¿Quiénes deben cumplir con la normativa DORA?

La normativa DORA, el Reglamento de Resiliencia Operativa Digital, es una regulación que se ha redactado pensando en un gran objetivo general: asegurar que las organizaciones del sector financiero que operan en la Unión Europea tengan capacidad para responder de forma contundente y de sobreponerse a los impactos negativos de eventos disruptivos o de otro tipo de amenazas relacionados con el uso de la tecnología digital.

La normativa DORA, en definitiva, busca crear un marco regulatorio que genere resiliencia operativa digital. Hasta ahí, el objetivo es claro. Y los obligados a cumplir también: organizaciones financieras. Es un esfuerzo regulatorio que se suma a la entrada en vigor de la Ley de Ciberresiliencia de la UE.

Sin embargo, es oportuno aclarar que no todas las organizaciones financieras tienen las mismas obligaciones de cumplimiento. También es procedente afirmar que existe un grupo de empresas que no pertenecen al sector financiero y que, no obstante, por causa de su relación con ese grupo de empresas, estarán obligadas a cumplir con el Reglamento sobre Resiliencia Operativa Digital.

Quiénes están obligados a cumplir con la normativa DORA

Las organizaciones que están obligadas a cumplir con la normativa DORA, en Europa, son las que pertenecen al sector financiero y las que son proveedoras de servicios de TIC, que vendan productos o servicios a empresas del sector financiero.

Para las primeras, las empresas del sector financiero, las obligaciones dependen del tamaño: pequeñas, medianas y grandes. Para las segundas, los proveedores de TIC, la clasificación está asociada al nivel de riesgo: críticos y no críticos.

Organizaciones del sector financiero obligadas a cumplir con la normativa DORA

El artículo 2 de la normativa DORA desglosa los tipos de organizaciones financieras obligadas a cumplir en la Unión Europea:

• Entidades de crédito.
• Entidades de pago.
• Proveedores de servicios de información de cuentas.
• Entidades de dinero electrónico.
• Empresas de inversión.
• Proveedores de servicios de criptoactivos.
• Depositarios centrales de valores.
• Entidades de contrapartida central.        
• Lugares de comercio.
• Repositorios de operaciones.        
• Gestores de fondos de inversión alternativos.
• Sociedades gestoras.
• Proveedores de servicios de notificación de datos.        
• Empresas de seguros y reaseguros.
• Intermediarios de seguros y reaseguros y de seguros auxiliares.
• Agencias de calificación crediticia.
• Administradoras de índices de referencias.
• Proveedores de servicios de financiación colectivos.
• Repositorios de titulación.

Organizaciones financieras pequeñas obligadas a cumplir con la normativa DORA

Entre las organizaciones mencionadas en el ítem anterior, la normativa asigna responsabilidades de cumplimientos menos exigentes a las de menor tamaño que se ubiquen en los siguientes grupos:       

• Empresas de inversión no interconectadas.        
• Entidades de pago exentas de acuerdo con la Directiva UE 2015/2366.        
• Entidades de crédito de las que habla la Directiva UE 2013/36.        
• Entidades de dinero electrónico exentas, de acuerdo con la Directiva CE 2009/110.        
• Instituciones de previsión para la jubilación ocupacional.

Para estas pequeñas organizaciones, aplica el marco simplificado de gestión de riesgos que se dispuso también para las TIC (Art. 16 de la normativa DORA y Título III de las Normas Técnicas CDR 2024-1774). Se exceptúan del cumplimiento de lo ordenado en el capítulo II.

Organizaciones excluidas

Se excluyen de la obligación de cumplimiento con respecto al reglamento los siguientes tipos de organizaciones:   

• Gestores de fondos de inversión alternativos.        
• Empresas de seguros y reaseguros incluidas en el artículo 4 de la Directiva 2009/138 CE.    
• Instituciones de previsión para la jubilación colectiva con menos de 15 miembros.       
• Personas físicas o jurídicas exentas según la Directiva 2014/65 UE, artículos 2 y 3.        
• Intermediarios de seguros o de reaseguros o de seguros complementarios que sean micro o pequeñas empresas.       
• Entidades de giro postal de las que habla el artículo 2 de la Directiva 2013/36 UE.

Proveedores de TIC obligados

Las obligaciones de cumplimiento para las empresas que proveen servicios o productos TIC a entidades del sector financiero aparecen en el Capítulo V de la normativa DORA. El nivel de riesgo asociado al producto o servicio determina la exigencia en las obligaciones de cumplimiento. Básicamente se utilizan dos clasificaciones: crítico y no crítico.

El objetivo de la regulación DORA es mejorar la resiliencia digital operativa y las condiciones de ciberseguridad en las empresas del sector financiero, entendiendo la importancia y el nivel de riesgo que tiene la protección de datos y de seguridad de la información en este tipo de empresas.

Por supuesto, el papel y la colaboración que puede ofrecer ISO 27001 están implícitos. Este es el estándar internacional reconocido y aceptado a nivel global para la gestión de riesgos de seguridad de la información.

Software ISO 27001

El Software ISO 27001 es una plataforma tecnológica diseñada para automatizar la gestión SI, creando un marco de seguridad que elimina el error humano, presenta información en tiempo real, asigna funciones de forma automática, crea flujos de trabajo, identifica riesgos y propone acciones de tratamiento, entre otras muchas funcionalidades.

Se trata de un desarrollo tecnológico que responde a las necesidades reales de las empresas, entre ellas, por supuesto, el cumplimiento de DORA. Para conocer mejor cómo funciona y qué ventajas tiene el software, solo tienes que contactar con nuestros consultores.