Vivimos en un mundo cada día más complejo e interconectado en el que la tecnología desempeña un papel cada vez más relevante en todos los sectores de la sociedad, lo que está provocando que, desde hace ya algún tiempo, tanto el sector financiero como no financiero se enfrenten a un marco regulatorio complejo y cambiante y garantizar su cumplimiento no está siendo -ni será- tarea fácil para las organizaciones.
Hace unos días, concretamente el pasado 17 de abril, se cumplieron tres meses desde que el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) número 1060/2009, (UE) número 648/2012, (UE) número 600/2014, (UE) número 909/2014 y (UE) 2016/1011 [1] (“Reglamento Dora” o “DORA”, en adelante) resulta de aplicación ya que a pesar de que DORA entró en vigor el 16 de enero del año 2023, se estableció un periodo de dos años para cumplir con sus requerimientos. Si bien no solo las compañías de seguros son sujetos obligados de DORA, en este artículo nos centraremos únicamente en el impacto que la aplicación de este Reglamento está teniendo en la prestación de los denominados “servicios TIC” en el sector asegurador español, uno de los principales sectores de la economía mundial. Según el Informe Anual “El Seguro Mundial” publicado por Swiss Re Institute el 16 de julio de 2024 [2], se estima que el mercado español de seguros alcance en este año 2025 los 92.000 millones de dólares en primas totales lo que nos permite hacernos una idea del peso que tiene el seguro en el mercado y en la economía mundial. Las perspectivas de crecimiento tanto a nivel nacional como internacional son bastante alentadoras.
No obstante lo anterior, si bien es cierto que el sector de los seguros tiene grandes oportunidades por delante, también va a tener que hacer frente en los próximos años a grandes desafíos derivados en su mayoría de la dependencia cada vez mayor en el uso de la tecnología. Podemos decir que la Unión Europea no es ajena a esta realidad y, precisamente por ello, a través de normativas como la Directiva NIS 2 [3] y del Reglamento Dora está buscando armonizar los requisitos de seguridad dentro de la Unión, de definir un marco de gestión de riesgos derivados del uso de las TIC y de mejorar la capacidad de respuesta ante incidentes en materia tecnológica en los servicios que caen dentro del ámbito de aplicación de estas dos normativas. Como decíamos en líneas anteriores, en un mundo cada vez más interconectado y globalizado, el uso de la tecnología por parte de las instituciones y organizaciones públicas y privadas es cada vez mayor lo que, sin duda, comporta grandes ventajas pero también hace que todas las entidades estén más expuestas a amenazas dirigidas contra sus sistemas de información, redes o dispositivos o activos digitales.
El Reglamento Dora, con un enfoque basado en la gestión de riesgos tecnológicos, ha obligado a las aseguradoras a implementar una estrategia integral para poder gestionar los denominados riegos TIC. En otras palabras, DORA ha obligado a estas entidades a efectuar un análisis profundo de los servicios que les prestan sus proveedores tecnológicos, así como a realizar una profunda revisión de sus procedimientos internos en materia de gestión de riesgos TIC, obligándolas a modificar sus procesos de gestión, clasificación y notificación de incidentes a las autoridades y reguladores para adaptarlos a las nuevas exigencias europeas. Para cumplir con DORA no es suficiente con trasladar determinadas obligaciones legales a los prestadores de servicios TIC vía contractual sino que es necesario tener un profundo conocimiento de la entidad porque si no se han identificado correctamente las herramientas tecnológicas que se utilizan y los servicios tecnológicos que los proveedores están prestando, difícilmente se van a poder identificar las responsabilidades de cada área con la finalidad de poder poner en marcha soluciones técnicas que permitan gestionar correctamente los riesgos TIC y la adopción e implementación, en su caso, de los correspondientes planes de acción. Cumpliendo DORA, las aseguradoras y los prestadores de servicios tecnológicos estarán mejor preparados ante una eventual amenaza de seguridad permitiendo a los mismos mantener su resiliencia en caso de perturbaciones operativas. La participación de los proveedores tecnológicos en los procesos de las aseguradoras debe estar correctamente identificada, regulada y monitorizada por parte de las compañías de seguros.
DORA también está obligando a que la comunicación entre las entidades aseguradoras españolas y su órgano de supervisión, la Dirección General de Seguros y Fondo de Pensiones (“DGSFP”, en adelante) sea más transparente y fluida ya que este Reglamento ha dotado a los órganos nacionales de mayores funciones de supervisión en el ámbito de las TIC. De hecho, en estos tres meses aplicando DORA, los reguladores y los distintos supervisores nacionales [4] han demostrado que se van a tomar muy en serio estas nuevas responsabilidades de supervisión. En el caso de España, la DGSFP haciendo uso de las facultades conferidas en el artículo 28.3 del Reglamento, que exige que las entidades financieras comuniquen, al menos una vez año, a las autoridades competentes la información sobre el número de nuevos acuerdos relativos al uso de servicios de TIC, las categorías de proveedores terceros de servicios de TIC, el tipo de acuerdos contractuales y los servicios y funciones prestados en materia de TIC, otorgó de plazo hasta el pasado 10 de abril para que las entidades bajo su supervisión directa les comunicaran el listado de proveedores y acuerdos relativos al uso de servicios de TIC en vigor [5] ya que las Autoridades Europeas de Supervisión [6] han fijado la fecha de 30 de abril como fecha límite para que se comuniquen los proveedores críticos de servicios TIC al amparo de DORA.
La adaptación a DORA de los procesos y prácticas de contratación en materia TIC, no está siendo tarea fácil. Además, conviene recordar que para garantizar el pleno cumplimiento de DORA no solo hay que tener en cuenta el contenido del propio Reglamento sino también las normas técnicas de ejecución. Hasta hace no mucho tiempo, la práctica habitual consistía en desplegar las licencias on premise, es decir, en instalaciones propias, y si surgía algún problema no se dependía tanto de un tercero sino que los propios departamentos de sistemas de las entidades aseguradoras tenían capacidad para solucionarlo y dar una respuesta rápida y efectiva. Sin embargo, en la actualidad, la dependencia en terceros para garantizar la continuidad del negocio es mayor. Cualquier aseguradora, con independencia de su tamaño, se apoya, en menor o mayor medida, en diferentes proveedores para poder prestar sus servicios.
En definitiva, la creciente preocupación por la gestión de los riesgos tecnológicos derivado de la dependencia cada vez mayor en prestadores terceros de servicios TIC no solo por parte de las entidades aseguradoras sino también de las demás organizaciones e instituciones, ha provocado una intensa labor regulatoria los últimos años que ha puesto de manifiesto el interés de los distintos reguladores por tratar de homogeneizar las reglas de juego, intentando dotar de cierta estabilidad al ordenamiento jurídico. En este contexto de cambios normativos y, a menudo, de cierta incertidumbre, el Reglamento Dora puede suponer una oportunidad para mejorar la resiliencia operativa del sector financiero en general y del sector seguros en particular.
Aunque todavía es pronto para realizar una valoración exhaustiva del impacto que la aplicación de DORA está teniendo en el sector asegurador español, lo que sí parece poder afirmarse es que la implementación de los requerimientos de DORA está contribuyendo y contribuirá, sin duda, a medida que las compañías de seguros avancen con su completa implementación durante los próximos meses, a identificar y gestionar de forma más eficaz los riesgos relacionados con las TIC. La evaluación de las prácticas de seguridad de los proveedores tecnológicos, los cambios en las prácticas de contratación de los servicios TIC y la monitorización continua de los riesgos tecnológicos son, sin duda, los principales grandes retos de DORA. Las aseguradoras deben ser capaces de desarrollar una cultura de cumplimiento efectiva y establecer una estrategia de arriba abajo [7] con la colaboración y participación de los órganos de dirección que les permita desarrollar su actividad en un contexto de continua evolución tecnológica y cierta incertidumbre y volatilidad.
El futuro del sector asegurador es prometedor ya que vive una época de transformación sin precedentes y parece estar lleno de oportunidades. 2025 será, sin duda, un año clave para la ciberseguridad en Europa y para el sector de los seguros [8] y prestadores terceros de servicios TIC.
[1] Texto completo del Reglamento Dora: https://www.boe.es/buscar/doc.php?id=DOUE-L-2022-81962
[2] Informe completo: https://www.swissre.com/institute/research/sigma-research/sigma-2024-03-world-insurance-global-resilience.html
[3] Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).
[4] En este artículo nos centramos únicamente en el sector asegurador. Los supervisores del sistema financiero español son, además de la DGSFP (sector seguros y fondo de pensiones), la CNMV (sector valores) y el Banco de España (sector de crédito).
[5] https://www.sededgsfp.gob.es/es/Paginas/Procedimiento.aspx?pr=197
[6] EBA, EIOPA y ESMA.
[7] El propio artículo 5 del Reglamento Dora establece que el marco de gestión del riesgo relacionado con las TIC deberá ser definido, aprobado y supervisado por el órgano de dirección de la entidad financiera.
[8] Aunque no entra dentro del alcance de este artículo, en el año 2025 el sector asegurador tendrá que hacer frente también a otros desafíos. Ejemplo: novedades normativas de la revisión de Solvencia II, fin del periodo transitorio establecido por el Reglamento de IA para la clasificación de los sistemas de IA, obligaciones de reporte en materia de sostenibilidad impuestas por la CDSR, etc.
