El nuevo marco normativo de DORA entrará en vigor el 17 de enero de 2025. Junto al Reglamento de Nivel I (Reglamento UE 2022/2254, de 14 de diciembre, sobre la resiliencia operativa digital del sector financiero), se trabaja en numerosos desarrollos normativos repartidos en dos bloques. El primero fue ya enviado a la Comisión Europea; y el segundo lo será antes del 17 de julio de 2024, tras estar a consulta hasta el pasado 4 de marzo. Sobre ello han debatido en el XXIX Debate Legal FundsPeople.
“En cuanto al primer bloque de normas de Nivel II, tienen como finalidad la armonización de herramientas, métodos y procedimientos en la gestión de riesgos de las TIC; así como criterios para la clasificación de incidentes, entre otras cuestiones. Todo ello contribuirá a establecer un marco técnico que debería de ayudar al sector”, explica José Carlos Sánchez-Vizcaíno, director de Supervisión de Depositaría de Cecabank. En relación con el segundo bloque, el experto destaca la importancia de la convergencia supervisora. “Y más en este ámbito, que es clave para garantizar unas condiciones comunes en el ejercicio de la actividad financiera para todas las entidades en el seno de la UE”. En este sentido, considera muy positivo que las autoridades dispongan de un marco de cooperación para compartir información y armonizar las condiciones que permitan llevar a cabo la supervisión sobre las entidades.
El 94% de las gestoras en España son Pymes
Está claro que, en el ámbito financiero, “el tecnológico es un riesgo esencial al que prestar atención para garantizar la continuidad de la actividad, la protección del inversor y el buen funcionamiento de los mercados”, asegura Elisa Ricón, directora general de Inverco. La experta presenta una problemática doble: “Cualquier inversor tiene derecho al mismo nivel de protección, con independencia de que su prestador de servicios sea pequeño, mediano o grande. Pero, al mismo tiempo, nos encontramos con que estos marcos normativos son un tremendo factor de concentración en la industria”, alerta. Y es que los mínimos son tan grandes que, aunque haya principio de proporcionalidad, no es suficiente. “Llegar al nivel de exigencia base de este paquete normativo es muy difícil para ciertas entidades más pequeñas”, alerta. Según un estudio que realizó Inverco, el 94% de las gestoras en España son PYMEs, y la situación a nivel europeo no es muy diferente.
Externalización de funciones
Coincide con Pilar Lluesma, responsable del departamento de Regulación Financiera y counsel de Ashurst. “Los grupos bancarios ya lo tenían parcialmente implementado y ahora tienen que adaptarse a las diferencias introducidas por DORA, lo van a tener más fácil. Pero para las gestoras pequeñas o medianas es demoledor”. Aun así, la abogada alerta de que, en el caso de grandes grupos, existen dudas sobre las entidades del grupo a las que, directa o indirectamente les afectará. Asimismo, señala que en los acuerdos de outsourcing sería conveniente establecer un umbral de materialidad que por el momento no existe. De hecho, desde Inverco subrayan que estos grandes conglomerados financieros, a pesar de que lo tienen más fácil de partida, también se chocan con una dificultad ahora. Y es que la norma indica que lo que antes era TIC y tenían externalizado, ahora tienen que llevar controles desde la propia entidad para supervisarlo. “E incluso aunque subcontrates a terceros externos, hay todo un bloque normativo destinado a gestión del riesgo TIC derivado de terceros, lleno de controles y revisiones a realizar”, subraya Ricón.
En relación a esto, Bárbara González, counsel de Linklaters, insiste en que “va a ser muy importante cómo se aplique el principio de proporcionalidad”. Y alerta de la posible inflación que se puede producir: “Al final, los costes de adaptación pueden ser terriblemente elevados”, arguye.
En definitiva, los expertos concluyen que las exigencias normativas han ido demasiado deprisa, como pasó con la normativa de sostenibilidad. Aunque Paula De Biase, socia de Regulación financiera y Fondos de Baker Mckenzie, admite que “todo evoluciona tan rápido en la tecnología que es difícil establecer unos estándares”.
