Los reguladores de todo el mundo han estado muy ocupados elaborando normativas sobre resiliencia operativa, especialmente para el sector de los servicios financieros. Las tres normativas principales -DORA, APRA, PRA/FCA- tienen múltiples fases con diferentes fechas de entrada en vigor. He aquí un resumen de los plazos de 2025 para ayudarte a prepararte ahora y evitar un paso en falso inadvertido y costoso más adelante.
El Banco de Inglaterra, la Autoridad de Conducta Financiera (FCA) y la Autoridad de Regulación Prudencial (PRA).

Reino Unido – El Banco de Inglaterra, la Autoridad de Conducta Financiera (FCA) y la Autoridad de Regulación Prudencial (PRA).

Fecha límite: 31 de marzo de 2025

Los requisitos del Banco de Inglaterra causaron sensación en 2021 al ser la primera legislación importante específica de la normativa sobre resiliencia operativa en entrar en vigor. El plazo inicial para las instituciones financieras del Reino Unido entró en vigor en marzo de 2022 y exigía una autoevaluación del programa actual de la institución, incluidos los servicios empresariales importantes, los escenarios plausibles y las tolerancias de impacto.

El próximo plazo de cumplimiento es el 31 de marzo de 2025. Para esta fecha, se espera que las organizaciones reguladas hayan realizado mapeos y pruebas para garantizar que se mantienen dentro de sus tolerancias de impacto comunicadas para cada servicio empresarial importante. También tendrán que demostrar que han realizado las inversiones necesarias para apoyar operaciones coherentes dentro de esas tolerancias de impacto.

¿Qué hacer ahora?

  1. Afina tu lista de servicios empresariales importantes con las aportaciones de la empresa y la junta directiva hasta que hayas llegado a un consenso.
  2. Demuestra que entiendes cómo se prestan los servicios, en qué punto se alcanza el daño intolerable y, lo que es más importante, si puedes mantenerte dentro de tu tolerancia de impacto declarada.
  3. Construye un caso mediante ejercicios para validar tu confianza en las tolerancias de impacto establecidas y tu capacidad para mantenerte dentro de esas tolerancias.
  4. Madura tu análisis para comprender mejor los puntos únicos de fallo y las vulnerabilidades que podrían dificultar que te mantuvieras dentro de las tolerancias de impacto establecidas.

Ley de Resiliencia Operativa Digital (DORA)

Unión Europea – Ley de Resiliencia Operativa Digital (DORA)

Fecha límite: 17 de enero de 2025.

La Ley de Resiliencia Operativa Digital de la UE entró en vigor en enero de 2023. La Ley está concebida para garantizar que el sector financiero pueda seguir siendo resistente cuando se enfrente a graves perturbaciones operativas o incidentes relacionados con las TIC. Abarca cinco áreas fundamentales: gobernanza, mitigación de riesgos de terceros, notificación de incidentes, pruebas de resistencia e intercambio de información. Las directrices promueven una perspectiva más amplia y estratégica para que las organizaciones normalicen y hagan evolucionar las prácticas existentes.

Aunque el DORA se centra en la resiliencia digital y cibernética, existen numerosos puntos de integración con otras disciplinas de riesgo, como la gestión de crisis, el riesgo operativo, la continuidad de negocio y la resiliencia operativa.

La fecha límite para cumplir el DORA es el 17 de enero de 2025. Debes cumplir los requisitos de seis áreas de alto nivel, entre las que se incluyen:

  • Gestión de riesgos de las Tecnologías de la Información y la Comunicación (TIC)
  • Notificación de incidentes importantes relacionados con las TIC y notificación voluntaria a las autoridades sobre ciberamenazas significativas
  • Notificación a las autoridades de los principales incidentes operativos o relacionados con los pagos de seguridad por parte de las entidades financieras
  • Pruebas de resistencia operativa digital
  • Intercambio de información e inteligencia en relación con las ciberamenazas y vulnerabilidades
  • Medidas para una buena gestión del riesgo de las TIC frente a terceros por parte de las entidades financieras

¿Qué hacer ahora?

  1. Evalúa qué elementos del DORA existen ya en tu organización, trabaja activamente para evaluar cualquier laguna, y ten un plan de acción para añadir o modificar controles.
  2. Desarrolla una sólida comprensión de tus programas de continuidad de negocio, seguridad de la información, recuperación de desastres informáticos, gestión de crisis, comunicaciones de crisis, informes normativos y gestión de riesgos de terceros, así como de sus controles asociados. Esta información también te ayudará a crear un programa holístico de resiliencia.

APRA CPS 230

Australia – APRA CPS 230

Fecha límite: 1 de julio de 2025

La CPS 230 de la Autoridad de Regulación Prudencial de Australia pretende reforzar la forma en que gestionan el riesgo operativo las organizaciones de servicios financieros australianas y las sucursales australianas de bancos y aseguradoras extranjeros.

Sin embargo, la APRA CPS 230 va más allá de cualquier otra normativa sobre resistencia operativa, ya que aborda el riesgo operativo, la continuidad empresarial y la gestión del riesgo de terceros. Quienes operen en Australia querrán reunir a profesionales de la continuidad de la actividad, el riesgo y el cumplimiento normativo a la hora de desarrollar un plan de acción.

Los bancos, las aseguradoras y los fideicomisarios de fondos de pensiones tienen hasta el 1 de julio de 2025 para cumplir las nuevas normas del sistema, entre las que se incluyen:

  • Gestionar los riesgos operativos para establecer y mantener normas adecuadas
  • Mantener las operaciones críticas dentro de los niveles de tolerancia en caso de interrupción grave
  • Gestionar los riesgos asociados al uso de proveedores de servicios
  • Identificar, evaluar y gestionar los riesgos que puedan derivarse de procesos o sistemas internos inadecuados o fallidos.
  • Prevenir la interrupción de las operaciones críticas y adaptar los procesos y sistemas para que funcionen dentro de los niveles de tolerancia
  • No confiar en los proveedores de servicios a menos que garanticen que pueden seguir cumpliendo íntegramente sus obligaciones prudenciales.

¿Qué hacer ahora?

  • Establece y aprueba procesos empresariales críticos que puedan perfeccionarse con el tiempo. Identifica los niveles de tolerancia al impacto de estos procesos para garantizar que los planificadores de la resiliencia comprenden los plazos necesarios para la recuperación y cuándo se alcanzaría un daño intolerable.
  • Haz balance de los programas y prácticas existentes alineados con la gestión del riesgo operativo, la continuidad empresarial y la gestión del riesgo de terceros, para ver qué controles existen ya y cuáles requieren implantación.
  • Desarrolla un plan para abordar algunos de los requisitos más difíciles, como la identificación del riesgo de concentración.

Si a tu organización le afecta alguna de estas normativas, 2025 estará aquí antes de que te des cuenta, así que empieza a planificarlo ya. Aunque las organizaciones de servicios financieros han sido el objetivo de la mayor parte de la normativa sobre resiliencia operativa hasta la fecha, pronto podrían incluirse otros sectores. En cualquier caso, los principios esbozados en estos requisitos son una buena práctica para crear resiliencia operativa en cualquier organización.

Para obtener información completa sobre la legislación en materia de resiliencia operativa, descarga nuestro libro blanco, Resiliencia operativa: Navigating the Global Regulatory Landscape, y echa un vistazo a la solución de software Riskonnect de Continuidad y Resiliencia Empresarial.