// Nueva Ley de Resiliencia Digital

Reglamento DORA 

La Ley de Resiliencia Operativa Digital, o DORA por sus siglas en inglés, prevé la introducción de un marco normativo global a nivel de la UE que incluye normas sobre resiliencia operativa digital para todas las entidades financieras.

Índice de contenidos

¿Qué es DORA?

En octubre del 2020, la Unión Europea lanzó un Nuevo Reglamento para regular la forma en que las empresas financieras gestionan el riesgo digital. Este Reglamento de Resiliencia Operativa Digital, es conocido por el nombre de DORA o Digital Operational Resilience Act

Será la apuesta de la Comisión Europea para homogeneizar y reforzar el ámbito normativo sobre resiliencia operativa digital en el sector financiero europeo en un entorno de transformación digital, nuevos participantes y grandes organizaciones tecnológicas.

Se trata de una normativa que forma parte del paquete de finanzas digitales, un paquete de medidas para seguir construyendo y apoyando la fuerza de las finanzas digitales en el contexto financiero actual, en términos de innovación y competencia, mitigando al mismo tiempo los riesgos que se derivan de ella.

Además de esta propuesta, el paquete incluye también una propuesta de Reglamento relativo a los mercados de criptoactivos, una propuesta de Reglamento sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado y una propuesta de Directiva para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros.

A pesar de que su aprobación se encuentra muy cerca, siguen existiendo elementos de debate, cuya determinación harán decantar y establecer la norma hacia un mayor o menor impacto en las distintas entidades de aplicación y sus modelos de gestión de ciberseguridad y resiliencia. 

¿Qué problemas aborda DORA?

DORA tiene como objetivo consolidar y mejorar los requisitos de riesgo de las TIC, es decir, las tecnologías de la información y las comunicaciones, en todas las entidades financieras para conseguir que todas las empresas estén sujetas a un conjunto de normas comunes para mitigar estos riesgos.

Es por ese motivo que los responsables políticos y los supervisores han focalizado su atención cada vez más en los riesgos derivados de la dependencia de las TIC, el principal problema que aborda DORA. Concretamente, han intentado aumentar la resiliencia de las empresas o su capacidad para adaptarse a los cambios, mediante el establecimiento de normas y la coordinación del trabajo de regulación o supervisión. 

Este trabajo se ha llevado a cabo tanto a escala internacional como europea, y tanto a nivel intersectorial como en una serie de sectores específicos, incluidos los servicios financieros.

DORA, elimina obstáculos al mercado europeo de servicios financieros y mejora su establecimiento y funcionamiento con las normas aplicables en el ámbito de la gestión del riesgo de TIC, la presentación de informes, las pruebas y el riesgo de terceros relacionado con las TIC.

¿Cuáles son los objetivos de DORA?

¿A qué empresas afecta DORA?

La evolución de la tecnología en el sector financiero y la aparición de nuevos sistemas de pago digitales que son cada vez más usados entre la población, junto al apogeo y el creciente uso de las criptomonedas, y en general, de los criptoactivos, suponen una revolución. En este contexto, la nueva normativa de resiliencia debe aumentar la confianza y atraer las inversiones.

DORA tiene como objetivo consolidar y mejorar los requisitos de riesgo de las TIC. Es decir, las tecnologías de la información y las comunicaciones, en todas las entidades financieras para conseguir que todas las empresas estén sujetas a un conjunto de normas comunes para mitigar los riesgos de las TIC.

Podemos decir de esta manera, que el objetivo principal de DORA es la innovación y la mejora de las normas que ya existen así como la estandarización del modelo de notificación de incidentes, garantizando que la Unión adopte la revolución digital y la impulse con empresas europeas innovadoras en la vanguardia, poniendo los beneficios de las finanzas digitales a disposición de los consumidores y las empresas.

DORA afecta a entidades financieras e incluye a los intermediarios de seguros, entidades de dinero electrónico, proveedores de servicios TIC, proveedores de cloud, de servicios digitales, auditores legales, sociedades de gestión, agencias de calificación, entre otros, y alcanza la gestión del riesgo TIC, incidentes y notificaciones de los mismos, pruebas de resiliencia operativa digital, riesgos de terceros e intercambio de información entre entidades financieras.

El Reglamento todavía no concreta cuáles serán los criterios a aplicar para determinar el nivel de riesgo, pero todo parece indicar que muchas PYMES se verán impactadas y, por tanto, su posición competitiva.

// ¿Quieres saber si debes aplicar DORA en tu organización?

< REALIZAR TEST >

¿Cuáles son las implicaciones
prácticas de DORA?

Implicaciones prácticas Dora

Respecto a su alcance e implicaciones, el modo en el que DORA impacta en las instituciones es el siguiente:

  • La gestión del riesgo TIC.
  • Los incidentes y las notificaciones de incidentes relacionados con las TIC.
  • Las pruebas de resiliencia operativa digital.
  • Los riesgos de terceros en las TIC y el intercambio de información entre entidades financieras. 

En particular, mejorará y racionalizará la gestión de los riesgos TIC por parte de las entidades financieras, establecerá pruebas exhaustivas de los sistemas TIC, aumentará la concienciación de los supervisores sobre los riesgos de ciberseguridad y los incidentes relacionados con las TIC a los que se enfrentan las entidades financieras, y facultará a los supervisores financieros para supervisar los riesgos derivados de la dependencia de proveedores externos de servicios de TIC por parte de las entidades financieras. 

La propuesta creará un mecanismo coherente de notificación de incidentes que contribuirá a reducir las cargas administrativas para las entidades financieras y reforzará la eficacia de la supervisión.

¿Cuándo se prevé la aprobación y publicación de DORA?

Actualmente está siendo debatida en el Parlamento Europeo y se estima que el texto final entré en vigor a finales de 2021 o principios de 2022, con aplicación a partir de los 12 meses de modo general, y 36 meses para las pruebas de resiliencia avanzada.

OSV es la solución que cumple con las exigencias de Dora

Nuestra solución OSV para DORA cuenta con todas las especificaciones necesarias, que a continuación detallamos, para ayudar a las entidades a cumplir con el marco normativo de actuación.

Gestión de riesgos

Identificamos y reducimos al mínimo el riesgo de las TIC, determinando las medidas de protección y prevención, y estableciendo políticas de continuidad.

Notificación de incidentes

Notificaremos a las autoridades competentes los incidentes importantes relacionados con las TIC.

Pruebas de resiliencia operativa digital

Identificamos los puntos débiles, lagunas y deficiencias en el marco de la gestión de riesgos de las TIC.

Intercambio de inteligencia

Realizaremos un intercambio de información acerca de ciberataques a otras entidades financieras actuando como un único equipo frente a la lucha contra la ciberdelincuencia.

Riesgos de tercero en materia TIC

Evaluamos, supervisamos y documentamos el riesgo de tercero en materias TIC.

reglamento dora checklist
Requisitos de las entidades financieras para cumplir con DORA

CHECKLIST


    Código AntiSpam:captcha