¿Qué es la Ley de Resiliencia Operativa Digital (DORA)?

La Ley de Resiliencia Operativa Digital (DORA) es una normativa destinada a transformar la gestión del riesgo digital en el sector financiero de la Unión Europea (UE). Esencialmente, el DORA es un conjunto de requisitos para que las instituciones financieras de la UE protejan sus procesos empresariales clave de los riesgos tecnológicos y remodelen su forma de abordar el riesgo digital, la gestión de incidentes y las relaciones con terceros.

Específicamente, el DORA pretende reforzar la seguridad informática de los bancos, las compañías de seguros, las empresas de inversión y otras organizaciones del sector financiero.

Para las empresas financieras de la UE, la atención se centra en que los directores de TI y los ejecutivos de la C-suite comprendan y se preparen para el DORA no sólo como un requisito normativo, sino como un imperativo estratégico. Esta urgencia se ve subrayada por las graves consecuencias del incumplimiento:

1. Sanciones económicas: Multas de hasta 10 millones de euros y, en caso de infracciones graves o reiteradas, estas multas pueden duplicarse.
2. Daños a la confianza de los consumidores: El incumplimiento puede conducir a una mayor vulnerabilidad a los incidentes cibernéticos, lo que puede dar lugar a violaciones de datos o interrupciones del servicio. Estos sucesos pueden dañar la reputación de una organización, afectar a la confianza de los consumidores y provocar la pérdida de clientes y la disminución de la cuota de mercado.
3. Responsabilidad penal personal: En casos de negligencia grave o mala conducta intencionada, los altos directivos y los miembros del consejo de administración pueden enfrentarse a una responsabilidad penal personal. Esto podría incluir multas individuales, inhabilitación profesional e incluso encarcelamiento en casos extremos. Este riesgo personal enfatiza la necesidad de un compromiso al más alto nivel para garantizar el cumplimiento de la DORA.

Dado lo mucho que está en juego, la atención se centra en que los directores de TI y los ejecutivos de la C-suite comprendan y se preparen para la DORA no sólo como un requisito normativo, sino como un imperativo estratégico.

Antecedentes e historia

Los incidentes relacionados con las TI dentro de las instituciones financieras tienen el potencial de causar interrupciones significativas, pérdidas financieras y daños a la reputación.

DORA es un componente clave de la estrategia financiera digital más amplia de la Comisión Europea.

Su objetivo es:

• Consolidar y actualizar los requisitos de riesgo de las TIC en el sector financiero
• Establecer un marco para los proveedores de TIC, incluidas las plataformas en la nube
• Crear un mecanismo de notificación de incidentes para aumentar la concienciación sobre las ciberamenazas
• Reforzar las pruebas de resistencia operativa digital

Al crear coherencia, estos requisitos en toda la UE, DORA ayudará a mejorar la estabilidad e integridad generales de los sistemas financieros.

Por qué es importante el DORA

El DORA representa un cambio significativo en la creación de un enfoque uniforme para la gestión del riesgo de las TIC en todo el sector financiero de la UE. Aborda la creciente preocupación por las amenazas cibernéticas y las vulnerabilidades tecnológicas que podrían perturbar el sector financiero.

Los aspectos clave incluyen:

1. Amplio ámbito: DORA se aplica a una amplia gama de entidades financieras, incluidos bancos, compañías de seguros, empresas de inversión y proveedores de servicios financieros.
2. Armonización: Establece requisitos coherentes de gestión de riesgos de las TIC en toda la UE, sustituyendo el actual mosaico de normativas nacionales.
3. Supervisión de terceros: El DORA introduce un marco para supervisar a los proveedores de servicios críticos de TIC de terceros, incluidos los servicios en la nube.
4. Notificación de incidentes: Ordena mecanismos estandarizados de notificación de incidentes graves relacionados con las TIC.
5. Pruebas de resiliencia: El DORA exige pruebas periódicas de la resiliencia operativa digital.

Ámbitos clave del DORA

1. Gestión de riesgos de las TIC. Gestión de riesgos de las TIC

El DORA exige un marco integral de gestión de riesgos de las TIC. Esto incluye:

• Identificar y documentar las funciones, recursos y dependencias empresariales relacionadas con las TIC
• Evaluación continua de riesgos y estrategias de mitigación
• Implementar medidas de protección y prevención
• Desarrollar capacidades de detección
• Establecer procedimientos de respuesta y recuperación

2. Notificación de incidentes

Implementar procesos para supervisar y registrar los incidentes relacionados con las TIC. Deben clasificar estos incidentes utilizando los criterios especificados por el DORA. Además, deben informar de los incidentes importantes a las autoridades pertinentes dentro de unos plazos estrictos.

3. Respuesta y recuperación ‍

Entre las capacidades de respuesta y recuperación cabe destacar -

Planes de respuesta a incidentes:

• Desarrollar, documentar y aplicar planes integrales para responder y recuperarse de los incidentes relacionados con las TIC.
• Estos planes deben detallar los procedimientos para la rápida detección, análisis, contención y mitigación de incidentes.

Continuidad de la actividad empresarial:

• Mantenga una política de continuidad de la actividad empresarial y planes de recuperación en caso de desastre.
• Es obligatorio comprobar periódicamente estos planes para garantizar su eficacia.

Procedimientos de copia de seguridad:

• DORA obliga a realizar copias de seguridad periódicas de los sistemas y datos críticos.
• Los requisitos específicos incluyen la frecuencia definida de las copias de seguridad, el almacenamiento seguro fuera de las instalaciones y la comprobación periódica de los procesos de restauración de las copias de seguridad.

Objetivos de tiempo de recuperación (RTO):

• Establezca y compruebe periódicamente la capacidad de restaurar los sistemas en plazos definidos.
• Minimizar las interrupciones operativas y garantizar una rápida recuperación tras los incidentes.

Protocolos de comunicación:

• Deben establecerse procedimientos claros para la comunicación interna y externa durante los incidentes.
• Asegurar una respuesta oportuna y eficaz, incluida la notificación a las autoridades y partes interesadas pertinentes.

Análisis posterior al incidente:

• Después de incidentes significativos, las organizaciones deben llevar a cabo análisis exhaustivos de la causa raíz.
• Las lecciones aprendidas deben incorporarse a la mejora de los marcos de gestión de riesgos.

4. Pruebas de resiliencia operativa digital

DORA introduce un marco armonizado para las pruebas de resiliencia operativa digital:

• Pruebas básicas como las evaluaciones de vulnerabilidad y los escaneos de seguridad de la red para todas las entidades
• Pruebas avanzadas, incluidas las pruebas de penetración dirigidas por amenazas (TLPT) para las entidades significativas

5. Gestión de riesgos de las TIC de terceros:

• Pruebas de seguridad de la red para todas las entidades. Gestión de riesgos de terceros en TIC

Con el aumento de la dependencia de terceros proveedores de servicios, el DORA crea:

• Principios que deben incluirse en los acuerdos con terceros proveedores de servicios de TIC
• Un nuevo marco de supervisión para terceros proveedores de servicios de TIC críticos

Fuente: McKinsey

6. Compartir información

El intercambio de información e inteligencia sobre ciberamenazas entre entidades financieras para mejorar la resistencia colectiva.

Ámbito y aplicación

DORA se aplica a una amplia gama de entidades financieras que operan en la UE, incluyendo:

• Instituciones de crédito
• Instituciones de pago
• Instituciones de dinero electrónico
• Empresas de inversión
• Sitios de negociación
• Empresas de seguros y reaseguros
• Agencias de calificación crediticia
• Auditores legales y empresas de auditoría
• Administradores de índices de referencia críticos
• Proveedores de servicios de información de cuentas
• Proveedores de servicios de cripto-proveedores de servicios de activos criptográficos
• Depósitos centrales de valores
• Proveedores de servicios de información de datos
• Proveedores de servicios de terceros

Acciones para el cumplimiento

Para cumplir los requisitos del DORA, los CIOs, CTOs, Directores de TI y otros individuos clave de TI deben centrarse en las siguientes acciones:

1. Evaluar los marcos actuales: Evalúe los procesos existentes de gestión de riesgos de las TIC con respecto a los requisitos para identificar lagunas.
2. Mejore la gestión de riesgos de las TIC: Implemente procesos para identificar, proteger, detectar, responder y recuperarse de las interrupciones relacionadas con las TIC.
3. Desarrolle mecanismos de notificación de incidentes: Establezca sistemas y procedimientos para detectar y notificar incidentes importantes relacionados con las TIC dentro de los plazos requeridos.
4. Realice pruebas de resistencia: Implemente un programa de pruebas periódicas de resistencia, que incluya evaluaciones de vulnerabilidad y pruebas de penetración.
5. Revise los contratos con terceros: Evalúe y actualice los acuerdos con los proveedores de servicios de TIC para asegurarse de que cumplen los requisitos.
6. Prepárese para las auditorías: Esté preparado para posibles auditorías reglamentarias manteniendo una documentación exhaustiva de sus prácticas de gestión de riesgos de TIC.
7. Implemente medidas de continuidad empresarial y protección de datos: Desarrolle y pruebe periódicamente planes de continuidad de la actividad y de recuperación en caso de catástrofe, establezca procedimientos seguros de copia de seguridad, mejore la protección de datos, cree protocolos de comunicación de crisis y lleve a cabo la formación del personal conforme a los requisitos de los artículos 10 y 11.

Los plazos y el cumplimiento

DORA entró en vigor el 16 de enero de 2023. Sin embargo, las entidades financieras tienen hasta el 17 de enero de 2025 para garantizar su pleno cumplimiento. Esta ventana de dos años es crucial para que las organizaciones evalúen sus sistemas actuales, implementen los cambios necesarios y se preparen para el nuevo entorno normativo.

La importancia de actuar ahora

Aunque 2025 pueda parecer lejano, el alcance y la profundidad de los cambios requeridos por la DORA exigen una acción temprana. Si comienza a prepararse ahora estará en mejor posición para:

• Distribuir el coste del cumplimiento a lo largo de un periodo más prolongado
• Obtener una ventaja competitiva demostrando una sólida resistencia digital
• Evitar las prisas de última hora y las posibles nosanciones por incumplimiento
• Contribuir a la estabilidad general y a la fiabilidad del sistema financiero de la UE

Más información

• DORA en Atlassian Cloud: Un enfoque experto para el cumplimiento
• Su guía para cumplir los requisitos de continuidad de negocio y resistencia de la normativa de la UE
• ¡Empieza ya!