Cerrar panel

Cerrar panel

Cerrar panel

Cerrar panel

Cerrar panel

Home

Información financiera

La acción

Accionistas

Renta fija

Sostenibilidad

Gobierno corporativo y Política de Remuneraciones

Ciberseguridad 23 ene 2025

Así es DORA, la nueva regulación europea de ciberresiliencia financiera

Ya ha entrado en aplicación el Reglamento Europeo de Resiliencia Operativa Digital (DORA), cuyo objetivo es mejorar la defensa contra ciberataques financieros a nivel europeo. Tras dos años de adaptación, bancos, aseguradoras y otros actores deben cumplir diferentes requisitos para gestionar el riesgo tecnológico, notificar posibles incidentes o realizar pruebas de resiliencia.
Communications
Escuchar audio

El Reglamento Europeo de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) busca reforzar la capacidad de las entidades financieras para resistir y recuperarse de los ataques cibernéticos y otros incidentes relacionados con las tecnologías de la información. Esta normativa responde al aumento exponencial de ciberataques en el sector financiero, que, según datos del Banco de España, duplicaron su frecuencia entre 2018 y 2022 a nivel global.

El Reglamento DORA entró en vigor en enero de 2023. Cumplidos los dos años que dio la Unión Europea para adaptarse a sus requisitos, desde el 17 de enero de 2025 todas las entidades financieras tienen que funcionar dentro de sus parámetros. La norma tiene un alcance muy amplio y se aplica a bancos, aseguradoras, gestores de fondos, sociedades de valores, plataformas de negociación y agencias de calificación crediticia, entre otras instituciones financieras.

DORA establece un marco legal común para todas ellas. Busca garantizar que tanto estas compañías como sus proveedores de servicios tengan las medidas adecuadas para prevenir, detectar y gestionar los incidentes informáticos que puedan amenazar la estabilidad del sistema financiero. Además, exige realizar pruebas periódicas de resiliencia operativa digital y garantizar la continuidad del negocio en escenarios adversos.

En el artículo Resiliencia en la banca, también en el plano de los ciberriesgos, Virginia Marcos, economista principal de BBVA Research, señala que, a raíz del incremento de ataques, la ciberseguridad se ha convertido en una prioridad estratégica para organismos internacionales y europeos, como el Consejo de Estabilidad Financiera (FSB), el Comité de Supervisión Bancaria de Basilea, y el Banco Central Europeo (BCE). El establecimiento de un Reglamento como DORA, así como ejercicios de  ciberresiliencia como el realizado por BCE en verano de 2024, responden, según explica, "tanto a la creciente digitalización del sector financiero como al impacto de tensiones geopolíticas globales, que agravan los riesgos cibernéticos".

"Apoyando la resiliencia en el mundo de los ciberriesgos se avanza hacia una banca más estable, con una base tecnológica sólida para proseguir en su transformación digital, proceso vital en el que se encuentra inmerso el sector para mejorar su eficiencia y competitividad", añade Marcos.

Las obligaciones que establece el Reglamento DORA se pueden dividir en cuatro áreas:

  1. Gestión y gobernanza del riesgo tecnológico: Las entidades deben implementar marcos integrales para gestionar riesgos, identificar activos críticos, evaluar amenazas de manera continua y aplicar medidas de ciberseguridad. Sus órganos directivos serán responsables de definir estrategias de gestión del riesgo y podrán enfrentarse a multas en caso de incumplimiento.
  2. Notificación de incidentes: Es obligatorio monitorizar, clasificar e informar de los incidentes tecnológicos a las autoridades y otras partes relevantes. Este proceso incluye la presentación de informes iniciales, intermedios y finales, según la gravedad y el impacto del incidente.
  3. Pruebas de resiliencia: Las entidades financieras deben someterse a evaluaciones periódicas de sus sistemas, incluyendo simulaciones de vulnerabilidades, escenarios adversos y pruebas de penetración específicas. También deben establecer acuerdos para compartir información sobre ciberamenazas y vulnerabilidades con otras organizaciones financieras.
  4. Gestión del riesgo de terceros: Se requiere una supervisión activa de los riesgos asociados a proveedores de servicios, quienes también estarán sujetos a los estándares de DORA.

Primera prueba de ciberresiliencia

Una de las iniciativas más destacadas en relación con la resiliencia operativa digital fue el primer ejercicio de ciberresiliencia del BCE que mencionaba Virginia Marcos, en el que participaron 109 bancos europeos a lo largo de 2024. Este evaluó la capacidad para responder a un ciberataque y, aunque los resultados fueron en general satisfactorios, también se identificaron áreas de mejora, como la dependencia de algunos proveedores externos.

Seguridad financiera

BBVA, pionero en la creación de una unidad global de prevención del crimen financiero

Con una visión integral, centrada en la prevención y en la protección de sus clientes, BBVA pone en marcha una nueva unidad cuyo objetivo es reforzar la prevención del crimen financiero. La tecnología, los modelos analíticos avanzados y la inteligencia artificial serán decisivos en la protección proactiva de sus clientes, la propia entidad y la sociedad, y son los pilares para la creación de esta unidad pionera en la industria bancaria española.

El ejercicio abordó un escenario ficticio en el que las medidas preventivas fallaban. Según precisa Marcos, la prueba de resistencia no buscaba medir la capacidad para prevenir los ciberataques, sino que se centraba "en evaluar cómo los bancos responden y su capacidad de recuperación".

Las entidades participantes tuvieron que demostrar la eficacia de sus copias de seguridad y que contaban con planes para evitar que posibles ciberataques se repitieran en el futuro. Concluida la prueba, el BCE destacó que la mayoría de las entidades cuentan con marcos de ciberresiliencia robustos. Reducir la dependencia de proveedores concretos y mejorar la estimación de las pérdidas causadas por los ciberataques fueron los puntos más débiles, según el regulador.

Otras medidas de seguridad financiera en la era digital

La implementación del Reglamento DORA se enmarca en un esfuerzo más amplio de la Unión Europea por fortalecer la resiliencia y seguridad del sistema financiero ante los retos de la era digital.

Desde finales de 2024, está en vigor el Reglamento de Mercados en Criptoactivos (MiCA, por sus siglas en inglés), diseñado para regular las criptodivisas y proporcionar un marco jurídico claro que promueva la innovación responsable y la protección al consumidor. Entre sus puntos clave, el Reglamento MiCA permite que los bancos europeos actúen como emisores de 'stablecoins' (criptomonedas estables) y proveedores de servicios de criptoactivos. También regula servicios relacionados con la custodia, negociación, intercambio y gestión de carteras de criptoactivos, incluyendo aquellos descentralizados como bitcoin o ethereum, aunque excluye de su alcance los instrumentos financieros, depósitos, seguros, pensiones, NFTs y las finanzas descentralizadas (DeFi).

En el conjunto de normativas para robustecer el sistema bancario también se encuentra la regulación que la UE está desarrollando para crear un mercado único de pagos en la región, y que implican medidas para garantizar las transacciones instantáneas, una información transparente sobre los pagos y una adecuada protección al consumidor.

Con todas estas medidas, la UE busca adaptar las reglas del sector financiero a un entorno cada vez más digitalizado y expuesto tanto a oportunidades como a amenazas globales.