Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014, (UE) nº 909/2014 y (UE) 2016/1011. Veamos DORA.
No es novedad que esto ya no es el wild wild west y que la normativa que regula los servicios de criptoactivos ya son una realidad.
El Reglamento MiCA, Reglamento Europeo de Protección de Datos, Quinta Directiva de Prevención de Blanqueo de Capitales, Travel Rule o el Pilot Regime, son sólo algunos ejemplos de los muchos requisitos normativos que tiene que cumplir un proveedor de servicios de criptoactivos si quiere llevar a cabo su actividad.
Hoy os traemos DORA, una normativa más desconocida pero que lleva gestándose cerca de 5 años y que también, será de obligatorio cumplimiento para los proveedores de servicios de cripto.
DORA entró en vigor el 3 de enero de 2023 y será aplicable a partir del 17 de enero de 2025.
El pasado 14 de diciembre del año 2022 se publicó el Reglamento 2022/2554 sobre la resiliencia operativa digital del sector financiero, más conocido como Reglamento DORA por sus siglas en inglés, que modifica una serie de reglamentos de la Unión Europea sobre mercados financieros.
El Reglamento DORA, junto con MiCA, forma parte del Digital Single Market, una estrategia europea que consiste en aprobar una serie de normativas con tres objetivos fundamentales:
1. Mejorar el acceso a los bienes y servicios digitales
La estrategia del Mercado Único Digital pretende garantizar un mejor acceso de los consumidores y las empresas a los bienes y servicios en línea en toda Europa, por ejemplo, eliminando los obstáculos al comercio electrónico transfronterizo y al acceso a los contenidos en línea, al tiempo que se aumenta la protección de los consumidores.
2. Un entorno en el que las redes y servicios digitales puedan prosperar
El Mercado Único Digital pretende crear el entorno adecuado para las redes y servicios digitales, proporcionando infraestructuras y servicios de alta velocidad, seguros y fiables, respaldados por las condiciones normativas adecuadas. Las principales preocupaciones incluyen la ciberseguridad, la protección de datos/privacidad electrónica y la equidad y transparencia de las plataformas en línea.
3. Lo digital como motor de crecimiento
La Estrategia para el Mercado Único Digital tiene como objetivo maximizar el potencial de crecimiento de la Economía Digital Europea, de modo que todos los europeos puedan disfrutar plenamente de sus beneficios, en particular mediante la mejora de las competencias digitales, que son esenciales para una sociedad digital inclusiva.
Objetivos de DORA
El objetivo del Reglamento DORA es hacer frente a los riesgos y mitigar las ciberamenazas a las que están expuestas las entidades financieras como bancos, compañías de seguro o empresas de inversión, así como proveedores de servicios de criptoactivos, habida cuenta de que el riesgo de que estas entidades sufran ciberataques es cada vez mayor.
Además pretende consolidar y actualizar los requisitos relativos al riesgo relacionado con las TIC a través de normas específicas sobre:
- las capacidades de gestión de este riesgo,
- la notificación de incidentes,
- las pruebas de resiliencia operativa; y
- el seguimiento del riesgo relacionado con las TIC derivado de terceros.
Por consiguiente, el Reglamento debe también sensibilizar respecto al riesgo relacionado con las TIC y reconocer que los incidentes y la falta de resiliencia operativa pueden poner en peligro la solidez de las entidades financiera.
¿Por qué un Reglamento?
El hecho de que la forma jurídica de la normativa sea un reglamento no es baladí, ya que elegir un reglamento para el establecimiento de un marco común para la resiliencia operativa digital de las entidades financieras es la manera más adecuada de garantizar una aplicación homogénea y coherente de todos los componentes de la gestión del riesgo relacionado con las TIC por parte del sector financiero de la UE.
En resumen: DORA aporta requisitos uniformes relativos a la seguridad de las redes y de los sistemas de información de las entidades financieras.
¿A quien aplica?
En concreto, el Reglamento DORA es de aplicación a las siguientes entidades:
- Entidades de crédito.
- Entidades de pago.
- Proveedores de servicios de información sobre cuentas.
- Entidades de dinero electrónico.
- Empresas de servicios de inversión.
- Proveedores de servicios de criptoactivos (autorizados en el marco del Reglamento MiCA).
- Depositarios centrales de valores.
- Entidades de contrapartida central.
- Centros de negociación.
- Registros de operaciones.
- Gestores de fondos de inversión alternativos.
- Sociedades de gestión.
- Proveedores de servicios de suministro de datos.
- Empresas de seguros y de reaseguros.
- Intermediarios de seguros, reaseguros y seguros complementarios.
- Fondos de pensiones de empleo.
- Agencias de calificación crediticia.
- Administradores de índices de referencia cruciales.
- Proveedores de servicios de financiación participativa.
- Registros de titulizaciones.
- Proveedores terceros de servicios de tecnologías de la información y la comunicación.
¿Qué implica?
Obligaciones en torno a los siguientes puntos:
- Requisitos de gobierno y organización
- Marco de gestión del riesgo TIC (que implica por ejemplo contar con una Política de continuidad de la actividad en cuanto a TIC para garantizar la continuidad de funciones esenciales de la entidad financiera o aplicar una debida protección y prevención de los activos de información y activos TIC).
- Incidentes relacionados con las TIC (entre otros, establecer procesos de gestión de incidente y notificar los incidentes considerados graves a la autoridad competente que proceda).
- Programa de pruebas de resiliencia dentro del marco de gestión del riesgo TIC
- Gestión del riesgo relacionado con las TIC derivado de terceros (como llevar un registro de información de proveedores de servicios TIC y tener un procedimiento de notificación).
- Contratos con proveedores de servicios de TIC (formalización de contratos por escrito, que además deberán contar con un clausulado mínimo: métricas SLAs y KPIs; obligaciones de información; cumplimiento en materia de seguridad de IT; seguimiento continuo con derechos ilimitados de acceso, inspección y auditoría, etc).
La finalidad de DORA es crear unos requisitos que permitan a los sujetos obligados construir, asegurar y revisar su integridad y fiabilidad operativa asegurando, directa o indirectamente, mediante el uso de servicios prestados por proveedores terceros de servicios de tecnologías de la información, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la seguridad de las redes y los sistemas de información.
Para ello, se deberá entre otros requisitos, disponer de un marco interno de gobernanza y control que garantice una gestión efectiva y prudente del riesgo relacionado con las TIC y establecer un régimen de notificaciones de incidentes graves relacionados con las TIC a las autoridades competentes.
En el caso de los proveedores de servicios de criptoactivos, el Reglamento DORA sostiene que la autoridad competente será la designada de conformidad con el Reglamento relativo a los mercados de criptoactivos. Así, en España la autoridad competente será la Comisión Nacional del Mercado de Valores, que deberá cooperar con la Autoridad Europea de Valores y Mercados.
Desde ATH21 os seguiremos informando sobre ésta y otras normativas que puedan afectarte. Mientras tanto si tienes cualquier pregunta sobre ésta u otras regulaciones no dudes en ponerte en contacto con nuestro equipo en hello@ath21.com
SOBRE ATH21
ATH21 es la primera firma española de servicios legales integrales especializada en crypto y blockchain. Ofrecemos soluciones legales reales para los nuevos modelos de negocios, adaptándonos a cada proyecto, según la jurisdicción del momento en un entorno tan cambiante. Participamos en el desarrollo de proyectos internacionales basados en blockchain y criptoactivos desde 2010.
Si quieres saber más sobre nuestros servicios o necesitas asesoría legal personalizada no dudes en escribirnos a hello@ath21.com
¿NECESITAS AYUDA?
En ATH21 tenemos un equipo legal listo para ayudarte. Si tienes cualquier pregunta no dudes en escribirnos y te ayudaremos en todo lo posible.
buy genuine viagra online canada
Very interesting details you have mentioned, thanks for putting up.Expand blog