DORA Article 36 Explicado: Armonización de las Condiciones que Permiten la Realización de la Supervisión

Introducción

La Ley de Resistencia Operativa Digital (DORA) es un marco regulador diseñado para mejorar la resistencia operativa digital de las entidades financieras dentro de la Unión Europea (UE). En el corazón de DORA yace la necesidad de armonizar las condiciones que permiten la realización de la supervisión, que se aborda en el Artículo 36. Este artículo tiene como objetivo proporcionar una comprensión completa del proceso de armonización requerido, sus implicaciones para las entidades financieras y los pasos necesarios para el cumplimiento.

El Artículo 36 de DORA es significativo porque establece las condiciones bajo las cuales los organismos de supervisión pueden supervisar la resistencia operativa digital de las entidades financieras. Se propone garantizar que estas entidades cuenten con mecanismos de gobernanza, gestión de riesgos y reporte adecuados. Esta armonización es crucial para mantener la consistencia en el sector financiero de la UE, promover la estabilidad y abordar los riesgos asociados con los sistemas de Tecnologías de Información y Comunicación (ICT).

Requisitos Clave

El Artículo 36 de DORA describe varios requisitos clave para que las entidades financieras aseguren la armonización de las condiciones de supervisión:

• Reporte Transparente: Las entidades financieras deben garantizar que su reporte a los organismos de supervisión sea transparente y oportuno, abarcando todos los aspectos relevantes de su gestión de riesgos ICT.

• Gobernanza Eficaz: Las entidades deben implementar estructuras de gobernanza eficaces para supervisar sus procesos de gestión de riesgos ICT, incluyendo la designación de una persona designada responsable de la resistencia operativa.

• Practicas de Evaluación de Riesgo: Las entidades deben llevar a cabo evaluaciones de riesgos periódicas y desarrollar marcos de gestión de riesgos ICT completos.

• Gestión de Riesgos de terceros: Las entidades financieras deben gestionar los riesgos asociados con proveedores de terceros, especialmente aquellos que proporcionan funciones críticas o importantes, mediante diligencia y monitorización continua.

• Reporte e Análisis de Incidentes: Las entidades deben tener mecanismos de reporte de incidentes en vigor para notificar a los organismos de supervisión de manera rápida y llevar a cabo una análisis exhaustivo para prevenir futuras ocurrencias.

• Auditorías y Revisiones Periódicas: La realización de auditorías y revisiones regulares de las prácticas de gestión de riesgos ICT asegura el cumplimiento continuo y la resistencia.

Guía de Implementación

Para garantizar el cumplimiento del Artículo 36 de DORA, las entidades financieras deben tomar los siguientes pasos prácticos:

1. Establecer Estructuras de Gobernanza Claras: Definir roles y responsabilidades para la gestión de riesgos ICT dentro de la organización, incluyendo la designación de una persona designada.

2. Desarrollar Marcos de Gestión de Riesgos ICT: Crear marcos completos que incluyan procesos de identificación, evaluación, mitigación y reporte de riesgos.

3. Realizar Evaluaciones de Riesgo Periódicas: Evaluar regularmente los riesgos ICT, incluidos los asociados con proveedores de terceros, y actualizar estrategias de gestión de riesgos en consecuencia.

4. Implementar Mecanismos de Reporte Efectivos: Desarrollar sistemas para reportar incidentes y violaciones a los organismos de supervisión de manera transparente y oportuna.

5. Auditorías y Revisiones Periódicas: Programa auditorías y revisiones regulares de las prácticas de gestión de riesgos ICT para garantizar el cumplimiento continuo e identificar áreas de mejora.

6. Capacitación y Conciencia: Proporcionar capacitación al personal sobre la importancia de la resistencia operativa digital y los requisitos específicos del Artículo 36 de DORA.

7. Documentación y Conservación de Registros: Mantener una documentación completa de todas las evaluaciones de riesgos, informes de incidentes, auditorías y revisiones para proporcionar evidencia de cumplimiento.

Caídas Comunes

Las entidades financieras deben ser conscientes de las siguientes caídas comunes al implementar los requisitos del Artículo 36 de DORA:

• Falta de Gobernanza Clara: No definir roles y responsabilidades claros puede llevar a confusión y brechas en la supervisión.

• Evalación de Riesgo Inadecuado: No realizar evaluaciones de riesgos regulares y completas puede resultar en riesgos sin identificar o sin gestionar.

• Reporte de Incidentes Pobre: La demora o la incomplejidad en el reporte de incidentes puede dificultar la capacidad de aprender de los errores y evitar futuros incidentes.

• Descuidar los Riesgos de Terceros: Pasar por alto los riesgos asociados con proveedores de terceros puede exponer a la entidad a riesgos significativos en términos de operaciones y reputación.

• Documentación Insuficiente: Un mantenimiento de registros deficiente puede dificultar la demostración del cumplimiento y puede resultar en sanciones reguladoras.

Cómo Matproof Ayuda

La plataforma de gestión de cumplimiento de Matproof simplifica el proceso de seguimiento y recopilación de evidencia para los requisitos del Artículo 36 de DORA. Automatizando las tareas de cumplimiento, Matproof ayuda a las entidades financieras a mantener estructuras de gobernanza claras, llevar a cabo evaluaciones de riesgos regulares y garantizar un reporte de incidentes transparente, todo mientras se mantiene una documentación completa para auditorías reguladoras.

Artículos Relacionados

Para una lectura adicional sobre DORA y sus implicaciones para las entidades financieras, considere explorar los siguientes artículos relacionados:

• Artículo 4 de DORA Explicado
• Artículo 10 de DORA Explicado
• Artículo 18 de DORA Explicado
• Artículo 27 de DORA Explicado