Preparándose para la DORA con Spitz Poulle Kannan

Christine Young: ¿Cómo encaja la DORA en el panorama regulatorio existente en términos de riesgo tecnológico?

Spitz Poulle Kannan: “El sector financiero se ha convertido en un enfoque tanto de datos y tecnología como lo es en dinero y capitales”. Esta es una de las principales conclusiones de la evaluación de impacto de la propuesta de la DORA. 

El uso de la tecnología de la información y la comunicación (TIC) se ha ampliado significativamente en las últimas décadas y ahora tiene un papel fundamental en el sector financiero. Sin embargo, las TIC también han creado riesgos y vulnerabilidades, ya que las entidades financieras están cada vez más expuestas a ciberataques o incidentes. En 2019, el Boston Consulting Group descubrió que las empresas que operan en la industria de servicios financieros tenían 300 veces más probabilidades que otras compañías de ser blanco de ataques cibernéticos.

Si bien la legislación de la UE cubría ampliamente las principales categorías de riesgos financieros (por ejemplo, riesgo de crédito, riesgo de mercado, riesgo de crédito y de liquidez de la contraparte, riesgo de conducta de mercado), inicialmente no cubrían todos los componentes de los riesgos de las TIC.

Como resultado, los riesgos de las TIC se abordaron de manera fragmentada a través de diversas leyes nacionales y de la UE y no todos los sectores estaban cubiertos por igual – como se puede observar en el apartado 10 de la DORA:

“Existen vacíos o redundancias en áreas importantes, como la notificación de incidentes relacionados con las TIC y las pruebas de resiliencia operativa digital, e inconsistencias como resultado de las nuevas normas nacionales divergentes o la aplicación ineficaz en función de los costos de las normas redundantes. Esto es particularmente perjudicial para un usuario con mucha exposición a las TIC como lo es el sector financiero, ya que los riesgos tecnológicos no tienen fronteras y el sector financiero despliega sus servicios sobre una amplia base transfronteriza dentro y fuera de la Unión [Europea].”

Por ejemplo, la forma dispar en que actualmente se cubren los riesgos de las TIC en Francia es la aplicación acumulativa de varias normas y directrices. Entre ellas figuran las directrices de la Autoridad Bancaria Europea (ABE) sobre acuerdos de tercerización, gestión de riesgos de seguridad y de TIC y gobernanza interna, y la Orden de 3 de noviembre de 2014 sobre control interno que establece normas relativas a la gobernanza y organización del control interno, la tercerización y la gestión de riesgos de las TIC.

Vale la pena señalar que la autoridad bancaria Francesa (Autorité de contrôle prudentiel et de resolution (ACPR)) también había publicado un aviso sobre la gestión de riesgos de TI (ACPR, Notice relative à la gestion du risque informatique pour les entreprises du secteur de la banque, des services de paiement et des services d’investissement, el 7 de julio de 2021).

En resumen, existe un marco regulador que cubre los riesgos de las TIC en la UE, pero este marco es irregular, descoordinado e incompleto.

El objetivo de la DORA es proporcionar requisitos armonizados: las normas establecidas por la DORA sustituirán a todas las ya existentes para el sector financiero en reglamentos dispersos, ya sean reglamentos nacionales o de la UE.

Existe una doctrina jurídica de la ‘lex specialis’, que básicamente significa que si dos leyes regulan la misma situación de hecho, la ley que rige una materia específica (lex specialis) prevalecerá sobre la que rige únicamente las cuestiones generales (lex generalis).

Mencionamos esta doctrina debido a la Directiva NIS II sobre medidas para un alto nivel común de ciberseguridad en toda la UE. La DORA se basa en NIS II, y es «lex specialis» en cuanto a este y en lo que respecta al sector financiero. Hay dos razones para esto:

1. En primer lugar, la importancia de las TIC para el sector. Las finanzas son el mayor usuario de TIC en el mundo, y representan alrededor del 20% de todo el gasto total en TIC.
2. En segundo lugar, los riesgos de las TIC son una fuente de riesgo sistémico. Por ejemplo, en el caso de los ciberataques, los riesgos de las TIC pueden propagarse más rápidamente y a mayor escala a través de los sectores y más allá de las fronteras geográficas, desencadenando fugas de liquidez y una pérdida general de confianza en los mercados financieros.

Este enfoque parece haber sido bien recibido por el mercado durante el proceso de consulta. En la evaluación de impacto, se señala que:

“La mayoría de las partes interesadas (tanto públicas como privadas) están de acuerdo en que la acción de la UE es necesaria para salvaguardar mejor la resiliencia operativa de las empresas financieras. Muchos también creen que la acción de la UE es necesaria para abordar las cargas regulatorias derivadas de que las empresas financieras estén sujetas a normas duplicadas e incoherentes establecidas en los NIS, la legislación de servicios financieros de la UE y los regímenes nacionales (por ejemplo, en lo que respecta al reporte de incidentes).”

CY:¿Hay alguna área que carezca de claridad antes de las consultas con respecto a ITS/RTS?

SPK: La DORA establece que las Autoridades Europeas de Supervisión (las ESA por su sigla en inglés) tienen el mandato de desarrollar conjuntamente instrumentos políticos. A este respecto:

• se redactarán normas técnicas de regulación (RTS por su sigla en inglés) en las áreas de gestión de riesgos de las TIC, informes de incidentes importantes relacionados con las TIC, pruebas, así como en relación con los requisitos clave para un monitoreo sólido del riesgo de terceros de las TIC; y
• se redactarán normas técnicas de aplicación (ITS por su sigla en inglés) para establecer plantillas, formularios y procedimientos estandarizados para que las entidades financieras informen sobre algún incidente importante relacionado con las TIC y sobre algún incidente operativo o relacionado con los pagos de seguridad, así como plantillas estandarizadas para el registro de información.

Las leyes delegadas también están previstas en la DORA. La Comisión Europea ya ha solicitado el asesoramiento técnico de las ESA para ayudar a estas últimas en relación con el contenido de estas leyes delegadas.

Las RTS, ITS y las leyes delegadas pueden tener un impacto importante, aunque no impliquen opciones políticas, ya que solo tienen por objeto (i) especificar y (ii) adaptar (de conformidad con el principio de proporcionalidad) las normas generales ya contenidas en la DORA.

En este caso en particular, una ley delegada especificará los criterios para determinar los proveedores de servicios de terceros de TIC que son críticos para las entidades financieras. La designación de la condición de proveedor crítico de servicios de terceros (CTPP por su sigla en inglés) someterá a la entidad a un nuevo marco de supervisión.

Por lo tanto, la forma en que se especificarán estos criterios es crucial y puede determinar si ciertos actores serán considerados como CTPP. Si los criterios no son lo suficientemente claros, existe el riesgo de incertidumbre tanto para los proveedores de servicios de TIC como para las entidades financieras. Este sería especialmente el caso si no se sabe qué proveedores de TIC serán incluidos en el marco de supervisión bajo la DORA. Como resultado, será muy difícil para las instituciones financieras y los proveedores de servicios de TIC planificar su estructura de estrategia cibernética, inversiones y / o de entidad legal.

Por último, la interacción entre la DORA y las directrices de la ABE sobre acuerdos de tercerización también puede dar lugar a otros problemas.

CY: ¿Cómo responderán los reguladores?

SPK: Los reguladores nacionales y de la UE tienen un papel clave en la aplicación exitosa de la DORA. Para entender cómo responderán los reguladores, es necesario recordar que:

A. las ESA serán la primera línea para la supervisión de los CTPP, y

B. Las autoridades nacionales competentes seguirán siendo responsables de garantizar que las entidades financieras sometidas a su supervisión cumplan con sus obligaciones.

A. Supervisión de los CTPP por parte de la ESA

La DORA está sentando un nuevo precedente en la UE al llevar a los CTPP a la supervisión directa de las ESA. En la práctica, la supervisión se organizará de la siguiente manera:

• Un proveedor de servicios de TIC, considerado crítico para la estabilidad e integridad del sistema financiero de la UE, será designado como CTPP por las ESA a través de un Comité Conjunto.
• A continuación, se nombrará un Supervisor Principal para cada CTPP entre las ESA. Dependiendo de si el CTPP presta la mayoría de sus servicios a entidades bancarias, financieras o de seguros, la ESA responsable será la ABE, la Autoridad Europea de Valores y Mercados o la Autoridad Europea de Seguros y Pensiones de Jubilación.
• El Supervisor Principal será:
  • responsable de la supervisión directa del CTPP. La autoridad estará facultada para supervisar a escala de Europa las actividades del CTPP, solicitando información, llevando a cabo investigaciones e inspecciones generales, formulando recomendaciones y emitiendo advertencias o imponiendo multas; y
  • asistido por un “equipo de examen conjunto”. Este equipo estará conformado por miembros del personal de las autoridades nacionales competentes que supervisan las entidades financieras a las que el CTPP presta sus servicios de TIC.

Esta supervisión implica costos, que han sido anticipados por las ESA. En la evaluación de impacto dice:

“En los últimos años, varios supervisores prudentes han aumentado sus recursos dedicados a la supervisión de TI. ... Para los supervisores: los costos corrientes para las autoridades de supervisión asociadas a la supervisión de las TIC se sitúan entre el 5 % y el 10 % del total del personal de supervisión de TI. ... cabría esperar un aumento marginal de los FTE, por las tareas adicionales a las que tendrían que hacer frente los supervisores (por ejemplo, incluir reportes adicional sobre incidentes).” 

B. Supervisión de las entidades financieras por parte de las autoridades nacionales

Las entidades financieras:

1. debe reportar incidentes importantes relacionados con las TIC; y
2. podrán reportar de forma voluntaria a sus autoridades nacionales competentes las amenazas cibernéticas importantes.

En el caso de las entidades de crédito importantes, las autoridades nacionales deberán remitir inmediatamente estos reportes al Banco Central Europeo (BCE).

En Francia, la autoridad bancaria francesa (la ACPR) ya cuenta con equipos de gobernanza, riesgo cibernético y riesgo sistémico dentro de sus departamentos. El riesgo cibernético ha sido una prioridad de inspección por varios años, y la ACPR ya estaba llevando a cabo evaluaciones para identificar violaciones de la seguridad de la información por parte de las instituciones financieras. Del mismo modo, la autoridad francesa del mercado financiero (Autorité des marchés financiers (AMF)) ya cuenta con un equipo de finanzas e innovación digitales.

En previsión de la entrada en vigencia de la DORA, la ACPR y la AMF han comenzado a centrar sus esfuerzos en el reclutamiento.

Por ejemplo, la ACPR está reclutando controladores de sistemas de información, que auditarán los sistemas de información de las instituciones financieras, centrándose en su solidez y seguridad. Mientras tanto, la AMF está buscando un “supervisor de proveedores de servicios de activos digitales”, especializado en ciberseguridad y sistemas de información.

CY: ¿Esperan que la DORA ponga de presente vulnerabilidades sistémicas en Europa, por ejemplo, a un puñado de proveedores de servicios de TI?

SPK: En el 2020, la Junta Europea de Riesgo Sistémico y el Consejo de Estabilidad Financiera destacaron que el alto nivel existente de interconexión entre los sistemas de las TIC de las entidades financieras podría constituir una vulnerabilidad sistémica, con el potencial de tener graves consecuencias negativas para la economía real.

El trabajo preparatorio de la DORA, basado en estos informes, destacó que estas vulnerabilidades son causadas en particular por:

• uno, el aumento de las prácticas de contratación externa y la concentración de terceros en las TIC; y
• dos, la insuficiencia de los mecanismos nacionales para proporcionar a los supervisores financieros de instrumentos adecuados para cuantificar, calificar y corregir las consecuencias del riesgo de las TIC que se producen en los terceros proveedores de TIC.

La evaluación de impacto destaca que:

“Se ha formado un consenso global entre las autoridades de que los riesgos de las TIC son una fuente de riesgo sistémico en el sector financiero. Estudios y documentos recientes publicados en Europa y en los Estados Unidos demuestran que el riesgo de las TIC puede amenazar la estabilidad de todo el sistema financiero y que este tipo de riesgo puede desencadenar una crisis de liquidez y ser una fuente de riesgo sistémico.”

La DORA ofrece una amplia gama de medidas para hacer frente a los riesgos identificados. Un primer conjunto de medidas se centra en las entidades financieras mediante:

1. reforzar sus capacidades en materia de las TIC y la resiliencia general, y
2. proporcionar salvaguardias suficientes para el seguimiento completo de los procesos de subcontratación con CTPP (las entidades financieras a menudo encuentran dificultades para negociar condiciones contractuales o para hacer cumplir derechos específicos, como los derechos de acceso o de auditoría).

Un segundo conjunto de medidas se centra en los CTPP mediante el establecimiento de un marco de supervisión para monitorear sus actividades.

Estas medidas proporcionarán a las entidades financieras y a los reguladores más herramientas para identificar y evaluar los riesgos de las TIC.

A más tardar el 17 de enero de 2028, la Comisión llevará a cabo una revisión de los diferentes instrumentos y medidas proporcionados por la DORA, y presentará un informe al Parlamento Europeo y al Consejo. Cuando sea necesario esta irá acompañada de una propuesta legislativa. Si se descubren vulnerabilidades sistémicas, probablemente conducirá a una segunda versión de la DORA (bajo el enfoque de “hágalo y arréglelo”).

Por último, una de las cuestiones subyacentes en el trabajo preparatorio de la DORA es la dependencia con respecto de los actores que no pertenecen a la UE. Esta dependencia genera vulnerabilidad para las entidades financieras de la UE, y no puede resolverse exclusivamente desde un punto de vista legal. La evaluación de impacto señala que “la supervisión de los TPP de las TIC puede no eliminar los riesgos de concentración, dado que el mercado de TTP de las TIC está actualmente dominado por cuatro grandes actores, todos ellos no Europeos.”

A medida que las autoridades de la UE se han vuelto cada vez más sensibles a este tema, se están llevando a cabo proyectos técnicos para abordarlo, como Gaia-X, que es una iniciativa de la UE que tiene como objetivo desarrollar una oferta eficiente, competitiva y segura de computación desde la nube para la UE. Según el director de temas digitales y de informática de Elior Group, “la soberanía digital de Europa está estrechamente vinculada a su capacidad para controlar su dependencia del mercado desde la nube, en particular mediante el desarrollo de servicios en la nube que sean confiables.”

CY: ¿Creen que la DORA mejorará la resiliencia cibernética del ecosistema de servicios financieros de la UE?

SPK: Como ya mencionamos, las empresas que operan en la industria de servicios financieros tienen 300 veces más probabilidades que otras compañías de ser blanco de ataques cibernéticos. En el caso de los ciberataques, los riesgos de las TIC pueden propagarse más rápidamente y a mayor escala, a través de sectores y más allá de las fronteras geográficas, desencadenando corridas de liquidez y una pérdida general de confianza en los mercados financieros.

La resiliencia cibernética es definida por el BCE como “la capacidad de proteger los datos y sistemas electrónicos de los ataques cibernéticos, así como de reanudar las operaciones comerciales rápidamente en caso de un ataque exitoso.”

La resiliencia cibernética se puede mejorar actuando sobre dos factores clave:

1. la capacidad de proteger los datos y sistemas electrónicos de los ciberataques, es decir, evitar los ciberataques; y
2. si no se puede evitar el ataque cibernético, la capacidad de reanudar las operaciones comerciales rápidamente.

En nuestra opinión, la DORA mejorará la resiliencia cibernética del ecosistema de servicios financieros de la UE actuando sobre los dos elementos clave.

En primer lugar, la DORA incluye una amplia gama de medidas relativas a la capacidad de proteger los datos y sistemas electrónicos de los ciberataques, por ejemplo, mediante la introducción de requisitos con respecto a:

• la identificación de riesgos (mapeo);
• la gestión de riesgos de las TIC y el reporte de incidentes relacionados con las TIC; y
• los mecanismos de intercambio de información (que contribuyan a una mayor conciencia de las amenazas cibernéticas) o pruebas de resiliencia digital.

En segundo lugar, la DORA incluye medidas relativas a la capacidad de las entidades financieras para reanudar rápidamente las operaciones comerciales cuando no se puede evitar un ciberataque. Por ejemplo, la DORA requiere que las entidades financieras tengan escenarios de ciberataque y de tolerancia frente a fallos de la infraestructura redundante en sus planes de continuidad del negocio, o un plan de comunicación de crisis.

Un último punto aquí es que la DORA favoreció las reglas cualitativas (para las capacidades de protección, detección, contención, recuperación y reparación contra incidentes relacionados con las TIC, o para las capacidades de informes y pruebas digitales). Creemos que estos completarán de manera eficiente el enfoque cuantitativo tradicional para abordar el riesgo (es decir, establecer un requisito de capital para cubrir el riesgo de las TIC).

CY: ¿Prevén alguna consecuencia no deseada a la DORA? Por ejemplo, ¿podría crear un mayor riesgo de concentración a medida que las instituciones financieras de la UE opten por utilizar proveedores de servicios de TI con sede en la UE?

SPK: Los legisladores han estado atentos a los comentarios del mercado con respecto al impacto de la DORA. Por ejemplo, para reducir el riesgo de concentración, la DORA establece que las entidades financieras deben adoptar una estrategia de múltiples proveedores de TIC (para evitar la dependencia de uno o unos pocos proveedores de TIC).

La Federación Bancaria Europea (FBE) ha señalado que cuando 3-5 grandes proveedores dominan todo un sector, una estrategia de múltiples proveedores de TIC no reducirá sistemáticamente el riesgo de concentración. En cambio, existe el riesgo de agregar costo y complejidad para las entidades financieras. La FBE ha declarado que:

“Las capacidades innovadoras que ofrecen los proveedores de tecnología suelen ser específicas del proveedor – por lo que no se pueden 'rotar', lo que significa que el sector financiero de la UE puede perder el acceso a soluciones tecnológicas de vanguardia. Esto puede perjudicar la competitividad del sector financiero de la UE sin reducir el riesgo de concentración, lo que implica un costo considerable para obtener pocos beneficios. Además, cuando se aplica a una entidad jurídica de la UE dentro de una estructura de grupo, el requisito podría obligar a la empresa a pasar de depender de una solución dentro del grupo a depender de un proveedor de tecnología externo, aumentando el riesgo de concentración que la Reglamentación pretende reducir.”

Estas preocupaciones han sido escuchadas; en la versión final de la DORA se ha modificado la redacción. Por ejemplo, el Artículo 6(9) de la DORA ahora dice que las entidades “pueden” (en lugar de “deben”) definir una estrategia holística de las TIC de múltiples proveedores.

Una de las principales preocupaciones actuales en relación con la implementación de la DORA se relaciona con la supervisión de los CTPP. El riesgo identificado (en particular por Google Cloud y la Cámara de Comercio Americana ante la UE) es que el supervisor principal pueda monitorear todos los servicios prestados por un CTPP, incluidos aquellos que no son utilizados por las entidades financieras para funciones críticas e importantes.

Podría ser que la eficacia de la supervisión se reduzca a medida que se dediquen más recursos a los servicios que tienen un impacto mínimo o nulo en la resiliencia operativa digital.

En cuanto al riesgo de concentración con agentes no pertenecientes a la UE, esta cuestión se identificó claramente en los trabajos preparatorios para la DORA. Para limitar este riesgo, la DORA ha introducido normas para supervisar a los CTPP y garantizar su supervisión. DORA establece en su artículo 31 (12), que: “Las entidades financieras solo recurrirán a los servicios de [un CTPP] ... si este último ha establecido una filial en la Unión en los 12 meses siguientes a la designación.”

Cabe preguntarse si este nuevo marco regulador conducirá a la retirada de los CTPP de fuera de la UE del mercado de la UE, ya que tratan de evitar las cargas reglamentarias. A este respecto, observamos que:

• el mercado europeo es demasiado importante para que estas entidades se retiren del mismo – por ejemplo, no dejaron de prestar servicios en la UE cuando la ABE introdujo sus directrices sobre tercerización; y
• la mayoría de las entidades que se considerarán CTPP ya tienen una filial en la UE y, por lo tanto, pareciera que se hubieren anticipado a los nuevos requisitos.

CY: ¿Creen que es probable que tanto los reguladores como las instituciones financieras estén listos para enero de 2025?

SPK: La DORA consolida y actualiza los requisitos de riesgo de las TIC que, hasta ahora, solo se han abordado de manera dispar en varias leyes de la UE. Por lo tanto, para algunas entidades que entran dentro del alcance de la DORA, la implementación del nuevo marco regulatorio será una carga adicional en su proceso de cumplimiento.

Vale la pena mencionar que los principales bancos franceses ya han lanzado proyectos de cumplimiento a la DORA. Nuestro bufete de abogados ya está en el proceso de ayudar a estos bancos con respecto a la interacción entre las directrices de tercerización de la EBA y la DORA, y las modificaciones que deberán introducirse en la documentación contractual pertinente.

Sin embargo, existe un verdadero desafío para las entidades más pequeñas y entidades que hasta ahora no estaban sujetas a la mayoría de los requisitos. También es más probable que estas entidades tengan menos recursos para llevar a cabo el trabajo y no puedan desplegar fondos rápidamente para desarrollar estructuras de gobierno y establecer diversas estrategias corporativas.

El tiempo estipulado para la publicación de los RTS/ITS de la DORA puede no dar a las entidades financieras mucho tiempo para su cumplimiento. La DORA se aplicará a partir del 17 de enero de 2025, y la finalización de los RTS/ITS está prevista para el 17 de enero de 2024 (el primer grupo) y para el 17 de junio de 2024 (el segundo grupo). Esto puede generar preocupaciones, ya que algunos RTS son cruciales para una comprensión más completa de los requisitos de la DORA en las empresas.

Para la Cámara de Comercio Americana ante la UE, “es muy poco probable que las entidades financieras puedan realizar con seguridad tales cambios técnicos en los plazos permitidos. Por consiguiente, las autoridades nacionales competentes deben estar dispuestas a dar concesiones a las empresas que supervisan.”

Hasta la fecha, no hemos notado ningún indicio de tolerancia por parte de los supervisores en respecto a los plazos. Los reguladores en general han estado tratando de preparar a las entidades financieras para la DORA. La ACPR ha declarado que, “para anticiparse a la DORA, fortalecer la gobernanza actual es la mejor preparación.”

Este artículo no debe ser utilizado como asesoramiento legal.