La normativa sobre Resiliencia Operativa Digital, conocida como reglamento DORA, representa un marco vinculante y completo establecido por la Unión Europea (UE) para la gestión de riesgos en el ámbito de las tecnologías de la información y la comunicación (TIC) en el sector financiero de la UE. DORA establece normas técnicas que las entidades financieras y sus proveedores de servicios tecnológicos críticos deben implementar en sus sistemas de TIC antes del 17 de enero de 2025.
En este sentido las Autoridades Europeas de Supervisión (AES), estarán a cargo de las normas técnicas. Finalmente, serán las autoridades nacionales competentes las que deberán supervisar el cumplimiento y aplicación del Reglamento.
Objetivos del reglamento DORA
DORA persigue dos objetivos principales:
- Abordar de manera integral la gestión de riesgos asociados a las TIC en el sector de los servicios financieros.
- Armonizar las regulaciones sobre gestión de riesgos de las TIC que ya existen en los diversos Estados miembros de la UE.
Antes de la implementación de DORA, la normativa en la gestión de riesgos de entidades financieras de la UE se centraba principalmente en asegurar que las empresas contaran con suficiente capital para cubrir riesgos operativos. Aunque algunos reguladores de la UE emitieron directrices sobre TIC y gestión de riesgos de seguridad, estas no eran aplicables de manera uniforme a todas las entidades financieras y a menudo se basaban en principios generales en lugar de normas técnicas específicas. La carencia de normativas comunitarias generó una complejidad para las entidades financieras al tener que lidiar con distintos requisitos establecidos por los Estados miembros de la UE.
Con DORA, la UE busca establecer un marco universal para gestionar y mitigar los riesgos de las TIC en el sector financiero. La armonización de las normas de gestión de riesgos en toda la UE tiene como objetivo eliminar lagunas, superposiciones y conflictos que podrían surgir entre regulaciones dispares de distintos Estados de la UE. Un conjunto común de normas facilitaría el cumplimiento para las entidades financieras, al mismo tiempo que fortalecería la resistencia de todo el sistema financiero de la UE, asegurando que todas las entidades sigan las mismas pautas.
Alcance y aplicación de DORA
DORA se aplica a todas las instituciones financieras de la UE, abarcando tanto entidades financieras tradicionales como bancos, empresas de inversión y entidades de crédito, como a entidades no tradicionales como proveedores de servicios de criptoactivos y plataformas de crowdfunding.
Es importante destacar que DORA también se aplica a algunas entidades normalmente excluidas de regulaciones financieras, como proveedores de servicios externos que suministran sistemas y servicios de TIC a empresas financieras, incluyendo proveedores de servicios en la nube y centros de datos. El reglamento también afecta a empresas que ofrecen servicios esenciales de información, como servicios de calificación crediticia y proveedores de análisis de datos.
En resumen, el reglamento DORA será de aplicación a las siguientes entidades financieras:
- Entidades de crédito.
- Entidades de pago.
- Proveedores de servicios de información sobre cuentas.
- Entidades de dinero electrónico.
- Empresas de servicios de inversión.
- Proveedores de servicios de criptoactivos.
- Depositarios centrales de valores.
- Entidades de contrapartida central.
- Centros de negociación.
- Registros de operaciones.
- Gestores de fondos de inversión alternativos.
- Sociedades de gestión.
- Proveedores de servicios de suministro de datos.
- Empresas e intermediarios de seguros, reaseguros y seguros complementarios.
- Fondos de pensiones de empleo.
- Agencias de calificación crediticia.
- Administradores de índices de referencia cruciales.
- Proveedores de servicios de financiación participativa.
- Registros de titulizaciones.
Beneficios de cumplir con el reglamento DORA
- Mejora de la resistencia frente a amenazas cibernéticas: un reglamento de resiliencia operativa digital puede ayudar a fortalecer las defensas contra ataques cibernéticos, protegiendo así la infraestructura tecnológica y los datos de la organización.
- Reducción del riesgo de interrupciones operativas: la resiliencia operativa digital implica la capacidad de mantener operaciones esenciales incluso en situaciones de crisis o desastres. Esto reduce la probabilidad de interrupciones en los servicios y contribuye a la continuidad del negocio.
- Cumplimiento normativo: adoptar prácticas y reglamentos de resiliencia operativa digital puede ayudar a las organizaciones a cumplir con regulaciones y estándares específicos relacionados con la seguridad cibernética y la protección de datos.
- Protección de la reputación: la implementación de medidas de resiliencia operativa digital puede ayudar a evitar violaciones de seguridad que podrían dañar la reputación de la organización. La confianza del público y de los clientes puede mantenerse mediante la adopción de buenas prácticas de seguridad digital.
- Eficiencia operativa: la resiliencia operativa implica una planificación proactiva y la capacidad de respuesta rápida ante incidentes. Esto puede mejorar la eficiencia operativa al reducir el tiempo de inactividad y acelerar la recuperación de eventos adversos.
- Innovación segura: fomentar la resiliencia operativa digital puede permitir que las organizaciones adopten nuevas tecnologías de manera segura. La innovación puede avanzar sin comprometer la seguridad de los sistemas y datos.
- Protección de la cadena de suministro: la resiliencia operativa digital también puede extenderse a la cadena de suministro, asegurando que los proveedores y socios comerciales cumplan con estándares de seguridad digital, lo que reduce los riesgos asociados con terceros.
Requisitos de DORA
DORA establece requisitos técnicos en cuatro áreas clave para entidades financieras y proveedores de TIC:
Gestión de riesgos y gobernanza de las TIC:
DORA responsabiliza al órgano de dirección de una entidad de la gestión de las TIC. Se espera que los miembros del Consejo de Administración, líderes ejecutivos y otros altos directivos definan estrategias adecuadas de gestión de riesgos, colaboren activamente en su ejecución y se mantengan al día en su conocimiento del panorama de riesgos de las TIC. Los líderes también pueden ser considerados personalmente responsables del incumplimiento de una entidad.
Respuesta y notificación de incidentes:
Las entidades cubiertas deben establecer sistemas para supervisar, gestionar, registrar, clasificar y notificar incidentes relacionados con las TIC. Dependiendo de la gravedad del incidente, las entidades pueden tener que informar tanto a los reguladores como a los clientes y socios afectados. Se requieren tres tipos de informes en casos de incidentes críticos: un informe inicial de notificación a las autoridades, un informe intermedio sobre los avances hacia la resolución del incidente y un informe final que analice las causas profundas del incidente.
Pruebas de resiliencia:
Las entidades deben realizar pruebas periódicas en sus sistemas de TIC para evaluar la solidez de sus protecciones e identificar vulnerabilidades. Los resultados de estas pruebas, junto con los planes para abordar las deficiencias identificadas, deben ser comunicados a las autoridades competentes y validados por ellas. Las pruebas básicas, como evaluaciones de vulnerabilidad y pruebas basadas en escenarios, deben llevarse a cabo anualmente. Las entidades financieras consideradas críticas en el sistema financiero también están obligadas a someterse a pruebas de penetración basadas en amenazas cada tres años. Los proveedores de TIC críticos también deben participar en estas pruebas de penetración.
Gestión de riesgos de terceros:
Una característica distintiva del DORA es que se extiende no solo a las entidades financieras, sino también a los proveedores de TIC que ofrecen servicios al sector financiero. Se espera que las empresas financieras desempeñen un papel activo en la gestión del riesgo de las TIC frente a terceros. Al externalizar funciones críticas e importantes, las entidades financieras deben negociar acuerdos contractuales específicos que aborden estrategias de salida, auditorías y objetivos de rendimiento en términos de accesibilidad, integridad y seguridad, entre otros aspectos. Las entidades no podrán contratar a proveedores de TIC que no cumplan con estos requisitos. Las autoridades competentes están facultadas para suspender o rescindir los contratos que no se ajusten a la normativa.
Intercambio de información:
Las entidades financieras deben establecer procesos para aprender de los incidentes relacionados con las TIC, tanto internos como externos. Con este propósito, el reglamento DORA alienta a las entidades a participar en acuerdos voluntarios de intercambio de inteligencia sobre amenazas.
Todos estos requisitos se aplicarán de manera proporcional, lo que significa que las entidades más pequeñas no estarán sujetas a las mismas normas que las grandes instituciones financieras.
Global Technology y DORA
Global Technology destaca en el cumplimiento del Reglamento de Resiliencia Operativa Digital (DORA) al ofrecer soluciones integrales y personalizadas. Contamos con un equipo altamente especializado que comprende a fondo los requisitos de DORA. Implementamos procesos robustos, sistemas de gestión avanzados y proporcionamos formación continua para garantizar un cumplimiento eficiente y proactivo. Nuestra experiencia se refleja en auditorías internas rigurosas y colaboraciones con expertos externos. Nos comprometemos a mantenernos actualizados con los cambios normativos, brindando a nuestros clientes la confianza y la seguridad necesarias para enfrentar los desafíos de la resiliencia operativa digital con éxito.
Consultora de GRC