Introducción
Como empresa que presta servicios a instituciones financieras, el cumplimiento de la Ley de Resiliencia Operativa Digital de la UE (DORA) es una prioridad empresarial, así como una necesidad regulatoria para Circit. Todas las entidades que entran en el ámbito de aplicación de la ley deben cumplirla antes del 17 de enero de 2025. Nuestros clientes incluyen auditores e instituciones financieras de todas las formas y tamaños que confían en nosotros para proporcionar acceso seguro e ininterrumpido a transacciones verificadas y datos de auditoría relacionados. Por lo tanto, la adhesión a la Ley DORA antes de la fecha límite es esencial para Circit, no solo para asegurar que cumplimos con los estándares regulatorios, sino también para reforzar la confianza que hemos construido con nuestros clientes.
Como Proveedor de Servicios de Información de Cuentas (AISP), descubrimos que el proceso para lograr la adhesión a DORA presentaba algunos desafíos para la empresa. Directivas como esta Ley a menudo se diseñan y redactan pensando en entidades complejas y de alto riesgo. Si bien estos requisitos robustos son esenciales para garantizar la estabilidad del sistema financiero, pueden plantear desafíos para las entidades que no pueden dedicar el mismo nivel de recursos que las empresas más grandes y complejas. Como resultado, Circit necesitaba un enfoque estratégico que aprovechara nuestra gobernanza, marcos y certificaciones existentes, al mismo tiempo que abordara los requisitos únicos de la Ley. A continuación, explicamos cómo navegamos este camino, los desafíos que enfrentamos y cómo nos aseguramos de que nuestro enfoque fuera efectivo y sostenible.
Antecedentes
DORA fue introducida por la Unión Europea para abordar los riesgos derivados de la digitalización en el sector financiero. Con el aumento de los ciberataques, la dependencia de proveedores de tecnología externos y los sistemas financieros interconectados, el potencial de las interrupciones relacionadas con las TIC para afectar la estabilidad financiera ha crecido significativamente. DORA exige, por lo tanto, que las entidades financieras implementen marcos integrales para salvaguardar sus operaciones y proteger el ecosistema financiero en general bajo 5 pilares: gestión de riesgos de TIC, notificación de incidentes, supervisión de terceros, intercambio de información y pruebas de resiliencia. Al crear un enfoque armonizado para la resiliencia digital, DORA busca mejorar la confianza, reducir las vulnerabilidades y asegurar que los servicios financieros puedan seguir funcionando sin problemas, incluso frente a condiciones adversas.
Los desafíos
DORA se aplica ampliamente a todas las entidades financieras, abarcando desde procesadores de pagos globales hasta AISP como Circit. Si bien la Ley busca una resiliencia uniforme en todo el ecosistema financiero, presenta desafíos distintos para las entidades que varían en complejidad, riesgo y tamaño. A continuación, se presenta un resumen de algunos desafíos clave que Circit ha superado como parte de su proceso para cumplir con DORA:
Regulación redactada para entidades complejas y de alto riesgo: Gran parte del lenguaje de DORA, particularmente en torno a la gestión de riesgos de TIC, la resiliencia operativa y la gobernanza, asume un nivel de complejidad y disponibilidad de recursos más aplicable a las entidades más grandes y de alto riesgo. A primera vista, podría parecer que las empresas que no tienen esta escala carecen de la infraestructura o el personal para implementar ciertos requisitos en la misma proporción.
Restricciones de costos y recursos: Muchos requisitos —como las evaluaciones de riesgos de terceros, las pruebas de resiliencia y la documentación— parecen exigir una inversión significativa en tiempo y herramientas. Para organizaciones más pequeñas que Circit, cumplir con estos requisitos sin equipos de cumplimiento dedicados podría causar importantes limitaciones de recursos.
Complejidad de las soluciones: Los requisitos de resiliencia, como las pruebas de estrés y los sistemas de respaldo, pueden resultar desproporcionadamente gravosos para las entidades de bajo riesgo. La naturaleza del trabajo de un AISP (por ejemplo, la agregación de cuentas) podría no requerir el mismo nivel de planificación de la resiliencia que un procesador de pagos de alto riesgo.
Nuestro enfoque de DORA
En Circit, nuestro enfoque para lograr el cumplimiento de DORA se basa en el uso de nuestras sólidas bases existentes, ya establecidas al obtener la certificación ISO2700:2022 y SOC2 Tipo 2. Sería prudente mencionar que existen algunas ideas erróneas en torno a DORA; se ha sugerido que las certificaciones ISO/SOC califican automáticamente a una organización para la adhesión a DORA, pero esto es falso. En Circit hemos adoptado un enfoque estructurado, identificando sistemáticamente dónde nuestras operaciones no estaban alineadas con los requisitos de DORA y luego subsanando esas deficiencias de una manera que se integra en nuestros marcos y procesos existentes, minimizando la interrupción de las operaciones.
Alcance de los requisitos:
El primer paso consistió en revisar exhaustivamente el texto completo de DORA para comprender su alcance e implicaciones. A través de este proceso, pudimos determinar exenciones y obligaciones específicas aplicables a Circit como AISP. También fue al asimilar la ley que obtuvimos una sólida comprensión del Artículo 4: El principio de proporcionalidad (que describe cómo deben aplicarse las soluciones desarrolladas para los requisitos de DORA en función del tamaño, la complejidad y el riesgo de una entidad para el sistema financiero)
Mapeo cruzado:
Utilizando un método de mapeo cruzado, luego mapeamos los requisitos de DORA con los controles y procesos ya existentes bajo nuestras certificaciones SOC2 e ISO 27001. Este paso destacó las áreas en las que ya cumplíamos y nos permitió optimizar nuestros esfuerzos. Además, ofreció una visión práctica sobre el nivel de proporcionalidad que deberíamos aplicar a las áreas en las que no coincidíamos con estas certificaciones.
Análisis exhaustivo de brechas:
Tras el mapeo cruzado, realizamos otra revisión exhaustiva de los requisitos de DORA y desarrollamos un informe de análisis de brechas que evaluó dónde las prácticas actuales de Circit divergían de los mandatos de DORA. A cada brecha se le asignó una calificación de complejidad e impacto para priorizar eficazmente los esfuerzos de remediación, asegurando que las áreas de alto impacto se abordaran primero.
Hallazgos y recomendaciones basados en pilares:
Los cinco pilares clave de DORA —gestión de riesgos de TIC, notificación de incidentes, pruebas de resiliencia operativa digital, gestión de riesgos de terceros e intercambio de información— sirvieron como marco para presentar los hallazgos. Para cada pilar, detallamos las brechas identificadas y formulamos recomendaciones prácticas para mejoras. Estas recomendaciones podrían ser algo tan pequeño como una revisión menor de una política o tan complejo como el desarrollo de procedimientos operativos completamente nuevos o cambios basados en sistemas.
Implementación de los cambios:
Se implementaron medidas correctivas siguiendo el marco de prioridades establecido en el análisis de brechas. Cada cambio pasó por desarrollo, implementación, revisión/modificación y aprobación final. La perspectiva de expertos clave en la materia de toda nuestra organización aseguró que cualquier cambio continuara cumpliendo con los estándares operativos y de seguridad de Circit.
Integración: Supervisión, Gobernanza y Auditoría
Circit integra los requisitos de DORA en nuestras formas de trabajo existentes siempre que es posible, en lugar de tener procesos paralelos específicos de DORA. Mediante este enfoque, garantizamos el cumplimiento al tiempo que apoyamos la eficiencia operativa. Este método también influyó en la forma en que el marco de monitoreo continuo de Circit se adapta a DORA. Asimilamos cualquier nuevo control de seguridad, verificación y revisión de DORA en nuestra estructura de gobernanza existente para asegurar que los requisitos de DORA se integren en los procesos establecidos de Circit.
Para garantizar la total transparencia y la preparación para auditorías bajo DORA, Circit optó por compilar un paquete de cumplimiento exhaustivo que contiene todas las pruebas relevantes y la documentación de respaldo. Este paquete se organizó para mapear cada requisito regulatorio con pruebas específicas (políticas, procesos, marcos de informes, etc.), demostrando nuestro cumplimiento en cada uno de los cinco pilares clave de DORA. Incluye una tabla de referencias cruzadas que alinea las referencias de los artículos de DORA con las operaciones internas de Circit vinculadas a la evidencia de respaldo. Al respaldar este paquete de cumplimiento, Circit espera no solo asegurar la preparación para revisiones externas, sino también fomentar una cultura dentro de nuestra organización que sea capaz de responder proactivamente a los próximos desafíos regulatorios, sin importar su tamaño o complejidad.
Destacado del Proyecto: Encontrar la Solución, la Importancia de la Proporcionalidad
Una piedra angular del éxito de Circit en el cumplimiento de la Ley de Resiliencia Operativa Digital (DORA) es nuestra aplicación estratégica y comprensión del principio de proporcionalidad. Este aspecto de la regulación, a menudo pasado por alto, nos permite adaptar nuestros esfuerzos de cumplimiento de manera adecuada sin comprometer la solidez de nuestra resiliencia operativa.
Esto se encuentra en el Capítulo 1, Artículo 4 de la ley, que establece:
«Las entidades financieras aplicarán… [Capítulos 2-4 y 5, sección 1] de forma proporcionada a su tamaño y perfil de riesgo general, y a la naturaleza, escala y complejidad de sus servicios, actividades y operaciones»,
Ley de Resiliencia Operativa Digital, REGLAMENTO (UE) 2022/2554, página 29
El principio de proporcionalidad en la ley DORA asegura que los requisitos establecidos se apliquen en función del tamaño de una entidad y su riesgo para el sistema financiero. Este principio permite a las entidades con menores cargas regulatorias (incluido Circit) adoptar soluciones a menor escala para lograr el cumplimiento de la ley. Por el contrario, las instituciones más grandes y de alto riesgo, como los grandes bancos o los procesadores de pagos, deben implementar medidas más exhaustivas para abordar los requisitos. Esta diferenciación, aunque a menudo se pasa por alto, es fundamental para el desarrollo de soluciones prácticas a los requisitos de DORA.
Tenga en cuenta: No todas las partes de cada Capítulo tienen aplicado el principio de proporcionalidad; es fundamental leer la ley y determinar dónde este sí y no se aplica.
Esto presenta inmediatamente otro desafío; DORA deja esta proporcionalidad del enfoque a criterio de cada empresa (es decir, abierta a interpretación). Como organización, debe analizar lo que la ley exige y luego decidir usted mismo qué implementará prácticamente para cumplir a un nivel proporcional.
No hay directrices claras y unívocas sobre la proporcionalidad que establezcan «si usted es la entidad X, aplique el control Y». Además, corresponderá a las diferentes Autoridades Europeas de Supervisión (AES) interpretar esta proporcionalidad (y, por lo tanto, podríamos ver diferencias en lo que se considera aceptable «proporcionalmente» entre los distintos estados miembros de la UE). Es difícil saber exactamente qué será o no aceptable, por lo que es fundamental que las organizaciones sigan de cerca cualquier auditoría y hallazgo que se produzca en el marco de DORA en los próximos años, en caso de que deban realizarse cambios en consecuencia.
