normasLa propuesta de Reglamento europeo sobre la resiliencia operativa digital del sector financiero (DORA, en inglés) se encuentra en tramitación legislativa ante el Parlamento y el Consejo europeos. Una de las reivindicaciones de las aseguradoras es excluir a pymes y, en cualquier caso, a las microempresas del ámbito de aplicación de la futura norma, ya sean compañías o intermediarios.

Además, a través de Insurance Europe, el sector pide que el plazo de implementación del reglamento se amplíe de uno a tres años y solicita “proporcionalidad” respecto a su ámbito de aplicación. Así, considera que DORA debe circunscribirse a las funciones críticas. Además, dicha aplicación debe adaptarse en función del perfil de riesgo de las entidades teniendo en cuenta, por ejemplo, los plazos o intervalos para realizar determinadas actividades de supervisión.

También se consideran excesivos los requisitos de documentación establecidos. Son, a entender del sector, “muy amplios y detallados”, por ejemplo, con la obligación de presentar un informe detallado sobre todos los nuevos contratos de TIC, las estrategias de TIC, las directrices, la planificación de emergencias, el Plan de Recuperación de Desastres TIC, así como la obligación de que todos los procesos y los protocolos estén documentados. Para Insurance Europe, deberían permitirse más simplificaciones y favorecerse un enfoque basado en principios, en lugar de en requisitos concretos y detallados.

Alineación con otras normas

Por otro lado, desde las aseguradoras se considera necesario que las Directrices TIC de EIOPA se alineen con lo dispuesto en el Reglamento DORA y con las obligaciones ya establecidas por la normativa Solvencia II, aplicando el principio de proporcionalidad. También debería haber alineación entre las disposiciones existentes en el Reglamento General de Protección de Datos (RGPD) y los reporting de incidentes TIC cuyos plazos de comunicación se consideran demasiado cortos, según Insurance Europe.

Por último, en relación a la gestión y vigilancia del riesgo TIC con proveedores, la federación cree que debería limitarse a la externalización de funciones críticas o importantes y establecerse, además, servicios de certificación para este tipo de proveedores, que permitan acreditar el cumplimiento de la normativa DORA por parte del proveedor.