El día 17 de enero de 2025, las entidades financieras europeas deberán tener establecido un sistema sólido de la resiliencia operativa digital que cumpla los exigentes requisitos que establece el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (DORA). En efecto, DORA -que por su propia naturaleza de Reglamento de la UE será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro- será aplicable a partir del 17 de enero de 2025 (el lector interesado en profundizar en el conocimiento de este complejo Reglamento puede ver las publicaciones que se citan en la nota bibliográfica final).
Procede complementar la observación precedente añadiendo que el artículo 41 de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva SRI 2) establece que a más tardar el 17 de octubre de 2024, los Estados miembros adoptarán y publicarán las medidas necesarias para dar cumplimiento a lo establecido en la presente Directiva y aplicarán dichas disposiciones a partir del 18 de octubre de 2024.
Lo anterior implica que, en un plazo relativamente breve -dada la importancia de las nuevas medidas que deben adoptar-, los bancos, las aseguradoras, las empresas de servicios de inversión y, en general, cuantos intermediarios financieros operen en nuestro país deben adoptar las medidas y cumplir los deberes que DORA establece porque, en caso contrario, estarán en una situación de evidente riesgo de incidir, al menos, en dos tipos de responsabilidades: las administrativas que pueda exigirles la CNMV; y las civiles, que puede reclamarles todo cliente perjudicado (por ejemplo, por un ciberataque a sus cuentas bancarias sufrido a resultas de la omisión negligente por parte del banco en adoptar las medidas exigidas por DORA).
En este contexto, quiero ofrecer a los lectores de este blog una síntesis de dos conferencias que he impartido recientemente sobre tan compleja materia con la esperanza de que pueden resultarles de alguna utilidad. Se trata de las ponencias que impartí en el VII Congreso Internacional de Derecho de Seguros sobre Digitalización, cambio climático y sostenibilidad, organizado por SEAIDA y la Universidad Carlos III de Madrid y celebrado los días 19 y 20 de octubre en el Auditorio del Campus que esta Universidad tiene en La Puerta de Toledo y el Congreso Internacional sobre Gobierno corporativo: digitalización y sostenibilidad organizado por la Cátedra de Derecho Registral de la Facultad de Derecho de la UCM y celebrado los pasados días 26 y 27 de octubre de 2023 en el Auditorio Fernando Sánchez Calero de la Facultad de Derecho de la UCM.
En ambos casos aplique la regla de la proporcionalidad expositiva inversa que me lleva a exponer de manera tanto más clara y sencilla las materias cuando más complejas resulten. Y, en este caso, DORA es un caso prototípico que demanda la aplicación de esta regla de la proporcionalidad expositiva inversa que me llevó a estructurar las exposiciones de cuatro apartados dedicados a resaltar los aspectos generales de DORA, la estructura y el funcionamiento del sistema de resiliencia operativa digital que DORA diseña y la adaptación del sistema sancionador derivado de DORA por la Ley 26/2023.
I. ASPECTOS GENERALES
El Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (DOUE del 27.12.2022 pág. L 333/1 y ss.) -conocido como Ley de Resiliencia Operativa Digital / Digital Operational Resilience Act e identificado en el mercado financiero internacional por su acrónimo anglosajón DORA- es una disposición cuantitativamente voluminosa (con 106 considerandos y 64 artículos que ocupan 79 páginas del DOUE) y cualitativamente compleja, que emplea técnicas regulatorias novedosas como las pruebas de resiliencia operativa digital.
Tras este acrónimo anglosajón evocador de cuentos infantiles de aventuras se esconde una “bestia regulatoria” (pemítasenos la licencia científica y políticamente incorrecta) que podemos caracterizar mediante las tres notas siguientes (NIC):
a) Novedosa, por la materia que regula y por como la regula. En este sentido, DORA completa el sistema de gestión del riesgo de las entidades financieras basado exclusivamente hasta ahora en el factor del capital estableciendo reglas para las capacidades de protección, detección, contención, recuperación y reparación frente a incidentes relacionados con las TIC.
b) Importante, porque el sector estratégico en el que impacta porque el sector financiero es el centro neurálgico de la Economía llamado a insuflar la energía básica (el dinero en forma de financiación) para su funcionamiento y por el coste de su implementación, que evidentemente exigirá que las entidades obligadas a implantar un sistema sólido de la resiliencia operativa digital que cumpla los exigentes requisitos de DORA destines una parte significativa de sus recursos a implantarlo y mantenerlo en funcionamiento eficiente. En este sentido, recordemos que el contexto económico en el que opera DORA es el de las tecnologías de la información y la comunicación (TIC) que se delimita por referencia a las manifestaciones objetivas (activos TIC), funcionales (servicios de TIC) y subjetivas (proveedores de servicios de TIC).
c) Compleja, por las técnicas regulatorias que aplica, tales como las pruebas de resiliencia operativa digital que deben ajustarse a los programas de pruebas.
II. ESTRUCTURA
La estructura de DORA está integrada por sus elementos subjetivos y objetivos:
A) Elementos subjetivos
Como su propio nombre indica, el ecosistema propio del Reglamento (UE) 2022/2554 (DORA) es el sector financiero, lo que se traduce en que los sujetos sometidos a sus disposiciones son las entidades financieras, diferenciando entre las incluidas las excluidas.
Atendiendo al criterio del sector del mercado financiero en el que operan de forma preferente, se pueden distinguir cuatro clases de entidades financieras incluidas, a las que se les aplicará el DORA:
a) Las entidades del mercado bancario (p.ej. las entidades de crédito).
b) Las entidades del mercado de valores (p.ej. las empresas de servicios de inversión).
c) Las entidades del mercado de seguros (p.ej. las empresas de seguros y de reaseguros).
d) Las entidades transversales a los tres sectores del mercado financiero (p.ej. las agencias de calificación crediticia).
Hay que tener en cuanta que el art.1.2 de DORA dice que estas entidades incluidas en su ámbito de aplicación “se denominarán colectivamente entidades financieras” (advertimos a nuestros lectores que este es un concepto normativamente complejo y, en cierta forma, impreciso como lo demuestra la recentísima Sentencia de la Sala Primera del Tribunal de Justicia de la UE de 26 de octubre de 2023 , dictada en los asuntos acumulados C‑207/22, C‑267/22 y C‑290/22que delimita la noción de entidad financiera a los efectos de la Directiva 2013/36/UE y el Reglamento (UE) n.º 575/20139; Sentencia que comentaremos en próximas entradas de este blog).
Nos parece interesante puntualizar que el art.1.3 de DORA enumera las entidades que, operando en los mercados financieros; sin embargo, están expresamente excluidas de su ámbito de aplicación (p.ej. los gestores de fondos de inversión alternativos).
B) Elementos objetivos
Los elementos objetivos que integran la estructura de DORA presentan como denominador común la gestión del riego operativo digital (ROD) y, por ello, evocan nociones propias del mercado asegurador, cuya materia prima es el riesgo, entendido como la posibilidad de que acaezca un incidente dañoso y medido en grados de probabilidad.
En particular, los elementos objetivos que integran la estructura de DORA son:
a) El riesgo, ofreciendo DORA un conjunto de definiciones de riesgos relevantes en el sector de las finanzas digitales como son el riesgo relacionado con las TIC de carácter endógeno o exógeno, esto es, derivado de terceros, el riesgo de concentración de TI y la ciberamenaza.
Es importante constatar que -según veremos al referirnos al funcionamiento de DORA- este Reglamento ordena la forma de gestión por las entidades financieras tanto del riesgo operativo digital endógeno que nace de sus propias actuaciones como del riesgo operativo digital exógeno derivado de las prestaciones de servicios TIC por parte de terceros proveedores de dichos sistemas TIC.
Por nuestra parte, nos parece interesante añadir que el reciente ciberataque a los sistemas de pago de billetes -mediante tarjetas de crédito- de una importante línea aérea (nos referimos al sufrido por Air Europa el pasado día 9 de octubre sobre el que el lector puede informarse con detalle consultando el artículo de Ramón Muñoz publicado el 10 de octubre en la sección de Economía de El País titulado: “Air Europa sufre un ciberataque y pide a sus clientes que cancelen las tarjetas de crédito. La aerolínea afirma que el ‘hackeo’ está controlado y que no ha detectado ningún fraude por el momento”), muestra que se puede detectar un tercer tipo de riesgo operativo digital colateral que sin proceder de las propias entidades financieras ni de sus proveedores de servicios TIC; puede ocasionarles incidentes en el funcionamiento de sus servicios de pago que culminen en eventuales acciones de responsabilidad de los clientes perjudicados.
b) El incidente, ofreciendo DORA un conjunto de definiciones de incidentes relevantes en el sector de las finanzas digitales que, en función de su gravedad y de su relación con los pagos, pueden clasificarse en las siguientes categorías: Incidentes comunes relacionados con las TIC que pueden ser normaleso graves e incidentes operativos o de seguridad relacionados con los pagos que también pueden ser normales o graves.
c) La resiliencia operativa digital entendida como la propiedad definitoria del sistema que diseña DORA.
III. FUNCIONAMIENTO
El funcionamiento del sistema de resiliencia operativa digital (ROD) diseñado por DORA opera en las 5 fases siguientes: La gestión del riesgo operativo digital, la prevención de incidentes mediante la resiliencia, la solución de los incidentes que sin duda acaecerán, a pesar de las medidas preventivas que se adopten, la supervisión pública y la sanción de las infracciones.
Debemos advertir desde este momento que DORA presta una atención especial a la gestión por las entidades financieras del riesgo operativo digital exógeno derivado de terceros proveedores de sistemas TIC estableciendo sus principios fundamentales (responsabilidad y proporcionalidad) y su plasmación en los contratos que las entidades financieras celebran con proveedores terceros de servicios de TIC que se proyecta en las fases precontractual, contractual y postcontractual o de extinción de la relación obligacional
Las 5 fases en las que se desarrolla el funcionamiento del sistema de resiliencia operativa digital (ROD) diseñado por DORA son las siguientes:
a) En la primera fase de gestión del riesgo operativo digital, las entidades financieras deben tener establecido un sistema global de gestión de riesgos, del que formará parte el subsistema de gestión del riesgo operativo digital (ROD), que reposa sobre un documento básico cual es el marco de gestión del riesgo relacionado con las TIC que debe reunir los requisitos de calidad exigidos por el DORA y ser gestionado eficientemente por el órgano de dirección de la entidad financiera.
b) La segunda fase de prevención de los incidentes operativos digitales (IOD) descansa sobre las pruebas de resiliencia operativa digital que deben ajustarse a los programas de pruebas que deben cumplir dos tipos de requisitos: Los requisitos objetivos de las pruebas normales y avanzadas. y los requisitos subjetivos de los probadores externos e internos.
c) La tercera fase de la solución de los incidentes operativos digitales (IOD) se ordena en las siguientes actividades que deben realizar las entidades financieras: La detección de los incidentes operativos digitales, la clasificación de los incidentes operativos digitales y de las ciberamenazas y la notificación de los incidentes operativos digitales y de las ciberamenazas a las autoridades competentes.
d) La cuarta fase del sistema de gestión del riesgo relacionado con las TICque establece DORA reside en su supervisión. Dicha supervisión del sistema de gestión del riesgo relacionado con las TICque establece DORA puede ser de dos tipos:
d.1) La supervisión privada por las propias entidades financieras o autosupervisión.
d.2) La supervisión pública por las autoridades competentes que se organizan en tres niveles: el de las Autoridades Europeas de Supervisión, a través del Comité Mixto, el del Foro de Supervisión y el del supervisor designado para cada proveedor tercero esencial de servicios de TIC. A estos efectos DORA exige que las autoridades competentes dispongan de todas las facultades de supervisión, investigación y sanción necesarias para cumplir con sus obligaciones.
e) La quinta fase del sistema de gestión del riesgo relacionado con las TICque establece DORA reside en la sanción de los incumplimientos por las entidades financieras de las múltiples obligaciones que les impone de DORA. El régimen sancionador que establece DORA descansa sobre una relación jurídica de responsabilidad administrativa que se desarrolla en dos momentos:
a) La infracción, porque los Estados miembros de la UE deberán establecer normas que prevean sanciones administrativas y medidas correctoras adecuadas en caso de infracción del DORA y garantizarán su aplicación efectiva.
b) La sanción, porque los Estados miembros de la UE deberán conferir a las autoridades competentes la facultad de aplicar las sanciones administrativas o medidas correctoras en caso de infracción del DORA para garantizar que las entidades financieras sigan cumpliendo los requisitos legales.
Nota bibliográfica: el lector interesado en profundizar en el conocimiento de esta materia y, especialmente, en el DORA puede consultar:
Las entradas que publicamos en este blog los días 6,7,9 y 10 de febrero de este año con el título común de “DORA. Ley Europea de Resiliencia Operativa Digital del Sector Financiero. Reglamento (UE) 2022/2554”; la entrada del 17 de marzo pasado, dedicada a dar cuenta de “La nueva Ley de los Mercados de Valores y de los Servicios de Inversión: aprobación del Proyecto de Ley por los Plenos del Congreso y del Senado (2): Aspectos generales y ejes cardinales” y la de 13 de abril de 2023 “DORA llega a España: La nueva Ley de los Mercados de Valores y de los Servicios de Inversión adapta el régimen de las empresas de servicios de inversión al Reglamento de la UE sobre la resiliencia operativa digital en el sector financiero (DORA)”.
También puede consultar nuestros estudios sobre “DORA. La Ley europea de resiliencia operativa digital del sector financiero. Reglamento (UE) 2022/2554” en La Ley Unión Europea, nº 113, abril 2023; “Los 20 principios básicos de la ley europea de resiliencia Operativa Digital del Sector Financiero (DORA)”, publicado en el Diario La Ley, n.º 10262, Sección Tribuna, 5 de abril de 2023; y la “Supervisión y sanción de la resiliencia operativa digital del sector financiero en Europa. Reglamento (UE) 2022/2554. DORA”, publicado en la Revista Iberoamericana del Mercados de Valores (RIMV) n.º 68 (2023), pp. 24-32.