¿Está su entidad financiera preparada para el tsunami regulatorio de DORA?

En el cambiante panorama de la regulación financiera europea, una nueva ola está a punto de golpear las costas de las entidades financieras: DORA (Digital Operational Resilience Act). Esta normativa, que promete revolucionar la gestión de riesgos tecnológicos en el sector financiero, trae consigo una serie de obligaciones que no pueden ser ignoradas. Entre ellas, destaca la exigencia de mantener un registro exhaustivo de todos los acuerdos contractuales relacionados con servicios de TIC proporcionados por terceros. Esta misma colaboración, la presentamos en formato vídeo, que podrás ver a continuación:  

El peso de la responsabilidad

DORA deja claro que la responsabilidad última del cumplimiento normativo recae sobre las entidades financieras. No hay lugar para excusas: cada entidad debe implementar un enfoque proporcionado para monitorear los riesgos que surgen de sus proveedores de servicios TIC. Esto implica una evaluación minuciosa de la naturaleza, escala, complejidad e importancia de sus dependencias tecnológicas.

La estrategia como pilar fundamental

El órgano de dirección de cada entidad financiera debe adoptar una estrategia específica para gestionar los riesgos relacionados con terceros en el ámbito de las TIC. Esta estrategia no es un mero trámite burocrático, sino un examen continuo y exhaustivo de todas las dependencias tecnológicas de terceros.

El registro de contratos: más que un simple inventario

Quizás uno de los aspectos más desafiantes de DORA sea la obligación de mantener un registro detallado de todos los acuerdos contractuales con proveedores de servicios TIC. Este registro no es un mero ejercicio administrativo; se convierte en una herramienta crucial para los supervisores financieros, quienes podrán solicitar acceso a esta información para comprender mejor las dependencias tecnológicas de las entidades.

La diligencia debida: un paso ineludible

Antes de formalizar cualquier acuerdo contractual, las entidades financieras deben realizar un análisis exhaustivo. Este proceso debe considerar la criticidad de los servicios, las posibles aprobaciones regulatorias necesarias, los riesgos de concentración y una evaluación rigurosa de los proveedores. Para funciones esenciales, se debe exigir a los proveedores el uso de los estándares más actualizados y estrictos en seguridad de la información.

La espada de Damocles: la terminación de contratos

DORA establece claramente las circunstancias que pueden llevar a la terminación de contratos con proveedores de servicios TIC. Estas incluyen incumplimientos importantes de la ley o del contrato, deficiencias en la gestión de riesgos TIC, o la incapacidad de las autoridades competentes para supervisar eficazmente a la entidad financiera.

¿Está su entidad preparada para este tsunami regulatorio? El tiempo para actuar es ahora.

Si te ha gustado este artículo, también puede resultarte interesante la lectura del siguiente: DORA: Claúsulas contractuales esenciales para la resiliencia digital de las entidades financieras