Ley DORA qué es y cómo te afecta | TaxDown

Cómo funciona DORA 

DORA no es únicamente una aventurera de un programa de animación. Su propósito es activar una serie de componentes para la seguridad de las redes y sistemas de información de las instituciones financieras. Esto abarca bancos, compañías de seguros, firmas de inversión y prestadores de servicios de criptoactivos. ¿De qué manera lo lleva a cabo? A través de un conjunto de reglas: 

• Gestión de riesgos tecnológicos: Reconocer y reducir los riesgos asociados con las tecnologías de la información y la comunicación (TIC). 

• Pruebas periódicasNo basta con afirmar «mis sistemas funcionan a la perfección». Es necesario realizar evaluaciones periódicas de los sistemas para asegurar su resiliencia. 

• Planes de contingencia: Implementar procedimientos para atender de manera efectiva los ciberincidentes. En otras palabras, contar con un plan B, C e incluso D para actuar con agilidad. 

• Supervisión de tercerosSi colaboras con terceros para tus sistemas, también debes asegurarte de que supervisas y administras los riesgos vinculados a proveedores externos de servicios TIC. 

Estas disposiciones buscan que todas las empresas del sector financiero se adhieran a las mismas normativas para protegerse de ciberataques y, además, que el cumplimiento de las regulaciones sea más sencillo en toda la Unión Europea. 

De qué manera impacta en el ámbito cripto 

El universo de las criptomonedas ha sido, hasta ahora, comparable al salvaje oeste: fascinante y con escasas normativas. Sin embargo, con la llegada del Reglamento DORA, esto se transforma. En la actualidad, los intercambios, monederos, proveedores de servicios de criptoactivos e incluso las plataformas DeFi deben considerar con gran seriedad la protección digital. ¿Y en qué se traduce esto? Vamos a desmenuzarlo. 

1. Seguridad al máximo nivel 

Anteriormente, muchas plataformas cripto podían tomarse la seguridad con un enfoque más “flexible”. Sin embargo, con DORA, esto ha llegado a su fin. Ahora, deben reforzar sus sistemas para proteger los fondos y los datos de los usuarios. Esto abarca: 

• Sistemas de protección avanzados para prevenir intrusiones o sustracciones de criptomonedas. 

• Controles de acceso más estrictos, como verificación en dos pasos (2FA) y encriptación de datos. 

• Monitorización constante para identificar agresiones o errores antes de que se transformen en un inconveniente. 

Vamos, que si anteriormente la seguridad era relevante, ahora es obligatoria. 

2. Auditorías y pruebas continuas 

DORA demanda que las compañías de criptomonedas realicen revisiones constantes de sus sistemas. No es suficiente afirmar “todo está en orden”, hay que evidenciarlo. ¿De qué manera? 

• Pruebas de estrés: Realizan simulaciones de ataques para verificar si los sistemas resisten. 

• Auditorías periódicas: Evaluaciones internas y externas para confirmar que todo opera de manera adecuada. 

• Actualizaciones constantes: No puedes seguir utilizando el antivirus de hace tres años; es hora de renovarse. 

3. Gestión de incidentes 

¿Y si algo se complica? DORA exige a las compañías tener un plan claro para actuar. Si se presenta un ciberataque, un hurto o una interrupción del sistema, la compañía no puede permanecer inactiva. Deben: 

• Detectar y reaccionar rápido con el fin de reducir perjuicios. 

• Informar a las autoridades competentes de cualquier evento serio. Nada de ocultar la cabeza como el avestruz. 

• Comunicar a los usuarios si su información o bienes pueden estar amenazados. 

4. Control sobre proveedores externos 

Varios intercambios y plataformas de criptomonedas utilizan servicios de terceros para hospedar sus sitios web, administrar bases de datos o sostener sus sistemas. DORA menciona: «Ojo con a quién contratas». Las compañías deben ahora: 

• Valorar a sus proveedores y garantizar que igualmente satisfacen las normas de seguridad. 

• Suscribir convenios que especifiquen de manera precisa la gestión de los riesgos tecnológicos. 

• Vigilar de manera continua a estos proveedores para que no se transformen en el punto débil de la cadena. 

5. Costes de adaptación 

No nos vamos a mentir, ajustarse a DORA puede representar un costo significativo para algunas compañías cripto. Establecer protocolos de seguridad, realizar auditorías y capacitar al personal no es económico. Pero considera lo siguiente: invertir ahora en seguridad puede ahorrarte problemas (y dinero) en el futuro. 

Vínculo de la Ley DORA con otras regulaciones (MiCA, DAC8) 

La ley DORA no está aislada en esto. Se presenta junto a otras normativas que intentan establecer un control en el ámbito financiero y de criptomonedas. Como: 

• MiCA (Markets in Crypto-Assets): Es semejante al guía de uso para los criptoactivos. Establece cómo se gestionan, quién tiene la capacidad de proporcionarlos y de qué manera deben salvaguardar a los usuarios. 

• DAC8Esta regulación tiene como objetivo que las plataformas de criptomonedas reporten a Hacienda acerca de los movimientos de sus usuarios. Así es, no será posible actuar con tanta discreción. 

Entre DORA, MiCA y DAC8 han establecido un escudo para salvaguardar a los usuarios y prevenir sorpresas en el ámbito financiero. En fin, si creías que el universo cripto era un desierto normativo… pues eso ya no será tan cierto. 

Cómo adherirse a DORA y evitar sorpresas desagradables 

Cumplir con el Reglamento DORA puede parecer difícil, pero con un método definido y ordenado, es más sencillo de lo que imaginas. El primer paso consiste en realizar una evaluación exhaustiva de los sistemas tecnológicos de tu compañía para reconocer posibles riesgos y puntos débiles. ¿Tus sistemas están blindados contra ataques cibernéticos? ¿Cuentas con protocolos definidos para actuar si algo no funciona? 

Una vez detectados los riesgos, es esencial llevar a cabo medidas de seguridad robustas. Esto conlleva la actualización de sistemas, la utilización de cifrado de información, la implementación de controles de acceso más rigurosos y la conservación de copias de seguridad. Asimismo, no es suficiente con establecer medidas de seguridad; DORA requiere que verifiques tus sistemas de manera regular.  

Un elemento fundamental es contar con un plan de acción claro para manejar incidentes. DORA exige a las organizaciones actuar de manera rápida y comunicar a las autoridades en caso de que surja algún inconveniente de seguridad. Esto abarca contar con responsables asignados dentro del grupo y vías de comunicación claramente establecidos para operar sin retrasos. No se trata únicamente de anticiparse, sino de comprender cómo reaccionar de manera eficiente. 

Asimismo, si colaboras con proveedores tecnológicos externos, DORA también te asigna la responsabilidad de vigilarlos. Debes verificar que estos proveedores mantengan los mismos criterios de seguridad que tú. Si ellos fracasan, tú también podrías enfrentar dificultades, por lo que es mejor adelantarse a los problemas. 

Te asistimos para cumplir con DORA. 

¿Te parece que todo esto es un gran enredo? No te inquietes, en TaxDown te damos una mano. Te asistimos para que comprendas y cumplas con DORA sin que te vuelva loco. Con nuestra ayuda, tu empresa estará preparada para cualquier auditoría, ataque cibernético o imprevisto tecnológico.

En TaxDown no solo te asistimos, también podemos brindarte apoyo con la Declaración de la renta, igualmente estamos actualizados con las recientes regulaciones europeas que impactan a los criptoactivos. Disponemos de un grupo de especialistas que sabe con precisión cómo llevar a cabo los requisitos de DORA y ajustarlos a la situación de tu empresa. ¿Qué estás esperando?