Adoptada el 16 de enero de 2023 y cuya entrada en vigor está prevista para el 17 de enero de 2025, la Ley de Resiliencia Operativa Digital (DORA) es un nuevo reglamento de la UE destinado a garantizar que las organizaciones del sector financiero sean resilientes frente a perturbaciones menores o catastróficas, como los ataques informáticos. El marco regulatorio requiere que las organizaciones demuestren que pueden resistir, responder y recuperarse de todo tipo de perturbaciones y amenazas relacionadas con los datos, la comunicación y la tecnología. Las reglas incluyen capacidades de protección, detección, contención, recuperación y reparación.
La ley se aplica a más de 20 tipos diferentes de entidades financieras, como bancos, aseguradoras y compañías de inversión, y a los terceros que interactúan con ellas. Las normas también se aplican a todos los proveedores terceros de servicios de tecnologías de la información y la comunicación (TIC). Al igual que el RGPD coordina la regulación de la privacidad de los datos, DORA está diseñado para consolidar y mejorar la resiliencia informática, el riesgo de las TIC y la gestión de riesgos informáticos en los servicios financieros.
Los rigurosos requisitos y el enfoque estructurado de DORA ayudarán al sector financiero a fortalecerse frente a los complejos riesgos digitales y las amenazas de seguridad informática, para garantizar un entorno financiero estable, resiliente y seguro en toda la UE. La integración de estos requisitos en el marco de su organización la prepara para los desafíos digitales actuales y sienta las bases para adaptarse a los futuros avances tecnológicos.
La administración de riesgos de las TIC no es un concepto nuevo. Sin embargo, los amplios mandatos de DORA requieren que las entidades financieras lleven a cabo revisiones amplias y exhaustivas de sus prácticas y marcos de trabajo actuales. La ley no solo exige revisiones profundas de las prácticas de administración de riesgos de las TIC; también intensifica la rendición de cuentas de los órganos administrativos internos de una institución financiera encargados del papel fundamental de elaborar y respaldar la estrategia de la compañía para la resiliencia operativa digital. La estrategia también debe estar respaldada por tolerancias claramente definidas al riesgo de perturbaciones de las TIC, indicadores clave de rendimiento (KPI) y métricas de riesgo que se alineen con los estándares mejorados de seguridad de las TIC de DORA.
Después de una perturbación grave de las operaciones, DORA exige a las entidades financieras que lleven a cabo análisis rigurosos del impacto en el negocio para:
Este enfoque proactivo garantiza que las entidades financieras estén preparadas para manejar las perturbaciones y sean capaces de continuar las operaciones con un impacto o tiempo fuera de servicio mínimos.
DORA exige medidas de protección de la seguridad informática que incluyen políticas en torno a lo siguiente:
Prácticas recomendadas de resiliencia informática que cubren estas medidas de protección de seguridad informática y más para permitir que las organizaciones financieras se preparen en caso de un incidente informático, para minimizar el impacto y el tiempo fuera de servicio causados por un ataque informático.
Con él énfasis puesto en la necesidad de transparencia y rendición de cuentas, DORA exige la creación de una estrategia de comunicación estable dentro de cada organización, incluida la asignación de una persona de contacto dedicada responsable de administrar e informar sobre incidentes relacionados con las TIC. Estas líneas claras de comunicación son esenciales para la elaboración de informes y respuestas, lo que reduce el impacto potencial de cualquier problema relacionado con las TIC en las operaciones de la entidad.
Además, es crucial una comprensión profunda de las interconexiones entre los activos, procesos y sistemas de TIC de una entidad. DORA requiere que las instituciones financieras y sus proveedores realicen un relevamiento exhaustivo de estos componentes para identificar vulnerabilidades críticas y mejorar la resiliencia operativa general en caso de un incidente o filtración. La práctica recomendada de desarrollar manuales de recuperación y ejercicios teóricos aclara el proceso en todos los departamentos y se basa en el relevamiento de interconexiones para aumentar la resiliencia empresarial.
También deben colaborar con los proveedores de servicios de TIC “críticos” para asegurar que también ellos se estén preparando para los cambios y que comprenden sus funciones de apoyo a las instituciones financieras en el marco del nuevo entorno normativo.
DORA no solo se aplica a bancos e instituciones financieras. Se dirige a todo el sector financiero de la UE, incluidos los proveedores y vendedores esenciales, como los administradores de tecnología y los proveedores de servicios de pago.
Los sectores y entidades clave afectados por las regulaciones de DORA incluyen:
El artículo 2, apartado 3, de DORA exime a determinadas entidades debido a su limitado tamaño o importancia, entre ellas:
Los estados miembros también pueden, a su discreción, eximir a determinadas entidades nacionales de crédito o inversión.
DORA es una iniciativa reguladora muy importante y exhaustiva que establece un marco preciso para abordar la creciente complejidad y conectividad de los sistemas digitales dentro de la industria financiera de la UE. Al establecer una norma unificada en todos los Estados miembros, garantiza que todas las entidades del sector financiero, incluidos los bancos, las compañías de seguros, las compañías de inversión y los proveedores de servicios de pago, estén adecuadamente equipadas para gestionar y mitigar los riesgos asociados a sus sistemas y servicios de TIC.
Un área clave en el marco de DORA es la mejora de las medidas de seguridad informática. Las instituciones financieras deben implementar políticas y controles de seguridad informática estables que prevengan, detecten y respondan a una amplia gama de ciberamenazas, incluido el permanente monitoreado y pruebas continuas de sus defensas informáticas, así como mecanismos de recuperación y respuesta rápidos para minimizar los posibles impactos de los incidentes informáticos.
La protección de datos también es objeto de un cuidadoso escrutinio en virtud de DORA, con sus reglamentos que obligan a las entidades financieras a establecer marcos integrales de gobernanza de datos que garanticen la integridad, confidencialidad y disponibilidad de los datos. Esto incluye la implementación de medidas de seguridad de confianza cero para proteger los datos confidenciales y financieros de los clientes contra el acceso no autorizado, las filtraciones de datos y las pérdidas, para reforzar la confianza en las operaciones digitales del sector financiero.
Al igual que los planos proporcionan especificaciones exactas de un edificio o las partituras dejan poco espacio para la improvisación, DORA es notablemente prescriptivo, ya que contiene instrucciones, criterios y plantillas específicas para su cumplimiento. Este enfoque detallista indica que los reguladores tienen la intención de asumir un papel activo en su supervisión y cumplimiento.
DORA va más allá de estandarizar las prácticas de resiliencia en todo el sector financiero. También garantiza que las instituciones financieras estén preparadas de forma coherente para hacer frente a los retos que plantea el panorama digital, salvaguardando en última instancia la estabilidad del sector y el entorno económico en general. Su esencia se puede resumir en cinco pilares básicos que abordan diversos ámbitos o aspectos de las TIC y la seguridad informática.
Los cinco “pilares principales de la resiliencia operativa” de DORA son:
Veamos más de cerca cada pilar y cómo funciona.
Pilar 1: Administración de riesgos de las TIC:
La administración de riesgos de las TIC en el marco de DORA implica una amplia gama de principios y requisitos que van mucho más allá de las normas ya existentes. Establece un marco formal de administración de riesgos relacionados con las TIC que exige evaluaciones periódicas de riesgos, una identificación exhaustiva, estrategias de mitigación de riesgos bien definidas y un monitoreado continuo. A diferencia de las prácticas anteriores al reglamento DORA, que varían en rigor y alcance, este establece una norma uniforme en toda la UE, garantizando que todas las entidades financieras tengan un enfoque coherente para administrar los riesgos de las TIC. Por ejemplo, los bancos ahora deben probar periódicamente sus defensas de seguridad informática y actualizar sus estrategias de mitigación de riesgos en función de las amenazas emergentes. Deben implementar medidas de protección de seguridad informática. Estas deben incluir políticas en torno a IAM (gestión de identidad y acceso), detección de anomalías, análisis de malware, respuesta a amenazas, perspectivas de datos, SIEM, SOAR y administración de parches. La mayoría de las instituciones deberán revisar sus acuerdos de gobernanza, políticas, evaluación de riesgos, control y actividades de relevamiento para verificar que se alineen con los requisitos específicos de DORA.
DORA establece claramente que el órgano de dirección de una entidad es responsable de la gestión de las TIC. Esto incluye a miembros de la junta directiva, ejecutivos y gerentes de alto nivel. Deben establecer e implementar estrategias de administración de riesgos. El incumplimiento podría dar lugar a responsabilidades personales.
Pilar 2: Notificación de incidentes relacionados con las TIC:
DORA obliga a las organizaciones a establecer un proceso cohesivo para detectar, gestionar y notificar debidamente los incidentes informáticos significativos. Racionaliza la notificación de incidentes relacionados con las TIC mediante la introducción de requisitos armonizados de elaboración de informes. En resumen, obliga a las organizaciones a establecer un proceso cohesivo para detectar, gestionar y notificar debidamente los incidentes informáticos significativos. Esto garantiza que todas las instituciones financieras informen de los incidentes de manera coherente, lo que, a su vez, facilita una mejor recopilación de datos y supervisión regulatoria. Al ser más amplio que el RGPD, cubre tanto las filtraciones de datos como los incidentes de TIC.
Mientras que las normas anteriores de elaboración de informes solían diferir entre jurisdicciones, lo que daba lugar a ineficiencias y lagunas en el conocimiento de la reglamentación, en virtud de DORA, todas las entidades deben adherir a convenciones estandarizadas. Por ejemplo, un proveedor de servicios de pagos que sufra una filtración de datos ahora debe seguir protocolos específicos para informar el incidente a los reguladores, lo que garantiza respuestas oportunas y uniformes en todo el sector.
Pilar 3: Pruebas de resiliencia operativa digital:
En un paso adelante con respecto a los requisitos anteriores, que a menudo carecían de especificidad o estándares uniformes, las instituciones financieras ahora deben realizar pruebas de resiliencia tanto básicas como avanzadas. Estas pruebas incluyen evaluaciones periódicas de vulnerabilidades y pruebas de penetración diseñadas para identificar y abordar posibles debilidades en los sistemas digitales. Un ejemplo sería una compañía de valores bursátiles que realiza pruebas anuales avanzadas basadas en escenarios para simular un ataque informático sofisticado con el objetivo de mejorar su comprensión y sus estrategias de respuesta.
Pilar 4: Riesgo de terceros de las TIC:
Este pilar introduce normas basadas en principios para el seguimiento y la administración de los riesgos vinculados a los proveedores de servicios externos. Esto es más completo que las normas anteriores, que podrían no cubrir sistemáticamente los riesgos de terceros. DORA requiere que las instituciones financieras implementen marcos de supervisión rigurosos e incluyan disposiciones contractuales específicas para garantizar el cumplimiento de los estándares DORA por parte de terceros. Por ejemplo, un banco que emplea un proveedor externo de servicios en la nube ahora debe verificar que el proveedor cumpla con los requisitos de resiliencia operativa de DORA y revisar de manera regular estos acuerdos.
DORA requiere que las entidades lleven a cabo evaluaciones exhaustivas de los proveedores de servicios externos, releven sus dependencias, garanticen la seguridad y la integridad, incluidos los arreglos para estrategias de salida claras. Deben existir planes significativos sobre cómo realizar la transición de datos, aplicaciones y servicios de un entorno de informática en la nube a un entorno in situ o a otro proveedor de nube. Es importante tener en cuenta que las entidades tendrán la facultad de impedir que los proveedores realicen contratos con quienes incumplan con el DORA.
Pilar 5: Intercambio de información:
Este pilar marca un cambio considerable con respecto al procedimiento estándar, al fomentar el intercambio voluntario de información e inteligencia sobre ciberamenazas entre las entidades financieras. A diferencia de las prácticas anteriores que tendían a ser menos estructuradas y más aisladas, este enfoque colaborativo facilita el intercambio a través de canales designados, lo que mejora la resiliencia digital colectiva. Por ejemplo, las instituciones financieras ahora pueden participar en una plataforma compartida, a la que DORA se refiere como una “comunidad de entidades financieras de confianza” donde informan y discuten indicadores de ciberamenazas, para ayudar a todo el sector a prepararse mejor para posibles incidentes informáticos.
Las organizaciones se benefician por adherirse a las estrictas normas de DORA al:
El cumplimiento de DORA también indica el compromiso de formar parte de un enfoque unificado que facilite operaciones e interacciones más fluidas dentro del mercado financiero de la UE y con los organismos reguladores.
Sin duda, el impacto de DORA será profundo, lo que requerirá una revisión integral de los sistemas y la gobernanza actuales de las TIC de una organización financiera. Para prepararse para la transición, las instituciones deben adoptar medidas estrictas para gestionar los riesgos de las TIC, incluido el desarrollo de marcos estables de administración de riesgos, procedimientos detallados de notificación de incidentes y pruebas rigurosas de resiliencia. Para que este cambio monumental sea eficaz, requerirá cambios iniciales y un compromiso organizacional sostenido con mejoras y adaptaciones continuas.
A medida que las empresas van mejorando sus medidas de seguridad informática y resiliencia operativa, se alinean naturalmente con los objetivos de DORA, lo que promueve un entorno financiero más seguro.
Las Autoridades Europeas de Supervisión (AES), compuestas por la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ) y la Autoridad Europea de Valores y Mercados (AEVM), desempeñarán un papel integral en esta transición, al garantizar que las entidades financieras de toda la UE apliquen de manera uniforme las normas de DORA. Al supervisar la aplicación, proporcionar directrices y monitorear el cumplimiento, las AES contribuirán a mantener la integridad y la resiliencia del sistema financiero de la UE, y su supervisión garantizará que el sector cumpla las normas exigidas y adopte los principios de la resiliencia digital como elementos fundamentales de las operaciones.
Para garantizar el cumplimiento, las instituciones financieras deben planear la integración de estos nuevos requisitos en las operaciones diarias:
Fomentar una cultura de resiliencia y mantener una comunicación abierta con las AES y otros organismos reguladores permitirá a las entidades financieras seguir siendo ágiles en sus esfuerzos de cumplimiento. Al integrar esto como un proceso continuo, las instituciones pueden mantenerse al tanto de la evolución de las regulaciones y de las prácticas recomendadas, al tiempo que garantizan los beneficios de la naturaleza interconectada del impacto, la supervisión y el cumplimiento dentro del marco de DORA.
Para las organizaciones, lo más probable es que el mayor desafío para cumplir con DORA sea tener que revisar exhaustivamente sus marcos de TIC existentes para cumplir con las nuevas y estrictas regulaciones de la ley, que incluyen:
Para muchas entidades, en particular las más pequeñas, estas demandas podrían requerir muchos recursos, lo que implicaría importantes ajustes financieros y operacionales.
Se dio a las empresas 24 meses para abordar estos retos empleando un enfoque gradual del cumplimiento, en que se priorizarán primero los elementos más críticos y se irán ampliando gradualmente sus medidas de resiliencia. Invertir en capacitación y desarrollo garantizará que todos los empleados entiendan los nuevos requisitos. Además, podría ser beneficioso buscar expertos externos, en colaboración con profesionales especializados en seguridad informática y cumplimiento, para desarrollar estrategias y soluciones personalizadas. Al adoptar un enfoque estratégico paso a paso, las organizaciones pueden satisfacer eficazmente las demandas de DORA, para asegurarse de que sus operaciones cumplan con las normas y sean resilientes.
DORA entrará en vigor el 17 de enero de 2025. Todas las entidades financieras correspondientes deberán disponer de un registro exhaustivo de sus acuerdos contractuales con terceros proveedores de servicios de TIC. Estos registros permitirán:
Con el fin de ayudar a las organizaciones financieras en la preparación y presentación de los registros de información DORA sobre sus proveedores terceros de servicios de TIC, las AES y otras autoridades efectuarán ejercicios de ensayo en la medida de lo posible durante 2024:
Veritas tiene años de experiencia dando soporte a los requisitos de seguridad de datos para el sector financiero, por lo que está bien preparada para cumplir con los nuevos y estrictos requisitos de seguridad de DORA. Ofrecemos sistemas de software y hardware seguros, confiables y escalables que garantizan que los sistemas críticos para el negocio funcionen de manera eficiente y ayuden a las entidades financieras a mantener el cumplimiento.
Póngase en contacto con nosotros en línea para obtener más información sobre el cumplimiento de DORA y cómo podemos ayudar a su organización.