La Ley de Resiliencia Operacional Digital (DORA, por sus siglas en inglés) es una reciente normativa de la Unión Europea que tiene como objetivo fortalecer la resiliencia digital y la ciberseguridad en el sector financiero. Su principal objetivo es garantizar que las entidades financieras presten servicios digitales seguros y confiables y que el sector financiero en Europa siga funcionando de forma resiliente en caso de grave perturbación operativa. Un reglamento que da respuesta a la creciente proliferación de ciberataques dirigidos al sector financiero europeo.
La innovación y la mejora de las normas que ya existen, así como la estandarización del modelo de notificación de incidentes es uno de los principales objetivos de DORA que será plenamente aplicable en pocos meses, a partir del 17 de enero de 2025.
Reforzar la resiliencia operativa dentro del sector financiero para garantizar la continuidad del negocio durante un ciberataque es uno de los principales objetivos de esta ley. Pero DORA también obliga a los proveedores de sistemas TIC críticos a adaptarse a esta regulación. El cumplimiento de terceros será evaluado mediante inspecciones realizadas por la autoridad Bancaria Europea (ABE), o la Autoridad Europea de Valores y Mercados (ESMA) o la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA).
Cualquier entidad financiera que ofrezca servicios financieros en la Unión Europea debe cumplir la norma:
Este primer requisito busca que las entidades financieras sigan un marco de gestión de riesgos TIC y toma en cuenta las directrices de la Autoridad Bancaria Europea (EBA) de Riesgos Tecnológicos.
Cada empresa debe contar con un sistema de gestión de riesgos completo y eficaz para identificar, evaluar, supervisar y controlar los riesgos asociados a sus operaciones digitales para garantizar la continuidad de negocio.
Se hará a través de unas plantillas de notificación que se remitirán a la autoridad competente, en el plazo máximo de un mes tras el incidente, lo que permite una centralización que facilita la detección de tendencias.
Las pruebas de resiliencia basadas en amenazas son las protagonistas de este punto. Pruebas anuales de todos los sistemas y aplicaciones críticos TIC (vulnerabilidades, análisis de código, rendimiento, capacidad…) así como pruebas avanzadas específicas de amenazas sobre funciones y servicios críticos.
El intercambio de información es uno de los puntos clave de esta regulación sobre ciberataques ya que permite crear conciencia sobre las nuevas amenazas que afectan al sector financiero, minimizar su propagación, apoyas las capacidades defensivas y las técnicas de detección de amenazas.
DORA amplía el perímetro a todos los proveedores de alto riesgo y por lo tanto las entidades financieras deberán desarrollar un registro de información que refleje una visión completa de todos los servicios TIC e informar de posibles cambios anualmente.
DORA ya está a la vuelta de la esquina y, desde el momento de aprobación de la legislación el 16 de enero de 2023, se inició un periodo de aplicación de 2 años que está a punto de finalizar ya que la norma entra en vigor el 17 de enero de 2025.
Necesitas cumplir con DORA ¡Pregúntanos cómo hacerlo!