Menú

Todas

El reglamento DORA

24.07.2024

DORA: Cumplimiento y gestión de riesgos para proveedores de servicios de criptoactivos

El Reglamento DORA tiene como objetivo reforzar la resiliencia operativa y la ciberseguridad del sector financiero, incluyendo a los proveedores de servicios de criptoactivos.
Los proveedores de servicios de criptoactivos que operen en la Unión Europea o que ofrezcan sus servicios a clientes europeos están obligados a cumplir con las disposiciones del Reglamento DORA. El incumplimiento de estas disposiciones puede acarrear sanciones importantes. A continuación, exponemos las obligaciones más relevantes.

María Sanz Por Sanz González , María

Gestión del riesgo de las TIC

Los proveedores de criptoactivos deben establecer un marco de gestión del riesgo de las TIC sólido y efectivo. Este marco debe contemplar la identificación, análisis y evaluación de todos los riesgos potenciales asociados a las tecnologías de la información y la comunicación que se utilizan en la prestación de sus servicios.

Es fundamental implementar medidas para mitigar estos riesgos.  Por ello deberán implementar mecanismos robustos de autenticación y autorización para restringir el acceso a los sistemas y datos a personal autorizado. Igualmente, deberán poner en práctica procesos periódicos para identificar, evaluar y corregir vulnerabilidades en los sistemas y software utilizados. También se deberán adoptar medidas técnicas y organizativas adecuadas para proteger los datos de los clientes, incluyendo cifrado, control de acceso y eliminación segura de datos. De igual forma será necesario desarrollar e implementar planes de recuperación ante desastres que permitan restaurar los servicios en caso de interrupciones o fallos.

Notificación de incidentes:

Los proveedores de criptoactivos están obligados a notificar a las autoridades competentes cualquier incidente grave que pueda afectar a la prestación de sus servicios o que represente un riesgo significativo para la seguridad de sus sistemas o datos.

La notificación debe realizarse de forma inmediata y debe incluir toda la información relevante sobre el incidente, como la naturaleza del incidente, la fecha y hora en que se produjo, el impacto en los servicios y las medidas que se están tomando para mitigar el riesgo.  En este sentido es necesario describir el tipo de incidente que se ha producido, el momento, los servicios afectados y el alcance, las medidas que se han tomado para contener el incidente, mitigar sus efectos y restaurar los servicios afectados, así como la los datos de contacto de la persona o equipo responsable de la gestión del incidente.

La notificación de incidentes graves debe realizarse lo antes posible, y en todo caso en un plazo máximo de 72 horas desde el momento en que se tenga conocimiento del mismo.

El Reglamento no define de manera exhaustiva qué se considera un incidente grave. Sin embargo, proporciona algunos ejemplos que pueden servir como referencia, tales como incidentes cibernéticos (ataques de ransomware, denegación de servicio (DDoS), intrusiones no autorizadas, filtraciones de datos, etc); fallos de hardware o software (fallos en sistemas críticos, pérdida de datos, corrupción de datos, etc.); desastres naturales (terremotos, inundaciones, incendios, etc.); interrupciones del suministro eléctrico (cortes de energía prolongados, fallos en la red eléctrica, etc.); errores humanos (errores operativos que puedan tener un impacto significativo en la seguridad o la prestación de los servicios).

Pruebas de resiliencia operativa:

Los proveedores de criptoactivos deben realizar pruebas de resiliencia operativa periódicas para evaluar su capacidad para resistir y recuperarse de interrupciones o fallos en sus sistemas de información y comunicaciones.

Las pruebas de resiliencia operativa son un conjunto de simulacros o ejercicios diseñados para evaluar la capacidad de una organización para responder a diferentes escenarios de riesgo, como ataques cibernéticos, fallos de hardware o software, desastres naturales o interrupciones del suministro eléctrico.

Estas pruebas permiten identificar vulnerabilidades en los sistemas y procesos de la organización, así como evaluar la eficacia de los planes de contingencia y recuperación ante desastres.

Supervisión y control:

Las autoridades competentes tienen la potestad de supervisar y controlar el cumplimiento del Reglamento DORA por parte de los proveedores de criptoactivos. Entre ellas, pueden solicitar a los proveedores de criptoactivos cualquier información que consideren necesaria para verificar su cumplimiento del Reglamento DORA. Tambien pueden realizar inspecciones en las instalaciones de los proveedores de criptoactivos para verificar el cumplimiento del Reglamento DORA. Igualmente pueden exigir a los proveedores de criptoactivos que adopten medidas correctoras si detectan incumplimientos del Reglamento DORA.

En caso de detectar incumplimientos, las autoridades pueden imponer sanciones, como multas o incluso la suspensión de la actividad.

Obligaciones adicionales para proveedores de servicios de custodia de criptoactivos:

El Reglamento DORA establece obligaciones adicionales específicas para los proveedores de servicios de custodia de criptoactivos.

Estas obligaciones incluyen, entre otras, la segregación de los criptoactivos de los clientes de los propios fondos del proveedor, la implementación de controles estrictos sobre la gestión de las claves criptográficas y la realización de auditorías periódicas por parte de auditores independientes.

DORA y transparencia

Si te ha interesado este artículo no dudes en leer:

DORA: Impacto en la transparencia, protección del inversor y gobernanza

¿Cómo puede ILP Abogados ayudarte a cumplir con el Reglamento DORA?

En ILP Abogados, contamos con un equipo de abogados especializados en criptoactivos que puede ayudarte a cumplir con las obligaciones del Reglamento DORA.

Es importante tener en cuenta que la abogacía especializada en criptoactivos no es un commodity. Contratar a un abogado por precio puede ser un error costoso. Es fundamental elegir a un abogado que tenga experiencia en el sector y que pueda ofrecerte un servicio personalizado y de calidad.

En ILP Abogados, estamos comprometidos con ofrecer a nuestros clientes un servicio jurídico de la más alta calidad. Contamos con un equipo de abogados especializados en criptoactivos que tiene una amplia experiencia en el sector. Te ofrecemos un asesoramiento personalizado y adaptado a tus necesidades específicas.

Conclusión

El Reglamento DORA es una normativa importante que tiene un impacto significativo en los proveedores de servicios de criptoactivos. Es importante que cumplas con las obligaciones de este reglamento para evitar sanciones y proteger tu negocio. En ILP Abogados, podemos ayudarte a cumplir con el Reglamento.

Contacta con Athenea, nuestra asistente de IA   

Si te ha gustado este artículo, también puede resultarte interesante la lectura del siguiente:

DORA: El nuevo régimen regulatorio para los mercados de criptoactivos

Contacto No te quedes con la duda, contacta con nosotros. Estaremos encantados de atenderte y ofrecerte soluciones.
Publicaciones relacionadas

¿Vender o Crecer? ¿Qué debe hacer con su negocio?

10 preguntas cuya respuesta le definen como empresario

90 días + 5 caminos para sanear su Cuenta de Resultados.

Lo más leído

Top 100

Suscríbete

ILP en el Mundo