¿Qué es DORA?

El galardonado ThreatDown MDR detiene las amenazas que otros pasan por alto

Explorar MDR

Introducción

El sector financiero está muy interconectado, y las perturbaciones en una entidad pueden tener efectos en cadena en todo el ecosistema. Los ciberataques, los fallos del sistema ylas vulnerabilidades de la cadena de suministroson cada vez más habituales y suponen una amenaza no solo para las instituciones individuales, sino también para la integridad del sistema financiero en general.

La DORA se diseñó para hacer frente a estos riesgos proporcionando un enfoque unificado y estandarizado de la resiliencia operativa. A diferencia de las normativas anteriores, que a menudo eran fragmentadas o específicas de un sector, la DORA establece un marco integral aplicable en toda la UE, lo que garantiza la coherencia en la gestión de los riesgos de las tecnologías de la información y la comunicación (TIC).

Objetivos clave del DORA

Los principales objetivos del DORA son:

Mejorar la resiliencia digital

  • Las instituciones financieras deben ser capaces de operar de forma fiable incluso durante interrupciones significativas de las TIC. DORA tiene como objetivo dotar de resiliencia a las infraestructuras digitales de estas instituciones para evitar interrupciones del servicio y violaciones de datos.

Estandarización de la gestión de riesgos

  • Al introducir un enfoque armonizado para la gestión de riesgos de las TIC, DORA garantiza que las entidades del sector financiero se adhieran a las mejores prácticas coherentes en toda la UE.

Mejora de la notificación de incidentes

  • La notificación oportuna y estandarizada de incidentes relacionados con las TIC ayuda a los reguladores y a las instituciones financieras a responder rápidamente y aprender de las interrupciones.

Fortalecimiento de la supervisión de los proveedores externos

  • Muchas instituciones financieras dependen de proveedores externos de servicios TIC. La DORA introduce normas estrictas para garantizar que estas relaciones se gestionen de forma responsable.

Facilitar el intercambio de información

  • Alentar a las instituciones financieras a compartir información sobre amenazas cibernéticas fomenta un enfoque colaborativo para combatir los riesgos emergentes.

Ámbito de aplicación del DORA: ¿A quién se aplica?

El DORA se aplica a una amplia gama de entidades del sector financiero, entre las que se incluyen:

  • Bancos
  • Compañías de seguros
  • Empresas de inversión
  • Proveedores de servicios de pago
  • Proveedores de servicios de criptoactivos
  • Centros de negociación
  • Contrapartes centrales
  • Agencias de calificación crediticia

Además, los terceros proveedores de TIC críticas, como los proveedores de servicios en la nube y las empresas de análisis de datos que apoyan a estas entidades, también entran en el ámbito de aplicación de la DORA. Esta amplia aplicación garantiza la cobertura de todos los componentes del ecosistema financiero.

Pruebas de resistencia digital

Las pruebas periódicas son esenciales para garantizar que los sistemas y procesos de TIC puedan soportar las tensiones operativas. El DORA exige:

Advanced

Auditorías independientes

  • Las pruebas deben ser realizadas por auditores externos cualificados para garantizar la objetividad.

Mejora continua

  • Los resultados de las pruebas deben servir de base para la mejora continua de los sistemas TIC.

Gestión de riesgos de terceros

Dada la creciente dependencia de los proveedores de servicios externos, el DORA hace especial hincapié en la gestión de los riesgos de terceros. Las entidades financieras deben:

  • Realice una diligencia debida antes de contratar a proveedores de servicios de TIC.
  • Formalice las relaciones mediante contratos detallados en los que se especifiquen los niveles de servicio, los requisitos de seguridad y las cláusulas de rescisión.
  • Supervisar continuamente el rendimiento de terceros y la exposición al riesgo.

Los proveedores de TIC críticas también pueden ser supervisados directamente por los reguladores europeos, lo que añade otro nivel de responsabilidad.

Notificación de incidentes

El DORA obliga a las entidades financieras a notificar los incidentes significativos relacionados con las TIC a las autoridades nacionales y europeas dentro de unos plazos estrictos. El proceso de notificación implica:

  • Identificar los incidentes que alcanzan umbrales de importancia predefinidos.
  • Presentación de informes detallados de incidentes con análisis de causas y medidas correctoras.
  • Actualizaciones continuas a los reguladores a medida que evoluciona la situación.

La normalización de los informes permite a los reguladores evaluar el impacto más amplio de los incidentes y coordinar las respuestas en todo el sector.

Gobernanza y supervisión

El DORA exige a las entidades financieras que establezcan marcos de gobernanza que den prioridad a la gestión de los riesgos de las TIC. Esto incluye:

  • Establecer mecanismos de rendición de cuentas en la toma de decisiones.cidentes y coordinar las respuestas en todo el sector.
  • Asignar responsabilidades claras a la alta dirección y a los consejos de administración.
  • Garantizar que el personal dispone de las competencias y la formación necesarias para gestionar los riesgos relacionados con las TIC.

Pasos para cumplir la normativa DORA

Paso 1: Realizar un análisis de carencias

  • Las instituciones financieras deben empezar por evaluar sus prácticas actuales de gestión de riesgos de TIC en relación con los requisitos del DORA. Este análisis identificará las áreas que necesitan mejoras.

Paso 2: Elaborar una hoja de ruta para el cumplimiento de la normativa

  • Basándose en el análisis de las deficiencias, las instituciones deben crear una hoja de ruta en la que se indiquen los pasos y los plazos para lograr la conformidad. Los hitos clave pueden ser la actualización de políticas y sistemas y la formación del personal.

Paso 3: Reforzar las estructuras de gobernanza

  • Las organizaciones deben asegurarse de que sus marcos de gobierno apoyan la integración de la gestión de riesgos de las TIC. Esto puede implicar la actualización de los estatutos del consejo, la redefinición de las funciones y la mejora de los mecanismos de supervisión.

Paso 4: Mejorar las capacidades de respuesta a incidentes

  • Las entidades deben desarrollar o actualizar sus planes de respuesta a incidentes para cumplir los requisitos de información y gestión del DORA. Esto incluye establecer protocolos de comunicación claros con los reguladores.

Paso 5: Implantar programas de pruebas de resistencia

  • Diseñe y ejecute un programa de pruebas exhaustivo para evaluar la solidez de los sistemas TIC. Las pruebas de penetración, los ejercicios basados en escenarios y las auditorías independientes deben formar parte de este programa.

Paso 6: Supervisar los riesgos de terceros

  • Evaluar las relaciones existentes con terceros y asegurarse de que se ajustan a los requisitos de DORA. Renegociar los contratos si es necesario para subsanar deficiencias en la rendición de cuentas o la calidad del servicio.

Retos y consideraciones del DORA

Costes de aplicación

  • El cumplimiento del DORA puede requerir importantes inversiones en tecnología, formación y asesoramiento externo. Las instituciones más pequeñas pueden enfrentarse a retos particulares debido a la escasez de recursos.

Equilibrio entre cumplimiento e innovación

  • Aunque el objetivo del DORA es mejorar la resistencia, las instituciones deben evitar ahogar la innovación centrándose excesivamente en el cumplimiento. Lograr el equilibrio adecuado es crucial.

Coordinación transfronteriza

  • Para las instituciones multinacionales, coordinar los esfuerzos de cumplimiento en distintas jurisdicciones puede resultar complejo. El enfoque armonizado del DORA pretende simplificar este proceso, pero siguen existiendo retos prácticos.

El DORA en el panorama normativo general

La DORA complementa la normativa vigente de la UE, como elReglamento General de Protección de Datos (RGPD)y la Directiva sobre seguridad de las redes y la información (NIS). En conjunto, estos marcos crean un entorno jurídico sólido para la gestión de los riesgos digitales.

Además, la DORA se ajusta a normas internacionales como las elaboradas por el Comité de Supervisión Bancaria de Basilea (BCBS) y el Consejo de Estabilidad Financiera (FSB), lo que garantiza su relevancia a escala mundial.

El futuro del DORA: preparativos para 2025 y más allá

A medida que se acerca la fecha de entrada en vigor, las instituciones financieras deben dar prioridad a la preparación para la DORA. Más allá del cumplimiento normativo, la adopción de la DORA ofrece ventajas estratégicas al generar confianza entre los clientes, mejorar la eficiencia operativa y reducir la probabilidad de que se produzcan costosas interrupciones.

Los responsables políticos y los reguladores también deben desempeñar su papel proporcionando orientaciones claras y apoyo para garantizar una aplicación fluida. El éxito de la DORA dependerá de la colaboración en todo el ecosistema financiero.

Conclusión

La Ley de Resiliencia Operativa Digital supone un importante paso adelante en la protección del sector financiero de la UE frente a los riesgos relacionados con las TIC. Al establecer normas rigurosas pero pragmáticas, la DORA no solo mejora la resistencia, sino que también fomenta la confianza y la estabilidad en un mundo cada vez más digital. Para las entidades financieras, el camino hacia el cumplimiento no es solo una obligación reglamentaria, sino una oportunidad de construir un futuro más seguro y sostenible.

Recursos destacados

Preguntas frecuentes sobre el DORA

¿Cuál es el principal objetivo de DORA?

El objetivo del DORA es mejorar la resistencia operativa de las entidades financieras de la UE garantizando que puedan resistir, responder y recuperarse de las perturbaciones relacionadas con las TIC. Introduce normas normalizadas para la gestión de riesgos de las TIC, la notificación de incidentes, las pruebas de resistencia y la supervisión de riesgos por terceros.

¿A quién se aplica el DORA?

El DORA se aplica a una amplia gama de entidades financieras, incluidos bancos, compañías de seguros, empresas de inversión, proveedores de servicios de pago, proveedores de servicios de criptoactivos y terceros proveedores de TIC críticas, como los proveedores de servicios en la nube.

¿Cuándo empieza a aplicarse el DORA y qué deben hacer las instituciones para prepararse?

La aplicación del DORA comienza el 17 de enero de 2025. Para prepararse, las entidades deben realizar un análisis de deficiencias, reforzar las estructuras de gobernanza, implantar programas de pruebas de resistencia, mejorar las capacidades de respuesta ante incidentes y garantizar una supervisión adecuada de los proveedores TIC externos.