En un entorno financiero profundamente digitalizado, la resiliencia operativa digital es crucial para la estabilidad del sistema y la protección de los servicios esenciales. El Reglamento Delegado (UE) 2024/1774, de 13 de marzo de 2024, desarrolla el Reglamento DORA (UE) 2022/2554, estableciendo normas técnicas de regulación (RTS) relativas a la gestión del riesgo de las TIC, la continuidad operativa y la gobernanza interna.
Objetivo y Alcance del Reglamento Delegado.
Este desarrollo Reglamentario está orientado a garantizar la proporcionalidad y eficacia en la aplicación del DORA, con especial atención a la diversidad estructural de las entidades financieras.
Según su artículo 1, este Reglamento tiene por objeto especificar los requisitos detallados sobre:
- Herramientas, métodos y políticas para la gestión del riesgo de las TIC (art. 4-24).
- Estrategias y planes de continuidad operativa y recuperación (art. 2 y 3, y 25-27).
- Gobernanza interna en relación con los riesgos TIC (art. 28-30).
Estrategia de Continuidad Operativa TIC . Los artículos 2 y 3 exigen a las entidades:
- Identificar funciones críticas o importantes (CFI) y sus dependencias.
- Determinar los recursos TIC necesarios y los riesgos derivados de la dependencia tecnológica.
- Establecer mecanismos de revisión y aprobación periódica por parte del órgano de dirección.
- Integrar la estrategia de continuidad TIC en el marco general de gestión de riesgos.
Gestión integral del riesgo TIC
Los artículos 4 a 23 del Reglamento Delegado (UE) 2024/1774 articulan un marco integral para la gestión del riesgo relacionado con las TIC, estructurado en distintos bloques temáticos que abarcan todo el ciclo de vida de los activos digitales.
En primer lugar, los artículos 5 a 11 se centran en la gestión del ciclo de vida de los activos TIC, incluyendo aspectos como el control de accesos, la segmentación de entornos, las políticas de configuración, la gestión de parches y actualizaciones, el registro de eventos, la planificación de capacidad y el uso seguro de técnicas criptográficas.
El art 9 establece que las entidades financieras deben desarrollar procedimientos específicos para la gestión de la capacidad y el rendimiento de sus sistemas TIC.
- Estos procedimientos deben permitir determinar los requisitos de capacidad, optimizar el uso de recursos y mantener o mejorar la disponibilidad, eficiencia y previsión de necesidades tecnológicas.
- Además, deben adaptarse a las particularidades de los sistemas que requieren procesos de adquisición complejos o que hacen un uso intensivo de recursos, garantizando así una planificación adecuada y resiliente
El Reglamento Delegado (UE) 2024/1774 profundiza en las obligaciones de seguridad que deben adoptar las entidades financieras en relación con los datos y sistemas TIC.
El artículo 10 regula la gestión de vulnerabilidades y parches.
- En primer lugar, exige que las entidades financieras elaboren procedimientos para identificar, evaluar y mitigar vulnerabilidades, incluyendo la actualización constante de fuentes de información fiables, la realización de escaneos automatizados (al menos semanales para activos críticos), y la verificación de que los proveedores TIC gestionan adecuadamente sus propias vulnerabilidades. También se requiere el seguimiento del uso de bibliotecas de terceros, especialmente en servicios TIC esenciales, y la divulgación responsable de vulnerabilidades cuando sea necesario. Además, se deben priorizar los parches según la gravedad de la vulnerabilidad y el perfil de riesgo del activo afectado, y registrar todas las vulnerabilidades detectadas junto con su resolución.
- En cuanto a la gestión de parches, el artículo exige procedimientos que permitan identificar y evaluar actualizaciones mediante herramientas automatizadas, establecer protocolos de emergencia, probar e implementar los parches conforme a las normas de seguridad y definir plazos claros para su instalación. En caso de incumplimiento de estos plazos, deben existir mecanismos de escalado jerárquico para su resolució
Además, concreta en su artículo 11 la necesidad de establecer procedimientos específicos para salvaguardar la integridad, confidencialidad y disponibilidad de la información.
- Dichos procedimientos deben ser coherentes con la clasificación de datos establecida conforme al Reglamento DORA e incluir medidas técnicas y organizativas que garanticen configuraciones seguras, restricción de accesos, control de software autorizado, protección frente a códigos maliciosos y uso controlado de dispositivos.
- También se exige prestar especial atención a entornos de teletrabajo y a la gestión de activos operados por terceros, respetando en todo momento el principio de responsabilidad plena de la entidad financiera respecto de sus proveedores de servicios TIC.
- Asimismo, se prevén requisitos precisos sobre la eliminación segura de datos y soportes, así como sobre la prevención de fugas de información y el aseguramiento de la resiliencia digital.
Complementariamente, el artículo 12 impone un marco riguroso para la gestión de registros, como salvaguarda frente a intrusiones y usos indebidos. Las entidades deben identificar qué hechos registrar, han de proteger la integridad de los datos y tienen que garantizar su conservación durante periodos adecuados, en función de la finalidad del registro y del nivel de riesgo asociado. La trazabilidad debe extenderse al acceso lógico y físico, al rendimiento de redes, a la gestión de la capacidad y al ciclo de vida de los sistemas TIC. Para asegurar la fiabilidad y utilidad de estos registros, el Reglamento exige mecanismos contra la manipulación o el acceso no autorizado, así como la sincronización precisa del tiempo en todos los sistemas, asegurando su coherencia con fuentes de referencia fiables.
En los artículos 17 a 19, el Reglamento trata específicamente la seguridad de redes y sistemas de información (SGSI), con énfasis en la protección frente a ciberamenazas, la implementación de mecanismos de autenticación robusta y el despliegue de medidas de defensa en profundidad. Por su parte, los artículos 20 a 23 regulan la gestión del desarrollo y mantenimiento de software, exigiendo procedimientos seguros durante las fases de desarrollo, prueba y modificación tanto de software propio como de soluciones de terceros.
Políticas y Planes de continuidad operativa.
Los artículos 24 a 26 del Reglamento Delegado (UE) 2024/1774 desarrollan de forma precisa los requisitos que deben cumplir las políticas y planes de continuidad operativa en materia de TIC.
- El artículo 24 establece el contenido mínimo que deben incluir dichas políticas, tales como los objetivos perseguidos, sus eventuales limitaciones, los criterios para su activación y desactivación, así como los procedimientos de comunicación tanto interna como externa en situaciones de crisis. Asimismo, exige la definición de escenarios de disrupción y de objetivos concretos de recuperación, la planificación de pruebas periódicas y su validación documental.
- Estas políticas deben estar armonizadas con las relativas a la subcontratación, en línea con lo dispuesto en el artículo 28 del propio Reglamento.
- Por su parte, el artículo 25 impone la obligación de realizar pruebas de los planes de continuidad TIC al menos una vez al año. Estas pruebas deben estar basadas en análisis de impacto en el negocio y contemplar escenarios graves pero verosímiles. Además, deben incluir simulaciones que involucren a terceros proveedores de servicios TIC, lo que refuerza la preparación frente a fallos externos. Es fundamental que los resultados de estas pruebas se documenten adecuadamente, que se subsanen las deficiencias detectadas y que cualquier fallo material se comunique sin demora al órgano de dirección.
- El artículo 26 exige que las entidades dispongan de planes de respuesta y recuperación ante incidentes TIC que definan con claridad las condiciones de activación, aseguren la restauración de la disponibilidad e integridad de los sistemas críticos y contemplen alternativas operativas cuando las medidas primarias no sean viables. Estos planes deben abordar también la respuesta ante incidentes complejos como fallos de infraestructuras, ciberataques o pandemias, e incluir tiempos objetivos de recuperación (RTOs) claramente definidos para cada función crítica o importante (CFI).
Los requisitos reforzados para ciertas entidades se contemplan en el art 27:
- Contrapartes centrales (CCPs): recuperación de servicios esenciales en un máximo de 2 horas, con centros de respaldo en ubicaciones geográficas con riesgo diferenciado.
- Depositarios centrales de valores (CSDs): enfoque de continuidad con especial atención a sus interdependencias sistémicas.
- Centros de negociación: capacidad de reanudar operaciones en menos de 2 horas, con pérdida mínima de datos.
Por otro lado, los artículos 28 a 30 establecen las bases de la gobernanza interna y el control del riesgo TIC, señalando que el órgano de dirección de cada entidad es el responsable último del marco de gestión implantado. Este marco debe estar respaldado por una clara asignación y documentación de funciones, garantizar la formación continua y la competencia técnica del personal implicado, así como prever la existencia de una función de auditoría interna independiente que verifique regularmente el cumplimiento de las obligaciones establecidas en materia de riesgo TIC.
Gobernanza Interna y control
Los artículos 28 a 30 del Reglamento Delegado (UE) 2024/1774 establecen los principios de gobernanza y supervisión interna del marco de gestión del riesgo relacionado con las TIC en las entidades financieras.
- En primer lugar, el artículo 28 atribuye al órgano de dirección la responsabilidad última sobre la gestión del riesgo TIC. Este órgano debe aprobar y revisar periódicamente el marco de gestión del riesgo, asegurando su adecuación a la naturaleza, escala y complejidad de la entidad. Además, debe supervisar su aplicación efectiva y garantizar que se disponga de los recursos necesarios para su implementación.
- El artículo 29 exige que las funciones y responsabilidades relacionadas con la gestión del riesgo TIC estén claramente asignadas, documentadas y comunicadas dentro de la organización. Esto incluye tanto a los niveles operativos como a los de supervisión, con el fin de evitar solapamientos o lagunas en la gestión. Asimismo, se establece que el personal implicado debe contar con la formación continua y la competencia técnica adecuadas, lo que implica programas de capacitación adaptados a los riesgos y tecnologías emergentes.
- Por último, el artículo 30 impone la obligación de contar con una función de auditoría interna independiente, encargada de evaluar periódicamente la eficacia del marco de gestión del riesgo TIC. Esta auditoría debe ser objetiva, estar debidamente documentada y sus resultados deben comunicarse al órgano de dirección. Además, debe incluir recomendaciones para corregir deficiencias y hacer seguimiento de su implementación.