Introducción
La adopción de la Ley de Resiliencia Operacional Digital (DORA) por parte de la Unión Europea (UE) es un avance legislativo innovador. Su objetivo es unificar, fortalecer y optimizar los requisitos de resiliencia operativa digital para todas las organizaciones financieras. Si bien su impacto directo se produce principalmente en las empresas dentro de la UE, sus implicaciones para las empresas del Reino Unido, en particular las financieras, también son sustanciales. Hay varias formas en que las empresas del Reino Unido se ven o probablemente se verán afectadas. Este artículo describirá las tres formas principales en que el DORA de la UE afecta a las empresas en el Reino Unido: alineación regulatoria, resiliencia operativa y subcontratación y riesgo de terceros.
Alineación regulatoria
Una de las cuestiones centrales que surgen de la implementación de DORA en la UE es la cuestión de la alineación regulatoria entre la UE y el Reino Unido. Después del Brexit, el Reino Unido no está legalmente obligado a adoptar regulaciones de la UE. Sin embargo, el sector financiero británico, al estar profundamente integrado con sus homólogos de la UE, puede verse influenciado indirectamente por DORA.
Las empresas del Reino Unido que mantienen relaciones comerciales con la UE deberán garantizar que sus estándares operativos se alineen con los de DORA para conservar una capacidad operativa transfronteriza fluida. Independientemente de si el Reino Unido decide promulgar una legislación similar, las empresas pueden optar por autoalinearse. De hecho, DORA puede actuar como un estándar de facto, influyendo no solo en las políticas operativas de resiliencia dentro de la UE sino también en el Reino Unido.
Resiliencia operativa
La segunda forma en que DORA impacta a las empresas del Reino Unido es abogando por una mayor resiliencia operativa. DORA proporciona un marco sólido para gestionar y mitigar los riesgos cibernéticos y de TIC que se están convirtiendo en amenazas cada vez más importantes para el sector financiero. Si bien el Banco de Inglaterra, la Autoridad de Regulación Prudencial y la Autoridad de Conducta Financiera han emitido directrices similares, el enfoque integral de DORA ante tales riesgos podría influir en la estrategia futura del Reino Unido.
DORA requiere específicamente que las empresas tengan funciones dedicadas de gestión de riesgos, prueben periódicamente sus sistemas de defensa para identificar vulnerabilidades y establezcan acuerdos de continuidad del negocio para los peores escenarios. Es probable que las empresas del Reino Unido que operan dentro de la UE adopten estas medidas, que podrían terminar afectando a toda su estructura operativa. Además, es probable que se produzca un efecto de «goteo» que influya en las normas de gestión de riesgos en todo el sector financiero del Reino Unido.
Subcontratación y riesgo de terceros
Finalmente, la introducción de DORA viene acompañada de normas más estrictas sobre subcontratación y riesgos de terceros. Esencialmente, las entidades financieras de la UE deben tomar ciertas medidas al subcontratar sus sistemas de TIC o al comprar servicios de terceros proveedores de TIC que podrían suponer un riesgo para su estabilidad operativa.
Estos requisitos podrían tener implicaciones significativas para las empresas del Reino Unido que brindan dichos servicios a la UE. Es posible que los proveedores de servicios del Reino Unido tengan que adaptarse a los requisitos de DORA, incluidas auditorías anuales, obligaciones estrictas de notificación y acuerdos contractuales para garantizar la estabilidad operativa. No adaptarse a estos cambios podría disminuir la competitividad de las empresas del Reino Unido en el mercado europeo.
Conclusión
En conclusión, es digna de mención la influencia del DORA de la UE en las empresas del Reino Unido. Aunque el Reino Unido ya no forma parte de la UE, los cambios provocados por DORA podrían conducir a una alineación regulatoria, mejorar la resiliencia operativa e impactar la subcontratación y los riesgos de terceros. Sin duda, estos impactos en las empresas del Reino Unido resaltan las implicaciones de largo alcance de DORA, subrayando la necesidad de que las empresas del Reino Unido supervisen de cerca su implementación y realicen los ajustes necesarios.
La entrada Las tres formas principales en que el DORA de la UE afecta a las empresas en el Reino Unido se publicó primero en Revista de Ciberseguridad y Seguridad de la Información para Empresas y Organismos Públicos..
