La Comisión Europea presentó la propuesta del Reglamento DORA (Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero) en septiembre de 2020, el cual tiene su base jurídica en el artículo 114 del Tratado de Funcionamiento de la Unión Europea. Este Reglamento forma parte del paquete de finanzas digitales, que trata de una serie de medidas destinadas a garantizar el buen funcionamiento del mercado interior digital, apoyando las nuevas tecnologías financieras y sin dejar de proteger a los consumidores e inversores.
Este Reglamento de alcance general y aplicable directamente en cada Estado Miembro modifica los anteriores Reglamentos (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014, (UE) nº 909/2014 y (UE) 2016/1011 y tras su propuesta en 2020, el inicio de las negociaciones en 2021, y el acuerdo provisional aprobado en mayo de 2022 se ha concluido en la adopción del mismo.
Hasta el momento, ninguna norma europea había abordado la resiliencia operativa en servicios financieros, ni los riesgos derivados de la digitalización. Después de la crisis financiera de 2008 la UE priorizo otros objetivos destinados a recuperar la estabilidad económica, razón por la cual se dejo en un segundo plano las posibles consecuencias de las TIC en el sector financiero.
La Comisión Europea valoró cuatro opciones; la primera, no hacer nada, la segunda, introducir colchones de capital para que las entidades pudieran hacer frente a las perdidas derivadas de la falta de resiliencia operativa digital, la tercera, la adopción de un texto legislativo sobre resiliencia operativa y en cuarto lugar, un texto legislativo (opción 3) además de el establecimiento de una nueva autoridad de control para controlar la prestación de servicios TIC por terceros proveedores. Finalmente se optó por la segunda opción ya que se consideró que lograba los objetivos de manera más eficiente y en armonía con el resto de políticas europeas. Europa debe adaptarse a la era digital y la economía debe prepararse para el futuro
Todas las entidades financieras europeas (sujetos obligados) tienen que poder hacer frente a cualquier riesgo materializable en relación con las TIC. Es por ello, que el DORA establece unos parámetros uniformes relativos a la seguridad de los sistemas informativos de las entidades, estableciendo las obligaciones que se deben de llevar a cabo respecto a terceros proveedores de servicios TIC. El capitulo II del Reglamento titulado “Gestión de riesgos” esta dedicado a establecer dichos parámetros y requisitos; ejemplo de ello es la necesidad de llevar a cabo evaluaciones de riesgo de los sistemas o la obligación de estar al tanto de posibles fugas de información en relación a las fuentes de riesgo.
La gestión de riesgo es el epicentro del Reglamento DORA, y las obligaciones se resumen en lo siguiente; establecer un marco regulatorio de procedimientos y protocolos internos individualizado en cada entidad (atendiendo a sus circunstancias y necesidades), la realización de pruebas reiteradas de dichos protocolos y de los sistemas de las entidades, la notificación por parte de las entidades a los sujetos implicados en caso de incidente para la seguridad de los mismos con la máxima antelación posible y un seguimiento exhaustivo de los servicios tecnológicos que se subcontraten.
Entre los beneficios del Reglamento nos encontramos con la eliminación de trámites burocráticos, ya que la armonización de pruebas de resiliencia operativa digital reducirá los costes de las entidades. DORA también garantiza un alto nivel de protección de derechos fundamentales haciendo hincapié en el derecho a la protección de datos, siendo estos el activo mas importante de cualquier empresa y sobre todo de las entidades financieras.