La aparición de nuevas tecnologías está reemplazando los modelos tradicionales de operación en el sector de la inversión colectiva y en general de la prestación de servicios de inversión. Cada vez más, los procesos de las entidades que operan en este sector se apalancan en el uso de nuevas tecnologías, la digitalización y en la contratación de terceros proveedores tecnológicos. Cualquier disrupción grave en estos sistemas o proveedores podría afectar a la estabilidad de las compañías, por esta razón el riesgo tecnológico se ha convertido en uno de los principales desafíos de la resiliencia operacional.
Con el objetivo de armonizar las diferentes normas, directrices y estándares aplicables a la gestión de riesgo tecnológico y resiliencia operativa, el Parlamento y el Consejo de la Unión Europea publicaron en diciembre de 2022 el reglamento sobre la resiliencia operativa digital del sector financiero (DORA) que será de aplicación a partir del 17 de enero de 2025. Este reglamento, que será de obligado cumplimiento para las entidades del sector financiero, tiene como objetivo garantizar la resiliencia mediante la construcción de un marco común en materia de gestión de riesgos.
En este sentido, se trata de la regulación más relevante en términos de resiliencia operativa y de ciberseguridad en la UE para el sector financiero:
El nuevo reglamento establece diferentes requisitos organizados en varios ámbitos de actuación. La aplicación de estos requerimientos deberá ser de manera proporcionada teniendo en cuenta las características de cada entidad, en particular las microempresas, así como las entidades sujetas a un marco simplificado de gestión del riesgo relacionado con las TIC:
o Adaptar los contractos existentes con terceros proveedores TIC a las nuevas disposiciones contractuales exigidas por DORA.
o Adoptar una estrategia sobre el riesgo relacionado con las TIC derivado de terceros en el que se incluirá una Política sobre el uso de servicios TIC que sustenten funciones esenciales o importantes prestados por proveedores terceros de servicios TIC.
o Diseñar e implementar un registro de información en relación con todos los acuerdos contractuales sobre el uso de servicios TIC prestados por proveedores terceros
En resumen, DORA supone una oportunidad para las Entidades, más allá del mero cumplimiento regulatorio. Su aplicación permitirá profundizar en el entendimiento del impacto que las disrupciones operativas suponen para los clientes y los mercados, así como mejorar la gestión de los riesgos digitales.