En un entorno financiero profundamente digitalizado, la resiliencia operativa digital es crucial para la estabilidad del sistema y la protecci贸n de los servicios esenciales. El Reglamento Delegado (UE) 2024/1774, de 13 de marzo de 2024, desarrolla el Reglamento DORA (UE) 2022/2554, estableciendo normas t茅cnicas de regulaci贸n (RTS) relativas a la gesti贸n del riesgo de las TIC, la continuidad operativa y la gobernanza interna.
Objetivo y Alcance del Reglamento Delegado.聽
Este desarrollo Reglamentario est谩 orientado a garantizar la proporcionalidad y eficacia en la aplicaci贸n del DORA, con especial atenci贸n a la diversidad estructural de las entidades financieras.
Seg煤n su art铆culo 1, este Reglamento tiene por objeto especificar los requisitos detallados sobre:
- Herramientas, m茅todos y pol铆ticas para la gesti贸n del riesgo de las TIC (art. 4-24).
- Estrategias y planes de continuidad operativa y recuperaci贸n (art. 2 y 3, y 25-27).
- Gobernanza interna en relaci贸n con los riesgos TIC (art. 28-30).
Estrategia de Continuidad Operativa TIC .聽Los art铆culos 2 y 3 exigen a las entidades:
- Identificar funciones cr铆ticas o importantes (CFI) y sus dependencias.
- Determinar los recursos TIC necesarios y los riesgos derivados de la dependencia tecnol贸gica.
- Establecer mecanismos de revisi贸n y aprobaci贸n peri贸dica por parte del 贸rgano de direcci贸n.
- Integrar la estrategia de continuidad TIC en el marco general de gesti贸n de riesgos.
Gesti贸n integral del riesgo TIC
Los art铆culos 4 a 23 del Reglamento Delegado (UE) 2024/1774 articulan un marco integral para la gesti贸n del riesgo relacionado con las TIC, estructurado en distintos bloques tem谩ticos que abarcan todo el ciclo de vida de los activos digitales.
En primer lugar, los art铆culos 5 a 11 se centran en la gesti贸n del ciclo de vida de los activos TIC, incluyendo aspectos como el control de accesos, la segmentaci贸n de entornos, las pol铆ticas de configuraci贸n, la gesti贸n de parches y actualizaciones, el registro de eventos, la planificaci贸n de capacidad y el uso seguro de t茅cnicas criptogr谩ficas.
El art 9 establece que las entidades financieras deben desarrollar procedimientos espec铆ficos para la gesti贸n de la capacidad y el rendimiento de sus sistemas TIC.
- Estos procedimientos deben permitir determinar los requisitos de capacidad, optimizar el uso de recursos y mantener o mejorar la disponibilidad, eficiencia y previsi贸n de necesidades tecnol贸gicas.
- Adem谩s, deben adaptarse a las particularidades de los sistemas que requieren procesos de adquisici贸n complejos o que hacen un uso intensivo de recursos, garantizando as铆 una planificaci贸n adecuada y resiliente
El Reglamento Delegado (UE) 2024/1774 profundiza en las obligaciones de seguridad que deben adoptar las entidades financieras en relaci贸n con los datos y sistemas TIC.
El art铆culo 10 regula la gesti贸n de vulnerabilidades y parches.
- En primer lugar, exige que las entidades financieras elaboren procedimientos para identificar, evaluar y mitigar vulnerabilidades, incluyendo la actualizaci贸n constante de fuentes de informaci贸n fiables, la realizaci贸n de escaneos automatizados (al menos semanales para activos cr铆ticos), y la verificaci贸n de que los proveedores TIC gestionan adecuadamente sus propias vulnerabilidades. Tambi茅n se requiere el seguimiento del uso de bibliotecas de terceros, especialmente en servicios TIC esenciales, y la divulgaci贸n responsable de vulnerabilidades cuando sea necesario. Adem谩s, se deben priorizar los parches seg煤n la gravedad de la vulnerabilidad y el perfil de riesgo del activo afectado, y registrar todas las vulnerabilidades detectadas junto con su resoluci贸n.
- En cuanto a la gesti贸n de parches, el art铆culo exige procedimientos que permitan identificar y evaluar actualizaciones mediante herramientas automatizadas, establecer protocolos de emergencia, probar e implementar los parches conforme a las normas de seguridad y definir plazos claros para su instalaci贸n. En caso de incumplimiento de estos plazos, deben existir mecanismos de escalado jer谩rquico para su resoluci贸
Adem谩s, concreta en su art铆culo 11 la necesidad de establecer procedimientos espec铆ficos para salvaguardar la integridad, confidencialidad y disponibilidad de la informaci贸n.
- Dichos procedimientos deben ser coherentes con la clasificaci贸n de datos establecida conforme al Reglamento DORA e incluir medidas t茅cnicas y organizativas que garanticen configuraciones seguras, restricci贸n de accesos, control de software autorizado, protecci贸n frente a c贸digos maliciosos y uso controlado de dispositivos.
- Tambi茅n se exige prestar especial atenci贸n a entornos de teletrabajo y a la gesti贸n de activos operados por terceros, respetando en todo momento el principio de responsabilidad plena de la entidad financiera respecto de sus proveedores de servicios TIC.
- Asimismo, se prev茅n requisitos precisos sobre la eliminaci贸n segura de datos y soportes, as铆 como sobre la prevenci贸n de fugas de informaci贸n y el aseguramiento de la resiliencia digital.
Complementariamente, el art铆culo 12 impone un marco riguroso para la gesti贸n de registros, como salvaguarda frente a intrusiones y usos indebidos. Las entidades deben identificar qu茅 hechos registrar, han de proteger la integridad de los datos y tienen que garantizar su conservaci贸n durante periodos adecuados, en funci贸n de la finalidad del registro y del nivel de riesgo asociado. La trazabilidad debe extenderse al acceso l贸gico y f铆sico, al rendimiento de redes, a la gesti贸n de la capacidad y al ciclo de vida de los sistemas TIC. Para asegurar la fiabilidad y utilidad de estos registros, el Reglamento exige mecanismos contra la manipulaci贸n o el acceso no autorizado, as铆 como la sincronizaci贸n precisa del tiempo en todos los sistemas, asegurando su coherencia con fuentes de referencia fiables.
聽En los art铆culos 17 a 19, el Reglamento trata espec铆ficamente la seguridad de redes y sistemas de informaci贸n (SGSI), con 茅nfasis en la protecci贸n frente a ciberamenazas, la implementaci贸n de mecanismos de autenticaci贸n robusta y el despliegue de medidas de defensa en profundidad. Por su parte, los art铆culos 20 a 23 regulan la gesti贸n del desarrollo y mantenimiento de software, exigiendo procedimientos seguros durante las fases de desarrollo, prueba y modificaci贸n tanto de software propio como de soluciones de terceros.
Pol铆ticas y聽 Planes de continuidad operativa.
Los art铆culos 24 a 26 del Reglamento Delegado (UE) 2024/1774 desarrollan de forma precisa los requisitos que deben cumplir las pol铆ticas y planes de continuidad operativa en materia de TIC.
- El art铆culo 24 establece el contenido m铆nimo que deben incluir dichas pol铆ticas, tales como los objetivos perseguidos, sus eventuales limitaciones, los criterios para su activaci贸n y desactivaci贸n, as铆 como los procedimientos de comunicaci贸n tanto interna como externa en situaciones de crisis. Asimismo, exige la definici贸n de escenarios de disrupci贸n y de objetivos concretos de recuperaci贸n, la planificaci贸n de pruebas peri贸dicas y su validaci贸n documental.
- Estas pol铆ticas deben estar armonizadas con las relativas a la subcontrataci贸n, en l铆nea con lo dispuesto en el art铆culo 28 del propio Reglamento.
- Por su parte, el art铆culo 25 impone la obligaci贸n de realizar pruebas de los planes de continuidad TIC al menos una vez al a帽o. Estas pruebas deben estar basadas en an谩lisis de impacto en el negocio y contemplar escenarios graves pero veros铆miles. Adem谩s, deben incluir simulaciones que involucren a terceros proveedores de servicios TIC, lo que refuerza la preparaci贸n frente a fallos externos. Es fundamental que los resultados de estas pruebas se documenten adecuadamente, que se subsanen las deficiencias detectadas y que cualquier fallo material se comunique sin demora al 贸rgano de direcci贸n.
- El art铆culo 26 exige que las entidades dispongan de planes de respuesta y recuperaci贸n ante incidentes TIC que definan con claridad las condiciones de activaci贸n, aseguren la restauraci贸n de la disponibilidad e integridad de los sistemas cr铆ticos y contemplen alternativas operativas cuando las medidas primarias no sean viables. Estos planes deben abordar tambi茅n la respuesta ante incidentes complejos como fallos de infraestructuras, ciberataques o pandemias, e incluir tiempos objetivos de recuperaci贸n (RTOs) claramente definidos para cada funci贸n cr铆tica o importante (CFI).
Los requisitos reforzados para ciertas entidades se contemplan en el art 27:
- Contrapartes centrales (CCPs): recuperaci贸n de servicios esenciales en un m谩ximo de 2 horas, con centros de respaldo en ubicaciones geogr谩ficas con riesgo diferenciado.
- Depositarios centrales de valores (CSDs): enfoque de continuidad con especial atenci贸n a sus interdependencias sist茅micas.
- Centros de negociaci贸n: capacidad de reanudar operaciones en menos de 2 horas, con p茅rdida m铆nima de datos.
Por otro lado, los art铆culos 28 a 30 establecen las bases de la gobernanza interna y el control del riesgo TIC, se帽alando que el 贸rgano de direcci贸n de cada entidad es el responsable 煤ltimo del marco de gesti贸n implantado. Este marco debe estar respaldado por una clara asignaci贸n y documentaci贸n de funciones, garantizar la formaci贸n continua y la competencia t茅cnica del personal implicado, as铆 como prever la existencia de una funci贸n de auditor铆a interna independiente que verifique regularmente el cumplimiento de las obligaciones establecidas en materia de riesgo TIC.
Gobernanza Interna y control聽
Los聽art铆culos 28 a 30聽del Reglamento Delegado (UE) 2024/1774 establecen los principios de聽gobernanza y supervisi贸n interna聽del marco de gesti贸n del riesgo relacionado con las TIC en las entidades financieras.
- En primer lugar, el聽art铆culo 28聽atribuye al聽贸rgano de direcci贸n聽la聽responsabilidad 煤ltima聽sobre la gesti贸n del riesgo TIC. Este 贸rgano debe aprobar y revisar peri贸dicamente el marco de gesti贸n del riesgo, asegurando su adecuaci贸n a la naturaleza, escala y complejidad de la entidad. Adem谩s, debe supervisar su aplicaci贸n efectiva y garantizar que se disponga de los recursos necesarios para su implementaci贸n.
- El聽art铆culo 29聽exige que las聽funciones y responsabilidades聽relacionadas con la gesti贸n del riesgo TIC est茅n聽claramente asignadas, documentadas y comunicadas聽dentro de la organizaci贸n. Esto incluye tanto a los niveles operativos como a los de supervisi贸n, con el fin de evitar solapamientos o lagunas en la gesti贸n. Asimismo, se establece que el personal implicado debe contar con la聽formaci贸n continua y la competencia t茅cnica adecuadas, lo que implica programas de capacitaci贸n adaptados a los riesgos y tecnolog铆as emergentes.
- Por 煤ltimo, el聽art铆culo 30聽impone la obligaci贸n de contar con una聽funci贸n de auditor铆a interna independiente, encargada de evaluar peri贸dicamente la eficacia del marco de gesti贸n del riesgo TIC. Esta auditor铆a debe ser objetiva, estar debidamente documentada y sus resultados deben comunicarse al 贸rgano de direcci贸n. Adem谩s, debe incluir recomendaciones para corregir deficiencias y hacer seguimiento de su implementaci贸n.