Este viernes 17 de enero de 2025 es una fecha marcada en el calendario de toda la industria financiera y el ecosistema FinTech e InsurTech, por la entrada en vigor del Reglamento de Resiliencia Operativa Digital (DORA, por sus siglas en inglés), que marca un hito estratégico en la regulación del sector financiero a nivel europeo.

Este marco normativo tiene como objetivo fortalecer la resiliencia operativa digital y unificar los estándares en todos los Estados miembros, convirtiéndose en una pieza clave para enfrentar un entorno tecnológico cada vez más expuesto a ciberataques.

La implementación de DORA es vista como una medida indispensable para garantizar la seguridad y la estabilidad del sector financiero, especialmente en un momento en que la dependencia de tecnologías críticas externas, como plataformas en la nube y proveedores de servicios esenciales, sigue creciendo. ¿Cuáles son los pilares fundamentales en los que se apoya este reglamento?

1.Gestión de riesgos TIC

Requiere que las entidades financieras refuercen sus mecanismos para identificar, evaluar y mitigar riesgos tecnológicos.

2. Pruebas de resiliencia operativa

Obliga a realizar simulaciones y auditorías de ciberseguridad para asegurar la capacidad de las entidades de operar bajo condiciones adversas.

3. Supervisión de terceros críticos

Garantiza una vigilancia más estricta sobre los proveedores externos que son esenciales para las operaciones financieras.

Alfonso Ayuso, vocal de la junta directiva de la AEFI y representante del vertical de Activos Digitales, señala que “DORA es un marco ambicioso pero necesario para proteger el sistema financiero europeo frente a riesgos tecnológicos cada vez más sofisticados”.

Un desafío para las pequeñas compañías

DORA representa un avance crucial para la resiliencia operativa del sector financiero europeo, pero también subraya la importancia de un enfoque equilibrado que tenga en cuenta las diferencias entre entidades. El reto ahora es garantizar una implementación efectiva que beneficie a todas las partes, desde los grandes bancos hasta las pequeñas FinTech. Aunque DORA supone un avance significativo, también plantea retos, especialmente para las compañías FinTech, que podrían encontrar dificultades, debido a la carga regulatoria y los costes asociados con el cumplimiento de las nuevas exigencias. Además, DORA no desarrolla suficientemente el principio de proporcionalidad. Esto implica que las obligaciones son las mismas para grandes bancos sistémicos y pequeñas entidades no críticas, algo que se considera un punto crítico a mejorar en futuras revisiones de la normativa.

En este sentido, Alfonso Ayuso explica que “sería fundamental incrementar los principios de proporcionalidad de la normativa para garantizar que las empresas más pequeñas puedan cumplir con los estándares sin comprometer su viabilidad operativa”.

Impacto en la inversión tecnológica

La aplicación de DORA podría redirigir temporalmente las inversiones tecnológicas de las entidades financieras, enfocándolas hacia el cumplimiento normativo y la mejora de la resiliencia operativa. Sin embargo, también se espera que fomente el desarrollo de tecnologías relacionadas con la ciberseguridad, lo que podría generar nuevas oportunidades para el sector a medio plazo.

Al respecto, Alfonso Ayuso comenta que “si bien es cierto que habrá un impacto inicial en las prioridades de inversión, DORA también abre una puerta para el desarrollo de soluciones tecnológicas innovadoras que fortalezcan la seguridad del ecosistema financiero”.

El reglamento también podría impulsar la aparición de nuevas compañías de servicios y la contratación de profesionales especializados en ciberseguridad y gestión de riesgos tecnológicos, como analistas, arquitectos de ciberseguridad y expertos en pruebas de penetración.