Los bancos y los reguladores dicen que un enfoque común es esencial para implementar DORA con éxito.

Anna Antimiichuk

A solo tres meses de la fecha de implementación, AFME destaca la preparación de DORA después del período de transición.

La implementación de DORA, la inminente Ley de Resiliencia Operacional Digital, es vista como una mejora operativa significativa por todos los participantes del mercado, coincidió una de las mesas redondas de AFME en Londres.

El principal desafío, según los bancos (Barclays, Intesa Sanpaolo) y los reguladores (Autoridad Bancaria Europea – EBA) en OPTIC, es tener un enfoque común sobre DORA y la resiliencia. No es fácil implementarlo con bancos y sucursales de diferentes tamaños e integrarlo mutuamente.

Maria Sorlini, jefa del equipo de coordinación y orientación regulatoria de Intesa Sanpaolo, añadió que la naturaleza global de las instituciones financieras introduce complicaciones adicionales. Muchas instituciones operan en múltiples jurisdicciones con diferentes requisitos regulatorios, lo que dificulta establecer una estrategia de cumplimiento unificada. Destacó la importancia de un enfoque común para la resiliencia operativa, que DORA pretende promover en todo el sector financiero europeo. Además, resulta difícil para los reguladores y supervisores tener un enfoque común a nivel internacional para alinear todos los procesos y procedimientos.

DORA, una regulación histórica destinada a mejorar la resiliencia operativa de las instituciones financieras en toda Europa, se basa en cinco pilares: gestión de riesgos, pruebas de resiliencia, notificación de incidentes, gestión de riesgos de terceros e intercambio de información. Y si bien la resiliencia operativa ha sido una prioridad para los bancos durante más de una década, el panel reconoció la naturaleza ambiciosa de DORA y los cambios operativos necesarios para cumplir sus mandatos. De hecho, como se ha mencionado, muchas instituciones financieras están trabajando arduamente para alinear sus sistemas y procesos internos con los requisitos de DORA a medida que se acerca la fecha límite.

Antonio Barzachki, experto senior en políticas de la Autoridad Bancaria Europea (EBA), el regulador miembro del panel, reconoció las preocupaciones de la industria sobre los retrasos y los desafíos de implementación. Aseguró que la EBA está comprometida a brindar claridad a través de sesiones continuas de preguntas y respuestas y orientación supervisora. La EBA también llevó a cabo un ejercicio de “simulación”, durante el cual las entidades financieras presentaron registros de información para probar los procesos de cumplimiento. Destacó la importancia de los esfuerzos de colaboración entre los reguladores y la industria para garantizar una implementación fluida.

Uno de los temas discutidos fue también la necesidad de proporcionalidad en la implementación de DORA, y el representante de la EBA destacó que los reguladores adopten un enfoque basado en el riesgo, reconociendo que no todas las instituciones financieras enfrentan el mismo nivel de riesgo. Este principio de proporcionalidad permite flexibilidad en la forma en que las instituciones responden a los requisitos de DORA en función de sus perfiles de riesgo específicos.

Estelle Tran, responsable jurídica de DORA en Barclays, reconociendo la urgencia de la situación, afirmó que el gran volumen de contratos que deben corregirse, tanto para los bancos como para los proveedores de servicios, representa un desafío importante en sí mismo: «Para algunos bancos, Serán cientos, para otros, miles de contratos. Por lo tanto, la complejidad de identificar proveedores de servicios críticos y actualizar los contratos en consecuencia es bastante compleja y un ejercicio de marcar casillas no significaría realmente alcanzar los objetivos de este reglamento. Estelle también destacó que, a pesar de un marco regulatorio claro, los bancos en diferentes jurisdicciones han tenido que adoptar enfoques variados, lo que complica aún más el proceso.

Como señala Clare Jenkinson de Deloitte Legal, DORA es parte de una tendencia más amplia de regular la resiliencia operativa a nivel mundial. A medida que las instituciones financieras se adapten a DORA, también necesitarán considerar marcos regulatorios similares en otras regiones, como, por ejemplo, el Marco de Resiliencia Operacional del Reino Unido y las Directrices de Gestión de Riesgos Tecnológicos de Singapur. Por tanto, sería muy útil un enfoque unificado. Otro punto señalado por Clare fue la necesidad de evitar que el cumplimiento de DORA se convierta en un ejercicio de marcar casillas, ya que no todos los contratistas y proveedores externos presentan un riesgo para una organización. Si la lista de proveedores no se analiza exhaustivamente desde una perspectiva de riesgo, en realidad no se considerará cumplimiento de DORA.

En última instancia, se trata de colaboración, y DORA introduce un nuevo tipo de colaboración (entre reguladores y proveedores de servicios) algo que no existía antes. Como norma en evolución, su plena implementación inevitablemente llevará tiempo, a medida que las empresas sigan ajustando sus operaciones y los reguladores perfeccionen sus prácticas de supervisión. La clave del éxito, coincidió el panel, será la colaboración continua entre todos los participantes del mercado: instituciones financieras, proveedores externos de servicios de TIC y reguladores. Si bien el camino hacia el cumplimiento de DORA presenta desafíos importantes, particularmente en torno a la remediación de contratos, la coordinación operativa y la convergencia regulatoria, algunos son optimistas de que la regulación conducirá en última instancia a un sector financiero más fuerte y seguro.