El objetivo principal de esta regulación es asegurar que la industria financiera europea siga funcionando de forma resiliente en caso de "grave perturbación operativa". En otras palabras, proteger estas entidades frente al, cada vez mayor, riesgo de ciberataques. 

De esta forma, esta ley establece requisitos uniformes para garantizar la seguridad de las redes y los sistemas de información de empresas y organizaciones que operan en el sector financiero, además de los terceros que les presten servicios relacionados con las TIC (por ejemplo, las plataformas en la nube o los intermediarios de seguros, auditores legales o agencias de calificación). 

[Europa se blinda ante los ciberataques en el sector financiero con DORA: "Estaremos preparados"]

El reglamento define un marco normativo homogéneo para todos los estados miembros de la UE con el que se asegura que todas las firmas que participan en este ecosistema puedan resistir y responder cualquier tipo de amenaza y recuperarse de ella. Según los legisladores, el objetivo es apoyar la innovación y la adopción de nuevas tecnologías financieras, proporcionando un nivel adecuado de protección a los consumidores e inversores.

Zbyněk Stanjura, ministro de Hacienda de Chequia en el momento de la presentación de esta medida, apuntó que, gracias a los requisitos que recoge, esta industria está "en mejores condiciones" de seguir funcionando "en todo momento". "Si se lanza un ataque a gran escala contra el sector financiero europeo, estaremos preparados para ello", afirmó. 

A medio camino de la ley

A pesar de la premura con la que se ha querido sacar adelante esta norma, los cauces legislativos comunitarios son los que son y no fue hasta un año después de su aparición, casi terminando 2021, cuando el Consejo adoptó su mandato de negociación sobre dicha ley, tras lo que comenzaron los trílogos, ya a principios de 2022. Todo ello se saldó con un acuerdo provisional alcanzado en mayo de 2022 y, a finales de ese mismo año, la adopción formal por parte de los órganos legislativos europeos. 

Finalmente, la norma se convirtió en realidad el 16 de enero de 2023, cuando entró en vigor, pero sin efectos prácticos, ya que las empresas y entidades afectadas tienen hasta el 17 de enero de 2025 para mejorar sus procesos, fecha en la que empezará a aplicarse de forma efectiva. 

Así, actualmente, la normativa se encuentra, literalmente, a medio camino: hace un año se aprobó y dentro de otro será realidad. Dicho de otra forma, las compañías y organizaciones afectadas se encuentran en plena cuenta atrás del proceso de incorporación de los requisitos dispuestos en esta ley antes de que sea totalmente obligatorio. 

Un hito asociado a diferentes retos

Felipe Peñacoba, CIO de Revolut, cuenta a D+I-EL ESPAÑOL que la entrada en vigor de DORA será "un hito importante para la industria bancaria en Europa". Por ello, explica que desde su compañía llevan trabajando para adaptar los procesos a esta norma "desde hace ya un par de años", con el foco en áreas como la gestión de riesgos tecnológicos, la evaluación de la resiliencia operativa, la protección de datos o el análisis de los peligros asociados a terceros. 

En este proceso, apunta que ya han completado la primera ronda de análisis, donde han identificado los puntos en los que deben centrarse para asegurar el cumplimiento de la ley antes de su aplicación efectiva. "Por poner un ejemplo ilustrativo, hemos extendido nuestro proceso de evaluación de proveedores para recopilar aún más información que nos permita conocer nuestra cadena de suministro, incluyendo varios niveles de subcontratación, con foco especial en los servicios a clientes y funciones internas más importantes", añade. 

Peñacoba admite que esta legislación supone "un reto" para todos los bancos a la hora de identificar y gestionar "adecuadamente" las dependencias, "tanto internas como externas, tanto tecnológicas como operativas", relevantes para asegurar que el servicio no se ve afectado en caso de incidencias de cualquier naturaleza. 

[Análisis de la ley europea de inteligencia artificial: pionera en el mundo, pero con rebajas en las prohibiciones]

Por su parte, fuentes de BBVA precisan a este medio que, aunque muchos de los aspectos cubiertos por la legislación ya los tenían implementados o estaban en proceso de hacerlo a través de su propia estrategia de mitigación de riesgos, desde la publicación de los primeros borradores de DORA empezaron a analizar qué aspectos quedaban aún pendientes de mejorar. Esto, aseguran, también les permitió lanzar planes con los que garantizaban el cumplimiento de la ley incluso antes de su entrada en vigor. 

Así, explican que el enfoque con el que han abordado este proceso ha sido el de desgranar la norma, identificar las áreas responsables de cada uno de los requerimientos, posteriormente, iniciar un análisis del nivel de cumplimiento inicial y, a continuación, definir planes de acción liderados por cada uno de estos grupos para aplicar los cambios necesarios. "DORA nos está suponiendo acometer una revisión completa de los procesos relacionados con la resiliencia digital", resumen. 

Las mismas fuentes de BBVA reconocen que un cambio de esta envergadura siempre va asociado a "retos y dificultades" y, en este caso, destacan como una de las mayores la necesidad de incorporar a la cadena de suministro a los proveedores debido a que la cultura de cada una de ella respecto a los riesgos es totalmente diferente. 

[De la ley de IA a la de datos: las normas "disruptivas" de Europa que marcarán el futuro digital]

En el caso de EVO Banco, Jaime Castro, CISO de la firma, explica que, aunque también llevan años trabajando en aspectos relacionados con la resiliencia operacional, desde la entrada de DORA, han reforzado los análisis sobre este campo para poder detectar "posibles puntos de mejora adicionales" antes de su entrada en vigor definitiva. 

Así, Castro señala que la entidad está en pleno proceso de refuerzo de dicho ecosistema, tanto desgranando los servicios que se prestan en la actualidad como diseñando nuevas iniciativas. 

En concreto, precisa que se ha impulsado todo lo relacionado con la continuidad de negocio, están reforzando el marco de gobierno, así como la gestión de los riesgos TI o los procesos de revisión y auditoría desde el punto de vista de la seguridad. Asimismo, están centrando sus esfuerzos en las pruebas y simulacros para asegurar que los planes diseñados cumplen con las necesidades. 

El CISO de EVO Banco señala entre los desafíos asociados a esta ley el entendimiento profundo requerido en todos los procesos del negocio, junto con la tecnología que los soporta. Eso, según apunta, es un desafío "de conocimiento completo de la entidad en todos sus aspectos". También, señala la cooperación entre los proveedores y los equipos del banco, lo que hace que la gestión cobre un nivel adicional de importancia. 

Una ley "claramente positiva"

Más allá de los retos asociados a la modificación de sus procesos para adaptarse a DORA, lo cierto es que las compañías consultadas por este medio creen que esta ley se traducirá en una serie de beneficios para la industria.

"Esta ley es claramente positiva para el sector financiero, puesto que ahonda en la necesidad de mejorar la capacidad de los bancos para continuar operando en caso de eventos disruptivos de cualquier naturaleza", afirma Peñacoba. Según explica, situaciones como el COVID, la guerra en Ucrania o la inestabilidad en Oriente Próximo, sumadas al incremento de los ataques cibernéticos, "son ejemplos que ilustran la necesidad de invertir en la resiliencia de las entidades financieras".  

Así, el CIO de Revolut señala que esta legislación proporciona un marco de actuación útil que permitirá a los reguladores europeos evaluar "el progreso de los bancos en este campo" e incentivar la agenda de transformación digital. 

En la misma línea, el CISO de EVO Banco califica esta ley como "positiva" porque "ayuda a impulsar y estandarizar las capacidades de resiliencia operativa del sector". Así, apunta, "viene a reforzar aspectos que ya se llevan trabajando y evolucionando desde un punto de vista más completo y exigente" y a "estandarizar aspectos que hasta ahora estaban más difusos".

"Es un reglamento con unos pilares exigentes tanto a nivel tecnológico como procedimental que permite algo de flexibilidad a las entidades en su implementación", afirma Castro. 

Por su parte, las fuentes de BBVA creen que la incorporación de esta ley ayudará a reforzar la confianza de los clientes e inversores en el sector financiero al asegurar un elevado nivel de resiliencia en todas las entidades del sector. 

Aún así, preguntados por qué aspectos se podrían mejorar en relación a esta legislación, señalan que el hecho de no tener disponibles desde el principio de la adecuación todos los RTSs supone una mayor complejidad, ya que algunos de estos solo se van a publicar con seis meses de anticipación, lo que supone "muy poco margen" para adaptarse.