Skip to main content

Resiliencia operativa digital en el sector financiero

Tendencias y perspectivas de futuro
 

La aparición de nuevas tecnologías está reemplazando los modelos tradicionales de operación en el sector de la inversión colectiva y en general de la prestación de servicios de inversión. Cada vez más, los procesos de las entidades que operan en este sector se apalancan en el uso de nuevas tecnologías, la digitalización y en la contratación de terceros proveedores tecnológicos. Cualquier disrupción grave en estos sistemas o proveedores podría afectar a la estabilidad de las compañías, por esta razón el riesgo tecnológico se ha convertido en uno de los principales desafíos de la resiliencia operacional.

 

Contexto regulatorio
 

Con el objetivo de armonizar las diferentes normas, directrices y estándares aplicables a la gestión de riesgo tecnológico y resiliencia operativa, el Parlamento y el Consejo de la Unión Europea publicaron en diciembre de 2022 el reglamento sobre la resiliencia operativa digital del sector financiero (DORA) que será de aplicación a partir del 17 de enero de 2025. Este reglamento, que será de obligado cumplimiento para las entidades del sector financiero, tiene como objetivo garantizar la resiliencia mediante la construcción de un marco común en materia de gestión de riesgos.

En este sentido, se trata de la regulación más relevante en términos de resiliencia operativa y de ciberseguridad en la UE para el sector financiero:

  • Unifica, consolida y actualiza los requerimientos en los ámbitos de gestión de Riesgo TIC y Resiliencia operativa, llevándolos a unos estándares comunes.
  • Armoniza las “reglas del juego” en el ecosistema financiero y entre jurisdicciones UE, tanto en la gestión de riesgos TIC, como en la clasificación y reporting de incidentes.
  • Persigue la mejora sustancial de los marcos de pruebas de resiliencia.
  • Establece un framework que permite a los supervisores del sector financiero controlar a los proveedores de servicios tecnológicos críticos para el sector

 

Principales retos de las compañías
 

El nuevo reglamento establece diferentes requisitos organizados en varios ámbitos de actuación.  La aplicación de estos requerimientos deberá ser de manera proporcionada teniendo en cuenta las características de cada entidad, en particular las microempresas, así como las entidades sujetas a un marco simplificado de gestión del riesgo relacionado con las TIC:

  • Gestión de riesgo tecnológico: las entidades deberán contar con un gobierno interno y un marco de gestión de riesgos tecnológicos que aseguren una gestión prudente y efectiva de dichos riesgos.
  • Gestión de incidentes: las entidades deberán garantizar que cuentan con mecanismos que les permitan identificar, gestionar y notificar incidentes TIC de forma temprana, estableciendo medidas de mitigación adecuadas en función de su naturaleza y severidad.
  • Testeo de resiliencia operativa: las entidades deberán garantizar que implementan y mantienen un programa de pruebas adaptado en función de su tamaño, negocio y perfil de riesgo que les permita asegurar que están preparadas antes incidentes.
  • Gestión de riesgo de terceros: las entidades deberán establecer un marco de gestión del riesgo relacionado con las TIC derivado de terceros como un elemento más integrado dentro de su marco de gestión del riesgo TIC. Para ello deberán, entre otros:

o   Adaptar los contractos existentes con terceros proveedores TIC a las nuevas disposiciones contractuales exigidas por DORA.

o   Adoptar una estrategia sobre el riesgo relacionado con las TIC derivado de terceros en el que se incluirá una Política sobre el uso de servicios TIC que sustenten funciones esenciales o importantes prestados por proveedores terceros de servicios TIC.

o   Diseñar e implementar un registro de información en relación con todos los acuerdos contractuales sobre el uso de servicios TIC prestados por proveedores terceros

En resumen, DORA supone una oportunidad para las Entidades, más allá del mero cumplimiento regulatorio. Su aplicación permitirá profundizar en el entendimiento del impacto que las disrupciones operativas suponen para los clientes y los mercados, así como mejorar la gestión de los riesgos digitales.

Did you find this useful?

Thanks for your feedback

If you would like to help improve Deloitte.com further, please complete a 3-minute survey