DORA ya está aquí: Guía completa de sus implicaciones para las empresas

La Ley de Resiliencia Operativa Digital (DORA) está llamada a transformar el enfoque del sector financiero en materia de ciberseguridad y gestión del riesgo operativo. Aprobada por la Unión Europea como Reglamento (UE) 2022/2554, la DORA está diseñada para reforzar la resistencia operativa digital de las entidades financieras de toda Europa. Garantiza que el sector financiero, incluidos los bancos, las compañías de seguros, las empresas de inversión y los proveedores de servicios críticos a terceros, esté bien equipado para hacer frente a los riesgos de las TIC (tecnologías de la información y la comunicación), incluidas las ciberamenazas.

‍

Con la plena entrada en vigor de la DORA el 17 de enero de 2025, las entidades financieras deben prepararse para cumplir sus estrictos requisitos. Pero, ¿qué es exactamente el DORA y cómo afectará a las empresas del sector financiero?

‍

‍

¿Qué es DORA?

‍

El DORA es un marco normativo global cuyo objetivo es mejorar la resistencia operativa digital de las entidades financieras de la UE. Para ello, se centra en seis ámbitos fundamentales:

‍

1. Gestión de riesgosde las TIC
   El DORA exige que todas las instituciones financieras apliquen marcos sólidos de gestión de riesgos de las TIC. Esto implica identificar, evaluar y mitigar los riesgos relacionados con las tecnologías de la información y la comunicación. Desde los ciberataques hasta los fallos de los sistemas informáticos, las entidades deben estar preparadas para gestionar una amplia gama de posibles perturbaciones.
   ‍
   
   
2. Notificación y gestión de incidentes
   Las entidades tendrán que notificar los incidentes importantes relacionados con las TIC a sus reguladores nacionales, garantizando que exista un enfoque normalizado para la clasificación de incidentes, los plazos de notificación y las medidas correctoras. Esto crea más transparencia y permite a los reguladores tener una visión en tiempo real de las amenazas emergentes en todo el sector financiero.
   ‍
   
   
3. Pruebas de resistencia operativa
   DORA introduce requisitos de pruebas avanzadas, incluidas las pruebas de penetración dirigidas por amenazas (TLPT). Estas pruebas simulan ciberataques reales, garantizando que las instituciones financieras puedan resistir ciberamenazas sofisticadas. Estos ejercicios deben ser realizados por especialistas independientes, garantizando que los sistemas se someten a pruebas rigurosas.
   ‍
   
   
4. Gestióndel riesgo de terceros
   Un componente clave del DORA es la gestión del riesgo de terceros, especialmente en lo que respecta a los servicios de TIC prestados por terceros proveedores. Las instituciones financieras deben asegurarse de que sus contratos con proveedores de TIC incluyan cláusulas específicas relacionadas con la resistencia, los niveles de servicio y la respuesta a incidentes.
   ‍
   
   
5. Supervisión de los proveedores TIC críticos
   El DORA introduce un marco regulador de la supervisión de los proveedores TIC críticos (CTPP). Se trata de proveedores de servicios, como plataformas de computación en nube o servicios de infraestructura de TI, que son fundamentales para las operaciones del sector financiero. El DORA otorga a los reguladores nacionales y de la UE autoridad para supervisar y hacer cumplir las normas de resistencia de estos proveedores.
   ‍
   
   
6. Intercambio de información y coordinación
   El DORA anima a las instituciones financieras a compartir información sobre las ciberamenazas y las mejores prácticas, fomentando un enfoque colaborativo para defenderse de los ciberriesgos. Las instituciones también tendrán que participar en ejercicios de crisis y emergencias c ibernéticas para simular respuestas coordinadas a incidentes cibernéticos a gran escala.
   ‍

‍

¿A quién afecta el DORA?

‍

El DORA se aplica a una amplia gama de entidades del sector financiero de la UE. Esto incluye:

• Bancos e instituciones de crédito
  ‍
• Empresas de inversión
  ‍
• Compañías de seguros y reaseguros
  ‍
• Entidades de pago y dinero electrónico
  ‍
• Contrapartidas centrales
  ‍
• Centros de negociación
  ‍
• Proveedores de servicios de notificación de datos
  ‍
• Proveedores de servicios de criptoactivos
  ‍
• Y muchas otras infraestructuras de los mercados financieros.
  ‍

Además, el DORA también afecta a los proveedores de servicios TIC de terceros que suministran servicios digitales críticos a las entidades financieras, como plataformas en la nube, servicios de gestión de datos y proveedores de ciberseguridad. Estos proveedores estarán sujetos a una supervisión reglamentaria directa si se consideran críticos para el ecosistema financiero.

‍

‍

¿Por qué es importante el DORA?

‍

El DORA aborda la creciente dependencia del sector financiero de las tecnologías digitales, que hace a las entidades vulnerables a los ciberataques, los fallos informáticos y las perturbaciones operativas. Los servicios financieros son fundamentales para la economía, y las perturbaciones pueden tener consecuencias generalizadas, desde pérdidas financieras hasta daños a la reputación.

La pandemia de COVID-19 puso de relieve la importancia de la resiliencia digital, a medida que se generalizaban el trabajo a distancia, la banca en línea y las transacciones financieras digitales. En este contexto, el DORA garantiza que el sector financiero pueda mantener la continuidad de las actividades y la estabilidad operativa, incluso frente a los crecientes riesgos de las TIC.

Además, con el aumento de la ciberdelincuencia y la sofisticación de los ciberataques, los organismos reguladores han reconocido la necesidad de medidas más rigurosas y normalizadas para proteger los sistemas financieros. El DORA está diseñado para proporcionar el marco normativo necesario para hacer cumplir estas protecciones.

‍

‍

Cómo prepararse para el DORA

‍

A medida que se acerca la fecha de aplicación del DORA, las entidades financieras deben actuar ahora para garantizar su cumplimiento. He aquí algunos pasos clave para prepararse:

1. Evaluar los marcos actuales de gestión de riesgos de las TIC
   Revisar los protocolos existentes de gestión de riesgos y asegurarse de que se ajustan a los requisitos del DORA. Esto incluye la actualización de las políticas de evaluación de riesgos de TIC, gestión de incidentes y procedimientos de información.
   ‍
2. Actualizar los procesos de notificación de incidentes
   Desarrollar o mejorar los mecanismos de notificación de incidentes para cumplir las normas establecidas por el DORA. Esto incluye garantizar que su institución pueda clasificar, rastrear y notificar incidentes relacionados con las TIC de manera oportuna y precisa.
   ‍
3. Realizar pruebas de resistencia operativa
   Si aún no se han realizado, iniciar pruebas de penetración dirigidas por amenazas (TLPT) para simular ciberamenazas del mundo real. Las instituciones financieras también deben probar periódicamente sus sistemas para identificar posibles vulnerabilidades y garantizar que se aplican las estrategias de mitigación adecuadas.
   ‍
4. Reforzar la gestión de riesgos de terceros
   Revisar los contratos con los proveedores de servicios TIC críticos y asegurarse de que incluyen cláusulas sobre resiliencia y respuesta ante incidentes. El DORA exige que las instituciones dispongan de cláusulas claras sobre cómo los proveedores de servicios de TIC gestionarán y notificarán los incidentes.
   ‍
5. Siga las actualizaciones normativas
   Siga las actualizaciones de organismos reguladores como la Autoridad Europea de Valores y Mercados (AEVM), la Autoridad Bancaria Europea (ABE) y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ). Estos organismos publicarán normas técnicas y directrices que definirán con más detalle cómo se aplicará el DORA.
   ‍
6. Participe en ejercicios de crisiscibernéticas
   Participe en ejercicios coordinados de crisis y emergencias cibernéticas para poner a prueba la capacidad de su institución para responder a amenazas cibernéticas a gran escala. Estos ejercicios serán fundamentales para garantizar que las entidades financieras puedan colaborar eficazmente durante incidentes cibernéticos transfronterizos.
   ‍

‍

El papel de la tecnología en el cumplimiento del DORA

‍

La aplicación de los requisitos del DORA requerirá una inversión significativa en soluciones tecnológicas que mejoren la ciberseguridad, la gestión de riesgos y la notificación de incidentes. Si bien las entidades financieras deben centrarse en una sólida gestión de los riesgos de las TIC, también es fundamental garantizar que los proveedores externos cumplan la normativa. Lieferant plataformas de gestión como Relatico ayudan a agilizar el proceso simplificando el seguimiento de documentos y certificaciones.

‍

Con Relatico, los proveedores pueden cargar fácilmente los documentos y certificados necesarios, lo que permite a las instituciones mantener una visión clara de lo que falta o debe actualizarse. Esto garantiza la preparación para las auditorías y los controles de conformidad, reduciendo la complejidad de mantenerse alineado con los estrictos requisitos de DORA para terceros. Al mantener registros completos y actualizados, las entidades financieras pueden garantizar auditorías más sencillas y procesos de cumplimiento más rápidos.

‍

‍

Conclusiones: Prepararse para un futuro digitalmente resistente

‍

Mientras las entidades financieras se preparan para la fecha límite de enero de 2025, el DORA representa un cambio importante en la forma en que el sector aborda la resiliencia operativa digital. Al introducir normas estandarizadas para la gestión de riesgos de las TIC, la notificación de incidentes y la supervisión por terceros, el DORA garantiza que el sistema financiero esté mejor equipado para hacer frente a las crecientes amenazas de la era digital actual.

Para las empresas del sector financiero, ha llegado el momento de actuar. El uso de soluciones como Relatico para gestionar los documentos y certificaciones de Lieferant puede simplificar el proceso de cumplimiento y garantizar que su entidad esté siempre preparada para las auditorías y cumpla los requisitos de DORA.

‍