Close

DORA. Ley Europea de Resiliencia Operativa Digital del sector financiero. Reglamento (UE) 2022/2554 (2): Estructura

En la entrada de ayer iniciábamos el comentario del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (Ley de Resiliencia Operativa Digital, Digital Operational Resilience Act DORA) dando cuenta de sus aspectos generales. En la de hoy seguimos exponiendo los elementos básicos que integran su estructura.

(…)

B) ESTRUCTURA

B.1) Elementos subjetivos: las entidades financieras

Como su propio nombre indica, el ámbito del Reglamento (UE) 2022/2554 (DORA) es el sector financiero, lo que se traduce en que los sujetos sometidos a sus disposiciones son las entidades financieras diferenciando su art.2 entre las incluidas -que se definen detalladamente en su art.3- y las excluidas.

Es importante constatar que el DORA identifica -en su art.46- las autoridades competentes para cada tipo en entidades financieras incluidas en su ámbito señalando que “el cumplimiento del presente Reglamento será garantizado por las siguientes autoridades competentes de conformidad con las facultades otorgadas por los respectivos actos jurídicos”, todo ello “sin perjuicio de las disposiciones relativas al marco de supervisión de los proveedores terceros esenciales de servicios de TIC a que se refiere el capítulo V, sección II, del presente Reglamento”.  

B.1.1) Entidades financieras incluidas

Atendiendo al criterio del sector del mercado financiero en el que operan de forma preferente, podemos distinguir cuatro clases de entidades financieras a las que se les aplicará el DORA:

a) Entidades del mercado bancario

Son las entidades de crédito definidas en el artículo 4, apartado 1, punto 1, del Reglamento (UE) n.o 575/2013 del Parlamento Europeo y del Consejo;  las entidades de pago -incluidas las entidades de pago exentas- definidas en el artículo 4, punto 4, de la Directiva (UE) 2015/2366”; los proveedores de servicios de información sobre cuentas definidos en el artículo 33, apartado 1, de la Directiva (UE) 2015/2366; y las entidades de dinero electrónico -incluidas las entidades de dinero electrónico exentas- definidas en el artículo 2, punto 1, de la Directiva 2009/110/CE.

Interesa añadir, a modo de ejemplo, que las autoridades competentes en lo que respecta a las entidades de crédito y a las entidades exentas en virtud de la Directiva 2013/36/UE, serán las designadas de conformidad con el artículo 4 de dicha Directiva, y en lo que respecta a las entidades de crédito consideradas como significativas de conformidad con el artículo 6, apartado 4, del Reglamento (UE) n.o 1024/2013, el BCE de conformidad con las competencias y funciones conferidas por dicho Reglamento (art.46.a).

b) Entidades del mercado de valores

Son las empresas de servicios de inversión definidas en el artículo 4, apartado 1, punto 1, de la Directiva 2014/65/UE (incluidas las empresas de servicios de inversión pequeñas y no interconectadas definidas como “una empresa de servicios de inversión que cumple las condiciones establecidas en el artículo 12, apartado 1, del Reglamento (UE) 2019/2033 del Parlamento Europeo y del Consejo”); los proveedores de servicios de criptoactivos autorizados -rectius, que se autorizarán-  en virtud del Reglamento relativo a los mercados de criptoactivos y los emisores de fichas referenciadas a activos; los depositarios centrales de valores definidos en el artículo 2, apartado 1, punto 1, del Reglamento (UE) n.o 909/2014; las entidades de contrapartida central definidas en el artículo 2, punto 1, del Reglamento (UE) n.o 648/2012; los centros de negociación definidos en el artículo 4, apartado 1, punto 24, de la Directiva 2014/65/UE; los registros de operaciones definidos en el artículo 2, punto 2, del Reglamento (UE) n.o 648/2012; los gestores de fondos de inversión alternativos; las sociedades de gestión definidas en el artículo 2, apartado 1, letra b), de la Directiva 2009/65/CE; y los proveedores de servicios de suministro de datos en el sentido del Reglamento (UE) n.o 600/2014, a que se refiere su artículo 2, apartado 1, puntos 34 a 36.

Interesa añadir, a modo de ejemplo, que las autoridades competentes en lo que respecta a las empresas de servicios de inversión serán las designadas de conformidad con el artículo 4 de la Directiva (UE) 2019/2034 del Parlamento Europeo y del Consejo (art.46.c).

c) Entidades del mercado de seguros

Son las empresas de seguros y de reaseguros definidas en el artículo 13, puntos 1 y 4, respectivamente, de la Directiva 2009/138/CE; los intermediarios de seguros, intermediarios de reaseguros e intermediarios de seguros complementarios definidos en el artículo 2, apartado 1, puntos 3, 4 y 5, respectivamente, de la Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo; y los fondos de pensiones de empleo definidos en el artículo 6, punto 1, de la Directiva (UE) 2016/2341; abarcando los fondos de pensiones de empleo pequeños que con los “fondos de pensiones de empleo que gestionan planes de pensiones que cuentan con menos de 100 partícipes en total”.

Interesa añadir, a modo de ejemplo, que las autoridades competentes en lo que respecta a las empresas de seguros y de reaseguros serán las designadas de conformidad con el artículo 30 de la Directiva 2009/138/CE (art.46.k).

d) Entidades transversales a los tres sectores del mercado financiero

Podemos incluir las agencias de calificación crediticia definidas en el artículo 3, apartado 1, letra b), del Reglamento (CE) n.o 1060/2009; los administradores de índices de referencia cruciales definidos en el artículo 3, apartado 1, punto 25, del Reglamento (UE) 2016/1011; los proveedores de servicios de financiación participativa definidos en el artículo 2, apartado 1, letra e), del Reglamento (UE) 2020/1503 del Parlamento Europeo y del Consejo; los registros de titulizaciones  definidos en el artículo 2, punto 23, del Reglamento (UE) 2017/2402 del Parlamento Europeo y del Consejo; y los proveedores terceros de servicios de TIC.

Interesa añadir, a modo de ejemplo, que las autoridades competentes en lo que respecta a las agencias de calificación crediticia serán las  designadas de conformidad con el artículo 21 del Reglamento (CE) n.o 1060/2009 (art.46.n).

B.1.2) Entidades financieras excluidas

Se excluyen expresamente del ámbito de aplicación de DORA a determinadas entidades financieras los gestores de fondos de inversión alternativos que se contemplan en el artículo 3, apartado 2, de la Directiva 2011/61/UE; las empresas de seguros y de reaseguros que se contemplan en el artículo 4 de la Directiva 2009/138/CE; los fondos de pensiones de empleo que gestionen planes de pensiones que, en conjunto, no tengan más de quince partícipes en total; las personas físicas o jurídicas exentas en virtud de los artículos 2 y 3 de la Directiva 2014/65/UE; los intermediarios de seguros, los intermediarios de reaseguros y los intermediarios de seguros complementarios que sean microempresas o pequeñas o medianas empresas; y las oficinas de cheques postales que se contemplan en el artículo 2, apartado 5, punto 3, de la Directiva 2013/36/UE.

B.2) Elementos objetivos: riesgo, incidente y resiliencia

Consideremos que, para exponer los elementos objetivos o funcionales que integran el sistema de resiliencia diseñado por DORA, resultan particularmente útiles las ideas que nos proporciona uno de los sectores del mercado financiero, cual es el sector de los seguros cuya “materia prima” es el riesgo. Y, en base a estas nociones esenciales del seguro, podemos exponer de forma lógica y cronológicamente ordenada, los elementos objetivos o funcionales que integran el sistema de resiliencia diseñado por DORA que son:

B.2.1) El riesgo

El riesgo es -según el DRAE- la “contingencia o proximidad de un daño”. Si nos acercamos el sector financiero, el riesgo es la posibilidad – que se mueve en grados de probabilidad entre los extremos de la imposibilidad y la certeza- de que suceda un evento dañoso. Y si transitamos de lo general a lo particular, el DORA nos ofrece, en su art.3, las definiciones siguientes de riesgos relevantes en el sector de las finanzas digitales:

a)  El riesgo relacionado con las TIC definido como “cualquier circunstancia razonablemente identificable en relación con el uso de redes y sistemas de información que, si se materializa, puede comprometer la seguridad de las redes y sistemas de información, de cualquier herramienta o proceso dependiente de la tecnología, de las operaciones y los procesos o de la prestación de servicios, al provocar efectos adversos en el entorno digital o físico”.

b) El riesgo relacionado con las TIC derivado de terceros definido como “el riesgo relacionado con las TIC al que puede verse expuesta una entidad financiera en razón de su uso de servicios de TIC prestados por proveedores terceros de servicios de TIC o por subcontratistas de estos últimos, a través, entre otros, de acuerdos de externalización”.

c) El riesgo de concentración de TIC definido como “una exposición a uno o múltiples proveedores terceros esenciales de servicios de TIC relacionados que cree tal grado de dependencia de dichos proveedores que la indisponibilidad, fallo u otro tipo de deficiencia de estos últimos pueda poner en peligro la capacidad de una entidad financiera para desempeñar funciones esenciales o importantes o causarle otro tipo de efectos adversos, incluidas grandes pérdidas, o poner en peligro la estabilidad financiera de la Unión en su conjunto”.

En esta fase potencial o de cálculo de probabilidades también podemos incluir las definiciones que ofrece el art.3 de DORA de ciberamenaza definida en el artículo 2, punto 8, del Reglamento (UE) 2019/881; y de ciberamenaza importante, definida como “una ciberamenaza cuyas características técnicas indican que podría dar lugar a un incidente grave relacionado con las TIC o a un incidente operativo o de seguridad grave relacionado con los pagos”. ;

Si avanzamos en fase potencial o de cálculo de probabilidades el art.3 de DORA nos define la inteligencia sobre amenazas como la “información que se ha agregado, transformado, analizado, interpretado o enriquecido para proporcionar el contexto necesario para la toma de decisiones y permitir una comprensión pertinente y suficiente para mitigar las repercusiones de un incidente relacionado con las TIC o de una ciberamenaza, incluidos los detalles técnicos de un ciberataque, los responsables del ataque, su modus operandi y sus motivaciones” y la vulnerabilidad como “una debilidad, susceptibilidad o defecto de un activo, sistema, proceso o control que puede ser explotado”.

En relación con esta información, es importante constatar que las entidades financieras podrán intercambiar entre sí información e inteligencia sobre ciberamenazas, incluidos indicadores de compromiso, tácticas, técnicas y procedimientos, alertas de ciberseguridad y herramientas de configuración, en la medida en que dicho intercambio de información e inteligencia cumpla las condiciones establecidas en el artículo 45 de DORA regulador de los “acuerdos de intercambio de información en relación con información e inteligencia sobre ciberamenazas”.

B.2.2) El incidente

Un incidente es -según el DRAE- algo “que sobreviene en el curso de un asunto o negocio y tiene con este alguna relación” .Si nos acercamos el sector financiero, la noción de incidente muestra analogías racionales con la del siniestro en el seguro, esto es, el acontecimiento previsto en el contrato que actualiza en forma de realidad lo que era una mera probabilidad (riesgo) y genera el daño. Y, si transitamos de lo general a lo particular, el DORA nos ofrece, en su art.3, las definiciones siguientes de incidente relevante en el sector de las finanzas digitales. En función de su gravedad y de su relación con los pagos, podemos ofrecer las siguientes categorías de incidentes:

a)  Incidentes comunes relacionados con las TIC que pueden ser de dos tipos:

a.1) Normales, definidos como “un único suceso o una serie de sucesos interrelacionados no previstos por la entidad financiera que pone en peligro la seguridad de las redes y sistemas de información y tiene repercusiones negativas en la disponibilidad, autenticidad, integridad o confidencialidad de los datos o en los servicios prestados por la entidad financiera”.

a.2) Graves, definidos como “un incidente relacionado con las TIC con graves repercusiones negativas en las redes y sistemas de información que sustentan funciones esenciales o importantes de la entidad financiera”.

b) Incidentes operativos o de seguridad relacionado con los pagos que se clasifican en dos categorías:

b.1) Normales, definidos como “un único suceso o una serie de sucesos interrelacionados no previstos por las entidades financieras a que se refiere el artículo 2, apartado 1, letras a) a d), estén o no relacionados con las TIC, que tiene repercusiones negativas en la confidencialidad, disponibilidad, integridad o autenticidad de los datos relacionados con los pagos o en los servicios relacionados con los pagos prestados por la entidad financiera”.

b.2) Graves,  definidos como “un incidente operativo o de seguridad relacionado con los pagos con graves repercusiones negativas en los servicios relacionados con los pagos prestados”.

En esta fase actual o de siniestralidad podemos incluir la definición que ofrece el art.3 de DORA de ciberataque como un “incidente malintencionado relacionado con las TIC provocado mediante una tentativa, perpetrada por cualquier agente de riesgo, de destruir, revelar, alterar, desactivar o robar un activo, de obtener acceso no autorizado a ese activo o de hacer uso no autorizado de él”.

B.2.3) La resiliencia

La resiliencia es -según el DRAE- la “capacidad de adaptación de un ser vivo frente a un agente perturbador o un estado o situación adversos”. Según antes señalamos, la exposición lógica y cronológica de los elementos objetivos o funcionales que integran el sistema de resiliencia diseñado por DORA debe culminar con esta propiedad del sistema que es la resiliencia operativa digital definida en su art.3.1 como “la capacidad de una entidad financiera para construir, asegurar y revisar su integridad y fiabilidad operativas asegurando, directa o indirectamente mediante el uso de servicios prestados por proveedores terceros de servicios de TIC, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la seguridad de las redes y los sistemas de información que utiliza una entidad financiera y que sustentan la prestación continuada de servicios financieros y su calidad, incluso en caso de perturbaciones”.