Se aplican obligaciones del Reglamento DORA a diferentes operadores y procesadores de pagos en España

A través del Real Decreto-ley 8/2023, se aplican determinadas obligaciones del Reglamento DORA a operadores de sistemas de pago, operadores de esquemas de pago, operadores de acuerdos de pago electrónico, procesadores de pagos y otros proveedores de servicios tecnológicos o técnicos.

El pasado 28 de diciembre de 2023, se publicó en el BOE el Real Decreto-ley 8/2023, de 27 de diciembre, por el que se adoptan medidas para afrontar las consecuencias económicas y sociales derivadas de los conflictos en Ucrania y Oriente Próximo, así como para paliar los efectos de la sequía (en adelante, el “Real Decreto-ley”). En dicho Real Decreto-ley, entre otras medidas, se incluyen determinadas obligaciones en materia de resiliencia digital operativa a los operadores de sistemas de pago, los operadores de esquemas de pago, los operadores de acuerdos de pago electrónico, los procesadores de pagos y otros proveedores de servicios tecnológicos o técnicos que presten servicios en España. Dichas medidas se han adoptado en respuesta a los incidentes recientes ocurridos con Redsys, el principal procesador de pagos español.

En concreto, las medidas contenidas en el Real Decreto-ley se basan en el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (en adelante, “Reglamento DORA”) que, en su considerando 104, indica que los Estados miembros “podrán inspirarse en los requisitos de resiliencia operativa digital establecidos en el presente Reglamento al aplicar normas a los operadores de sistemas de pago y a las entidades de procesamiento en sus propias jurisdicciones”. De hecho, los nuevos requisitos que el Real Decreto-ley les impone a estas entidades en su artículo 4 son aquellos contenidos en el Capítulo II del Reglamento DORA, que contempla obligaciones en conexión con la gestión del riesgo relacionado con las tecnologías de la información y la comunicación (“TIC”).

Entre otros, estos requisitos implican medidas de gobernanza y organización interna, como la responsabilidad directa del órgano de dirección de la gestión de riesgo de las TIC, o medidas de gestión de riesgos, como la implementación de un marco específico de gestión de riesgo relacionado con las TIC sólido, completo y bien documentado, como parte del sistema global de gestión de riesgos, asegurando un alto nivel de resiliencia operativa digital.

Por último, el Real Decreto-ley nombra al Banco de España como autoridad competente para la supervisión de dichas obligaciones, que serán exigibles a las entidades y, por lo tanto, sancionables, a partir del 17 de enero de 2025, fecha en la que el Reglamento DORA será también exigible a las restantes entidades del sector financiero.