Reglamento DORA y proveedores de servicios de criptoactivos

La Comisión Europea adoptó en septiembre de 2020 el “paquete de finanzas digitales”, integrado por cuatro bloques de propuestas legislativas en materias de (i) finanzas digitales, (ii) pagos minoristas, (iii) criptoactivos y (iv) resiliencia digital.

El pilar relativo a la resiliencia digital integra el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (Reglamento DORA, por sus siglas en inglés, Digital Operational Resilience Act), que tiene por objetivo mitigar los riesgos y las ciberamenazas a las que se exponen, entre otros sujetos, los proveedores de servicios de criptoactivos (CASPs), así como harmonizar las regulaciones nacionales ya existentes.

De este modo, el Reglamento DORA complementa la regulación de los criptoactivos que se integra, principalmente, por el Reglamento MiCA, el Reglamento sobre un régimen piloto de infraestructuras del mercado basadas en tecnología de registro descentralizado (Reglamento Piloto DLT), y el Reglamento relativo a la información que acompaña transferencias de fondos y de determinados criptoactivos.

Con tal fin, el Reglamento DORA, en vigor desde el 3 de enero de 2023, y cuya aplicación se iniciará a partir del 17 de enero de 2025, parte del principio de proporcionalidad para establecer unos requisitos uniformes en materias de seguridad de las redes y de los sistemas de información. En este artículo nos interesamos por los aspectos del Reglamento más relevantes y que afectan a los proveedores de servicios de criptoactivos.

Marco de gestión del riesgo

Las entidades sujetas al Reglamento DORA deberán disponer de un marco interno de gobernanza y control, que será definido, aprobado y supervisado por el órgano de dirección de la entidad, el cual también deberá delimitar las funciones y las responsabilidades en relación con las TIC.

En este sentido, se deberá establecer un marco de gestión del riesgo cuyo fin será: (i) determinar el nivel adecuado de tolerancia al riesgo; y (ii) hacer frente al riesgo mediante estrategias y protocolos que deberán ser adecuados, fiables, capaces y tecnológicamente resilientes. Cabe destacar que los sistemas de seguridad y resiliencia no solo se deberán limitar a la estructura virtual, sino que deberán abarcar asimismo la estructura física subyacente de los sistemas TIC. Además, el órgano de dirección deberá de cerciorarse de que toda la información esté al alcance de las autoridades.

Sistema de información

Más allá de los requisitos de la gestión del riesgo de las TIC, el Reglamento DORA establece requisitos adicionales en relación con el sistema de información. Así, se deberá instituir un sistema interno de control, que establezca un régimen de notificación de incidentes graves ante las autoridades competentes.

En lo que concierne a los proveedores de servicios de criptoactivos, el Reglamento DORA indica que la autoridad competente será la Comisión Nacional del Mercado de Valores, que deberá a su vez cooperar con la Autoridad Europea de Valores y Mercados, de acuerdo con lo dispuesto en el Reglamento MiCA.

Sistema de ensayos y pruebas

Las instituciones sujetas al Reglamento Dora deberán someter a pruebas regularmente sus servicios, procedimientos, y los propios sistemas TIC con el fin de garantizar una estabilidad operacional. Por ello, los ensayos y las pruebas se presentan como un mecanismo esencial para garantizar unos sistemas efectivos de ciberseguridad y ciber resiliencia.

A título de ejemplo, algunos de los mecanismos que pueden emplearse son las evaluaciones y exploraciones de vulnerabilidades, los análisis de fuentes abiertas, las evaluaciones de la seguridad de las redes, los análisis de deficiencias, las revisiones de la seguridad física, los cuestionarios y las soluciones informáticas de exploración, etc. En cualquier caso, cabe recordar que esta exigencia se sitúa como un mero mecanismo previo, que deberá ser seguido por una acción correctiva.

Sistema de seguimiento

Para poder garantizar un control sobre el conjunto del sistema, el Reglamento Dora también establece la obligación de realizar seguimientos continuos. En este sentido, se instaura la obligación de identificar la cadena de suministros, tomando consciencia de todos los actores de esta y planteando los seguimientos adecuados de las funciones TIC cuando estas se subcontraten o se deleguen. Estos mecanismos de seguimiento podrían incluir el planteamiento de cláusulas contractuales que exijan el cumplimiento de lo previsto en el Reglamento DORA.

Sistema de respuesta y recuperación

El Reglamento DORA no se limita a implementar mecanismos para evitar los riesgos, sino que además prevé las situaciones ex post. En este sentido, obliga a las entidades a establecer una política de continuidad de la actividad en materia de TIC mediante disposiciones, planes, procedimientos y mecanismos específicos, adecuados y documentados.  

Las sanciones

Finalmente, no se deben pasar por alto las consecuencias que acarrea el incumplimiento del Reglamento DORA. Concretamente, en línea con las sanciones previstas en otros reglamentos estrechamente relacionados, como el Reglamento Europeo de Protección de Datos, el Reglamento DORA impone sanciones con un amplio rango de afectación por su incumplimiento. Estas sanciones incluyen multas administrativas, medidas correctoras, amonestaciones públicas, la retirada de las autorizaciones, y la indemnización por daños y perjuicios.

Aunque la fecha a partir de la cual el Reglamento será aplicable, el 17 de enero de 2025, puede parecer lejana, lo cierto es que la cuenta atrás no se detiene. Considerando que el sistema de protección que exige el Reglamento DORA no es una cuestión menor, las entidades sujetas al mismo deberán poner en marcha el diseño de sus mecanismos para la asunción estas obligaciones con el fin de poder garantizar un sistema adecuado y eficiente.