El Reglament DORA (Digital Operational Resilience Act), adoptat per la Unió Europea, marca una fita en la regulació de la resiliència operativa digital de les entitats financeres. El seu objectiu principal és garantir que bancs, asseguradores, empreses d’inversió i altres entitats del sector financer siguin capaços de resistir i recuperar-se ràpidament d’interrupcions cibernètiques o tecnològiques. En un entorn on els ciberatacs i fallades tecnològices són cada vegada més freqüents, DORA reforça la importància de la gestió integral de riscos tecnològics en el sector financer. Et comptem tot sobre l’impacte DORA en el Sector Financer.
Impacte DORA en el Sector Financer i canvis regulatoris clau
El Reglament DORA introdueix obligacions clares i detallades per a les entitats financeres, incloent:”
- Gestió del risc TIC (Tecnologies de la Informació i Comunicacions): Les empreses han d’ implementar marcs sòlids per identificar, gestionar i mitigar els riscos tecnològics. Això inclou l’avaluació de proveïdors externs crítics i la protecció enfront de ciberamenaces.
- Notificació d’ incidents: Les entitats estan obligades a reportar de forma oportuna i estructurada qualsevol incident relacionat amb ciberseguretat que afecti les seves operacions.
- Proves de resiliència operativa: Les organitzacions han de realitzar proves periòdiques per assegurar que els seus sistemes crítics puguin suportar esdeveniments disruptius.
- Supervisió de tercers: DORA exigeix un control estricte sobre els proveïdors de serveis TIC externs, imposant responsabilitats compartides en cas de riscos derivats de les seves operacions.
Aquests canvis requereixen que bancs, asseguradores i altres empreses del sector ajustin les seves estructures i processos interns per complir amb els nous estàndards.
Reptes operatius per a les empreses financeres
La implementació del Reglament DORA presenta múltiples desafiaments:
- Adaptació tecnològica: Moltes empreses hauran de modernitzar els seus sistemes de TI per complir amb els requisits de proves de resiliència i monitoratge continu. Això implica inversions significatives i una planificació estratègica detallada.
- Gestió de proveïdors crítics: Les organitzacions han de millorar els seus contractes i relacions amb proveïdors tecnològics per garantir que compleixin amb els estàndards de DORA, la qual cosa pot ser especialment complicada per a aquells que depenen de grans multinacionals com a proveïdors de serveis al núvol.
- Capacitació del personal: Assegurar que els equips interns comprenguin i puguin implementar les exigències de DORA requereix programes de formació especialitzats.
- Sobrecàrrega administrativa: Les noves obligacions de report i supervisió poden generar una major càrrega administrativa, especialment per a les petites i mitjanes empreses.
Exemples d’ adaptació empresarial
Algunes entitats financeres ja estan prenent mesures per alinear-se amb els requisits de DORA:
- Bancs internacionals: Diverses institucions financeres han començat a realitzar simulacres de ciberatacs i proves d’estrès en els seus sistemes tecnològics, detectant vulnerabilitats i enfortint les seves defenses.
- Asseguradores: Empreses del sector assegurador estan adoptant sistemes de monitoratge continu de riscos en temps real i establint equips dedicats exclusivament a la gestió de riscos tecnològics.
- Col·laboració amb proveïdors: Entitats més petites estan consolidant aliances estratègiques amb proveïdors TIC per desenvolupar solucions personalitzades que compleixin amb els estàndards regulatoris.
En conclusió, tot i que el Reglament DORA representa un desafiament significatiu per al sector financer, també ofereix una oportunitat única per reforçar la confiança del públic en la resiliència tecnològica de les institucions financeres. Les empreses que aconsegueixin adaptar-se de manera efectiva estaran més ben posicionades per afrontar els riscos tecnològics del futur.