La nueva normativa de resiliencia debe aumentar la confianza y atraer las inversiones.
La Digital Operational Resilience Act es la apuesta de la Comisión Europea para homogenizar y reforzar el ámbito normativo sobre resiliencia operativa digital en el sector financiero europeo en un entorno de transformación digital del sector, nuevos actores y grandes compañías tecnológicas. Actualmente está siendo debatida en el Parlamento Europeo y se estima que el texto final entré en vigor a finales de 2021 o principios de 2022, con aplicación a partir de los 12 meses de modo general, y 36 meses para las pruebas de resiliencia avanzada.
El alcance de este reglamento va más allá de las entidades que tradicionalmente han estado fuertemente reguladas y se extiende a otras entidades, como las entidades de pago y de dinero electrónico, prestadores de servicios sobre criptoactivos, agencias de calificación crediticia, plataformas de crowdfunding, terceros prestadores de servicios relacionados con las TIC, etc.
A pesar de que su aprobación está a la vuelta de la esquina, siguen existiendo elementos de debate, cuya determinación harán decantar la norma hacia un mayor o menor impacto en las distintas entidades y sus modelos de gestión de ciberseguridad y resiliencia.
La proporcionalidad es, probablemente, el más ampliamente discutido. La mayor parte de las opiniones se decantan por una proporcionalidad aplicada al nivel de riesgo y a la criticidad de los procesos, huyendo de cualquier alusión a la dimensión de la entidad, dando énfasis, por tanto, a la robustez de todos los eslabones de la cadena crítica. El reglamento todavía no concreta cuáles serán los criterios a aplicar para determinar el nivel de riesgo, pero todo parece indicar que muchas PYMES se verán impactadas y, por tanto, su posición competitiva.
Muy vinculado a la proporcionalidad se encuentra la cuestión de la flexibilidad de la regulación. No podemos olvidar que vivimos un momento de innovación y evolución tecnológica trepidante que DORA debe contribuir a impulsar. Esta regulación debe ser un vehículo para fomentar la confianza entre los distintos actores del ecosistema financiero y atraer la inversión. Para ello, es crucial que tenga visión de futuro, se adapte a los nuevos modelos de trabajo y los riesgos inherentes que se generen, y que evite, en la medida de lo posible, medidas prescriptivas.
La evolución de la transaccionalidad y la proliferación de los sistemas de pago digitales, junto al apogeo y la realidad creciente de las criptomonedas, y en general, de los criptoactivos, suponen una revolución que amerita su inclusión en la nueva directiva DORA, a efectos de resiliencia del ecosistema financiero y su repercusión en los consumidores.
Esta regulación persigue la homogeneización y esto implica tanto a los distintos actores del sector financiero como a los supervisores y a los reguladores. Es en este último punto dónde se desea hacer un mayor esfuerzo e incluir más referencias cruzadas a las regulaciones afectadas (PSD2, GDPR o la nueva propuesta de Directiva de infraestructuras críticas en la UE) y, especialmente, en el ámbito de la notificación de incidentes, disponer de un alineamiento claro entre las regulaciones, que permita armonizar y simplificar el proceso de notificación.
Todavía queda recorrido para concretar como se determinarán los criterios de criticidad de los TIC y los mecanismos de supervisión a los que se verán sometidos, pero aún más lejos queda su aplicación a los terceros no residentes, uno de los mayores desafíos de la nueva norma, la capacidad de aplicación en terceros países.
A lo largo de las próximas semanas se presentarán enmiendas que matizarán aspectos de la norma y como ésta contribuirá a la resiliencia del ecosistema sin renunciar a los principios de preservar la competitividad y fomentar la innovación.
Si bien las grandes entidades ya tienen una buena parte del camino recorrido y disponen de modelos de resiliencia, las amenazas a las que se enfrenta el sector son cada vez mayores y la transformación digital aumenta exponencialmente su grado de exposición. En cuanto a las entidades de menor tamaño, así como a los numerosos nuevos entrantes, DORA supondrá un elemento clave para su competitividad. En ambos casos DORA no nos será indiferente.
Publicado en El Economista