Ley de Resiliencia Operativa Digital (DORA) representa un paso significativo hacia el fortalecimiento de la ciberseguridad para los operadores del sector financiero dentro de la Unión Europea.
Este reglamento tiene como objetivo garantizar que las instituciones financieras puedan responder rápidamente a cualquier tipo de amenaza cibernética o interrupción operativa.
En este artículo, explicaremos qué es el reglamento DORA, sus principales objetivos, a quién se dirige, su calendario de implementación, sus principales requisitos y un análisis detallado de la gestión de riesgos de las TIC.
¿Qué es Ley de Resiliencia Operativa Digital (DORA)?
El reglamento DORA (Digital Operational Resilience Act) es una normativa emitida por la Comisión Europea que tiene como objetivo fortalecer la ciberseguridad de entidades financieras como bancos, compañías de seguros y empresas de inversión.
El reglamento establece un marco común para la gestión de riesgos relacionados con las tecnologías de la información y la comunicación (TIC) y requiere que las entidades financieras aseguren un alto nivel de resiliencia de las operaciones digitales.
¿Cuáles son los objetivos del reglamento DORA?
Los principales objetivos del reglamento DORA son:
- Resiliencia Operativa: Asegurar que las instituciones financieras puedan continuar operando incluso durante incidentes de ciberseguridad.
- Gestión de Riesgos de las TIC: Crear un marco sólido para la gestión de riesgos de las TIC, incluyendo la prevención, detección, respuesta y recuperación ante incidentes cibernéticos.
- Supervisión y Coordinación: Fortalecer la supervisión y coordinación entre las autoridades competentes nacionales y europeas.
- Transparencia y Responsabilidad: Garantizar que las instituciones financieras sean transparentes sobre su exposición a riesgos de las TIC y tomen medidas adecuadas para mitigar estos riesgos.
Descarga el ebook para saber más sobre el reglamento DORA y cómo cumplirlo antes de 2025
¿A quién va dirigido el reglamento DORA?
El reglamento DORA va dirigido a una amplia gama de entidades financieras, incluyendo:
- Bancos
- Compañías de seguros
- Empresas de gestión de activos
- Plataformas de negociación
- Agencias de calificación crediticia
- Infraestructuras del mercado financiero y Proveedores de servicios de las TIC relacionados con entidades del sector financiero
¿Cuál es el calendario para el reglamento DORA?
El reglamento DORA fue publicado en el Diario Oficial de la Unión Europea en diciembre de 2022 y entró en vigor el 16 de enero de 2023. Los operadores financieros y otras entidades cubiertas por el reglamento deben cumplir con los requisitos de DORA antes del 17 de enero de 2025.
Durante este período de transición, las entidades deben prepararse adecuadamente para cumplir con las nuevas disposiciones regulatorias.
¿Cuáles son los requisitos de DORA?
El reglamento DORA estandariza los criterios relativos con la seguridad de los sistemas de red e información que rigen los procesos comerciales de las entidades financieras.
Los requisitos del reglamento se dividen en las siguientes áreas:
- Gestión de Riesgos TIC
- Informe y monitoreo de incidentes TIC
- Pruebas de resiliencia operativa digital
- Gobernanza de riesgos de terceros
- Compartición de información
Gestión de Riesgos de las TIC
Las entidades financieras serán responsables de definir una estrategia que incluya:
- Definir las KPIs y métricas necesarias para la evaluación de riesgos
- Identificar los riesgos de mal funcionamiento
- Trazar los recursos, sus dependencias e identificar las funciones críticas
- Diseñar y configurar escenarios de prueba complejos para realizar un análisis adecuado del impacto en la empresa
- Entender las dependencias entre los recursos, sistemas y procesos comerciales
Informe y Monitorización
El reglamento DORA proporciona un sistema para crear, clasificar, evaluar, informar y comunicar los incidentes cibernéticos. También es necesario analizar y proporcionar información relacionada con incidentes de las TIC y amenazas a los servicios.
Pruebas de Resiliencia de las Operaciones Digitales
DORA requiere un plan anual para asegurar pruebas adecuadas de la seguridad y la resiliencia de los sistemas y aplicaciones críticas. Además, las entidades financieras involucradas deben demostrar su capacidad para remediar las vulnerabilidades identificadas.
Gestión de Riesgos de las TIC de Terceros
Las entidades financieras deben gestionar de manera efectiva y constante cualquier riesgo relacionado con las tecnologías de la información y la comunicación (TIC), realizando pruebas e incluyendo términos contractuales suficientemente proteccionistas en la subcontratación de servicios de las TIC.
Será necesario una evaluación de riesgos de todos los contratos de outsourcing de las TI que presten servicios críticos o importantes.
Intercambio de Información
Los proveedores críticos de terceros deben demostrar su capacidad para mejorar la solidez para sustentar a los sistemas financieros, ya que las entidades financieras dependen en gran medida de la estabilidad, funcionalidad, disponibilidad y seguridad de los servicios de las TIC recibidos.
Descubre cómo las soluciones EasyVista pueden ayudarte a aplicar los requisitos de DORA: descárgate el ebook exclusivo.
¿Cómo se supervisará el cumplimiento del reglamento DORA?
El cumplimiento se evaluará a través de inspecciones externas e in situ y solicitando información específica, como detalles de los servicios de las TIC, registros de informes de incidentes y detalles sobre las defensas adoptadas contra riesgos cibernéticos.
Las tres autoridades europeas de supervisión que supervisarán el cumplimiento son:
- La Autoridad Bancaria Europea (EBA)
- La Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA)
- La Autoridad Europea de Valores y Mercados (ESMA).
Soluciones EasyVista para apoyar el reglamento DORA
Las soluciones EasyVista pueden ayudar a las empresas a cumplir con el reglamento DORA (Digital Operational Resilience Act) a través de una serie de herramientas y funcionalidades que mejoran la gestión de riesgos de las TIC, la monitorización de incidentes y la resiliencia de las operaciones digitales.
Además de proporcionar la información requerida sobre recursos, sistemas y procesos, EasyVista ofrece la solución EasyVista Observe, una plataforma para la monitorización de la infraestructura, red y nube.
Consulta nuestro ebook sobre el reglamento DORA y descubre más sobre cómo EasyVista puede ayudar a las empresas financieras en el cumplimiento, mejorando la resiliencia operativa y la gestión de riesgos de las TIC.
¿Qué es la Gobernanza TIC?
La gobernanza de las TIC supone el establecimiento de responsabilidades y procesos de toma de decisiones para asegurar que la gestión de riesgos de las TIC esté integrada en la estrategia empresarial y operativa de la institución. Esto incluye:
- La Definición de las Políticas: Establecer políticas claras para la gestión de riesgos de las TIC
- La Supervisión y Monitorización: Monitorizar continuamente los riesgos de las TIC y el cumplimiento de las políticas establecidas
- La Formación y Concienciación: Educar al personal sobre la importancia de la seguridad TIC y las mejores prácticas a adoptar.
En resumen, la Gobernanza de las TIC es esencial para que las organizaciones gestionen eficazmente los riesgos de las TIC, alineen las estrategias de las TIC con sus objetivos comerciales y aseguren la seguridad y fiabilidad de su infraestructura tecnológica. Al centrarse en la definición de las políticas; la supervisión y monitorización; y la formación y concienciación, las organizaciones pueden construir un marco sólido de Gobernanza de las TIC que respalde su éxito a largo plazo y resiliencia ante desafíos tecnológicos en evolución.
Si quieres saber más sobre el Reglamento DORA y cómo cumplirlo para 2025, ¡descárgate el ebook!
FAQs (Preguntas Frecuentes)
¿Cuáles son los principales beneficios de DORA para las instituciones financieras?
DORA ayuda a las instituciones financieras a mejorar su resiliencia operativa, reduciendo el riesgo de interrupciones operativas debido a incidentes cibernéticos. También promueve una mayor transparencia y responsabilidad en la gestión de riesgos de las TIC.
¿Cómo deben prepararse las instituciones financieras para cumplir con DORA?
Las instituciones deben realizar una evaluación integral de sus riesgos de las TIC, implementar medidas de seguridad adecuadas, desarrollar planes de respuesta y recuperación, y asegurar que la gobernanza de riesgos de las TIC esté integrada en sus estrategias comerciales.
¿Cuál es el papel de las autoridades supervisoras en DORA?
Las autoridades supervisoras son responsables de monitorizar el cumplimiento de las instituciones financieras con los requisitos de DORA, coordinar actividades de supervisión a nivel europeo e intervenir en caso de incumplimiento.
¿Qué ocurre si una institución financiera no cumple con las disposiciones de DORA en los plazos establecidos?
Las instituciones que no cumplan con las disposiciones de DORA pueden enfrentar sanciones administrativas y otras medidas correctivas impuestas por las autoridades de supervisión competentes.
El reglamento DORA presenta un desafío, pero también una oportunidad para que las instituciones financieras mejoren su resiliencia operativa y se protejan mejor contra las amenazas cibernéticas en un mundo cada vez más digitalizado.
