Los 5 puntos más importantes para su lista de tareas de DORA

Todo el mundo habla de la regulación (UE) 2022/2554, la Ley de Resiliencia Operativa Digital. Se le conoce popularmente con el nombre de DORA por sus siglas en inglés (Digital Operational Resilience Act), y es recomendable familiarizarse con el tema. Incluso si su organización no tiene sede en la Unión Europea, lo más probable es que entre en el ámbito de aplicación del DORA.

DORA: qué es, a quién afecta y cuándo entra en vigor

¿Qué es?: DORA es una normativa de la Unión Europea que otorga competencias de amplio alcance a los reguladores sobre el modo en que las entidades financieras seleccionan y gestionan a sus proveedores de tecnologías de la información y la comunicación (TIC). Establece los requisitos estándar que debe cumplir cualquier organización que opere en el sector financiero en materia de seguridad de redes y sistemas de datos.

También impone esos mismos requisitos a los proveedores críticos ("Critical Third Parties", CTPs) que prestan servicios de TI a esas organizaciones.

Como su nombre indica, el DORA se centra en potenciar la resilierncia operativa del sector financiero ante su dependencia de las TIC. El marco DORA sustituye a las actuales directrices de la UE sobre las TIC con requisitos mucho más estrictos, como parte de una concientización tardía por parte de los reguladores financieros globales de que todo el sistema financiero está en peligro si fallan estos servicios.

¿A quién afecta?: Dado que el riesgo no conoce fronteras, la ley DORA también afectará a las empresas que operan fuera de la Unión Europea. Entre las organizaciones que entrarán en el ámbito de aplicación del nuevo marco cabe citar las siguientes:

• Administradores de inversiones
• Bancos
• Entidades de crédito y de medios de pago
• Empresas de criptomoneda y otras que operan con dinero electrónico
• Compañías de seguros
• Casi todos los proveedores de servicios TIC (los proveedores de servicios telefónicos directos están exentos).

¿Cuándo entra en vigor?: Las empresas implicadas tendrán que demostrar que cumplen el DORA antes del 17 de enero de 2025. El tiempo corre, así que aquí tienes cinco cosas que puedes empezar a hacer ahora para estar listo a tiempo.

Cinco maneras de prepararse para el 17 de enero de 2025

1. Desarrolle un marco de gestión de riesgos para sus TIC

Por muy sólida que sea su estrategia de riesgos de TI, adaptarla al DORA puede ser complicado. Mientras más pronto se aborden los retos, mejor.  

Su empresa ya tiene una estrategia de gestión de riesgos, así que ese es un buen punto de partida. Familiarícese con el marco de gestión de riesgos que establece el DORA y compárelo con el suyo. Esto pondrá en evidencia las áreas en las que debe mejorar su gestión de las TIC, así como las áreas en las que ya cumple los requisitos.

Para asegurarse de que ha cubierto todas las áreas, también sería conveniente compararse con el Marco de Ciberseguridad del Instituto Nacional de Tecnología de Estados Unidos (el marco NIST por sus siglas en inglés). Aunque su adopción es voluntaria, la influencia del NIST en el DORA es evidente.

2. Defina su propia estrategia de resiliencia operativa digital

Una vez establecido el marco de las TIC, este podrá respaldar su estrategia. Defina cómo abordará sus riesgos en materia TIC y cómo alcanzará sus objetivos en este ámbito.

Incorpore esta estrategia a su plan de negocio global, de modo que la debida diligencia de terceros tenga en cuenta los riesgos TIC más amplios que plantean sus socios y proveedores.

3. Establezca su método de reporte de incidentes en función de los requisitos del DORA

Se nos han prometido normas técnicas para la clasificación y notificación de incidentes de datos y ciberseguridad. Mientras tanto, sabemos que la ley DORA especifica un proceso de gestión de incidentes. Este proceso significa que las instituciones financieras tendrán que clasificar sus incidentes cibernéticos y proporcionar informes detallados a "la autoridad competente", que proporcionará retroalimentación.

Puede resultar tentador considerar un proceso de notificación estandarizado como un papeleo burocrático, pero en el lado positivo surgirán patrones que podrían mejorar en general todas las estrategias de gestión de riesgos. La notificación de incidentes es fundamental para promover una cultura de seguridad transparente y proactiva a nivel de la organización y a nivel nacional.

4. Empiece a adaptar sus controles a las pautas del DORA

Una vez que el DORA entre en vigor, usted deberá ser capaz de poner a prueba su resiliencia operativa digital de modo que:

A) cumpla los requisitos más estrictos; y

B) se adapte a su organización y cubra una extensa serie de posibles incidentes.

Tenga en cuenta que DORA exige que todas las instituciones financieras, excepto las microempresas*, se sometan a pruebas de penetración basadas en amenazas realizadas por un experto independiente.  

*En la UE, eso significaría un balance inferior a dos millones de euros y menos de diez empleados.

5. Revise la forma en que gestiona sus proveedores de servicios de TI

La gestión y el manejo de los proveedores de servicios de TI es posiblemente el área en la que más se diferencia el marco DORA de las antiguas normas, y al mismo tiempo añade varios requisitos.

La prueba más clara del nuevo enfoque es la forma en que la ley DORA pretende minimizar la dependencia de los proveedores de servicios de TI críticos:

• Las normas de seguridad de datos que deben cumplir los proveedores son mucho más estrictas que antes.
• Las instituciones financieras tendrán que presentar una política multiproveedor que demuestre que se han diversificado para minimizar su exposición al riesgo de concentración. El "riesgo de concentración" es la forma en que el sector bancario describe el riesgo que surge cuando las empresas dependen demasiado de un solo proveedor, sector o país. Por eso, el nuevo marco exige también que todos los proveedores se sometan a una evaluación previa de sus riesgos de concentración.
• Las empresas deben ser capaces de demostrar que sus terceros pueden ser sustituidos fácilmente y que disponen de una estrategia de salida para cada uno de ellos.

Independientemente de si el cumplimiento de los estándares DORA le exige empezar de cero o simplemente modificar su enfoque actual, estamos aquí para ayudarle. Nuestras soluciones de seguridad cibernética están diseñadas a la medida para el cumplimiento de la normativa y la gestión de riesgos de terceros en el sector de los servicios financieros. Hable con uno de nuestros expertos sobre los retos a los que se enfrenta y cómo podemos solucionarlos trabajando mano a mano con usted.