además de los requisitos que se indican en el Reglamento, otro de los pilares de DORA es la creación de un marco de supervisión robusto a nivel europeo, y, en este sentido, las AES tienen un papel importante por ejemplo a la hora de:

  • Supervisar a las entidades financieras y a proveedores esenciales de servicios TIC: Evaluarán la resiliencia operativa digital de bancos, aseguradoras, empresas de inversión y otros actores clave dentro del sector financiero.
  • La coordinación con otras autoridades nacionales, que en el caso de España se puede nombrar a la CNMV, la DGSFP o el BdE: Garantizarán la aplicación homogénea de DORA en todos los Estados miembros.
  • La aplicación de sanciones (recientemente se ha publicado el Anteproyecto de Ley de digitalización y modernización del sector financiero): En caso de incumplimiento, las AES pueden imponer medidas correctoras y sanciones económicas a las entidades incumplidoras.

Notificación y gestión de incidentes

La gestión de ciberincidentes es clave en el Reglamento DORA y también en las normas técnicas publicadas. Las AES, también en este caso, juegan un papel importante:

  • Centralizan la información sobre incidentes graves y garantizan que las entidades informen dentro de los plazos establecidos.
  • Coordinan respuestas para tratar de evitar la propagación de amenazas en el ecosistema financiero europeo.
  • Analizan tendencias y emiten recomendaciones para reforzar la seguridad digital de las instituciones financieras.
  • Además, también pueden recibir información sobre ciberamenazas importantes.

Recordemos que según el Reglamento DORA, un incidente TIC clasificado como grave deberá ser notificado en un plazo máximo de 24 horas desde su detección.

Supervisión de proveedores terceros de servicios TIC

Quizá una de las cuestiones más relevantes dentro de DORA, y es que el Reglamento establece requisitos para implementar un control estricto sobre los proveedores TIC que se consideren esenciales para el sector financiero. En este aspecto, las AES tienen la potestad de:

  • Solicitar y llevar a cabo un registro de proveedores TIC de Entidades Financieras a nivel de la UE.
  • Evaluar y designar proveedores críticos para garantizar su fiabilidad.
  • Exigir auditorías periódicas y evaluaciones de riesgos y realizar otro tipo de supervisiones.
  • Solicitar que se tomen medidas traten de corregir o paliar las deficiencias identificadas si presentan riesgos para la seguridad.

Además, contar con el gobierno en la gestión documental bien definido facilita la adaptación a nuevas regulaciones, integrando mejoras sin necesidad de reestructurar todo el sistema de gestión documental.

Pruebas de penetración

Las AES también supervisan las pruebas de penetración basadas en amenazas (TLPT, por sus siglas en inglés), diseñadas para evaluar la capacidad de resiliencia de las entidades. Las funciones que llevarán a cabo incluyen:

  • Definir metodologías de pruebas TLPT basadas en el marco TIBER-EU, pruebas éticas basadas en inteligencia de ciberamenazas para el sistema financiero de la Unión Europea.
  • Evaluar y seleccionar a las entidades que deben someterse a pruebas obligatorias según su perfil de riesgo.
  • Supervisar la aplicación de medidas correctivas tras los resultados de las pruebas que se lleven a cabo.

Ventajas de contar con las AES en el marco DORA

El papel de las AES dentro de DORA aporta beneficios para el sector financiero europeo y para los usuarios de los servicios, por poner ejemplos podríamos citar los siguientes:

  • Mayor armonización y coherencia regulatoria: Se evitan diferencias normativas entre países, garantizando igualdad de condiciones para todas las entidades y consiguiendo un panorama normativo más cohesionado.
  • Mejor protección ante ciberamenazas: La supervisión también mejora la preparación del sector ante ataques u otros eventos disruptivos.
  • Transparencia y confianza en el mercado: La regulación refuerza la credibilidad de las entidades financieras y de sus proveedores de frente a la sociedad en general.

Conclusión

Las Autoridades Europeas de Supervisión desempeñan un papel clave dentro de DORA al garantizar que el sector financiero sea más seguro, resiliente y preparado ante los retos digitales. Su trabajo en la supervisión de entidades, la regulación de proveedores TIC y la gestión de ciberincidentes refuerza la estabilidad económica de la UE.

Por último, esta colaboración será cada vez más importante porque en un mundo cada vez más interconectado, contar con organismos fuertes y bien coordinados marcará la diferencia entre la seguridad y la vulnerabilidad financiera.

■ MÁS DE ESTA SERIE

Reglamento DORA (I): desafíos en la digitalización del sector financiero
Telefónica Tech
Reglamento DORA (I): desafíos en la digitalización del sector financiero
19 de marzo de 2025
Reglamento DORA (II): impacto en la gobernanza. El papel del órgano de dirección
Telefónica Tech
Reglamento DORA (II): impacto en la gobernanza. El papel del órgano de dirección
2 de abril de 2025

■ RELACIONADO

Mastering DORA: Estrategias prácticas para garantizar la resiliencia operativa en el sector financiero
Telefónica Tech
Mastering DORA: Estrategias prácticas para garantizar la resiliencia operativa en el sector financiero
27 de marzo de 2025