Ley DORA qué es y cómo te afecta | tax-down

Cómo funciona DORA 

DORA no es únicamente una aventurera de un programa de animación. Su misión es activar una serie de componentes para la seguridad de las redes y sistemas de información de las instituciones financieras. Esto abarca a bancos, compañías de seguros, firmas de inversión y proveedores de servicios de criptomonedas. ¿De qué manera lo realiza? A través de una serie de reglas: 

• Gestión de riesgos tecnológicos: Reconocer y reducir los riesgos asociados con las tecnologías de la información y la comunicación (TIC). 

• Pruebas periódicasNo es suficiente afirmar que mis sistemas funcionan perfectamente. Es necesario llevar a cabo evaluaciones periódicas de los sistemas para asegurar su resiliencia. 

• Planes de contingencia: Definir procedimientos para reaccionar de manera efectiva ante ciberincidentes. En otras palabras, contar con un plan B, C y hasta D para actuar con rapidez. 

• Supervisión de terceros: Si colaboras con terceros en tus sistemas, debes también asegurarte de controlar y gestionar los riesgos vinculados a proveedores externos de servicios TIC. 

Estas disposiciones buscan que todas las entidades financieras se adhieran a las mismas normativas para protegerse de ciberataques y, por añadidura, que cumplir con las regulaciones sea más sencillo en toda la Unión Europea. 

De qué manera incide en el ámbito cripto 

El ámbito de las criptomonedas ha sido, en cierto modo, como el salvaje oeste: intrigante y con escasas normas definidas. Sin embargo, con la aparición del Reglamento DORA, esto se transforma. Actualmente, los intercambios, billeteras, prestadores de servicios de criptoactivos e incluso las plataformas DeFi deben considerar con suma seriedad la seguridad digital. ¿Y esto en qué se refleja? Vamos a desmenuzarlo. 

1. Seguridad al máximo nivel 

Anteriormente, muchas plataformas de criptomonedas podían permitirse ser algo más flexibles en cuanto a la seguridad. Pero con DORA, eso llegó a su fin. Ahora, deben reforzar sus sistemas para proteger los fondos y los datos de los usuarios. Esto abarca: 

• Sistemas de protección avanzados con el fin de prevenir intrusiones o sustracciones de criptomonedas. 

• Controles de acceso más estrictos, como verificación en dos pasos (2FA) y encriptación de datos. 

• Monitorización constante para identificar intrusiones o errores antes de que se transformen en un inconveniente. 

Vamos, que si anteriormente la seguridad tenía relevancia, en la actualidad lo es obligatoria. 

2. Auditorías y pruebas continuas 

DORA requiere que las compañías de criptomonedas realicen revisiones constantes de sus sistemas. No es suficiente afirmar que todo está bien, es necesario probarlo. ¿De qué manera? 

• Pruebas de estrés: Realizan simulaciones de ataques para verificar si los sistemas son capaces de resistir. 

• Auditorías periódicas: Evaluaciones internas y externas para garantizar que todo opere adecuadamente. 

• Actualizaciones constantesNo puedes seguir utilizando el antivirus de hace tres años; es momento de actualizarlo. 

3. Gestión de incidentes 

¿Y si ocurre algún problema? DORA exige a las compañías contar con un plan claro para actuar. Si se presenta un ciberataque, un hurto o un fallo del sistema, la empresa no puede permanecer inactiva. Tienen que: 

• Detectar y reaccionar rápido para reducir perjuicios. 

• Informar a las autoridades competentes de cualquier eventualidad seria. No es cuestión de ocultar la cabeza como el avestruz. 

• Comunicar a los usuarios si su información o bienes pueden estar en peligro. 

4. Control sobre proveedores externos 

Numerosos intercambios y plataformas de criptomonedas utilizan servicios de terceros para hospedar sus sitios web, administrar bases de datos o sostener sus sistemas. DORA menciona: Ojo con a quién contratas. Las compañías ahora deben: 

• Valorar a sus proveedores y garantizar que también satisfacen los criterios de seguridad. 

• Establecer convenios que especifiquen la gestión de los riesgos tecnológicos. 

• Vigilar de manera continua a estos proveedores para que no se transformen en el punto vulnerable de la cadena. 

5. Costes de adaptación 

No nos vamos a engañar, ajustarse a DORA puede representar un costo considerable para ciertas compañías cripto. Establecer medidas de seguridad, realizar auditorías y capacitar al personal no es económico. Pero reflexiona sobre esto: invertir ahora en seguridad puede ahorrarte problemas (y dinero) en el futuro. 

Conexión entre la Ley DORA y otras regulaciones (MiCA, DAC8) 

La ley DORA no está aislada en este aspecto. Se presenta junto a otras normativas que pretenden establecer organización en el ámbito financiero y cripto. Como: 

• MiCA (Markets in Crypto-Assets): Se asemeja al libro de directrices para los criptoactivos. Establece cómo se gestionan, quién está en condiciones de proporcionarles y de qué manera deben salvaguardar a los usuarios. 

• DAC8Esta regulación busca que las plataformas de criptomonedas reporten a Hacienda sobre los movimientos de sus usuarios. Así es, ya no será posible permanecer tan en la sombra. 

Entre DORA, MiCA y DAC8 han establecido un escudo para resguardar a los usuarios y prevenir sorpresas en el ámbito financiero. Entonces, si creías que el universo cripto era una zona libre de regulaciones, pues ya no será tan así. 

Cómo adherirse a DORA y evitar sorpresas desagradables. 

Cumplir con el Reglamento DORA puede parecer difícil, pero con un enfoque definido y estructurado, es más sencillo de lo que imaginas. El primer paso consiste en realizar un análisis exhaustivo de los sistemas tecnológicos de tu empresa para reconocer posibles riesgos y puntos débiles. ¿Tus sistemas cuentan con protección frente a ciberataques? ¿Posees protocolos definidos para actuar si ocurre un fallo? 

Tras haber identificado los riesgos, es esencial llevar a cabo la implementación medidas de seguridad robustas. Esto conlleva la modernización de sistemas, aplicar cifrado de información, instaurar controles de acceso más rigurosos y conservar copias de seguridad. Asimismo, no es suficiente con implementar medidas de seguridad; DORA requiere que ejercites tus sistemas de manera periódica.  

Un aspecto importante es poseer un plan de acción claro para manejar incidentes. DORA exige a las empresas actuar con rapidez y notificar a las autoridades si se presenta algún inconveniente de seguridad. Esto abarca contar con responsables asignados dentro del grupo y medios de comunicación claramente establecidos para actuar sin dilaciones. No es únicamente una cuestión de prevenir, sino de entender cómo reaccionar de manera eficiente. 

Además, si colaboras con proveedores tecnológicos externos, DORA también te encarrega de vigilarlos. Tienes que asegurarte de que estos proveedores mantengan los mismos niveles de seguridad que tú. Si ellos cometen errores, tú también podrías enfrentar dificultades, así que es mejor tomar precauciones. 

Te asistimos en el cumplimiento de DORA. 

¿Todo esto te parece un gran enredo? No te inquietes, en TaxDown te brindamos apoyo. Te asistimos para comprender y adaptarte a DORA sin que te sientas abrumado. Con nuestra ayuda, tu organización estará preparada para cualquier auditoría, ciberataque o imprevisto tecnológico.

En TaxDown no solo asistimos, sino que además te podemos apoyar con la Declaración de la renta, igualmente nos encontramos actualizados con las recientes regulaciones europeas que impactan en los criptoactivos. Disponemos de un grupo de profesionales que entiende a fondo cómo llevar a cabo los requisitos de DORA y ajustarlos a la situación de tu empresa. ¿Qué estás esperando?