Colma una laguna que había en la legislación vigente de la UE al garantizar que el marco jurídico actual no plantee obstáculos al uso de nuevos instrumentos financieros digitales y, al mismo tiempo, garantice que estas nuevas tecnologías y productos entren en el ámbito de aplicación de los mecanismos de reglamentación del sector financiero y de gestión de riesgos operativos de las empresas que están activas en la UE. Así pues, el objeto del paquete de medidas es apoyar la innovación y la adopción de nuevas tecnologías financieras, proporcionando al mismo tiempo un nivel adecuado de protección de los consumidores y los inversores.
Antecedentes
La Comisión presentó la propuesta de Reglamento DORA el 24 de septiembre de 2020. Formaba parte de un paquete de finanzas digitales más amplio, cuyo objetivo es elaborar un planteamiento europeo que fomente el desarrollo tecnológico y garantice la estabilidad financiera y la protección de los consumidores. Además de la propuesta de Reglamento DORA, el paquete constaba de una estrategia de finanzas digitales, una propuesta sobre los mercados de criptoactivos y una propuesta sobre la tecnología de registro descentralizado.
El Consejo adoptó su mandato de negociación sobre el Reglamento DORA el 24 de noviembre de 2021. Los diálogos tripartitos entre los colegisladores comenzaron el 25 de enero de 2022 y finalizaron con un acuerdo provisional alcanzado el 10 de mayo de 2022.
Objeto
A fin de lograr un elevado nivel común de resiliencia operativa digital, el presente Reglamento establece requisitos uniformes relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de las entidades financieras como sigue:
- a) requisitos aplicables a las entidades financieras en relación con:
- i) la gestión del riesgo en el ámbito de las tecnologías de la información y la comunicación (TIC),
- ii) la notificación a las autoridades competentes de incidentes graves relacionados con las TIC y, con carácter voluntario, de ciberamenazas importantes,
- iii) la notificación a las autoridades competentes de incidentes operativos o de seguridad graves relacionados con los pagos por parte de las entidades financieras a las que se hace referencia en el art. 2, ap. 1, letras a) a d), iv) las pruebas de resiliencia operativa digital, v) el intercambio de información e inteligencia en relación con las ciberamenazas y las vulnerabilidades cibernéticas,
- vi) las medidas para la buena gestión del riesgo relacionado con las TIC derivado de terceros;
- b) requisitos en relación con los acuerdos contractuales celebrados entre proveedores terceros de servicios de TIC y entidades financieras;
- c) normas para el establecimiento y aplicación del marco de supervisión de los proveedores terceros esenciales de servicios de TIC cuando presten servicios a entidades financieras;
- d) normas sobre cooperación entre autoridades competentes y normas sobre control y ejecución por parte de las autoridades competentes en relación con todos los asuntos cubiertos por el presente Reglamento.
En relación con las entidades financieras identificadas como entidades esenciales o importantes en virtud de las normas nacionales de transposición del art. 3 de la Directiva (UE) 2022/2555 (LA LEY 26820/2022), el presente Reglamento se considerará un acto jurídico sectorial de la Unión a efectos del art. 4 de dicha Directiva.
El presente Reglamento se entenderá sin perjuicio de la responsabilidad de los Estados miembros en lo concerniente a las funciones esenciales del Estado que afectan a la seguridad pública, la defensa y la seguridad nacional de conformidad con el Derecho de la Unión.