En qué consiste la Ley de Resiliencia Operativa Digital (DORA)

En una era de rápida digitalización, el sector financiero enfrenta nuevos desafíos complejos. El uso creciente de soluciones comerciales basadas en la nube y la interconexión de datos, sistemas y procesos de negocio ofrecen enormes oportunidades, pero también plantean riesgos significativos, como las amenazas cibernéticas. Estas amenazas pueden resultar en la pérdida de datos altamente confidenciales de los clientes, provocar interrupciones del sistema, causar pérdidas financieras sustanciales, interrumpir las operaciones y, en última instancia, poner en peligro la estabilidad de sistemas financieros completos.

Para abordar estos problemas, el nuevo reglamento de la UE DORA (Digital Operational Resilience Act) entrará en vigor a principios de 2025. Este reglamento exige a las entidades financieras que mejoren su resistencia operativa digital mediante una gestión integral de los riesgos de las tecnologías de la información y la comunicación (TIC) para contrarrestar las crecientes amenazas.

Para ayudarle a mantenerse a la vanguardia de estos cambios, este artículo describe todo lo que necesita saber sobre DORA, desde sus principios fundamentales hasta una guía práctica para integrar el reglamento en su estrategia de ciberseguridad.

DORA (Ley de Resiliencia Operativa Digital) es una nueva regulación de la UE, vigente a partir de enero de 2025, destinada a mejorar la resiliencia cibernética y los estándares de seguridad de las TIC en el sector financiero. Esta regulación abarca la protección contra las interrupciones de las TIC y las amenazas cibernéticas. Garantiza que las organizaciones afectadas implementen sistemas de gestión de riesgos de las TIC sólidos, incluidas consideraciones para proveedores externos, informen de incidentes relacionados con el ciberespacio y realicen pruebas de resiliencia periódicas para soportar incluso las amenazas cibernéticas más sofisticadas. Estas medidas se centran en alcanzar los objetivos principales de DORA: garantizar la continuidad y la confianza en los servicios financieros.

En un mundo financiero cada vez más digital e interconectado, el riesgo de ciberataques y fallos informáticos está aumentando considerablemente, lo que puede poner en peligro la estabilidad de todo el sistema financiero. En consecuencia, es necesario reforzar la seguridad, y es precisamente ahí donde entra en juego DORA.

El reglamento pretende crear un marco unificado para la resistencia digital en el sector financiero, optimizando la prevención, detección, respuesta y recuperación en caso de perturbaciones y amenazas. Este enfoque sistemático puede reducir significativamente el riesgo sistémico y reforzar la estabilidad de los mercados financieros en la Unión Europea.

Las autoridades supervisoras desempeñarán un papel crucial a la hora de garantizar el cumplimiento de DORA. Están facultadas para realizar inspecciones, solicitar información e imponer multas u otras medidas correctoras a las entidades financieras que no cumplan las normas establecidas.

DORA se estructura en torno a cinco pilares fundamentales, cada uno de ellos destinado a mejorar la ciberseguridad, minimizar los riesgos y promover un planteamiento unificado en toda la UE:

Desarrollo y aplicación de un sólido sistema de gestión de riesgos de las TIC, integrando la gobernanza y garantizando la supervisión a nivel del consejo de administración.

Creación de indicadores de alerta temprana para clasificar, notificar y responder a los incidentes, garantizando acciones de seguimiento oportunas.

Diseño de planes de contingencia, pruebas periódicas de resistencia, incluidas pruebas de penetración dirigidas por amenazas (TLPT), formación del personal y evaluación de los resultados.

Seguimiento y evaluación de la dependencia de las TIC de terceros proveedores de servicios, incluidos los acuerdos contractuales y la supervisión de los proveedores de servicios críticos.

Facilitación de intercambios estructurados para compartir información sobre ciberamenazas e incidentes, garantizando el cumplimiento de las normas de seguridad, confidencialidad y competencia.

El DORA tiene implicaciones de gran alcance para un amplio espectro del sector financiero y digital, entre ellos:

• Bancos y entidades de crédito
• Compañías de seguros y reaseguros
• Proveedores de servicios de pago y entidades de dinero electrónico
• Empresas de inversión y bolsas de valores

Este amplio alcance garantiza que todo el ecosistema financiero se adhiera a normas de resiliencia uniformes.

El Reglamento de la UE, que entró en vigor el 16 de enero de 2023, concede a las empresas financieras un plazo de dos años para su plena aplicación. En enero de 2025 deberán cumplirse todos los requisitos para garantizar la resiliencia y la seguridad digitales.

En el primer semestre de 2024, se publicaron las directrices para el marco de gestión de riesgos TIC, la seguridad operativa, la clasificación de incidentes y la gestión de riesgos TIC de terceros. En el segundo semestre de 2024, se publicarán normas técnicas de regulación (NTR) y normas técnicas de ejecución (NTI) adicionales, que cubrirán las obligaciones de notificación de incidentes de TIC, los criterios y metodologías para probar la resistencia operativa digital y las directrices para los acuerdos de subcontratación.

Aprovechar las herramientas adecuadas es esencial para mejorar la ciberseguridad y lograr el cumplimiento de normativas como DORA. Algunas de las áreas clave en las que se centra el apoyo a las herramientas son:

Integración fluida de todos los requisitos de DORA.

Suministro de plantillas de evaluación de riesgos.

Identificación y gestión de riesgos.

Provisión de medidas de mitigación de riesgos inmediatamente aplicables.

Las evaluaciones de riesgos automatizadas, la supervisión en tiempo real y los flujos de trabajo de respuesta a incidentes se alinean con los pilares básicos de DORA, garantizando el rápido cumplimiento de los requisitos de información.

ADOGRC ofrece varias ventajas clave para agilizar el cumplimiento de DORA y mejorar la ciberseguridad:

• Aumento de la eficiencia: Automatización de procesos y reducción de errores manuales.
• Transparencia: Presentación clara de todos los riesgos y medidas.
• Cumplimiento: Garantía del cumplimiento de DORA y otras normativas pertinentes.
• Escalabilidad: Adaptación flexible a las crecientes necesidades de su empresa.

En respuesta al continuo aumento de los ciberataques y las perturbaciones informáticas, el Reglamento DORA marca un hito importante en la mejora de la ciberresiliencia del sector financiero europeo. A medida que nos acercamos a la fecha límite de aplicación, es crucial que las instituciones financieras integren estas medidas y adopten las herramientas necesarias para garantizar el cumplimiento y fortificar sus defensas. Con ADOGRC, puede cumplir con confianza las exigencias normativas y proteger su organización contra el cambiante panorama de las ciberamenazas, asegurando un futuro más resistente para su negocio.