Los requisitos de resiliencia operativa del Reino Unido para la Ley de Servicios y Mercados Financieros (FSMA) entraron en vigor en marzo de 2025. Sin embargo, muchas empresas siguen luchando por demostrar que pueden mantener los servicios críticos en funcionamiento dentro de los límites establecidos. Los supervisores están revisando ahora los programas en función de las prioridades de la PRA para 2026 y el enfoque de la FCA en la protección del consumidor y la integridad del mercado, planteando preguntas difíciles y esperando pruebas más rigurosas y una toma de decisiones integrada.
¿La buena noticia? El marco en sí mismo es claro. El reto reside en la ejecución. Además, las empresas deben ahora garantizar la alineación entre la Resiliencia Operativa del Reino Unido y la Ley de Resiliencia Operativa Digital (DORA) de la UE para apoyar modelos operativos transfronterizos sin fisuras. Analicemos qué esperan los reguladores, por qué es importante y cómo crear un programa que funcione cuando las cosas vayan mal.
Lo que realmente exige el Marco de Resiliencia Operativa del Reino Unido
En esencia, la resiliencia operativa del Reino Unido consiste en proteger los resultados de los clientes durante las interrupciones. Los reguladores quieren que las empresas identifiquen los servicios más importantes, establezcan tolerancias sobre el tiempo que esos servicios pueden estar indisponibles, determinen qué los mantiene en funcionamiento y comprueben si los planes de recuperación funcionan realmente.
Las normas entraron en vigor el 31 de marzo de 2022, dando a las empresas tres años para prepararse. Para el 31 de marzo de 2025, se esperaba que todas las empresas afectadas demostraran que podían mantenerse dentro de los límites de tolerancia de impacto para cada servicio empresarial importante y que presentaran pruebas de mapeo y pruebas. Ahora, los reguladores están observando cómo responden las empresas a incidentes reales y si el trabajo realizado sobre el papel se mantiene bajo presión. Es fundamental señalar que los reguladores han indicado que los archivos PDF estáticos ya no se aceptan como prueba suficiente; ahora se espera que las empresas proporcionen pruebas dinámicas y basadas en datos de su postura de resiliencia.
5 pilares fundamentales que toda empresa necesita
-
Servicios empresariales importantes (IBS)
Empiece por definir qué se considera un servicio empresarial importante. Se trata de servicios orientados al cliente cuya interrupción podría causar graves perjuicios a los clientes, amenazar la integridad del mercado o desestabilizar el sistema financiero en general. Piense en «permitir a los clientes enviar y recibir pagos nacionales» en lugar de «mantener la plataforma de pagos».
Cada servicio necesita un responsable claro que se encargue de mantenerlo dentro de los límites de tolerancia. Utilice un lenguaje sencillo que cualquier persona de la empresa pueda entender. Si su junta directiva no comprende inmediatamente qué hace un servicio y por qué es importante, vuelva a redactarlo. Además, asegúrese de que el mapeo del IBS se ajuste explícitamente a los requisitos de la FCA, centrándose específicamente en cómo la prestación de servicios afecta a la protección del consumidor y a la estabilidad del mercado.
-
Tolerancias al impacto
La tolerancia al impacto establece el nivel máximo aceptable de interrupción. La mayoría de las empresas utilizan medidas basadas en el tiempo, ya que son fáciles de supervisar durante un incidente. Algunas añaden umbrales de volumen o geográficos que mejoran realmente la toma de decisiones.
La tolerancia se convierte en su criterio de referencia. Cuando algo falla, la pregunta no es «¿qué gravedad tiene?», sino «¿seguimos dentro de los límites de tolerancia y, si no es así, qué medidas debemos activar?». Establezca los límites de tolerancia mediante una gobernanza adecuada. Deben reflejar el perjuicio real para el cliente, no cifras arbitrarias elegidas para facilitar las pruebas. Los reguladores esperan ahora que estas tolerancias de nivel de servicio se reflejen en los contratos con los proveedores, garantizando que los acuerdos de nivel de servicio (SLA) de terceros se ajusten legalmente a las obligaciones de resiliencia de su empresa.
-
Mapeo de dependencias
Todos los servicios empresariales importantes dependen de múltiples capas de personas, tecnología, datos, instalaciones y terceros. Trace un mapa de estas dependencias para poder identificar los puntos únicos de fallo y los riesgos de concentración antes de que le afecten.
Cree una estructura que vincule los servicios con los procesos, los procesos con las aplicaciones, las aplicaciones con la infraestructura y la infraestructura con los proveedores y las ubicaciones. Para gestionar esta complejidad de forma eficaz, los programas modernos están adoptando un enfoque de jerarquía organizativa. Esto permite a las empresas gestionar y visualizar cómo interactúan las diferentes unidades de negocio dentro de la organización en general, lo que garantiza que no se pasen por alto los riesgos aislados. Mantenga el mapa actualizado mediante el control de cambios en lugar de esperar a una actualización anual. Si su mapa está desactualizado, será inútil durante un incidente.
-
Pruebas de escenarios
Ponga a prueba su capacidad para operar dentro de los límites de tolerancia utilizando escenarios severos pero plausibles y recopile lo que aprenda. Elija escenarios que pongan de relieve debilidades reales: un fallo en una región de la nube, una interrupción en el sistema de pagos, un compromiso del proveedor de identidad o la pérdida de un sitio crítico. Para cada prueba, nombre el IBS, indique la tolerancia objetivo, establezca objetivos claros, defina los pasos de recuperación y especifique las pruebas que se deben recopilar.
-
Gobernanza y autoevaluación
Las juntas directivas necesitan tener visibilidad de todo el programa. Deben saber qué servicios están incluidos, cuáles son las tolerancias, qué pruebas se han realizado, dónde se han superado las tolerancias y qué se está haciendo al respecto.
Un documento de autoevaluación lo resume todo. Sea conciso y esté preparado para tomar decisiones. Indique el alcance, los métodos, lo que ha probado, dónde se ha cumplido la tolerancia y dónde se necesita invertir. Esté preparado para presentarlo en cualquier momento cuando los supervisores lo soliciten.
Cómo se conecta la resiliencia con sus programas actuales
La resiliencia operativa es mucho más que una capa de supervisión independiente; es el motor central de la estabilidad de su empresa. En lugar de limitarse a acompañar a los silos existentes, un marco de resiliencia operativa maduro debe activar automáticamente actualizaciones de la gestión de la continuidad del negocio (BCM), la recuperación ante desastres de TI (IT/DR) y la gestión de riesgos de terceros (TPRM). Esto garantiza que, cuando se produce un cambio en la asignación de servicios o se identifica una deficiencia en las pruebas, los planes de recuperación tácticos de toda la organización se actualicen en tiempo real para reflejar la nueva realidad, manteniendo un ciclo continuo de mejora.
Errores comunes en la implementación
Casi un año después de la fecha límite, han surgido patrones claros. Los mapas de dependencia permanecen estáticos en SharePoint, obsoletos desde el momento en que se publican. Las tolerancias las establecen equipos de cumplimiento que nunca han hablado con las personas que realmente recuperarían el servicio. Las pruebas involucran al mismo pequeño grupo cada vez, ignorando cómo los fallos de terceros afectarían en cascada a sus servicios. Las autoevaluaciones parecen ejercicios de marcar casillas en lugar de revisiones honestas de la capacidad.
Las empresas que avanzan consideran la resiliencia como una disciplina continua. Se preguntan «¿qué significa esto para nuestra tolerancia?» antes de lanzar servicios o incorporar proveedores. Incorporan la resiliencia en la gestión del cambio, las compras y las revisiones de incidentes.
Crea un programa que realmente funcione
Comience con la gobernanza
Elija un patrocinador ejecutivo que tenga la autoridad para tomar decisiones y mover recursos. Asigne propietarios responsables a cada servicio empresarial importante. Defina la ruta de aprobación para tolerancias y pruebas. Establezca un ritmo de presentación de informes que mantenga a los líderes comprometidos sin ahogarlos en detalles. Para la mayoría de las empresas, lo ideal es una frecuencia mensual.
Definir servicios y establecer tolerancias
Organiza talleres breves con los responsables de los servicios y las personas que entienden lo que realmente necesitan los clientes. Redacta cada declaración de servicio en una sola frase. Elabora un borrador de tolerancia que alguien ajeno a tu equipo pueda medir durante un incidente real. Socializa las propuestas con los departamentos de operaciones, riesgos y cumplimiento antes de solicitar la aprobación formal.
Mapa de lo que importa
Capture los procesos, aplicaciones, datos, sitios y terceros críticos que mantienen cada servicio activo. Etiquete los componentes que representan puntos únicos de fallo. Utilice su proceso de gestión de cambios para mantener el mapa actualizado. Si se pone en marcha un nuevo sistema o cambia un proveedor, actualice el mapa inmediatamente.
Prueba con intensidad y aprende rápido.
Elija dos o tres escenarios que abarquen múltiples servicios o expongan debilidades conocidas. Vincule los objetivos de la prueba a sus tolerancias. Cronometre cada paso de la recuperación. Registre lo que sucedió. Después de la prueba, registre las acciones con responsables y plazos claros. Haga un seguimiento constante hasta que se subsanen las deficiencias.
¿Necesita inspiración para escenarios realistas? Nuestra guía«Pruebas de resistencia de sus herramientas de resiliencia operativa: seis escenarios de amenazas europeas»repasa acontecimientos graves pero plausibles diseñados para poner a prueba la infraestructura moderna de los servicios financieros.
Fortalecer la supervisión por parte de terceros
Enumere los proveedores críticos para cada servicio. Compruebe si sus acuerdos de nivel de servicio (SLA) se ajustan a sus tolerancias. Confirme las vías de escalado de incidentes. Recopile estrategias de salida para los proveedores verdaderamente críticos. Supervise los incidentes de los proveedores y realice un seguimiento de hasta qué punto acercan sus servicios a los umbrales de tolerancia.
Para ver esta integración en acción (concretamente, cómo deben alinearse sus dependencias externas con sus objetivos de recuperación), explore nuestro blog«Por qué la planificación de la continuidad del negocio debe ser fundamental para la gestión de riesgos de terceros». Este análisis en profundidad explica por qué la gestión aislada de los proveedores supone un riesgo y cómo las empresas líderes están incorporando ahora la gestión de la continuidad del negocio directamente en sus estrategias de riesgo de terceros para garantizar la resiliencia del servicio de extremo a extremo.
Informar con claridad y frecuencia
Cree un panel de control que refleje su autoevaluación. Muestre su lista de servicios, su estado, tolerancias y cualquier incumplimiento, pruebas completadas y acciones pendientes. Utilice la misma vista en las reuniones de liderazgo y las conversaciones de supervisión. La coherencia genera credibilidad.
Cómo hacer que la Directiva sobre resiliencia operativa del Reino Unido funcione para su empresa
La resiliencia operativa es tanto una mentalidad como un marco de trabajo. Exige a las empresas pensar con claridad sobre lo que necesitan los clientes, evaluar lo que importa durante una interrupción y desarrollar la capacidad de recuperarse antes de que las cosas se rompan. Si se hace bien, protege a los clientes, satisface a los supervisores y da confianza a la junta directiva cuando surge la presión.
Casi un año después de la fecha límite para el cumplimiento, la pregunta ha cambiado. Ya no es «¿hemos cumplido los requisitos?», sino «¿podemos demostrarlo cuando sea necesario?».
Las pruebas no se encuentran solo en la documentación. Se construyen a través de ejercicios regulares, simulaciones y sesiones teóricas que desarrollan la memoria muscular para que los equipos reaccionen instintivamente durante incidentes reales. Comprender el panorama cambiante de los riesgos transfronterizos es el primer paso, por lo que hemos creado una infografía sobre los escenarios de amenazas de la UE para ayudarle a identificar a qué se enfrenta y convertir el cumplimiento normativo en una preparación genuina.
