Ciberseguridad

Reglamento de Ciberseguridad DORA

🕑 6 minutos de lectura

¿Qué es DORA?

El Reglamento de Resiliencia Operacional Digital (DORA – Digital Operational Resilience Act) es una regulación de la Unión Europea que ha sido diseñada para establecer un marco único que homogenice cómo las entidades financieras deben gestionar el riesgo digital en las finanzas en la Unión Europea.

Este marco busca utilizar un único enfoque en la ciberseguridad y gestión de riesgos de TIC para agilizar la gestión en las organizaciones. De esta manera, se conseguirá que todas las entidades financieras y proveedores TIC sigan unas mismas directrices para mantener la continuidad de sus operaciones y servicios digitales en caso de incidentes, fallos técnicos, ataques cibernéticos u otros eventos que puedan afectar su infraestructura tecnológica.

El nuevo reglamento entró en vigor el 16 de enero de 2023, aunque según lo establecido en la propia ley, las entidades financieras y proveedores de servicios digitales tendrán hasta enero de 2025 para cumplir con sus requisitos.

Objetivo y alcance

El objetivo que busca DORA es fortalecer la capacidad de las empresas financieras para resistir y recuperarse de interrupciones operativas. DORA se enmarca en el contexto de un sector financiero cada vez más interconectado y dependiente de las tecnologías de la información, lo que lo hace más vulnerable a los ciberriesgos.

¿A qué entidades afecta DORA?

El alcance de DORA es amplio, se aplica a las entidades financieras y proveedores que operan en la UE, independientemente de si tienen su sede en la Unión Europea o en un país tercero.

  • Entidades financieras que ofrecen servicios financieros en la Unión Europea, incluyendo bancos, empresas de inversión, compañías de seguros, intermediarios de seguros, sociedades de gestión de activos, fintecs, empresas de gestión de criptomonedas y criptoactivos y fondos de pensiones.
  • Proveedores de servicios digitales que ofrecen servicios relevantes para la prestación de servicios financieros, incluyendo empresas de tecnología de la información (TI), proveedores de servicios en la nube, proveedores de servicios de pagos electrónicos, y otras empresas que proporcionan servicios digitales.

¿Cuáles son los principales requisitos de DORA?

El primer paso es la identificación de los servicios esenciales y las funciones críticas.

Para ellos se tienen como requisitos:

  • Evaluación y gestión de riesgos operativos.
  • Implementación de medidas de seguridad y continuidad del negocio.
  • Notificación de incidentes y gestión de crisis.
  • Pruebas periódicas de resiliencia operacional.

¿Qué expone el Reglamento CRO?

Junto con DORA, se ha desarrollado un reglamento asociado llamado «Reglamento sobre la Continuidad Operativa de Entidades de Servicios Financieros Críticos» (CRO). Este reglamento establece los requisitos específicos para las entidades financieras que proporcionan servicios financieros críticos y que se consideran de importancia crítica, lo que significa que su interrupción podría tener un impacto significativo en el funcionamiento del sistema financiero en su conjunto.

El Reglamento CRO establece normas más estrictas en relación con la identificación de servicios esenciales y funciones críticas, la gestión de riesgos operativos, las pruebas de resiliencia y los planes de contingencia. También establece la obligación de estas entidades de proporcionar a los supervisores nacionales información detallada sobre sus planes de contingencia y resiliencia operativa, y de permitir que los supervisores realicen pruebas.

El Reglamento CRO se publicó en el Diario Oficial de la Unión Europea el 20 de diciembre de 2019. El reglamento entró en vigor el 9 de junio de 2021, es decir, 20 días después de la publicación de la Ley DORA. Sin embargo, el Reglamento CRO establece un período de transición para que las entidades financieras afectadas puedan adaptarse a los nuevos requisitos. En concreto, el reglamento establece un plazo de 12 meses para que las entidades financieras afectadas por la regulación presenten a los supervisores nacionales los planes de contingencia y resiliencia operativa que cumplan con los requisitos del reglamento. Además, el reglamento establece que los supervisores nacionales pueden conceder una prórroga adicional de seis meses si consideran que la entidad financiera está haciendo progresos significativos para cumplir con los requisitos del reglamento.

¿Cómo se puede gestionar el cumplimiento de DORA y el reglamento CRO?

La gestión del cumplimiento de la Ley DORA se puede llevar a cabo utilizando el marco de las tres líneas. Este enfoque es ampliamente utilizado en la industria financiera y se basa en la división de responsabilidades y funciones entre diferentes áreas de la organización.

La primera línea es responsabilidad de las áreas de negocio, incluyendo los equipos de IT, quienes deben implementar y mantener los controles de resiliencia y continuidad operativa. Esto incluye la identificación de riesgos, la implementación de controles y el seguimiento y la supervisión de su efectividad.

La segunda línea es responsabilidad de las áreas de gestión de riesgos y cumplimiento, quienes deben asegurar que se han identificado y gestionado adecuadamente los riesgos y que los controles implementados son efectivos. Deben supervisar el cumplimiento de los requisitos de resiliencia y continuidad operativa.

La tercera línea es responsabilidad del área de auditoría interna, quien debe evaluar la efectividad de los controles y del programa de resiliencia y continuidad operativa. Esto incluye la realización de pruebas de resiliencia y la revisión de la implementación de los planes de contingencia y recuperación.

¿Cómo se puede gestionar el cumplimiento de DORA?

Desde GlobalSuite Solutions podemos ayudarte en la implementación de DORA así como la gestión de su cumplimiento a través de GlobalSuite®, nuestro software GRC que ayuda en la implementación y seguimiento de los requerimientos de la norma, mejorando la resiliencia de la empresa a través de la:

  • Evaluación de riesgos: Realizando evaluaciones de riesgos de manera estructurada y sistemática, lo que ayudará a tu organización a identificar y evaluar los riesgos digitales asociados a sus sistemas, procesos y servicios críticos.
  • Planificación de la continuidad del negocio IT y resiliencia operativa digital : Ayudando a diseñar planes de continuidad del negocio IT para tus sistemas, procesos y servicios críticos.
  • Gestión de incidentes: Al tratarse también de una plataforma centralizada para la gestión de incidentes, podemos mejorar la detección de incidentes y a responder rápidamente a los incidentes de ciberseguridad y otros eventos que puedan afectar la resiliencia digital.
  • Monitorización de proveedores: Permite la monitorización y evaluación de proveedores de servicios digitales, asegurando que estos cumplen con las normas de DORA.
  • Gestión de la conformidad: Ofrece un seguimiento en la gestión de la conformidad con las normas y regulaciones, lo que supone un apoyo para las organizaciones que quieren mantener el cumplimiento continuo de DORA.