Introducción
Como empresa que presta servicios a entidades financieras, el cumplimiento de la Ley de Resiliencia Operativa Digital de la UE (DORA) es una prioridad empresarial y una necesidad normativa para Circit. Todas las entidades que entran en el ámbito de aplicación de la ley están obligadas a cumplirla antes del17 de enero de 2025. Entre nuestros clientes se incluyen auditores e instituciones financieras de todas las formas y tamaños que confían en nosotros para proporcionar un acceso seguro e ininterrumpido a las transacciones verificadas y a los datos de auditoría relacionados. Por lo tanto, la adhesión a la Ley DORA antes de la fecha límite es esencial para Circit, no sólo para garantizar que cumplimos las normas reglamentarias, sino también para reforzar la confianza que hemos construido con nuestros clientes.
Como proveedor de servicios de información de cuentas (AISP), nos dimos cuenta de que el proceso de lograr la adhesión a la DORA presentaba algunos retos para la empresa. Directivas como esta ley suelen diseñarse y redactarse pensando en entidades complejas y de alto riesgo. Aunque estos estrictos requisitos son esenciales para garantizar la estabilidad del sistema financiero, pueden plantear dificultades a las entidades que no pueden dedicar el mismo nivel de recursos que las empresas más grandes y complejas. Como resultado, Circit necesitaba un enfoque estratégico que aprovechara nuestra gobernanza, marcos y certificaciones existentes y, al mismo tiempo, abordara los requisitos exclusivos de la Ley. A continuación explicamos cómo hemos recorrido este camino, los retos a los que nos hemos enfrentado y cómo nos hemos asegurado de que nuestro enfoque fuera eficaz y sostenible.
Fondo
El DORA fue introducido por la Unión Europea para hacer frente a los riesgos que plantea la digitalización del sector financiero. Con el aumento de los ciberataques, la dependencia de terceros proveedores de tecnología y la interconexión de los sistemas financieros, ha crecido considerablemente la posibilidad de que las perturbaciones relacionadas con las TIC afecten a la estabilidad financiera. Por ello, el DORA obliga a las entidades financieras a implantar marcos integrales para salvaguardar sus operaciones y proteger el ecosistema financiero en su conjunto en torno a 5 pilares: gestión del riesgo de las TIC, notificación de incidentes, supervisión de terceros, intercambio de información y pruebas de resistencia. Mediante la creación de un enfoque armonizado de la resistencia digital, DORA pretende aumentar la confianza, reducir las vulnerabilidades y garantizar que los servicios financieros puedan seguir funcionando sin problemas, incluso cuando se enfrentan a condiciones adversas.
Los retos
La DORA se aplica ampliamente a las entidades financieras, abarcando desde los procesadores de pagos globales hasta los AISP como Circit. Aunque el objetivo de la Ley es lograr una resistencia uniforme en todo el ecosistema financiero, plantea distintos retos a las entidades que varían en complejidad, riesgo y tamaño. A continuación se resumen algunos de los principales retos que Circit ha superado para cumplir con la DORA:
Normativa redactada para entidades complejas y de alto riesgo: Gran parte del lenguaje del DORA, en particular en torno a la gestión del riesgo de las TIC, la resistencia operativa y la gobernanza, asume un nivel de complejidad y disponibilidad de recursos que es más aplicable a las entidades más grandes y de alto riesgo. A primera vista, podría parecer que las empresas que no se encuentran en esta escala carecen de la infraestructura o el personal necesarios para aplicar determinados requisitos en la misma proporción.
Coste y recursos limitados: Muchos requisitos -como las evaluaciones de riesgos por terceros, las pruebas de resistencia y la documentación- parecen exigir una inversión significativa en tiempo y herramientas. Para las organizaciones más pequeñas que Circit, cumplir estos requisitos sin equipos dedicados al cumplimiento de la normativa podría suponer una importante limitación de recursos.
Complejidad de las soluciones: Los requisitos de resistencia, como las pruebas de resistencia y los sistemas de respaldo, pueden resultar desproporcionadamente onerosos para las entidades de bajo riesgo. La naturaleza del trabajo de un AISP (por ejemplo, proporcionar agregación de cuentas) podría no requerir el mismo nivel de planificación de la resistencia que un procesador de pagos de alto riesgo.
Nuestro enfoque del DORA
En Circit, nuestro enfoque para lograr la conformidad con el DORA se basa en el uso de nuestras sólidas bases ya existentes gracias a la obtención de la certificación ISO2700:2022 y SOC2 Tipo 2. Sería prudente mencionar que existen algunos conceptos erróneos en torno al DORA: se ha sugerido que las certificaciones ISO/SOC cualifican automáticamente a una organización para la adhesión al DORA, pero esto no es cierto. En Circit hemos adoptado un enfoque estructurado, encontrando sistemáticamente dónde nuestras operaciones no estaban alineadas con los requisitos de DORA y, a continuación, colmando esas lagunas de una manera que se integra en nuestros marcos y procesos existentes, minimizando la interrupción de las operaciones.
Determinación de los requisitos:
El primer paso consistió en revisar a fondo el texto completo del DORA para comprender su alcance e implicaciones. A través de este proceso, pudimos determinar las exenciones y obligaciones específicas aplicables a Circit como AISP. También a través de la digestión de la ley adquirimos una sólida comprensión del artículo 4: el principio de proporcionalidad (que describe cómo deben aplicarse las soluciones desarrolladas a los requisitos del DORA en función del tamaño, la complejidad y el riesgo de una entidad para el sistema financiero).
Mapeo cruzado:
Mediante un método de correspondencia cruzada, comparamos los requisitos de DORA con los controles y procesos ya implantados en nuestras certificaciones SOC2 e ISO 27001. Este paso puso de manifiesto las áreas que ya cumplíamos y nos permitió racionalizar nuestros esfuerzos. Además, nos ofreció una visión práctica del nivel de proporcionalidad que debíamos aplicar a las áreas en las que no nos cruzábamos con estas certificaciones.
Análisis exhaustivo de las diferencias:
Tras el análisis cruzado, realizamos otro barrido de los requisitos del DORA y elaboramos un informe de análisis de deficiencias en el que se evaluaban las divergencias entre las prácticas actuales de Circit y los mandatos del DORA. A cada brecha se le asignó una calificación de complejidad e impacto para priorizar eficazmente los esfuerzos de corrección, garantizando que las áreas de mayor impacto se abordaran en primer lugar.
Conclusiones y recomendaciones basadas en pilares:
Los cinco pilares clave del DORA -gestión de riesgos de las TIC, notificación de incidentes, pruebas de resistencia operativa digital, gestión de riesgos de terceros e intercambio de información- sirvieron de marco para presentar las conclusiones. Para cada pilar, detallamos las lagunas detectadas y formulamos recomendaciones prácticas de mejora. Estas recomendaciones podían ser tan pequeñas como una revisión menor de la política o tan complejas como el desarrollo de procedimientos operativos completamente nuevos o cambios basados en sistemas.
Aplicación de los cambios:
Las medidas correctoras se aplicaron siguiendo el marco de prioridades establecido en el análisis de carencias. Cada cambio se desarrolló, aplicó, revisó y finalmente se aprobó. Los conocimientos de los principales expertos en la materia de toda nuestra organización garantizaron que todos los cambios siguieran cumpliendo las normas operativas y de seguridad de Circit.
Integración: Supervisión, gobernanza y auditoría
En la medida de lo posible, Circit integra los requisitos del DORA en nuestros métodos de trabajo, en lugar de contar con procesos paralelos específicos para el DORA. Con este planteamiento garantizamos el cumplimiento de la normativa al tiempo que apoyamos la eficiencia operativa. Este método también influyó en la forma en que el marco de supervisión continua de Circit se adapta al DORA. Asimilamos los nuevos controles de seguridad, comprobaciones y revisiones del DORA a nuestra estructura de gobernanza existente para garantizar que los requisitos del DORA se integran en los procesos establecidos de Circit.
Para garantizar una total transparencia y preparación para las auditorías en el marco del DORA, Circit optó por compilar un completo paquete de adhesión con todas las pruebas pertinentes y la documentación de apoyo. Este paquete se organizó para asignar cada requisito normativo a pruebas específicas (política, procesos, marcos de información, etc.), demostrando nuestro cumplimiento en cada uno de los cinco pilares clave del DORA. Incluye una tabla de referencias cruzadas que alinea las referencias de los artículos de DORA con las operaciones internas de Circit vinculadas a las pruebas justificativas. Al respaldar este paquete de adhesión, Circit espera no sólo garantizar la preparación para las revisiones externas, sino también fomentar una cultura dentro de nuestra organización que sea capaz de responder de forma proactiva a los próximos retos normativos, independientemente de su tamaño o complejidad.
Proyecto destacado: Encontrar la solución, la importancia de la proporcionalidad
Una piedra angular del éxito de Circit en el cumplimiento de la Ley de Resiliencia Operativa Digital (DORA) es nuestra aplicación y comprensión estratégicas del principio de proporcionalidad. Este aspecto de la normativa, que a menudo se pasa por alto, nos permite adaptar adecuadamente nuestros esfuerzos de cumplimiento sin comprometer la solidez de nuestra resistencia operativa.
Esto se encuentra en el capítulo 1, artículo 4 de la ley que establece:
"Las entidades financieras aplicarán... [Capítulos 2-4 y 5 sección 1] proporcionalmente a su tamaño y perfil de riesgo global, y a la naturaleza, escala y complejidad de sus servicios, actividades y operaciones".
Ley de resiliencia operativa digital, REGLAMENTO (UE) 2022/2554, página 29
El principio de proporcionalidad de la ley DORA garantiza que los requisitos establecidos se apliquen en función del tamaño de la entidad y del riesgo para el sistema financiero. Este principio permite a las entidades con menores gastos generales de regulación (entre ellas Circit) adoptar soluciones reducidas para cumplir la ley. Por el contrario, las entidades más grandes y de mayor riesgo, como los grandes bancos o los procesadores de pagos, deben aplicar medidas más exhaustivas para hacer frente a los requisitos. Esta diferenciación, aunque fácil de pasar por alto, es fundamental para el desarrollo de soluciones prácticas a los requisitos del DORA.
Atención: No en todas las partes de cada capítulo se aplica el principio de proporcionalidad. lo hace y no se aplica.
Esto plantea inmediatamente otro reto; la ley DORA deja esta proporcionalidad de enfoque en manos de cada empresa (es decir, abierta a la interpretación). Como organización, debes analizar lo que pide la ley y luego decidir por ti mismo lo que vas a aplicar en la práctica para reclamar a un nivel proporcional.
No hay una guía en blanco y negro en torno a la proporcionalidad que diga "si usted es la entidad X, aplique el control Y". Además, corresponderá a las distintas Autoridades Europeas de Supervisión (AES) interpretar esta proporcionalidad (y, por tanto, es posible que veamos diferencias sobre lo que es aceptable "proporcionalmente" en los distintos Estados miembros de la UE). Es difícil saber con exactitud qué será aceptable y qué no lo será, por lo que es fundamental que las organizaciones sigan de cerca las auditorías y conclusiones que se produzcan en los próximos años en el marco del DORA, por si fuera necesario introducir cambios en consecuencia.
