DORA establece requisitos técnicos para entidades financieras y proveedores de TIC en cuatro dominios:
- Gestión y gobernanza de riesgos de ICT
- Respuesta a incidentes e informes
- Pruebas de resiliencia operativa digital
- Gestión de riesgos de terceros
Se recomienda compartir información, pero no es obligatorio.
Los requisitos se aplicarán proporcionalmente, lo que significa que las entidades más pequeñas no estarán sujetas a los mismos estándares que las principales instituciones financieras. Si bien los RTS e ITS para cada dominio aún se encuentran en desarrollo, la legislación existente de DORA ofrece cierto insight sobre los requisitos generales.
Gestión y gobernanza de riesgos de ICT
La DORA hace que el órgano de gestión de una entidad sea responsable de la gestión de las ICT. Se espera que los miembros de la junta directiva, los líderes ejecutivos y otros gerentes sénior de gestión de riesgos definan estrategias de gestión de riesgos adecuadas, ayuden activamente ejecutarlas y se mantengan al día sobre su conocimiento del panorama de riesgos de ICT. Los líderes también pueden ser responsables personalmente por el incumplimiento de una entidad.
Se espera que las entidades cubiertas desarrollen marcos integrales de gestión de riesgos de ICT. Las entidades deben correlacionar sus sistemas de ICT, identificar y clasificar activos y funciones críticas y documentar dependencias entre activos, sistemas, procesos y proveedores. Las entidades deben realizar evaluaciones continuas de riesgos en sus sistemas de ICT, documentar y clasificar las ciberamenazas y documentar sus pasos para mitigar los riesgos identificados.
Como parte del proceso de evaluación de riesgos, las entidades deben realizar análisis de impacto en el negocio para evaluar cómo escenarios específicos y perturbaciones graves podrían afectar al negocio. Las entidades deben utilizar los resultados de estos análisis para establecer niveles de tolerancia al riesgo e informar el diseño de su infraestructura de TIC. También se requerirá que las entidades implementen medidas adecuadas de protección de ciberseguridad, como políticas para la gestión de identidad y acceso y administración de parches, junto con controles técnicos, como sistemas sistemas extendidos de detección y respuesta, software de gestión de eventos e información de seguridad (SIEM) y herramientas de orquestación de seguridad, automatización y respuesta (SOAR ).
Las entidades también tendrán que establecer planes de continuidad de la actividad y de recuperación en caso de catástrofe para diversos escenarios de riesgo cibernético, como fallos de los servicios de los servicios ICT, catástrofes naturales naturales y ciberataques. Estos planes deben incluir medidas de copia de seguridad y recuperación de datos, procesos de restauración del sistema y planes de comunicación con los clientes afectados, los socios y las autoridades.
Próximamente se publicarán RTS que especificarán los elementos necesarios del marco de gestión de riesgos de una entidad. Los expertos creen que serán similares a las directrices existentes de la EBA sobre las ICT y la gestión de riesgos de seguridad.
Respuesta e informes de incidentes
Las entidades cubiertas deben establecer sistemas para monitorear, administrar, registrar clasificar y reportar incidentes relacionados con las ICT. En función de la gravedad del incidente, es posible que las entidades tengan que informar tanto a los reguladores como a los clientes y socios afectados. Las entidades deberán presentar tres tipos diferentes de informes para incidentes críticos: un informe inicial notificando a las autoridades, un informe intermedio sobre el progreso hacia la resolución del incidente y un informe que analice las causas fundamentales del incidente.
Próximamente se publicarán las reglas sobre cómo se deben clasificar los incidentes, qué incidentes se deben informar y los plazos para informar. Las ESA también están explorando formas de simplificar la presentación de informes mediante el establecimiento de un centro y plantillas de informes comunes.
Pruebas de resiliencia operativa digital
Las entidades deben probar sus sistemas ICT regularmente para evaluar la fortaleza de sus protecciones e identificar vulnerabilidades. Los resultados de estas pruebas y los planes para abordar las debilidades que encuentren, serán informados y validados por las autoridades competentes pertinentes.
Las entidades deben realizar pruebas básicas, como evaluaciones de vulnerabilidad y pruebas basadas en escenarios, una vez al año. Las entidades financieras juzgadas para desempeñar un papel fundamental en el sistema financiero también deberán someterse a pruebas de penetración dirigidas por amenazas (TLPT) cada tres años. Los proveedores críticos de TIC de la entidad también deberán participar en estas pruebas de penetración. Los estándares técnicos sobre cómo deben llevarse a cabo las TLPT están próximos a implementarse, pero es probable que se alineen con la infraestructura TIBER-EU para los equipos rojos éticos basados en la inteligencia de amenazas.
Gestión de riesgos de terceros
Un aspecto único de DORA es que se aplica no solo a las entidades financieras sino también a los proveedores de ICT que prestan servicios al sector financiero.
Se espera que las empresas financieras tomen un papel activo en la gestión del riesgo de terceros de ICT. Al tercerizar funciones críticas e importantes, las entidades financieras deben negociar acuerdos contractuales con respecto a estrategias de salida, auditorías y objetivos de rendimiento para accesibilidad, integridad y seguridad, entre otras cosas. Las entidades no podrán contratar proveedores de ICT que no puedan cumplir con estos requisitos. Las autoridades competentes están facultadas para suspender o cancelar contratos que no cumplan. La Comisión Europea está explorando la posibilidad de redactar cláusulas contractuales estandarizadas que las entidades y los proveedores de ICT puedan utilizar para garantizar que sus acuerdos cumplan con DORA.
Las instituciones financieras también deberán correlacionar sus dependencias de ICT externas, y deberán garantizar que sus funciones críticas e importantes no estén demasiado concentradas con un solo proveedor o un pequeño grupo de proveedores.
Los proveedores de servicios críticos de ICT a terceros estarán sujetos a la supervisión directa de las ESA pertinentes. La Comisión Europea sigue desarrollando los criterios para determinar qué proveedores son críticos. Aquellos que cumplan con los estándares tendrán asignado a uno de las ESA como supervisor principal. Además de hacer cumplir los requisitos de DORA en los proveedores críticos, los Supervisores estarán facultados para prohibir que los proveedores celebren contratos con firmas financieras u otros proveedores de ICT que no cumplan con la DORA.
Intercambio de información
Las entidades financieras deben establecer procesos para aprender de incidentes internos y externos relacionados con las TIC. Con ese fin, la DORA insta a las entidades a participar en acuerdos voluntarios de intercambio de inteligencia de amenazas. Cualquier información compartida de esta manera aún debe estar protegida bajo las directrices pertinentes; por ejemplo, la información de identificación personal sigue sujeta a las consideraciones del Reglamento General de Protección de Datos.