¿Qué es la Ley de Resiliencia Operativa Digital (DORA)?

DORA tiene dos objetivos principales: abordar de manera integral la gestión de riesgos de ICT en el sector de servicios financieros y armonizar las regulaciones de gestión de riesgos de ICT que ya existen en los estados miembros individuales de la UE.

Antes de DORA, las regulaciones de gestión de riesgos para las instituciones financieras de la UE se centraron principalmente en garantizar que las empresas tuvieran suficiente capital para cubrir los riesgos operativos. Si bien algunos entes reguladores de la UE publicaron directrices sobre TIC y gestión de riesgos de seguridad, estas no se aplicaban a todas las entidades financieras por igual y, a menudo, se basaban en principios generales en lugar de normas técnicas específicas. En ausencia de reglas de gestión de riesgos de TIC a nivel de la UE, los estados miembros de la UE emitieron sus propios requisitos. Este conjunto heterogéneo de normativas ha demostrado ser difícil de manejar para las entidades financieras.

Con DORA, la UE pretende establecer un marco universal para gestionar y mitigar el riesgo de las ICT en el sector financiero. Al armonizar las normas de gestión de riesgos en toda la UE, DORA busca eliminar las brechas, conflictos que podrían surgir entre regulaciones dispares en diferentes estados de la UE. Un conjunto compartido de reglas puede facilitar el cumplimiento de las entidades financieras y, al mismo tiempo, mejorar la resiliencia de todo el sistema financiero de la UE garantizando que cada institución se mantenga en el mismo estándar.

DORA se aplica a todas las instituciones financieras de la UE. Esto incluye entidades financieras tradicionales, como bancos, empresas de inversión e instituciones de crédito, y entidades no tradicionales, incluyendo proveedores de servicios de criptoactivos y plataformas de crowdFund.

En particular, DORA también se aplica a algunas entidades normalmente excluidas de las regulaciones financieras. Por ejemplo, los proveedores de servicios externos que suministran a las empresas financieras sistemas y servicios de ICT, como proveedores de servicios en la nube y centros de datos, deben seguir los requisitos de DORA. DORA también cubre empresas que proporcionan servicios de información de terceros fundamentales, como servicios de calificación crediticia y proveedores de análisis de datos.

DORA fue propuesta por primera vez por la Comisión Europea, el poder ejecutivo de la UE responsable de introducir la legislación, en septiembre de 2020. Es parte de un paquete financiero digital más amplio que también incluye iniciativas para regular los criptoactivos y mejorar la estrategia general de finanzas digitales de la UE. El Consejo de la Unión Europea y el Parlamento Europeo (los organismos legislativos responsables de aprobar las leyes de la UE) adoptaron formalmente la DORA en noviembre de 2022. Las entidades financieras y los proveedores de servicios ICT de terceros tienen hasta el 17 de enero de 2025 para cumplir con DORA antes de que comience la aplicación.  

Aunque la UE ha adoptado oficialmente la DORA, las Autoridades Europeas de Supervisión (ESA, por sus siglas en inglés) aún están puliendo los detalles clave. Las ESA son los reguladores que supervisan el sistema financiero de la UE, incluida la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Valores y Mercados y la Autoridad Europea de Seguros y Pensiones de Jubilación.

Las ESA se encargan de elaborar las normas técnicas de regulación (RTS, por sus siglas en inglés) y las normas técnicas de ejecución (ITS, por sus siglas en inglés) que deben aplicar las entidades cubiertas. Se espera que estos estándares se finalicen en 2024. La Comisión Europea está desarrollando un marco de supervisión para los proveedores críticos de ICT, que también se espera que que finalice en 2024.

Una vez que se finalicen los estándares y haya llegado la fecha límite de enero de 2025, la aplicación recaerá en los reguladores designados en cada estado miembro de la UE, conocidos como "autoridades competentes". Las autoridades competentes pueden solicitar que las entidades financieras adopten medidas de seguridad específicas y subsanen las vulnerabilidades. También podrán imponer penales a las entidades que no cumplan. Cada Estado miembro decidirá sus propias sanciones.

Los proveedores de TIC considerados "críticos" por la Comisión Europea serán supervisados directamente por los supervisores principales de las ESA. Al igual que las autoridades competentes, los Supervisores principales pueden exigir medidas de seguridad y correctivas y sancionar a los proveedores de ICT que no las cumplan. DORA permite a los supervisores principales imponer multas a los proveedores de TIC que ascienden al 1 % del volumen de negocios diario promedio mundial del proveedor en el año comercial anterior. Los proveedores pueden ser multados todos los días por hasta seis meses hasta que cumplan.

DORA establece requisitos técnicos para entidades financieras y proveedores de TIC en cuatro dominios:

• Gestión y gobernanza de riesgos de ICT
• Respuesta a incidentes e informes
• Pruebas de resiliencia operativa digital
• Gestión de riesgos de terceros

Se recomienda compartir información, pero no es obligatorio.

Los requisitos se aplicarán proporcionalmente, lo que significa que las entidades más pequeñas no estarán sujetas a los mismos estándares que las principales instituciones financieras. Si bien los RTS e ITS para cada dominio aún se encuentran en desarrollo, la legislación existente de DORA ofrece cierto insight sobre los requisitos generales.

Gestión y gobernanza de riesgos de ICT

La DORA hace que el órgano de gestión de una entidad sea responsable de la gestión de las ICT. Se espera que los miembros de la junta directiva, los líderes ejecutivos y otros gerentes sénior de gestión de riesgos definan estrategias de gestión de riesgos adecuadas, ayuden activamente ejecutarlas y se mantengan al día sobre su conocimiento del panorama de riesgos de ICT. Los líderes también pueden ser responsables personalmente por el incumplimiento de una entidad.

Se espera que las entidades cubiertas desarrollen marcos integrales de gestión de riesgos de ICT. Las entidades deben correlacionar sus sistemas de ICT, identificar y clasificar activos y funciones críticas y documentar dependencias entre activos, sistemas, procesos y proveedores. Las entidades deben realizar evaluaciones continuas de riesgos en sus sistemas de ICT, documentar y clasificar las ciberamenazas y documentar sus pasos para mitigar los riesgos identificados.

Como parte del proceso de evaluación de riesgos, las entidades deben realizar análisis de impacto en el negocio para evaluar cómo escenarios específicos y perturbaciones graves podrían afectar al negocio. Las entidades deben utilizar los resultados de estos análisis para establecer niveles de tolerancia al riesgo e informar el diseño de su infraestructura de TIC. También se requerirá que las entidades implementen medidas adecuadas de protección de ciberseguridad, como políticas para la gestión de identidad y acceso y administración de parches, junto con controles técnicos, como sistemas sistemas extendidos de detección y respuesta, software de gestión de eventos e información de seguridad (SIEM) y herramientas de orquestación de seguridad, automatización y respuesta (SOAR ).

Las entidades también tendrán que establecer planes de continuidad de la actividad y de recuperación en caso de catástrofe para diversos escenarios de riesgo cibernético, como fallos de los servicios de los servicios ICT, catástrofes naturales naturales y ciberataques. Estos planes deben incluir medidas de copia de seguridad y recuperación de datos, procesos de restauración del sistema y planes de comunicación con los clientes afectados, los socios y las autoridades. 

Próximamente se publicarán RTS que especificarán los elementos necesarios del marco de gestión de riesgos de una entidad. Los expertos creen que serán similares a las directrices existentes de la EBA sobre las ICT y la gestión de riesgos de seguridad.

Respuesta e informes de incidentes

Las entidades cubiertas deben establecer sistemas para monitorear, administrar, registrar clasificar y reportar incidentes relacionados con las ICT. En función de la gravedad del incidente, es posible que las entidades tengan que informar tanto a los reguladores como a los clientes y socios afectados. Las entidades deberán presentar tres tipos diferentes de informes para incidentes críticos: un informe inicial notificando a las autoridades, un informe intermedio sobre el progreso hacia la resolución del incidente y un informe que analice las causas fundamentales del incidente. 

Próximamente se publicarán las reglas sobre cómo se deben clasificar los incidentes, qué incidentes se deben informar y los plazos para informar. Las ESA también están explorando formas de simplificar la presentación de informes mediante el establecimiento de un centro y plantillas de informes comunes.

Pruebas de resiliencia operativa digital

Las entidades deben probar sus sistemas ICT regularmente para evaluar la fortaleza de sus protecciones e identificar vulnerabilidades. Los resultados de estas pruebas y los planes para abordar las debilidades que encuentren, serán informados y validados por las autoridades competentes pertinentes.

Las entidades deben realizar pruebas básicas, como evaluaciones de vulnerabilidad y pruebas basadas en escenarios, una vez al año. Las entidades financieras juzgadas para desempeñar un papel fundamental en el sistema financiero también deberán someterse a pruebas de penetración dirigidas por amenazas (TLPT) cada tres años. Los proveedores críticos de TIC de la entidad también deberán participar en estas pruebas de penetración. Los estándares técnicos sobre cómo deben llevarse a cabo las TLPT están próximos a implementarse, pero es probable que se alineen con la infraestructura TIBER-EU para los equipos rojos éticos basados en la inteligencia de amenazas.

Gestión de riesgos de terceros

Un aspecto único de DORA es que se aplica no solo a las entidades financieras sino también a los proveedores de ICT que prestan servicios al sector financiero. 

Se espera que las empresas financieras tomen un papel activo en la gestión del riesgo de terceros de ICT. Al tercerizar funciones críticas e importantes, las entidades financieras deben negociar acuerdos contractuales con respecto a estrategias de salida, auditorías y objetivos de rendimiento para accesibilidad, integridad y seguridad, entre otras cosas. Las entidades no podrán contratar proveedores de ICT que no puedan cumplir con estos requisitos. Las autoridades competentes están facultadas para suspender o cancelar contratos que no cumplan. La Comisión Europea está explorando la posibilidad de redactar cláusulas contractuales estandarizadas que las entidades y los proveedores de ICT puedan utilizar para garantizar que sus acuerdos cumplan con DORA. 

Las instituciones financieras también deberán correlacionar sus dependencias de ICT externas, y deberán garantizar que sus funciones críticas e importantes no estén demasiado concentradas con un solo proveedor o un pequeño grupo de proveedores. 

Los proveedores de servicios críticos de ICT a terceros estarán sujetos a la supervisión directa de las ESA pertinentes. La Comisión Europea sigue desarrollando los criterios para determinar qué proveedores son críticos. Aquellos que cumplan con los estándares tendrán asignado a uno de las ESA como supervisor principal. Además de hacer cumplir los requisitos de DORA en los proveedores críticos, los Supervisores estarán facultados para prohibir que los proveedores celebren contratos con firmas financieras u otros proveedores de ICT que no cumplan con la DORA.

Intercambio de información

Las entidades financieras deben establecer procesos para aprender de incidentes internos y externos relacionados con las TIC. Con ese fin, la DORA insta a las entidades a participar en acuerdos voluntarios de intercambio de inteligencia de amenazas. Cualquier información compartida de esta manera aún debe estar protegida bajo las directrices pertinentes; por ejemplo, la información de identificación personal sigue sujeta a las consideraciones del Reglamento General de Protección de Datos.