Así es el reglamento DORA, de obligatorio cumplimiento para aseguradoras y gestoras de fondos

Los ciberataques cada vez son más y más sofisticados. De acuerdo con un informe de Cybersecurity Ventures, en 2023 se produjo un ataque cada 39 segundos, es decir, más de 2.200 por día. La Unión Europea eleva el coste anual mundial de la ciberdelincuencia a más de 5 billones de euros.

Ante este panorama, la UE, a través de la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA) y la Autoridad Europea de Valores y Mercados (ESMA), ha establecido un marco normativo para que las entidades financieras puedan mejorar su resiliencia operativa y ciberseguridad, con el objetivo de mejorar la protección ante los riesgos derivados del entorno cibernético y las TIC.

Este marco legislativo, conocido como reglamento de Resiliencia Operativa Digital o reglamento DORA, por sus siglas en inglés, entró en vigor el 16 de enero de 2023. Desde esa fecha, las entidades financieras tienen dos años para adaptarse a él, ya que el próximo 17 de enero de 2025 será de obligatorio cumplimiento para todos los actores del sector europeo.

“El sector financiero depende cada vez más de la tecnología y de las empresas tecnológicas para prestar sus servicios. Esto hace que las entidades sean vulnerables a ciberataques o incidentes”, explican desde EIOPA. “Cuando no se gestionan adecuadamente, los riesgos de las TIC pueden provocar interrupciones en la actividad del sector. Esto, a su vez, puede repercutir en otras empresas, sectores e, incluso, en el resto de la economía, lo que subraya la importancia de la resistencia operativa digital del sector financiero. Aquí es donde entra en juego el reglamento DORA”, añaden.

El texto establece criterios para la clasificación, gestión y notificación de riesgos en el ámbito de las TIC.  Además, incorpora pruebas exhaustivas recurrentes para estos sistemas y una serie de requisitos para la gestión y supervisión en el sector financiero de los riesgos derivados de los servicios TIC. Así, se fortalece la seguridad de la información y se eliminan posibles lagunas y conflictos que pudieran surgir dentro de las entidades financieras. 

El alcance del reglamento incorpora a todos los actores del ámbito financiero a nivel europeo, entre los que se encuentran las aseguradoras y reaseguradoras, los intermediarios de seguros o los gestores de fondos de inversión alternativos y sociedades de gestión.

Esta nueva normativa amplía el perímetro de su actuación, pasando más allá de las entidades financieras tradicionales, haciendo hincapié en la gestión de servicios tecnológicos por terceros y en organizaciones como las aseguradoras y reaseguradoras.

“Los requisitos de la normativa son muy concretos y exigentes, lo que, en general, obligará al sector de seguros a acelerar su velocidad de mejora en este campo, poniéndose así a un nivel similar al de la banca, tradicionalmente más maduro en la materia, pues fueron los primeros en ser objetivos de los ciberdelincuentes”, explica Jacinto Muñoz Muñoz, director de Resiliencia Operativa y Gestión de Crisis en MAPFRE. “En términos de oportunidad, el reglamento DORA debe permitir a la industria aseguradora mejorar su madurez en materia de ciberseguridad y resiliencia operativa digital, mejorando su protección contra el ciberriesgo”, añade.  

En el caso concreto de España, la Asociación Española de Corredurías de Seguros y Reaseguros (ADECOSE) ha excluido de esta normativa a las pequeñas y medianas empresas (pymes) y mediadores de seguros de menos de 250 empleados, debido a sus peculiaridades y necesidades dentro de este sector. 

El reglamento DORA establece requerimientos específicos en cuatro ámbitos principales:

1. Gestión y gobernanza del riesgo TIC. Las organizaciones deberán contar con marcos integrales de gestión del riesgo de las TIC en los que se incorpore la identificación y clasificación de activos críticos. Además, se deben realizar evaluaciones periódicas del riesgo.

2. Notificación de incidentes. Es necesario disponer de sistemas para “monitorizar, administrar, registrar, clasificar e informar” sobre incidentes de ciberseguridad relacionados con las TIC.

3. Pruebas de resiliencia operativa e intercambio de amenazas. Los sistemas TIC han de ser probados de manera regular para evaluar su funcionamiento, identificar vulnerabilidades y repararlas a tiempo. Asimismo, las entidades financieras deben establecer acuerdos de intercambio de información e inteligencia entre ellas con respecto a las amenazas y vulnerabilidades.

4. Gestión del riesgo de terceros. Es requisito para las compañías del sector que asuman “un papel activo en la gestión del riesgo de terceros de las TIC”. A su vez, los proveedores de servicios han de cumplir con los requisitos del reglamento DORA.

Para las entidades financieras, el reglamento surge como una guía y marco de prevención de los riesgos derivados de la tecnología, de manera que el sector pueda continuar su senda de crecimiento minimizando el peligro de sus activos o de los de sus clientes.

En MAPFRE, siendo plenamente conscientes de los ciberriesgos, se trabaja de forma constante y sistematizada en la mejora de la postura de seguridad desde hace años.

“Para adaptarnos a este marco hemos analizado y realizado comentarios en los distintos borradores que se han ido publicando. Tras su aprobación definitiva, realizamos un primer análisis de adecuación al reglamento y definimos un plan de acción para cubrir los gaps identificados, plan que estamos no solo ejecutando en la actualidad, sino también modificando para incorporar los requerimientos que van apareciendo en la normativa de segundo nivel asociada a DORA”, comenta Jacinto Muñoz Muñoz.

Desde el punto de vista estratégico u operativo, el reglamento DORA no va a cambiar de forma sustancial la manera en la que MAPFRE aborda la ciberseguridad. En palabras del director de Resiliencia Operativa y Gestión de Crisis en MAPFRE, lo que va a hacer es “exigir un plus de formalización de algunas tareas que llevamos a cabo, como es el caso del registro y control de los proveedores de servicios TIC.”

Aún quedan seis meses para que termine el periodo de adaptación al nuevo reglamento. No obstante, no es el único reto al que se enfrentan las aseguradoras, ya que tienen también por delante otros como la revisión de la normativa de Solvencia II o la propuesta de nueva Directiva sobre Recuperación y Resolución de Entidades Aseguradoras (IRRD).

ARTÍCULOS RELACIONADOS: