(Expansión, 19-11-2025) | Mercantil, civil y administrativo
La banca clama ante la carga de la reforma digital europea
El sector considera que Bruselas está desaprovechando una ocasión importante para lograr una verdadera simplificación. Elaborar legislación es un proceso complejo y, en ocasiones, las nuevas normas terminan generando consecuencias no deseadas. Ese parece ser el caso de la reforma de la normativa digital que la Comisión Europea presenta hoy y que, según denuncia la banca europea, implicará un aumento de la carga administrativa, justo lo contrario del objetivo oficial. Entre todas las regulaciones que prepara el equipo de Ursula von der Leyen, la que más inquieta al sector financiero es la relacionada con la ciberseguridad. Las entidades confiaban en que la iniciativa de simplificación normativa del Ejecutivo comunitario pusiera fin a la excesiva complejidad existente en esta materia, pero los cambios que se conocen hasta ahora apuntan a que Bruselas no aliviará realmente esta presión, o al menos no de forma que satisfaga a la banca. El problema radica en que las entidades financieras deben cumplir dos marcos regulatorios distintos en el ámbito digital: la Ley de Ciberresiliencia (CRA) y la Ley de Resiliencia Operativa Digital (DORA). La Comisión propondrá hoy la creación de una plataforma única donde todas las empresas que ofrezcan productos o servicios digitales tendrán que notificar sus incidentes de ciberseguridad, un riesgo cada vez más frecuente en sectores en constante evolución tecnológica, como el bancario. Sin embargo, este nuevo hub no cambia significativamente la situación de las entidades, que denuncian que seguirán teniendo que duplicar sus procedimientos de notificación en caso de ataques informáticos. Esto, advierten, provoca procesos redundantes y un incremento de los costes de cumplimiento en un momento en que las nuevas leyes deberían precisamente reducir la burocracia. Desde Bruselas afirman que las coincidencias entre ambas normativas son escasas y que cada una cumple una función distinta. "La CRA se orienta a evitar ciberataques mediante productos digitales seguros, mientras que DORA aborda la recuperación de una entidad tras un ataque o un fallo en sus proveedores tecnológicos", explican expertos comunitarios, que consideran lógico que el sector financiero tenga que ajustarse a ambas exigencias. No obstante, las entidades insisten en que en la práctica esa separación no existe y que el solapamiento es evidente, ya que las tecnologías que regulan los productos supervisados por la CRA también afectan a la operativa de los bancos y de sus proveedores dentro del ámbito de DORA. Según la banca, en la mayoría de los casos se acaba reportando conforme a los dos reglamentos a la vez, pero con criterios y requisitos distintos debido a la falta de armonización entre ellos. El sector también cuestiona la utilidad del nuevo hub, pues entiende que no solo no reducirá la carga regulatoria, sino que incluso podría convertirse en un punto vulnerable desde el punto de vista de la ciberseguridad al concentrar toda la información sobre los incidentes y las respuestas de las empresas. Para resolver esta complejidad normativa, la banca recurre al propio reglamento de la CRA, que contempla la posibilidad de eximir de sus requisitos a los sectores ya sujetos a su propia regulación digital, como ocurre con DORA en el ámbito financiero. Por ello, las entidades sostienen que la Comisión Europea únicamente tendría que activar esa cláusula de exención para evitar las duplicidades contra las que protestan. El inconveniente, señalan fuentes financieras, es que Bruselas ya ha dejado bastante claro que no tiene intención de utilizar esa facultad.
LEER MÁS