La normativa DORA marca las pautas para la gestión de riesgos informáticos en las entidades financieras, aseguradoras y mediadoras. ¿Quiénes están exentos?
La gestión de riesgos informáticos demandará una fuerte inversión
La creciente digitalización de la economía ha llevado a la Unión Europea a proponer un protocolo común para la evaluación y gestión de riesgos informáticos. La normativa DORA, que probablemente entrará en vigor en mayo de 2022, con un plazo de un año para su aplicación total, supondrá importantes inversiones en TIC, gestión de procesos, procedimientos con terceros y perfiles profesionales cualificados. Sin embargo, todos los mediadores de seguros no tienen que aplicar este reglamento de ciberseguridad.
¿Qué es la normativa DORA?
El reglamento DORA (Digital Operational Resilience Act) proviene de la Ley de Resiliencia Operativa Digital presentada por la Unión Europea en 2020. Forma parte de un paquete de medidas destinado a fomentar el potencial de las finanzas digitales y, al mismo tiempo, mitigar los riesgos que entrañan.
Su principal objetivo es establecer un marco único de obligaciones, principios y requerimientos que permitan reducir los riesgos tecnológicos en el sector financiero. Por consiguiente, la norma DORA afecta directamente a las entidades financieras, aunque también se aplica a las aseguradoras y los intermediarios de seguros, así como a los proveedores de servicios digitales, TIC y en la nube.
Esta normativa establece una serie de exigencias para reforzar la ciberseguridad en el entorno digital actuando en diferentes áreas:
1. Gestión de riesgos digitales
Establece la obligatoriedad de contar con planes de auditoría de TIC y recuperación en caso de catástrofe relacionada con estos sistemas. También instaura pruebas de resiliencia operativa digital exhaustivas para los sistemas tecnológicos y demanda una separación de las funciones de gestión de TIC de aquellas de control y auditoría interna, para establecer un modelo de defensa de tres líneas que permita controlar mejor los riesgos.
2. Incidentes y notificación
La normativa DORA prevé el análisis de la causa, la presentación de las notificaciones y los informes en un centro unificado y usando plantillas estandarizadas para la comunicación de los accidentes que se produzcan en el ámbito tecnológico. Demanda además la creación de una estrategia de comunicación en caso de incidentes relacionados con las TIC o vulnerabilidades importantes dirigida a clientes, contrapartes y el público general.
3. Riesgos de terceros
Este reglamento no deja nada al azar, de manera que también demanda una exhaustiva evaluación de riesgos informáticos y un seguimiento sistemático a los proveedores terceros de servicios tecnológicos. Estos se deben someter a un análisis y control detallado para comprobar que cumplen con la normativa. Las entidades también deben realizar revisiones periódicas de los riesgos por externalizaciones, incluidas inspecciones in situ.
4. Intercambio de información
La normativa DORA indica que las entidades deben garantizar la seguridad de los medios de transmisión de la información para minimizar el riesgo de corrupción o pérdida de datos, accesos no autorizados y fugas de información. También deben cerciorarse de que los datos están protegidos de los riesgos derivados de una mala administración o relacionados con el tratamiento, como el mantenimiento inadecuado de los registros.
La oposición del Consejo General de Mediadores a la aplicación de la normativa DORA
El Consejo General de Mediadores, a través de la Federación Europea de Intermediarios de Seguros (BIPAR), presentó ante el Parlamento Europeo una serie de enmiendas a la normativa DORA para excluir a los corredores y agentes de seguros de su aplicación por considerar que generaría una situación discriminatoria al no tener en cuenta el tamaño ni el nivel de riesgo de la mediación española.
El Consejo General de Mediadores, que representa los intereses de 75 000 agentes españoles, considera que “las actividades de mediación no son un riesgo sistémico para la estabilidad del sector financiero de la Unión Europea”. Alegó que los 120 puntos de control de seguridad digital y sistemas administrativos de información están diseñados para las grandes entidades financieras, no para las pequeñas corredurías que operan en España y toda Europa.
El coste-beneficio que implica la aplicación de la normativa DORA no es proporcional al riesgo mínimo que representan los servicios informáticos de los mediadores, de manera que solo representaría nuevas cargas administrativas y costes exagerados respecto al riesgo real.
De hecho, el sector de la mediación ya cumple con la ley de protección de datos que prevé mecanismos similares para el tratamiento y protección de la información mientras que el dinero de los clientes proveniente de los pagos de primas que los mediadores retienen temporalmente también se encuentra protegido por la Directiva de Distribución de Seguros (IDD).
¿Qué mediadores no deben cumplir con DORA?
La nueva propuesta europea de gestión de riesgos informáticos finalmente no se aplicará a los pequeños y medianos negocios de mediación de seguros. La Comisión de Asuntos Económicos y Monetarios del Parlamento Europeo acordó que el ámbito de aplicación de la normativa DORA se limitará a los “intermediarios de seguros, intermediarios de reaseguros e intermediarios de seguros complementarios, que no sean microempresas, pequeñas o medianas empresas, salvo que estas dependan exclusivamente de sistemas de venta automatizados organizados”.
Eso significa que todas las corredurías que empleen a menos de 250 personas y cuyo volumen de negocios anual no exceda los 50 millones de euros o cuyo balance general anual no supere los 43 millones de euros, quedan exentas de aplicar la normativa DORA en sus negocios, a menos que dependan por completo de sistemas de ventas automatizados.