Reglamento DORA. Resiliencia operativa digital exigible a los proveedores de servicios de criptoactivos

Reglamento DORA
Tiempo estimado de lectura: 4 minutos
Print Friendly, PDF & Email Imprime este artículo en PDF

1. ¿Qué regula el Reglamento DORA?

El pasado 14 de diciembre del año 2022 se publicó en el Diario Oficial de la Unión Europea el Reglamento 2022/2554 sobre la resiliencia operativa digital del sector financiero, más conocido como Reglamento DORA por sus siglas en inglés, que modifica una serie de reglamentos de la Unión Europea sobre mercados financieros. La norma entró en vigor el 3 de enero de 2023 y será aplicable a partir del 17 de enero de 2025.

El Reglamento DORA forma parte del paquete de finanzas digitales del Consejo Europeo, y junto con el Reglamento MICA, (es decir, el Reglamento relativo a los mercados de criptoactivos que a la fecha de publicación del presente post aún no ha sido aprobado) busca crear un marco normativo que respalde la innovación y aproveche el potencial de los criptoactivos a la vez que se preserve la estabilidad financiera y la ciberseguridad.

El objetivo del Reglamento DORA es hacer frente y mitigar las ciberamenazas que puedan sufrir determinadas entidades financieras como bancos, compañías de seguro o empresas de inversión, así como proveedores de servicios de criptoactivos, habida cuenta de que el riesgo de que estas entidades sufran ciberataques es cada vez mayor.

De ello precisamente se hace eco el regulador en los considerandos de DORA, donde se reconoce que, en la era digital, las tecnologías de la información y de la comunicación (conocidas como tecnologías TIC) constituyen el soporte de numerosos sistemas complejos que son utilizados diariamente por millones de personas. El aumento de la digitalización y de la interconexión ha propiciado que estos sistemas sean cada vez más vulnerables a ciberamenazas y ello pone en jaque la prestación de servicios financieros que son prestados de forma electrónica.

El Reglamento DORA pretende armonizar los requisitos clave de una resiliencia operativa digital para todas las entidades financieras de la Unión Europea, que garantice la preservación de la estabilidad y la integridad de los mercados financieros y un elevado nivel de protección de inversores y consumidores.

2. Objeto y ámbito de aplicación del Reglamento DORA

El Reglamento DORA establece requisitos uniformes relativos a la seguridad de las redes y de los sistemas de información que sustentan los procesos empresariales de las entidades financieras. En concreto, el Reglamento DORA es de aplicación a las siguientes entidades:

  • Entidades de crédito.
  • Entidades de pago.
  • Proveedores de servicios de información sobre cuentas.
  • Entidades de dinero electrónico.
  • Empresas de servicios de inversión.
  • Proveedores de servicios de criptoactivos (autorizados en el marco del Reglamento MiCA).
  • Depositarios centrales de valores.
  • Entidades de contrapartida central.
  • Centros de negociación.
  • Registros de operaciones.
  • Gestores de fondos de inversión alternativos.
  • Sociedades de gestión.
  • Proveedores de servicios de suministro de datos.
  • Empresas de seguros y de reaseguros.
  • Intermediarios de seguros, reaseguros y seguros complementarios.
  • Fondos de pensiones de empleo.
  • Agencias de calificación crediticia.
  • Administradores de índices de referencia cruciales.
  • Proveedores de servicios de financiación participativa.
  • Registros de titulizaciones.
  • Proveedores terceros de servicios de tecnologías de la información y la comunicación.

3. ¿Qué es la resiliencia operativa digital y cómo se garantiza?

El artículo 3 del Reglamento DORA define la resiliencia operativa digital como la capacidad de una entidad financiera para construir, asegurar y revisar su integridad y fiabilidad operativas asegurando, directa o indirectamente, mediante el uso de servicios prestados por proveedores terceros de servicios de tecnologías de la información, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la seguridad de las redes y los sistemas de información.

A fin de alcanzar el nivel óptimo de resiliencia operativa digital, la norma establece que las entidades financieras deben disponer de un marco interno de gobernanza y control que garantice una gestión efectiva y prudente del riesgo relacionado con las TIC.

Este marco interno debe ser sólido, completo y estar bien documentado, y debe formar parte de su sistema global de gestión de riesgos. Ello implica que las entidades obligadas, como los proveedores de servicios de criptoactivos, deberán minimizar las consecuencias del riesgo relacionado con las TIC mediante el despliegue de estrategias, políticas, procedimientos y protocolos adecuados.

Como parte del marco de gestión del riesgo para una resiliencia operativa digital, las entidades financieras deberán identificar, clasificar y documentar todas las funciones, cometidos y responsabilidades empresariales sustentados por las TIC.

Además, se establece un régimen de notificaciones de incidentes graves relacionados con las TIC a las autoridades competentes, y de forma voluntaria, las organizaciones también podrán notificar las ciberamenazas sufridas a la autoridad competente cuando consideren que la amenaza es pertinente para el sistema financiero, los usuarios del servicio o los clientes. En el caso de los proveedores de servicios de criptoactivos, el Reglamento DORA sostiene que la autoridad competente será la designada de conformidad con el Reglamento relativo a los mercados de criptoactivos (Reglamento MICA, todavía no en vigor). Así, en España la autoridad competente será la Comisión Nacional del Mercado de Valores, que deberá cooperar con la Autoridad Europea de Valores y Mercados.

Para proteger y prevenir ciberamenazas, las entidades obligadas deben realizar un seguimiento y control permanentes de la seguridad y el funcionamiento de los sistemas TIC que utilicen, para minimizar sus riesgos. Así, el Reglamento DORA establece que se deberán utilizar soluciones TIC que garanticen la seguridad de los medios de transmisión de datos, minimicen el riesgo de corrupción o pérdida de datos, que eviten la falta de disponibilidad, la pérdida de datos y la vulneración de la confidencialidad y que garanticen que los datos estén protegidos de riesgos derivados de su gestión.

Así, se aprecia que la resiliencia operativa digital por la que aboga el Reglamento DORA está íntimamente relacionada con la protección de datos personales y con los principios consagrados en el Reglamento General de Protección de Datos. La prioridad es una gobernanza sólida de la ciberseguridad, que debe estar presente en todo momento de la vida de la organización.

Ante la vorágine legislativa que empieza a notarse entorno al sistema financiero y los proveedores de servicios relacionados con los criptoactivos y las criptomonedas, es recomendable poder contar con abogados especializados en blockchain y expertos en derecho de las nuevas tecnologías que puedan ayudarte a aplicar la normativas del sector con plana seguridad jurídica.

5/5 - (1 voto)

Un artículo de Algoritmo Legal.

Firma de abogados española especializada en el asesoramiento legal de los negocios y la tecnología. Ayudamos a startups y empresas tecnológicas en asuntos relacionados con el derecho de sociedades y la contratación mercantil. Somos especialistas en propiedad intelectual y protección de datos personales. Asesoramos negocios y proyectos que utilizan tecnología blockchain e inteligencia artificial. Asimismo, asistimos legalmente a personas que vean afectados sus derechos por el uso de tales tecnologías. Trabajamos en los sectores FinTech, InsurTech, RegTech, PropTech, MedTech y LegalTech.

Licencia de Creative CommonsArtículo bajo licencia de Creative Commons Reconocimiento-NoComercial-SinObraDerivada 4.0 Internacional.

"NO REPRODUZCAS SIN CITAR LA FUENTE"

Querido lector: dispones del permiso del editor de Algoritmo Legal y del mismo autor de este artículo para reproducir todo o una parte del mismo, siempre que cites la fuente de origen y que no consideres importante que Google penalice tu web por tener contenido duplicado. Así que, simplemente copia lo siguiente:

Algoritmo Legal. Reglamento DORA. Resiliencia operativa digital exigible a los proveedores de servicios de criptoactivos [online]. Algoritmo Legal. 11/01/2023. https://www.abogadosdeblockchain.com/noticias/reglamento-dora/. Consulta: [indicar la fecha en que has consultado el artículo].

Contacte con nosotros

  • Si busca abogados especializados en criptoactivos y criptomonedas, podemos ayudarle.
  • Si desea que te llamemos mencione el prefijo del país donde se encuentra. Por ejemplo: +49 91122233.
  • (*) Requerido cumplimentar

abogadosdeblockchain.com es un proyecto de Algoritmo Legal. © 2021- 2023. Todos los derechos reservados.
Aviso Legal | Política de privacidad y cookies.
error: Content is protected !!