¿Qué debes saber sobre el reglamento DORA de Resiliencia Operativa Digital?

Kimberly Yánez mayo 3, 2024
- 13 min read

Si tu departamento de IT trabaja para una entidad financiera que opera en Europa, llegaste al lugar adecuado, ya que en este artículo exploraremos el reglamento DORA (Digital Operational Resilience Act o Resiliencia Operativa Digital), que simplifica el cumplimiento y promueve un enfoque unificado de la gestión de los riesgos informáticos, lo cual resulta vital en un contexto de crecientes ciberataques

Esta legislación introducida por la Unión Europea (UE) pretende estandarizar y mejorar las prácticas de ciberseguridad en todas las entidades financieras, con la garantía que sean capaces de resistir, responder y recuperarse de las interrupciones tecnológicas.

El DORA se publicó y entró en vigor el 16 de enero de 2023, esto implica que se dispone de un período de preparación de 24 meses que culminará con la plena aplicación de la normativa, el 17 de enero de 2025. Durante este tiempo, las instituciones financieras, incluyendo bancos, compañías de seguros y otros proveedores de servicios del rubro, deberán adaptar sus marcos de resiliencia operativa a la nueva reglamentación.

Para conocer en detalle este marco innovador, te mostraremos en este artículo sus implicancias para diversas entidades dentro del ecosistema financiero y cómo contribuye a mantener la estabilidad y la confianza. 

Así que acompáñanos a desglosar los aspectos esenciales del reglamento DORA y qué significa para el futuro de las operaciones financieras en la UE.

Índice de contenidos

  • ¿Qué es el reglamento DORA?
  • ¿Por qué es importante el marco DORA y quién lo necesita?
  • Alcance y aplicabilidad del reglamento de Resiliencia Operativa Digital
  • Los 5 pilares del reglamento de Resiliencia Operativa Digital
  • Requisitos del DORA: ¿Cómo prepararse?
  • Calendario de aplicación del DORA

¿Qué es el reglamento DORA?

El reglamento DORA es un marco normativo presentado por la Comisión Europea como parte de un paquete más amplio sobre finanzas digitales. El objetivo de la ley es garantizar que todos los participantes del sistema financiero dispongan de las protecciones necesarias para mitigar las ciberamenazas y mantener la resiliencia operativa. 

La disposición tiene injerencia en una amplia gama de entidades, como bancos, compañías de seguros y empresas de inversión, así como proveedores de servicios críticos, como las prestaciones de la nube.

La creación del DORA tiene su origen en la creciente dependencia de las tecnologías digitales y las correspondientes vulnerabilidades a las que se enfrenta el sector financiero. 

En los últimos años, la industria financiera experimentó importantes procesos de transformación digital que, aunque beneficiosos, también sumaron nuevos riesgos y desafíos. Para hacer frente a este contexto, la Comisión Europea propuso en septiembre de 2020 el reglamento DORA concebido como un enfoque integral para reforzar la ciberseguridad y la resiliencia operativa del sector.

ISO 27001 vs. NIS2 vs. DORA vs. CIS

Cada uno de estos marcos se centra en mejorar la ciberseguridad y la resiliencia operativa. Si bien a veces comparten ciertos propósitos, también están adaptados a sectores específicos o prácticas organizacionales generales.

Veámoslos con un poco más de detalle:

  • ISO 27001: norma internacional que describe los requisitos de un Sistema de Gestión de la Seguridad de la Información (ISMS - Information Security Management System). En concreto, proporciona un marco para que las organizaciones aborden la seguridad teniendo en cuenta a las personas, los procesos y la tecnología.

  • Directiva NIS2: es la actualización de la Directiva sobre Redes y Sistemas de Información de la UE, que se centra en la mejora de la ciberseguridad en varios sectores, incluyendo las entidades esenciales e importantes. Para ello, impone medidas de Gestión de Riesgos y obligaciones de notificación de incidentes para optimizar la seguridad tecnológica a escala nacional y europea.

  • DORA: se dirige específicamente al sector financiero, con el objetivo de consolidar y mejorar la seguridad y la gobernanza de las TIC (Tecnologías de la Información y la Comunicación) en las entidades de este rubro. Además, introduce requisitos para las pruebas de resiliencia operativa digital y la supervisión de los proveedores críticos.

  • Controles CIS: desarrollados por el Centro para la Seguridad en Internet, constituyen un conjunto de buenas prácticas procesables para la defensa que ayudan a las organizaciones a protegerse de los vectores de ciberataques conocidos. Estos controles son más prácticos y específicos en comparación con los amplios marcos normativos de DORA o NIS2.

¿Por qué es importante el marco DORA y quién lo necesita?

La importancia del reglamento DORA va más allá de la mera ciberseguridad; se trata de mantener la estabilidad y la confianza en los mercados financieros, garantizando un servicio continuo durante eventos adversos. 

Esto es importante, ya que las instituciones financieras manejan datos confidenciales. Además, su funcionamiento ininterrumpido es crucial para la estabilidad del mercado. 

El marco facilita la colaboración entre los involucrados en pos de la ciberseguridad dentro de la UE, mejorando la seguridad del ecosistema financiero de la región y protegiendo los intereses de los consumidores.

El ámbito de aplicación del DORA abarca una amplia gama de entidades del sistema financiero de la UE, como bancos, empresas de inversión, compañías de seguros e infraestructuras de los mercados financieros, como bolsas de valores y bancos de liquidación, así como proveedores de servicios informáticos críticos, por ejemplo los que ofrece la nube. Dichos organismos son piezas fundamentales del sistema financiero, por lo que es imprescindible garantizar su resiliencia para la salud general de los mercados.

El DORA es una medida legislativa clave que aborda la acuciante necesidad de una sólida resiliencia operativa y un esquema de ciberseguridad para el sector financiero. 

En este entorno, la creación de un marco normativo único para la UE mejora la seguridad y estabilidad de los servicios financieros y protege a los consumidores al garantizar que las entidades de este tipo y sus proveedores de servicios críticos puedan mantener sus operaciones y gestionar eficazmente las perturbaciones informáticas.

 

Alcance y aplicabilidad del reglamento de Resiliencia Operativa Digital

En cuanto al alcance y la aplicabilidad del reglamento DORA, detallaremos qué entidades financieras -enumeradas explícitamente en su artículo 2- se ven afectadas y qué implica su cumplimiento. Porque al determinar este punto, luego es necesario aplicar estrategias de cumplimiento adecuadas. 

Las entidades cubiertas por la ley son las siguientes:

  1. Entidades de Crédito: bancos e instituciones financieras tradicionales que ofrecen facilidades de créditos.
  2. Entidades de Pago: dedicadas al procesamiento de pagos, incluidas las exentas en virtud de la Directiva (UE) 2015/2366 (PSD2).
  3. Proveedores de Servicios de Información sobre Cuentas: prestadores de información consolidada sobre una o varias cuentas de pago.
  4. Entidades de Dinero Electrónico: incluidas las exentas en virtud de la Directiva 2009/110/CE (EMD2), que emiten y gestionan dinero electrónico.
  5. Empresas de Inversión: dedicadas a la negociación de valores y servicios relacionados.
  6. Proveedores de Servicios de Criptoactivos y Emisores de Tokens Referenciados a Activos: operan con criptodivisas y productos financieros relacionados.
  7. Depositarios Centrales de Valores: custodian y administran valores y permiten procesar operaciones con valores.
  8. Entidades de Contrapartida Central: facilitan las transacciones entre diversas entidades en los mercados financieros.
  9. Centros de Negociación: bolsas de valores y otras plataformas donde se negocian instrumentos financieros.
  10. Registros de Operaciones: entidades que mantienen registros de contratos de derivados.
  11. Gestoras de Fondos de Inversión Alternativos: instituciones que gestionan inversiones en activos alternativos.
  12. Sociedades Gestoras: de fondos de inversión.
  13. Proveedores de Servicios de Transmisión de Datos: prestan servicios de suministro de datos e información en los mercados financieros.
  14. Empresas de Seguros y Reaseguros.
  15. Intermediarios de Seguros, Reaseguros y de Seguros Complementarios: agentes y corredores del mercado de seguros.
  16. Organismos Previsionales para la Jubilación: entidades gestoras de planes de pensiones de empleo.
  17. Agencias de Calificación Crediticia: otorgan dichas calificaciones a diversas entidades financieras.
  18. Administradores de Índices de Referencia Críticos: instituciones encargadas de fijar índices para los mercados financieros.
  19. Proveedores de Servicios de Crowdfunding: plataformas que facilitan el crowdfunding para diversos fines.
  20. Repositorios de Titulaciones: entidades que se ocupan de la documentación y notificación de titulaciones.
  21. Proveedores de Servicios de TIC a terceros: prestadores de servicios de Tecnologías de la Información y la Comunicación a entidades financieras.

Los 5 pilares del reglamento de Resiliencia Operativa Digital 

El reglamento DORA está diseñado en torno a cinco pilares fundacionales, reconociendo el papel fundamental que desempeñan las Tecnologías de la Información y la Comunicación en el buen funcionamiento de las entidades financieras de la Unión Europea.

Cada pilar aborda un objetivo específico, que son los siguientes:

1. Gestión del Riesgo de las TIC

Para garantizar que las entidades financieras gestionen eficazmente los riesgos asociados a sus sistemas de TIC, es fundamental establecer planes y herramientas integrales para proteger, detectar y recuperarse de las interrupciones tecnológicas.

2. Notificación de los incidentes relacionados con las TIC

Las entidades financieras están obligadas a notificar rápidamente cualquier incidente relacionado con las TIC para minimizar los posibles daños. Para ello, es necesario contar con un sistema robusto que permita identificar y gestionar eficientemente estos problemas.

3. Pruebas de resiliencia operativa digital

Las pruebas periódicas de resiliencia de los sistemas de TIC -como de penetración y análisis de escenarios- son obligatorias para confirmar que son capaces de soportar y recuperarse de las interrupciones operativas. 

4. Gestión de Riesgos de los prestadores relacionados con las TIC

Los proveedores de servicios externos, como las empresas de computación en la nube, también deben gestionar los riesgos para cumplir con las normas de resiliencia del DORA.

5. Intercambio de información e inteligencia

Por último, hay que fomentar el intercambio de información con otras entidades financieras y autoridades reguladoras sobre ciberamenazas y vulnerabilidades. Este enfoque colaborativo ayuda a mejorar la posición de ciberseguridad de todo el sector.

Requisitos del DORA: ¿Cómo prepararse?

Para cumplir con el reglamento DORA, las entidades alcanzadas tienen que incorporar las prácticas que se enumeran a continuación.

1. Gestión de Riesgos

Requisito: las entidades deben establecer y mantener un marco de Gestión de Riesgos de las TIC sólido, completo y bien documentado, cubriendo desde la identificación y la protección hasta la detección, la respuesta y la recuperación.

Cómo prepararse:

  • Desarrolla una política clara de Gestión de Riesgos de las TIC.
  • Implementa procesos para identificar y evaluar continuamente los riesgos de las TIC.
  • Establece medidas de protección y prevención contra los riesgos descubiertos.

2. Notificación de incidentes

Requisito: las entidades tienen que establecer y aplicar un proceso de Gestión de Incidentes relacionados con las TIC, es decir, detectarlos y notificarlos rápidamente a las autoridades competentes.

Cómo prepararse:

  • Crea un equipo de respuesta a incidentes y define sus funciones y responsabilidades.
  • Desarrolla procedimientos para la rápida detección y clasificación de los mismos.
  • Genera un mecanismo de notificación para comunicarlos a los organismos reguladores.

3. Pruebas de resiliencia operativa digital

Requisito: es obligatorio realizar pruebas periódicas de resiliencia operativa digital, lo cual incluye examinar la capacidad para resistir y responder a las interrupciones y amenazas de las TIC, utilizando métodos como evaluaciones de vulnerabilidad, otras basadas en escenarios y también de penetración.

Cómo prepararse:

  • Planifica y realiza periódicamente ejercicios de prueba adaptados a las operaciones y riesgos específicos de la entidad.
  • Contrata a expertos externos cuando sea necesario para realizar evaluaciones independientes.
  • Revisa y actualiza los planes de recuperación en caso de catástrofe y de continuidad de la actividad en función de los resultados de las pruebas.

4. Gestión de Riesgos de los proveedores

Requisito: las entidades deben gestionar y supervisar el riesgo de las TIC derivado de las dependencias de proveedores, incluidos los servicios en la nube.

Cómo prepararse:

  • Lleva a cabo la diligencia debida antes de suscribir acuerdos con prestadores.
  • Evalúa periódicamente la seguridad y resistencia de dichos proveedores.
  • Implementa cláusulas contractuales para garantizar el cumplimiento de los requisitos del DORA y mantiene la supervisión.

5. Intercambio de información

Requisito: para mejorar la resiliencia colectiva es necesario compartir información relacionada con los riesgos, amenazas y vulnerabilidades de las TIC con otras entidades y organismos pertinentes.

Cómo prepararse:

  • Únete a foros y redes de intercambio de información del sector financiero.
  • Establece protocolos para compartir datos protegiendo al mismo tiempo la información confidencial.
  • Participa con otras entidades de ejercicios de resiliencia colaborativa.

6. Cumplimiento y supervisión

Requisito: las entidades deben garantizar el cumplimiento de la normativa del reglamento DORA, ya que están sujetas a la supervisión de las autoridades competentes. Esto incluye adherirse a las normas de gobernanza, además de proporcionar la documentación necesaria y las pruebas de cumplimiento.

Cómo prepararse:

  • Asegurarse de que los marcos de gobernanza se ajustan a los requisitos del DORA.
  • Mantener una documentación exhaustiva de todas las actividades y decisiones de gestión de riesgos de las TIC.
  • Prepararse para las auditorías y evaluaciones periódicas de los organismos reguladores.

 

Disposiciones especiales

El reglamento DORA también introduce disposiciones especiales para los proveedores de servicios críticos, como plataformas en la nube y otras prestaciones tecnológicas clave para el sector financiero. 

Por lo tanto, estos proveedores están sujetos a supervisión y deben garantizar que sus servicios se ajustan a los requisitos de resiliencia operativa exigidos por el DORA.

Calendario de aplicación del DORA

El calendario de aplicación del reglamento DORA involucra varias etapas clave, desde su propuesta inicial hasta su plena entrada en vigor. 

Así, el 16 de enero de 2023 fue publicado oficialmente y entró en vigor el marco legislativo para la resiliencia operativa en el sector financiero.

Del 16 de enero de 2023 al 17 de enero de 2025 rige el período de transición, un plazo de preparación para que los 20 tipos diferentes de entidades financieras, incluidas las empresas e intermediarios de seguros y reaseguros, y los fondos de jubilación y pensión, puedan adaptar sus operaciones para cumplir los requisitos del DORA.

Por último, el 17 de enero de 2025, se implementará plenamente en toda la UE, lo que significa que las entidades financieras cubiertas por la ley deberán cumplir sus disposiciones.

Tras la aplicación, habrá procesos continuos de supervisión y revisión para garantizar la eficacia del marco. Además, la UE podrá introducir ajustes en función de los avances tecnológicos, las nuevas ciberamenazas y la experiencia práctica de las entidades sujetas al reglamento.

Aspectos clave

El desarrollo del reglamento DORA representa un paso significativo de la UE no sólo para proteger su sector financiero de las amenazas digitales, sino también para crear un entorno más seguro y resistente con la finalidad de mejorar su competitividad global.

Las organizaciones alcanzadas por el DORA deben mantenerse informadas sobre las fechas y requisitos específicos a medida que concluye el proceso legislativo y la ley avanza hacia su implementación. Al prepararse con tiempo y conocer los plazos, realizarán una transición sin problemas.

 

Read other articles like this : Ciberseguridad, ITAM, Gestión de riesgos