Australia está estudiando una medida audaz y controvertida: prohibir en todo el país el acceso a las redes sociales a los menores de 16 años.
DORA: La resiliencia se convierte en prioridad para el sector financiero en Europa
La Ley de Resiliencia Operativa Digital (DORA, Digital Operational Resilience Act) es un reglamento de la Unión Europea que entró en vigor el 16 de enero de 2023. Esta normativa representa un hito fundamental en el panorama regulatorio del sector financiero europeo, estableciendo un marco legal vinculante y exhaustivo para la gestión de riesgos de las tecnologías de la información y la comunicación (TIC).
Origen y objetivos de DORA
D
ORA surge como respuesta a la creciente complejidad y sofisticación del panorama tecnológico actual, donde las entidades financieras dependen cada vez más de las TIC para llevar a cabo sus operaciones. En este contexto, las amenazas cibernéticas y las disrupciones tecnológicas se han convertido en riesgos sistémicos que ponen en peligro la estabilidad de la industria financiera y la protección de los clientes.
El objetivo principal de DORA es fortalecer la resiliencia operativa del sector financiero europeo frente a estas amenazas, asegurando que las entidades financieras:
- Identifiquen y gestionen adecuadamente los riesgos de las TIC.
- Desarrollen medidas de seguridad robustas para proteger sus sistemas y datos.
- Cuenten con planes de recuperación de desastres efectivos para garantizar la continuidad de sus operaciones en caso de una disrupción grave.
- Cooperen con las autoridades competentes y entre sí para compartir información y mejores prácticas.
¿Quién ha creado DORA?
DORA es el resultado de un proceso legislativo complejo que ha involucrado a diferentes actores clave, incluyendo a la Comisión Europea, que inicialmente propuso la creación del reglamento y es responsable de su desarrollo técnico, el Parlamento Europeo y el Consejo de la Unión Europea, encargados de aprobar el texto final, las autoridades nacionales competentes de los Estados miembros de la UE, responsables de la supervisión del cumplimiento del reglamento en sus respectivos países, y la industria financiera en su conjunto, que participó activamente en el proceso de consulta y proporcionó comentarios sobre el desarrollo del marco.
Una cronología detallada
DORA ha recorrido un largo camino desde su concepción hasta su entrada en vigor en 2023. A lo largo de este viaje, ha sido testigo de debates, negociaciones y un esfuerzo conjunto por parte de diferentes actores para fortalecer la seguridad del sector financiero europeo. Repasemos los hitos clave:
2019
- Septiembre: La Comisión Europea publica un documento de consulta sobre la resiliencia operativa digital del sector financiero que marca el inicio formal del proceso de desarrollo de DORA.
2020
- Septiembre: La Comisión Europea presenta al Parlamento Europeo y al Consejo de la Unión Europea una propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero, basada en las conclusiones del documento de consulta. Establece los principios y objetivos fundamentales de DORA.
- Resto del año: Se abre un período de debate y negociación entre el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea para alcanzar un acuerdo final.
2021
- Abril – Junio: El Parlamento y el Consejo de la Unión Europea aprueban la propuesta de Reglamento con algunas enmiendas.
- Diciembre: Llegan a un acuerdo final sobre el texto.
2022
- Enero: Se publica el Reglamento (UE) 2022/2554 en el Diario Oficial de la Unión Europea.
- Febrero: Entra en vigor la norma. A partir de esta fecha, las entidades financieras tienen un plazo de tres años para cumplir con los requisitos del reglamento.
- Noviembre: La Comisión Europea publica las Directrices sobre la gestión de riesgos de las tecnologías de la información y la comunicación (TIC) en el sector financiero. Estas directrices proporcionan orientación práctica a las entidades financieras sobre cómo cumplir con los requisitos de DORA relacionados con la gestión de riesgos de las TIC.
2023
- Enero: Las entidades financieras deben realizar una evaluación inicial de sus riesgos de las TIC para identificar y clasificar los activos y procesos de las TIC críticos, así como los riesgos potenciales que podrían afectarlos.
- Septiembre: Las entidades financieras deben presentar a las autoridades competentes un plan de resiliencia operativa digital que debe describir las medidas que tomarán para gestionar y mitigar sus riesgos de las TIC.
2025
- Enero: Fecha límite para que las entidades financieras cumplan con todos los requisitos de DORA. A partir de esta fecha, las autoridades competentes pueden imponer sanciones a las entidades financieras que no cumplan con el reglamento.
¿A quién aplica DORA?
El Reglamento DORA tiene un alcance amplio y abarca una extensa gama de actores del sector financiero: entidades financieras tradicionales, entidades financieras no tradicionales y proveedores de servicios externos. Además, es importante destacar que DORA no solo se aplica a las entidades financieras establecidas en la UE, sino también a aquellas que operan en la UE desde fuera de la Unión Europea.
Entidades financieras tradicionales
- Bancos. Incluyendo bancos comerciales, bancos de inversión, bancos centrales y otros.
- Aseguradoras. Compañías de seguros de vida, no vida y reaseguradoras.
- Instituciones de inversión. Fondos de inversión, empresas de gestión de activos, sociedades de valores y otras instituciones de inversión.
- Instituciones de crédito: Cajas de ahorro o cooperativas de crédito.
Entidades financieras no tradicionales
- Proveedores de servicios de pago. Empresas como PayPal y Stripe.
- Mercados de valores. Bolsas de valores, plataformas de negociación alternativas y otros mercados de valores.
- Proveedores de servicios de criptoactivos. Empresas que intercambian, custodian o administran criptoactivos.
- Plataformas de financiación colectiva. Aquellas que conectan a prestatarios con inversores en la Unión Europea.
Proveedores de servicios externos
- Proveedores de servicios de TIC críticos. Las empresas que proporcionan servicios de TIC esenciales a las entidades financieras en la UE, como proveedores de servicios en la nube y proveedores de centros de datos.
- Terceros proveedores de servicios: Empresas de auditoría, consultoras y proveedores de seguridad de la información que prestan servicios a entidades financieras.
Requisitos de DORA: altos estándares para asegurar la resiliencia
El Reglamento de Resiliencia Operativa Digital establece un conjunto de requisitos divididos en distintos ámbitos, que deberán aplicarse de manera proporcional al tamaño de la entidad.
Gobernanza y gestión de riesgos
Para garantizar una gestión eficaz de los riesgos de las TIC, DORA exige a las entidades financieras establecer un marco robusto de gobernanza y gestión de riesgos que incluya:
- Creación de un Consejo de Administración responsable. Estará a cargo de supervisar y dirigir la implementación de la estrategia de resiliencia operativa, asegurando que la gestión de riesgos de las TIC se integre en la toma de decisiones estratégica de la entidad.
- Desarrollo de marcos integrales de gestión de riesgos de las TIC. Las entidades financieras deben desarrollar marcos completos para identificar, evaluar, mitigar y monitorizar los riesgos potenciales de las TIC que puedan afectar a su negocio, incluyendo metodologías claras para la clasificación de activos y procesos críticos, la realización de evaluaciones y la activación de controles de seguridad.
- Identificación y clasificación de recursos y funciones críticos. Es fundamental que las entidades financieras identifiquen y clasifiquen sus activos y procesos de las TIC en función de su importancia para el negocio. Esto permitirá priorizar la protección de los recursos y funciones más críticos y establecer planes de recuperación específicos en caso de interrupciones.
- Documentación de las interdependencias: Este punto incluye la necesidad de documentar las interdependencias entre recursos, sistemas, procesos y proveedores para comprender el impacto potencial de un fallo o ataque en diferentes áreas.
- Clasificación de las ciberamenazas. Será necesario clasificar las ciberamenazas en función de su probabilidad y potencial impacto, permitiendo priorizar las medidas de respuesta.
- Implementación de medidas de seguridad adecuadas para mitigar los riesgos identificados, incluyendo controles de acceso, protección de datos, detección de intrusiones y respuesta a incidentes.
- Análisis de impacto en el negocio, que se deben realizar para evaluar las consecuencias potenciales de diferentes escenarios de disrupción, como fallos de sistemas, ataques cibernéticos o desastres naturales. Estos análisis permitirán a las entidades financieras tomar decisiones informadas sobre la inversión en medidas de seguridad y la preparación para situaciones de crisis.
- Protección de la ciberseguridad. Han de aplicar medidas adecuadas de protección de la ciberseguridad, como políticas de gestión de identidades y accesos, cifrado de datos, concienciación sobre seguridad para empleados y planes de respuesta a incidentes.
- Planes de continuidad de la actividad y recuperación en caso de catástrofe, garantizarán la continuidad de sus operaciones en caso de eventos disruptivos. Estos planes deben ser probados y actualizados periódicamente.
Respuesta y notificación de incidentes
- La implementación de sistemas de supervisión, gestión, registro, clasificación y notificación de incidentes relacionados con las TIC.
- Comunicación de incidentes a las autoridades competentes y a los clientes afectados. Los criterios para determinar la necesidad de notificación se basan en la gravedad del incidente, considerando factores como: el impacto potencial en el negocio, el riesgo para los clientes, el alcance del incidente o su naturaleza.
Pruebas de resiliencia operativa digital
DORA establece la obligación de realizar pruebas periódicas de los sistemas TIC para evaluar la eficacia de las medidas de seguridad y la capacidad para responder a disrupciones. Estas pruebas, que pueden incluir simulacros de crisis y pruebas de penetración, deben realizarse de forma periódica, cubrir una amplia gama de escenarios de riesgo y comunicar los resultados a las autoridades competentes.
Gestión de riesgos de terceros
Al externalizar funciones críticas, DORA exige a las entidades financieras estructurar medidas de gestión de riesgos de terceros para garantizar que los proveedores cumplen con los estándares de seguridad y resiliencia adecuados. Estas medidas incluyen:
- Negociación de acuerdos contractuales específicos con proveedores de servicios críticos. Deben definir claramente las responsabilidades en materia de seguridad, auditorías y objetivos de rendimiento y garantizar tanto que los proveedores cuenten con medidas de seguridad adecuadas como que las entidades financieras tengan acceso a la información necesaria para evaluar su nivel de cumplimiento.
- Evitar la concentración de funciones críticas en un solo proveedor para reducir el riesgo de dependencia excesiva. Esto puede diversificarse contratando a múltiples proveedores o desarrollando capacidades internamente.
- Supervisión de proveedores de servicios críticos de TIC de terceros para garantizar que cumplen con los requisitos de DORA. Esta supervisión incluirá evaluaciones periódicas de los controles de seguridad de los proveedores y la toma de medidas correctivas si es necesario.
- Prohibición de proveedores que no cumplan con DORA. Las autoridades competentes podrán prohibir a los proveedores de servicios críticos de TIC que no cumplan con DORA celebrar contratos con entidades financieras. La medida busca proteger al sector financiero de proveedores no confiables y garantizar un alto nivel de seguridad en la cadena de suministro.
Aplicación y sanciones
El cumplimiento de los requisitos de DORA será responsabilidad de las autoridades competentes de cada Estado miembro de la UE. Estas autoridades tendrán la potestad de solicitar a las entidades financieras que adopten medidas de seguridad específicas y corrijan las vulnerabilidades identificadas, así como de imponer sanciones administrativas, y en algunos casos penales, a las entidades que no cumplan con los requisitos de DORA.
TrustCloud: aliado estratégico para el cumplimiento de DORA
TrustCloud, como plataforma para las transacciones digitales seguras con amplia experiencia en sectores altamente regulados como bancos y aseguradoras, goza de una posición privilegiada para ayudar a las entidades financieras a cumplir con la regulación DORA.
Desarrollamos soluciones personalizadas para satisfacer las necesidades específicas del sector. Trabajamos desde una sola plataforma, con una implementación sencilla. Nuestra metodología máxima resiliencia, en línea con DORA, sumada a la que obtenemos con los proveedores de los distintos servicios. En caso de caída o fallo de alguno de ellos, TrustCloud puede redirigir a otro proveedor todas las transacciones.
Como proveedor de soluciones para la identificación o la firma electrónica, nos ajustamos a los más altos estándares de auditoría y monitorización, tal y como marca la norma, contando además con certificaciones de prestigio que avalan nuestra capacidad de resiliencia operativa (ISO 22316), seguridad y privacidad (NIST 800-63) o gestión de amenazas (LINCE).
Descubre cómo TrustCloud te ayuda a cumplir con DORA