En el DOUE del 27.12.2022 (pág. L 333/1 y ss.) se publicó el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) 1060/2009, (UE) 648/2012, (UE) 600/2014, (UE) 909/2014 y (UE) 2016/1011 (conocido como Ley de Resiliencia Operativa Digital / Digital Operational Resilience Act e identificado en el mercado financiero internacional por su acrónimo anglosajón DORA).
Se trata de una disposición cuantitativamente voluminosa (con 106 considerandos y 64 artículos que ocupan 79 hojas del DOUE) y cualitativamente compleja (que emplea técnicas regulatorias novedosas como las pruebas de resiliencia operativa digital) cuya relevancia para el futuro desarrollo de los mercados financieros en Europa nos recomienda ofrecer a los lectores de este blog un panorama sintético de su contenido, tarea a la que dedicaremos las próximas entradas de este blog (a esta materia hemos venido dedicando, durante los últimos años, una atención sostenida en este blog y fuera de él, según detallamos en la nota bibliográfica final).
A) ASPECTOS GENERALES
A.1) Ámbito de aplicación interno y externo
Para lograr un elevado nivel común de resiliencia operativa digital, el DORA establece requisitos uniformes relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de las entidades financieras en dos ámbitos (art.1):
A.1.1) Ámbito interno
Nos referimos a los requisitos internos o reflexivos que establece el DORA y resultan aplicables a las propias entidades financieras en relación con la “gestión del riesgo en el ámbito de las tecnologías de la información y la comunicación (TIC); la notificación a las autoridades competentes de incidentes graves relacionados con las TIC, de incidentes operativos o de seguridad graves relacionados con los pagos y, con carácter voluntario, de ciberamenazas importantes; las pruebas de resiliencia operativa digital; el intercambio de información e inteligencia en relación con las ciberamenazas y las vulnerabilidades cibernéticas y las medidas para la buena gestión del riesgo relacionado con las TIC derivado de terceros”.
A.1.2) Ámbito externo
Nos referimos a los requisitos externos o transitivos que establece el DORA y resultan aplicables a las entidades financieras en relación con:
a) Proveedores terceros de servicios de TIC abarcando los requisitos de los acuerdos contractuales celebrados entre los proveedores terceros de servicios de TIC y las entidades financieras y las normas para el establecimiento y aplicación del marco de supervisión de los proveedores terceros esenciales de servicios de TIC cuando presten servicios a entidades financieras.
b) Supervisores, abarcando las normas sobre cooperación entre autoridades competentes y normas sobre control y ejecución por parte de las autoridades competentes en relación con todos los asuntos cubiertos por el DORA.
A.2) Vigencia
El artículo 64 del DORA -sobre su entrada en vigor y aplicación– dice que este Reglamento -que por su propia naturaleza será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro- entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea y será aplicable a partir del 17 de enero de 2025.
A.3) Contexto normativo
A.3.1) La inserción de DORA en el Paquete Europeo de Finanzas Digitales
DORA se inserta en el en el Paquete Europeo de Finanzas Digitales que abarca un conjunto de “medidas para promover y apoyar el potencial de las finanzas digitales en términos de innovación y competencia, al mismo tiempo que se mitigan los riesgos derivados de ello”. Este propósito se integra, a su vez, entre las prioridades de la Comisión Europea de “hacer que Europa se adapte a la era digital y construir una economía preparada para el futuro que funcione para las personas” (v.Digital Operational Resilience Act (DORA) – Regulation (EU) 2022/2554). Junto a DORA, el Paquete Europeo de Finanzas Digitales también incluye una propuesta de reglamento sobre los mercados de criptoactivos, una propuesta de reglamento sobre un régimen piloto sobre la infraestructura de mercado de la tecnología de contabilidad distribuida (DLT) y una propuesta de directiva para aclarar o modificar ciertas normas de la UE relacionadas (el lector interesado puede ver la entrada de esta blog del 03.10.2022 sobre los “Criptoactivos y criptomonedas: Desafíos en su regulación y supervisión en la UE y en España”).
A.3.2) La complementariedad de DORA con el sistema de gestión del riesgo de las entidades financieras basado en el capital
Debemos recordar que el mercado financiero -como sistema de financiación de las personas físicas y jurídicas que operan en la Economía-reposa sobre la gestión de dos elementos básicos que son el tiempo y el dinero. Por ello, los intermediarios financieros gestionan el riesgo que siempre subyace en los contratos financieros en sus varias manifestaciones (del dinero e los contratos bancarios, de los instrumentos financieros en los contratos de valores, y de las cosas o las personas en los contratos de seguro).
Siendo lo anterior así, hasta el momento, las instituciones financieras gestionaban las principales categorías de riesgo operativo principalmente mediante la asignación de capital, pero no gestionaban todos los componentes de la resiliencia operativa. La Ley de resiliencia operativa digital (DORA o el Reglamento (UE) 2022/2554) completa este déficit estableciendo reglas para las capacidades de protección, detección, contención, recuperación y reparación frente a incidentes relacionados con las TIC (v.Digital Operational Resilience Act (DORA) – Regulation (EU) 2022/2554).
A.3.3) La supletoriedad del DORA
A.3.3.1) Genérica
Nos referimos al principio rector que expresa el art.1.3 cuando dice: “El presente Reglamento se entenderá sin perjuicio de la responsabilidad de los Estados miembros en lo concerniente a las funciones esenciales del Estado que afectan a la seguridad pública, la defensa y la seguridad nacional de conformidad con el Derecho de la Unión”.
A.3.3.2) Específica
Nos referimos a que el DORA operará de forma coordinada y como sistema adicional a las regulaciones específicas de las entidades financieras a las que resulta aplicable que son -de acuerdo con su art.2.2- las entidades a que se refiere el apartado 1, letras a) a t), del mismo precepto enumera las entidades financieras típicas del mercado bancario (principalmente, entidades de crédito), del mercado de valores (principalmente, empresas de servicios de inversión) y del mercado asegurador (principalmente, entidades de seguros y reaseguros), además de entidades financieras “transversales” a los tres sectores del mercado financiero como son, por ejemplo, las agencias de calificación crediticia. Con ocasión de sus respectivas definiciones, el art.3 del DORA menciona sus regulaciones específicas.
A.4) Características de DORA
A.4.1) El carácter directamente vinculante de DORA
La Comisión Europea destaca este rasgo cuando dice: “Recuerde, la Ley de resiliencia operativa digital (DORA) es un Reglamento, no una Directiva, por lo que es vinculante en su totalidad y directamente aplicable en todos los Estados miembros de la UE”. Y explica esta opción de regulación uniforme -que supone un paso más a la regulación armonizada propia de las Directivas- por la necesidad de garantizar la competencia en el mercado financiero de la UE cuando dice: “La ausencia de normas detalladas y completas sobre la resiliencia operativa digital a nivel de la UE ha llevado a la proliferación de iniciativas reguladoras nacionales (p. ej., sobre pruebas de resiliencia operativa digital) y enfoques de supervisión (p. ej., abordando las dependencias de terceros de las TIC). Sin embargo, la acción a nivel de los Estados miembros solo tiene un efecto limitado dada la naturaleza transfronteriza de los riesgos de las TIC. Además, las iniciativas nacionales descoordinadas han resultado en superposiciones, inconsistencias, requisitos duplicados, altos costos administrativos y de cumplimiento, especialmente para las entidades financieras transfronterizas, o en riesgos de TIC que permanecen sin detectar y, por lo tanto, sin abordar. Esta situación fragmenta el mercado único, socava la estabilidad y la integridad del sector financiero de la UE y pone en peligro la protección de consumidores e inversores. Por lo tanto, es necesario establecer un marco detallado y completo sobre la resiliencia operativa digital para las entidades financieras de la UE. Este marco profundizará la dimensión de gestión de riesgos digitales del Reglamento Único”. (v. Digital Operational Resilience Act (DORA) – Regulation (EU) 2022/2554).
A.4.2) La proporcionalidad en la aplicación del DORA
Nos referimos al principio rector que expresa el art.4 cuando, refiriéndose al “principio de proporcionalidad” dice: “1. Las entidades financieras aplicarán las normas establecidas en el capítulo II de conformidad con el principio de proporcionalidad, teniendo en cuenta su tamaño y perfil de riesgo general, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones. 2. Además, la aplicación por parte de las entidades financieras de los capítulos III y IV y el capítulo V, sección I, será proporcional a su tamaño y perfil de riesgo general, así como a la naturaleza, escala y complejidad de sus servicios, actividades y operaciones, tal como se establece específicamente en las normas pertinentes de dichos capítulos. 3. Las autoridades competentes tendrán en cuenta la aplicación del principio de proporcionalidad por parte de las entidades financieras al revisar la coherencia del marco de gestión del riesgo relacionado con las TIC a partir de los informes presentados a petición de las autoridades competentes en virtud del artículo 6, apartado 5, y al artículo 16, apartado 2”.
A.4) Contexto económico: las tecnologías de la información y la comunicación (TIC)
El mínimo común denominador del sistema de la resiliencia operativa digital del sector financiero que diseña este DORA esta referido al ámbito de las tecnologías de la información y la comunicación (TIC) que se delimita -en el art.3- por referencia a las siguientes manifestaciones objetivas, funcionales y subjetivas:
A.4.1) Manifestaciones objetivas
Dentro de esta categoría podemos incluir el activo de TI definido como “un activo de software o hardware en las redes y sistemas de información utilizados por la entidad financiera”. Podemos añadir el sistema de TIC heredado definido como un sistema de TIC que ha alcanzado el final de su ciclo de vida (final de vida útil) y que por razones tecnológicas o comerciales no admite actualizaciones o correcciones, o para el que su proveedor o un proveedor tercero de servicios de TIC ya no presta asistencia técnica, pero que sigue utilizándose y sustenta las funciones de la entidad financiera.
A.4.2) Manifestaciones funcionales
Dentro de esta categoría podemos incluir los servicios de TIC definidos como “los servicios digitales y de datos prestados a través de los sistemas de TIC a uno o varios usuarios internos o externos de forma continua, incluidos el hardware como servicio y los servicios de hardware que incluyen la prestación de asistencia técnica a través de actualizaciones de software o firmware por parte del proveedor de hardware y excluidos los servicios telefónicos analógicos tradicionales”.
A.4.2) Manifestaciones subjetivas
Dentro de esta categoría podemos incluir a los proveedores de servicios de TIC que, a su vez, pueden clasificarse en dos categorías en función de la integración o no en la entidad financiera y el carácter esencial de los servicios que presta, de tal modo que podemos diferenciar entre:
a) Proveedor intragrupo de servicios de TIC definido como “una empresa que forma parte de un grupo financiero y presta principalmente servicios de TIC a entidades financieras del mismo grupo o a entidades financieras que pertenecen al mismo sistema institucional de protección, también a sus sociedades matrices, filiales o sucursales o a otras entidades que compartan propiedad o control”.
b) Proveedor tercero de servicios de TIC, definido genéricamente como “una empresa que presta servicios de TIC” y precisado en forma de proveedor tercero esencial de servicios de TIC como un proveedor tercero de servicios de TIC designado como esencial de conformidad con el artículo 31 quien, a su vez, puede estar radicado en la UE o ser un proveedor tercero de servicios de TIC establecido en un tercer país definido como un proveedor tercero de servicios de TIC que sea una persona jurídica establecida en un tercer país que haya celebrado un acuerdo contractual con una entidad financiera para la prestación de servicios de TIC
Nota bibliográfica: El lector interesado en profundizar en la materia puede ver nuestros estudios: “Digitalización financiera en la Unión Europea novedades regulatorias sobre ciberresiliencia operativa, inteligencia artificial y criptoactivos” La Ley Unión Europea, n.º 97, Sección Regulación, noviembre 2021 y Diario La Ley de 30 de noviembre de 2021; “Ciberdelincuencia con criptoactivos: algunos casos paradigmáticos recientes en España”, RDBB 163, julio-septiembre 2021, pp. 279-290; y “Ciberseguridad y resiliencia operativa digital del sector financiero en la UE”, RDBB N.º 164 (2021) pp. 425 a 434 (bajo el seudónimo de Javier Fernández Alén). También puede consultar las entradas de este blog de 28.10.2021 sobre las “Finanzas digitales (Fintech): Ciberseguridad y resiliencia operativa digital del sector financiero en la UE”; de 21.05.2021 sobre “La espiral del riesgo y la resiliencia digitales en Europa: El Consejo de la UE prorroga hasta el 18 de mayo de 2022 la Decisión (PESC)” 2029/979; y de 11.05.2021 sobre la “Resiliencia operativa digital del sector financiero y Estrategia de Finanzas Digitales en la UE: Dictámenes del Comité Económico y Social Europeo”.