La Ley de Resiliencia Operativa Digital, o DORA, es un reglamento de la Unión Europea (UE) que crea un marco vinculante y exhaustivo para la gestión de los riesgos de las tecnologías de la información y la comunicación (TIC) en el sector financiero de la UE.
El reglamento DORA establece las normas técnicas que las entidades financieras y sus terceros proveedores de servicios tecnológicos críticos deben implantar en sus sistemas TIC antes del 17 de enero de 2025.
Aprenda a aplicar el gobierno de datos y la privacidad a escala con normas para toda la organización y capacidades de linaje de datos.
Transforme su talento con nuestra guía
El DORA tiene dos objetivos principales: abordar de manera exhaustiva la gestión del riesgo de las TIC en el sector de los servicios financieros y armonizar las normativas sobre gestión del riesgo de las TIC que ya existen en los distintos Estados miembros de la UE.
Antes de DORA, la normativa sobre gestión de riesgos de las entidades financieras de la UE se centraba principalmente en garantizar que las empresas dispusieran de capital suficiente para cubrir los riesgos operativos. Aunque algunos reguladores de la UE publicaron directrices sobre TIC y gestión de riesgos de seguridad (enlace fuera de ibm.com), estas directrices no se aplicaban a todas las entidades financieras por igual, y a menudo se basaban en principios generales más que en normas técnicas específicas. A falta de normas comunitarias sobre gestión de riesgos de las TIC, los Estados miembros de la UE han establecido sus propios requisitos. Este mosaico de normativas ha resultado difícil de manejar para las entidades financieras.
Con DORA, la UE pretende establecer un marco universal para gestionar y mitigar el riesgo de las TIC en el sector financiero. Al armonizar las normas de gestión de riesgos en toda la UE, DORA pretende eliminar las lagunas, solapamientos y conflictos que podrían surgir entre normativas dispares de distintos Estados de la UE. Un conjunto común de normas puede facilitar a las entidades financieras el cumplimiento de las mismas, al tiempo que mejora la resiliencia de todo el sistema financiero de la UE al garantizar que todas las entidades se rijan por las mismas normas.
DORA se aplica a todas las instituciones financieras de la UE. Esto incluye entidades financieras tradicionales, como bancos, empresas de inversión e instituciones de crédito, y entidades no tradicionales, incluidos proveedores de servicios de criptoactivos y plataformas de financiación colectiva.
En particular, DORA también se aplica a algunas entidades normalmente excluidas de las regulaciones financieras. Por ejemplo, los proveedores de servicios externos que suministran a las empresas financieras sistemas y servicios de TIC, como los proveedores de servicios en la nube y los centros de datos, deben cumplir los requisitos del DORA. El reglamento también afecta a las empresas que prestan servicios esenciales de información, como los servicios de calificación crediticia y los proveedores de análisis de datos.
El DORA fue propuesto por primera vez por la Comisión Europea (el poder ejecutivo de la UE responsable de elaborar la legislación) en septiembre de 2020. Forma parte de un paquete financiero digital más amplio que también incluye iniciativas para regular los criptoactivos y mejorar la estrategia general de financiación digital de la UE. El Consejo de la Unión Europea y el Parlamento Europeo (los órganos legislativos responsables de aprobar las leyes de la UE) adoptaron formalmente el DORA en noviembre de 2022. Las entidades financieras y los proveedores de servicios TIC de terceros tienen hasta el 17 de enero de 2025 para cumplir con el DORA antes de que comience su aplicación.
El reglamento DORA ya ha sido adoptado oficialmente por la UE, pero las Autoridades Europeas de Supervisión (AES) siguen afinando los detalles importantes. Las AES son los reguladores que supervisan el sistema financiero de la UE, incluidas la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Valores y Mercados (AEVM) y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ).
Las AES se encargan de elaborar las normas técnicas de regulación (NTR) y las normas técnicas de ejecución (NTE) que deben aplicar las entidades cubiertas. Se espera que estas normas estén finalizadas en 2024. La Comisión Europea está desarrollando un marco de supervisión para los proveedores de TIC críticos, que también se espera que esté finalizado en 2024.
Una vez finalizadas las normas y cumplido el plazo de enero de 2025, su aplicación será responsabilidad de los reguladores designados en cada Estado miembro de la UE, conocidos como "autoridades competentes". Las autoridades competentes pueden solicitar que las entidades financieras adopten medidas de seguridad específicas y corrijan las vulnerabilidades. También podrán imponer sanciones administrativas (y, en algunos casos, penales) a las entidades que no las cumplan. Cada Estado miembro decidirá sus propias sanciones.
Los proveedores de TIC considerados "críticos" por la Comisión Europea serán supervisados directamente por "supervisores principales" de las AES. Al igual que las autoridades competentes, los supervisores principales podrán exigir medidas de seguridad y reparación, y sancionar a los proveedores de TIC que no las cumplan. El DORA autoriza a los supervisores superiores a multar a los proveedores de TIC con un importe equivalente al 1 % de la facturación media diaria mundial del proveedor en el ejercicio anterior. Los proveedores pueden ser multados diariamente durante un máximo de seis meses hasta que cumplan la normativa.
El DORA establece requisitos técnicos para entidades financieras y proveedores de TIC en cuatro dominios:
- Gestión de riesgos y gobernanza de las TIC
- Respuesta a incidentes e informes
- Pruebas de resiliencia operativa digital
- Gestión de riesgos de terceros
Se recomienda el intercambio de información, pero no es obligatorio.
Los requisitos se aplicarán de forma proporcional, lo que significa que las entidades más pequeñas no estarán sujetas a las mismas normas que las grandes instituciones financieras. Aunque las NTR y las STI de cada ámbito aún están en fase de desarrollo, la legislación vigente sobre el reglamento DORA ofrece algunas indicaciones sobre los requisitos generales.
Gestión de riesgos y gobernanza de las TIC
DORA responsabiliza al órgano de dirección de una entidad de la gestión de las TIC. Se espera que los miembros del Consejo de Administración, los líderes ejecutivos y otros altos directivos definan estrategias adecuadas de gestión de riesgos, colaboren activamente en su ejecución y se mantengan al día en su conocimiento del panorama de riesgos de las TIC. Los líderes también pueden ser considerados personalmente responsables del incumplimiento de una entidad.
Se espera que las entidades cubiertas desarrollen marcos integrales de gestión de riesgos de las TIC. Necesitan cartografiar sus sistemas de TIC, identificar y clasificar los recursos y funciones críticos, y documentar las dependencias entre recursos, sistemas, procesos y proveedores. Las entidades deben realizar evaluaciones continuas de los riesgos de sus sistemas de TIC, documentar y clasificar las ciberamenazas y documentar sus medidas para mitigar los riesgos identificados.
Como parte del proceso de evaluación de riesgos, las entidades deben llevar a cabo análisis de impacto en el negocio para evaluar cómo podrían afectar al negocio escenarios específicos e interrupciones graves. Las entidades deben utilizar los resultados de estos análisis para establecer niveles de tolerancia al riesgo e informar el diseño de su infraestructura de TIC. También se exigirá a las entidades que apliquen medidas adecuadas de protección de la ciberseguridad, como políticas de gestión de identidades y accesos y gestión de parches, junto con controles técnicos como sistemas ampliados de detección y respuesta, software degestión de eventos e información de seguridad (SIEM) y herramientas deorquestación, automatización y respuesta en materia de seguridad (SOAR).
Las entidades también tendrán que establecer planes de continuidad de la actividad y de recuperación en caso de catástrofe para diversos escenarios de riesgo cibernético, como fallos de los servicios TIC, catástrofes naturales y ciberataques. Estos planes deben incluir medidas de copia de seguridad y recuperación de datos, procesos de restauración de sistemas y planes de comunicación con los clientes, socios y autoridades afectados.
Próximamente se publicarán NTR que especificarán los elementos necesarios del marco de gestión de riesgos de una entidad. Los expertos creen que serán similares a las directrices actuales de la ABE sobre gestión de riesgos de seguridad y TIC.
Respuesta y notificación de incidentes
Las entidades cubiertas deben establecer sistemas de supervisión, gestión, registro, clasificación y notificación de incidentes relacionados con las TIC. En función de la gravedad del incidente, las entidades pueden tener que presentar informes tanto a los reguladores como a los clientes y socios afectados. Las entidades deberán presentar tres tipos diferentes de informes en caso de incidentes críticos: un informe inicial de notificación a las autoridades, un informe intermedio sobre los avances hacia la resolución del incidente y un informe final que analice las causas profundas del incidente.
Pronto estarán disponibles las normas que definen cómo deben clasificarse los incidentes, qué incidentes deben notificarse y los plazos de notificación. Las AES también están estudiando formas de agilizar la presentación de informes mediante el establecimiento de un eje central y plantillas de informes comunes.
Pruebas de resiliencia operativa digital
Las entidades deben probar periódicamente sus sistemas TIC para evaluar la solidez de sus protecciones e identificar vulnerabilidades. Los resultados de estas pruebas, así como los planes para subsanar las deficiencias que detecten, serán comunicados a las autoridades competentes pertinentes y validados por ellas.
Las entidades deben realizar pruebas básicas, como evaluaciones de vulnerabilidad y pruebas basadas en escenarios, una vez al año. Las entidades financieras que se considere que desempeñan un papel fundamental en el sistema financiero también deberán someterse a pruebas de penetración basadas en amenazas (TLPT) cada tres años. Los proveedores de TIC críticos de la entidad deberán participar también en estas pruebas de penetración. Las normas técnicas sobre cómo deben llevarse a cabo los TLPT están por llegar, pero es probable que se alineen con el marco TIBER-UE (enlace externo a ibm.com) para el red teaming ético basado en la inteligencia de amenazas.
Gestión de riesgos de terceros
Un aspecto único del DORA es que no solo se aplica a las entidades financieras, sino también a los proveedores de TIC que prestan servicios al sector financiero.
Se espera que las empresas financieras asuman un papel activo en la gestión del riesgo de las TIC frente a terceros. Cuando externalizan funciones críticas e importantes, las entidades financieras deben negociar acuerdos contractuales específicos sobre estrategias de salida, auditorías y objetivos de rendimiento en materia de accesibilidad, integridad y seguridad, entre otras cosas. Las entidades no podrán contratar con proveedores de TIC que no puedan cumplir estos requisitos. Las autoridades competentes están facultadas para suspender o rescindir los contratos que no se ajusten a la normativa. La Comisión Europea está estudiando la posibilidad de redactar cláusulas contractuales normalizadas que las entidades y los proveedores de TIC puedan utilizar para garantizar que sus acuerdos cumplen el reglamento DORA.
Las entidades financieras también tendrán que cartografiar sus dependencias de TIC de terceros, y deberán asegurarse de que sus funciones críticas e importantes no están demasiado concentradas en un único proveedor o en un pequeño grupo de proveedores.
Los proveedores de servicios críticos de TIC de terceros estarán sujetos a la supervisión directa de las AES pertinentes. La Comisión Europea aún está desarrollando los criterios para determinar qué proveedores son críticos. A los que cumplan las normas se les asignará una de las AES como supervisor principal. Además de hacer cumplir los requisitos del reglamento DORA a los proveedores críticos, los supervisores principales estarán facultados para prohibir a los proveedores que celebren contratos con empresas financieras u otros proveedores de TIC que no cumplan el reglamento DORA.
Intercambio de información
Las entidades financieras deben establecer procesos para aprender de los incidentes relacionados con las TIC, tanto internos como externos. Con ese fin, el DORA alienta a las entidades a participar en acuerdos voluntarios de intercambio de inteligencia sobre amenazas. Cualquier información que se comparta de esta manera debe seguir estando protegida según las directrices pertinentes; por ejemplo, la información de identificación personal sigue estando sujeta a las consideraciones del Reglamento General de Protección de Datos.
Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de puntos finales, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
Mejore su nivel de ciberseguridad con búsqueda continua de amenazas, monitoreo en tiempo real y análisis de amenazas en profundidad. Un equipo de respuesta a incidentes de guardia puede reducir significativamente los tiempos de respuesta, disminuir el impacto de los ciberataques y facilitar una recuperación más rápida, lo que sirve como soporte crucial para los ocupados departamentos de TI.
Aproveche toda la potencia de su infraestructura de TI. La última generación de servidores, almacenamiento y software de IBM puede ayudarle a modernizar y escalar sus operaciones en local y en la nube con una nube híbrida segura e información fiable de automatización e IA.
Descubra cómo las automatizaciones de alto impacto pueden ayudar a que sus sistemas de TI sean más proactivos, los procesos más eficientes y las personas más productivas.
Acelere la innovación y responda a sus necesidades de seguridad y cumplimiento. IBM Cloud for Financial Services está diseñado para ayudar a los clientes a mitigar el riesgo y acelerar la adopción de la nube incluso para sus cargas de trabajo más sensibles.
El DORA reconoce la naturaleza evolutiva del riesgo y la resistencia en el panorama cada vez más digitalizado de los servicios financieros de la UE.
Al igual que cualquier otro esfuerzo diseñado para lograr un cambio transformador a ritmo y escala, la aplicación del DORA requerirá una atención y un compromiso constantes, especialmente en los niveles directivo y ejecutivo.
Los directores de la cadena de suministro que miran hacia el futuro pueden distinguirse de sus pares que solo se centran en el presente.