La salud financiera es clave para el bienestar de una región, pero el sector asegurador , cada vez más digitalizado, es también más vulnerable a riesgos tecnológicos. Para ayudar a las empresas a protegerse, Europa ha establecido una normativa específica para entornos TIC.
DORA (Digital Operational Resilience Act) es, más que una normativa, la armonización de los reglamentos existentes en materia de resiliencia operativa para el sector financiero, específicamente frente a riesgos relacionados con las tecnologías de la información y comunicación (TIC). Entró en vigor en 2023 y se comenzó a aplicar en enero de 2025, siendo de obligado cumplimiento tanto para las entidades financieras europeas como para sus proveedores de servicios TIC.
El marco trazado en el Boletín Oficial del Estado que publicó el reglamento en 2022 en España señalaba que el uso de estas tecnologías “ha transformado el sector asegurador, desde la aparición de intermediarios que ofrecen sus servicios en línea y desarrollan su actividad con tecnología aplicada al sector (insurtech) hasta la suscripción de seguros por medios digitales”, creando un contexto que “ha profundizado las interconexiones y las dependencias tanto dentro del sector financiero como en relación con proveedores terceros de infraestructuras y servicios”.
Los riesgos asociados a las TIC
En esta era digital, la tecnología es el medio por el que se realizan infinidad de tareas cotidianas que mantienen la economía en marcha. Su eficiencia y agilidad se soportan sobre complejos sistemas, integrados en las entidades y externalizados en empresas especializadas. En este escenario, existen ciertos riesgos que, cuando no se gestionan adecuadamente, pueden provocar interrupciones en los servicios financieros, impactando no solo en su actividad, sino en la economía global.
La Junta Europea de Riesgo Sistémico (JERS) destacó en uno de sus últimos informes el elevado nivel de riesgo derivado de la interconexión de las más de 22.000 entidades financieras localizadas en la región. En el entorno europeo, en los últimos años, han aumentado las ciberamenazas, que se ponen de manifiesto en sabotajes a cables submarinos -fundamentales en la arquitectura TELCO-, robo y manipulación de datos masivos a grandes entidades y una creciente sofisticación en los ciberataques. Ni las empresas con un plan de ciberseguridad asentado son inmunes a estos peligros. En este contexto, la JERS aboga por llevar a cabo unas prácticas de gestión coordinadas a escala nacional y comunitaria que aborden todas las fases de una crisis: preparación, respuesta y recuperación. DORA sería el marco de contingencia común que, protegiendo a cada entidad, preservaría la seguridad del sector. Según el Diario Oficial de la Unión Europea, “conseguir un alto nivel de resiliencia operativa digital en las entidades financieras reguladas requiere de la armonización de algunas normas diferentes del Derecho de la Unión y nacional”.
¿A qué está obligado el sector financiero?
Con la implementación de DORA, las entidades financieras deben cumplir una serie de requisitos que se centran en varios aspectos clave. Cumpliendo con estas líneas de protección, detección, contención, recuperación y reparación, se puede estructurar una estrategia de ciberseguridad firme y eficiente. Los cuatro pilares de la normativa son:
Una gestión del riesgo TIC sólida y eficaz: Las entidades financieras deben establecer dinámicas integrales que garanticen la detección y gestión de riesgos cibernéticos, identificando y clasificando todos los activos críticos de su arquitectura tecnológica y haciendo evaluaciones continuas de las posibles amenazas. La responsabilidad de definir esta estrategia será la dirección de la entidad, que podría responder además personalmente de su incumplimiento.
Notificación de incidentes: Las estructuras de gestión de riesgos deben complementarse con canales que administren, registren y clasifiquen cualquier incidente relacionado con las TIC, y las entidades están obligadas a notificar y explicar los sucesos graves o trascendentes a las autoridades competentes, así como a clientes y socios afectados. Esta comunicación se hará proporcionando, obligatoriamente, informes iniciales, intermedios y finales. Esta coordinación facilitará la cooperación entre afectados y la ejecución de una respuesta más rápida y efectiva.
Pruebas de resiliencia operativa y continuidad del negocio. Además de los sistemas de prevención y detección de incidencias, las entidades financieras deben hacer pruebas regulares de sus sistemas tecnológicos para evaluar su fortaleza y detectar posibles vulnerabilidades. Estas pruebas se realizarán tanto de forma general -analizando las debilidades del sistema integral- como específica -exponiendo a la entidad a amenazas conocidas o comunes en el sector-, las dirigirán empresas externas e independientes y tendrán lugar, al menos, una vez al año.
Implicación en la gestión de riesgos de terceros. Una de las claves de DORA es la coordinación entre organizaciones, tanto financieras como colaboradoras. En este sentido, la normativa europea exige que las entidades tengan un registro detallado de todos los proveedores que les ofrecen servicios TIC, así como del nivel de dependencia que tienen de ellos. También recomienda que exista un esfuerzo común de ciberseguridad para detectar ataques y atenuar su impacto.
¿Cuál es el impacto positivo de la normativa?
Las financieras españolas -bancos, aseguradoras y otras instituciones del sector- llevan años preparándose para cumplir los requisitos de DORA, lo que se ha traducido en:
- Una mayor inversión en tecnología y ciberseguridad. No solo destinada a infraestructura tecnológica, sino también a formación y contratación de personas expertas en la materia.
- Mayor coordinación sectorial. Hacer frente a desafíos comunes ha favorecido la comunicación entre entidades y empresas proveedoras de servicios TIC, y ha impulsado un diálogo entre las compañías financieras para detectar los riesgos que amenazan la estabilidad y operatividad del sector.
- Adaptación de procesos internos. Aunque el sector financiero ya había avanzado mucho en su digitalización, y con ello en la gestión de riesgos cibernéticos, sus políticas internas y la dinámica de sus procesos internos están dirigidas a cumplir con los requisitos de resiliencia operativa digital.
- Mejora de la imagen. Aunque adaptarse a este nuevo escenario normativo ha supuesto un desafío para las entidades financieras, la implantación de DORA ha fortalecido la confianza en el sector gracias a su compromiso con la seguridad y la protección de datos.
