Análisis de impacto y grado de implantación de la normativa DORA en empresas representativas del sector financiero español

Abstract

[ES] En el presente Trabajo Final de Grado se aborda el impacto generado por la aprobación del Reglamento europeo DORA (Digital Operations Resilience Act) en empresas representativas del sector financiero español (sector bancario y asegurador). Se analizará el nivel de implantación de esta normativa, estudiando cuáles son los aspectos recogidos en DORA (artículos) para los cuales las empresas del sector se encuentran más preparadas y disponen de un mayor nivel de implantación en su operativa, así como cuáles suponen un reto superior y se encuentran en una fase más incipiente.

La evolución del sector financiero hacia una operativa absolutamente dependiente de la tecnología ha hecho que resultara primordial disponer de una regulación que armonizase las normas en cuanto a gestión de la ciberseguridad y los sistemas TIC en el sector financiero europeo. DORA, cuya entrada en vigor se produjo el pasado 16 de enero de 2023, y que será plenamente aplicable desde el 17 de enero de 2025, consiste en un Reglamento sobre resiliencia operativa digital (capacidad de respuesta y recuperación ante incidentes digitales, pasando esta por una adecuada gobernanza y gestión del riesgo TIC), que regula la manera en que las entidades financieras deben hacer frente al riesgo tecnológico (aquellos ataques o acontecimientos que pudieran poner en peligro la tecnología, y por tanto, la operativa, en la que se apoyan las empresas del sector financiero). Ante la inminente entrada en vigor de la normativa, las empresas del sector financiero están realizando análisis para determinar aquellos aspectos que deben abordar para asegurar su cumplimiento con el Reglamento DORA.

El presente trabajo comenzará por ofrecer una visión general del Reglamento, analizando cuáles son sus objetivos, así como los motivos por los cuáles, desde las instituciones europeas, se ha decidido que la implantación de esta normativa es necesaria en el sector financiero europeo. A continuación, y como grueso del trabajo, se estudiará el nivel de implantación actual de esta normativa, tomando como referencia empresas representativas del sector financiero español. Como consecuencia de este análisis, se identificarán cuáles son los aspectos, en cuanto a resiliencia tecnológica, en los cuales las empresas del sector financiero español se encuentran aún en una fase más preliminar, así como aquellos aspectos cuyo cumplimiento ya se ha alcanzado.

[EN] This thesis deals with the impact generated by the approval of the European Regulation DORA (Digital Operations Resilience Act) in representative companies of the Spanish financial sector (banking and insurance sector). The level of implementation of this regulation will be analyzed, studying which are the aspects included in DORA (articles) for which the companies belonging to the sector are more prepared and have a higher level of implementation in their operations, as well as those aspects which are more challenging and in a more incipient phase.

The evolution of the financial sector towards an absolutely technology-dependent operation has made it essential to have a regulation that harmonizes the standards in terms of cybersecurity management and ICT systems in the European financial sector. DORA, which came into force on January 16, 2023, and which will be fully applicable as of January 17, 2025, consists of a Regulation on digital operational resilience (response and recovery capacity before digital incidents, including adequate governance and ICT risk management), which regulates the way in which financial institutions must deal with technological risk (attacks or incidents that could endanger the technology, and therefore the operations, on which companies in the financial sector rely on). In view of the imminent entry into force of the regulation, companies in the financial sector are carrying out analyses to determine those aspects that must be addressed to ensure their compliance with DORA.

This paper will begin by providing an overview of the Regulation, analyzing its objectives, as well as the reasons why, from the European institutions, it has been decided that the implementation of this regulation is necessary in the European financial sector. Next, and as the main part of the work, the current level of implementation of this regulation will be studied, taking as a reference representative companies of the Spanish financial sector. As a result of this analysis, we will identify the aspects, in terms of technological resilience, in which companies in the Spanish financial sector are still at a more preliminary stage, as well as those aspects in which compliance has already been achieved.