DORA 2025: Impacto y desafíos para las entidades financieras, según Kyndryl

Kyndryl ha presentado los principales retos y oportunidades que plantea la implementación de DORA 2025 en el sector financiero, tal y como quedan recogidas en su estudio “DORA – Reglamento de Resiliencia Operativa Digital”, elaborado junto a AFI (Analistas Financieros Internacionales).

Este marco regulatorio, que entra en su fase de obligado cumplimiento a partir de mañana 17 de enero de 2025, busca reforzar la resiliencia operativa digital, clave para garantizar la seguridad y estabilidad de las entidades financieras en un entorno cada vez más digitalizado.

DORA 2025: Un nuevo horizonte para la Resiliencia Operativa Digital

David Soto, Presidente de Kyndryl España y Portugal, y Borja Foncillas, Presidente y Consejero Delegado de Analistas Financieros Internacionales, abordaron la importancia del Reglamento DORA en el marco de la transformación digital de las entidades financieras. Soto destacó cómo la normativa establece un marco robusto para garantizar la resiliencia operativa con una visión estratégica para la aplicación de la normativa, mientras que Foncillas subrayó el papel de la innovación tecnológica como motor para la estabilidad del sector.

Conclusiones del Informe y visión de las entidades financieras

Esteban Sánchez Pajares, Managing Partner de Analistas Financieros Internacionales, presentó las principales conclusiones del informe DORA, elaborado en colaboración con Kyndryl. Entre los hallazgos más relevantes, se destacó la creciente preocupación de las entidades por fortalecer su ciberresiliencia, adaptarse a nuevos requisitos regulatorios y la necesidad de colaboración entre el sector financiero y tecnológico.

Para comenzar, Sánchez Pajares centró su intervención en los riesgos críticos que podrían provocar el colapso de una entidad y en cómo el Reglamento DORA puede actuar como catalizador interno en la gestión de dichos riesgos. El ejecutivo de AFI, también destacó que la normativa no debe verse como un fin en sí misma, sino como una herramienta de gestión integrada en la actividad diaria de las entidades financieras.

Entre los pilares fundamentales del Reglamento, el ponente subrayó:

• La gestión de los riesgos TIC.
• La notificación de incidentes relacionados con las tecnologías de la información y comunicación.
• Los acuerdos de intercambio de información entre entidades.
• Las pruebas de resiliencia operativa digital.
• La gestión del riesgo de terceros y de la cadena de suministro TIC.

Además, Sánchez Pajares destacó varios puntos clave del informe:

1. De la prevención a la resiliencia operativa digital: Aunque DORA fomenta un enfoque de resiliencia, es crucial no caer en una falsa sensación de seguridad. La norma y los procesos son herramientas, no objetivos.
2. Cultura de riesgos TIC: Es necesario fomentar una cultura específica, entendiendo la naturaleza imprevisible y dinámica de los riesgos tecnológicos.
3. Colaboración y comunicación: La normativa impulsa una mayor interacción con los supervisores y entre entidades, aunque un celo excesivo en la protección de información podría limitar su efectividad.
4. Concepto de “Entidad Mínima Viable”: Introduce un marco para garantizar la continuidad operativa, aunque persisten dudas sobre su aplicabilidad en eventos extremos.
5. Disparidad en preparación e implantación: Las diferencias entre entidades y sectores podrían convertir a DORA en un elemento de diferenciación competitiva, afectando especialmente a pequeños proveedores TIC.
6. Riesgo de fragmentación supervisora: Las variaciones en su implementación entre geografías o sectores podrían exacerbar desigualdades.
7. Supervisión colaborativa: El acompañamiento continuo será esencial para equilibrar la gestión de riesgos sin limitar las decisiones operativas o comerciales.
8. Proporcionalidad insuficientemente definida: Los riesgos TIC de carácter sistémico requieren un enfoque que evite la fragilidad de la cadena por sus eslabones más débiles.
9. Interoperabilidad normativa: Por primera vez, los proveedores críticos estarán supervisados, exigiendo compatibilidad con estándares internacionales.
10. El papel del sector público: Será clave en la reducción de asimetrías de información, costes de protección y promoción de la colaboración intersectorial.

Con estas reflexiones, Sánchez Pajares ofreció un panorama integral sobre los desafíos y oportunidades que representa la implantación de DORA en las entidades financieras

Retos y oportunidades para el sector financiero y tecnológico

La sesión continuó con las intervenciones de Silvia Senabre, Jefa del Grupo de Riesgo Tecnológico de la Dirección General de Supervisión del Banco de España, y Kris Lovejoy, Global Security and Resilience Practice Leader en Kyndryl. Senabre detalló el impacto de DORA desde la perspectiva de la supervisión bancaria, enfatizando la importancia de gestionar los riesgos tecnológicos de manera proactiva. Lovejoy, por su parte, señaló cómo las entidades pueden convertir los desafíos regulatorios en ventajas competitivas a través de la innovación.

Mesa redonda: Principales desafíos e implicaciones prácticas de DORA

La mesa redonda reunió a destacados representantes del sector financiero y tecnológico para debatir sobre los desafíos prácticos que plantea DORA. Moderada por Mario Yáñez, Director de Banking Consult Partner en Kyndryl, contó con la participación de:

• Silvia Senabre, Banco de España.
• Ricardo López, Director de Riesgos No Financieros y Cumplimiento, Cecabank.
• Òscar Domènech, Director de Continuidad de Negocio, CaixaBank.
• Guillermo Llorente, Director Corporativo de Seguridad, MAPFRE.
• Roberto Rodríguez Barreal, Chief Operational Resilience Officer, Santander España.

El debate se centró en las implicaciones prácticas de DORA, destacando la necesidad de colaboración sectorial, el fortalecimiento de la gestión de riesgos no financieros y las estrategias para garantizar la continuidad de negocio en entornos altamente digitalizados.

Ciberresiliencia: retos de futuro

El cierre del evento estuvo a cargo de Karen Gaines, Vice President of Cybersecurity & Resilience en Kyndryl, quien planteó los principales desafíos que las entidades enfrentan en materia de ciberseguridad y resiliencia operativa. Gaines resaltó que, en un entorno regulatorio más exigente, la innovación tecnológica será clave para garantizar la seguridad y continuidad de las operaciones.