La ley de la UE conocida como Reglamento Dora (Digital Operational Resilience Act) es una normativa que tiene como fin el fortalecimiento de la ciberseguridad y la resiliencia digital en el sector de los servicios financieros.
Su aprobación está teniendo un impacto más que notable en el seno de la Unión Europea, sobre todo por el sector al que se dirige, las implicaciones que tiene en cuanto a ciberseguridad y por su alcance.
Las autoridades de la UE buscan, con su aprobación, que las compañías del sector de las finanzas tengan que identificar y gestionar todos los riesgos que pueden afectarles a nivel digital, entre otras medidas que veremos a continuación.
El Reglamento DORA, conocido también como Ley de Resiliencia Operativa Digital, es un conjunto de normas que tiene como fin la regulación y la unificación de las leyes de gestión de los riesgos digitales en el sector de las finanzas. Es, por tanto, la unificación de diversas normas que regulan la seguridad online en el sector financiero. También ha servido para actualizarlas, puesto que algunas llevaban ya tiempo en vigor y precisaban una renovación.
Propuesto inicialmente por la UE en septiembre, DORA genera un marco exhaustivo, y vinculante, de cara a la gestión de los riesgos TIC en el mundo de las finanzas de la región.
Índice de temas
Objetivos de la normativa DORA
Con la aprobación y puesta en marcha de DORA, las autoridades de la UE pretenden reducir, al mínimo posible, los riesgos derivados de la implantación de las TIC en finanzas. También facilitar la gestión de riesgos en los sistemas, y habilitar la clasificación y la notificación de los incidentes de ciberseguridad que sufran las empresas del sector financiero de la UE.
La normativa también conduce a la realización de pruebas de resiliencia digital operativa, además de perseguir la puesta en marcha de acuerdos contractuales entre organismos financieros y proveedores de este tipo de servicios.
Además, sienta las bases para generar un marco para la supervisión de los proveedores de servicios críticos en finanzas. Y, sobre todo, se trata de un conjunto de normas para que el intercambio de información en el sector financiero se lleve a cabo de manera segura.
Cuándo se aprueba la normativa DORA
La Comisión Europea propuso por primera vez la normativa DORA en septiembre de 2020, dentro de un paquete de medidas más amplio con el que también se busca la regulación de los criptoactivos y la mejora de la estrategia de financiación digital en la Unión Europea. Pero formalmente, DORA no se adoptó hasta noviembre de 2022, algo más de dos años después.
Aunque entró en vigor el 16 de enero de 2023, las entidades financieras y los proveedores que les prestan servicios TIC tienen todavía margen para adaptarse: hasta el 17 de enero de 2025. Será entonces cuando empiece a aplicarse.
Formalmente, la UE ya ha adoptado esta normativa, pero las distintas Autoridades Europeas de Supervisión (AES), encargadas de monitorizar el sistema financiero de la Unión Europea, están todavía ajustando los últimos detalles principales de DORA.
Son la AES las entidades encargadas de elaborar la normativa técnica de regulación y las normas técnicas de ejecución que tienen que aplicar las entidades afectadas por DORA. Ambas estarán completamente listas y ajustadas este año.
Implicaciones del reglamento DORA en ciberseguridad
Las principales implicaciones que tienen las normas del reglamento DORA de cara a la ciberseguridad están relacionadas con distintos aspectos de la seguridad online en entidades financieras. Desde su entrada en vigor, estas tienen la obligación de establecer y cumplir unos requisitos concretos para la gestión de su ciberseguridad.
Estos requisitos tienen como fin facilitar que las empresas puedan protegerse de incidentes relacionados con las TIC en el mundo financiero, así como detectarlos, contenerlos, recuperarse de su impacto y reparar sus consecuencias.
Para cumplir con la normativa DORA, las entidades financieras tendrán que cumplir varias pautas para gestionar riesgos de ciberseguridad, notificar incidentes y monitorizar riesgos de su cadena de suministros. También tienen que realizar pruebas para probar su nivel de resiliencia operativa, y establecer acuerdos de intercambio de ciberamenazas.
Empresas a las que afecta el reglamento
DORA afecta a diversos tipos de entidades del sector financiero de la UE. Las más evidentes son quizá los bancos, tanto comerciales como de inversión, los gestores de fondos de inversión y las sociedades encargadas de la intermediación y negociación de valores.
También afecta a las compañías de seguros, a las plataformas de negociación que facilitan la compraventa de instrumentos financieros, a los proveedores de servicios de compensación y liquidación de valores y a las agencias de calificación crediticia. Estas se encargan de emitir valoraciones y calificaciones de la solvencia crediticia de entidades financieras y emisoras de valores.
Aplicación de la DORA y obligaciones
Aunque entró en vigor en enero de 2023, la fecha para que se apliquen oficialmente todas las normas de la DORA es el 17 de enero de 2025. Por lo tanto, las empresas afectadas por esta normativa tienen dos años para adaptarse y cumplirla, poniendo en práctica nuevas formas de proceder en relación con sus sistemas TIC.
Para ello tendrán que cumplir cuatro tipos de obligaciones: tienen que tener un marco de gestión de riesgos, hacer pruebas periódicas, garantizar transparencia y supervisar su cadena de valor.
Requisitos de la DORA
Dora establece que las entidades financieras tienen que cumplir requisitos en cuatro pasos o áreas fundamentales. Son las siguientes: gestión y la gobernanza del riesgo de TIC de terceros, respuesta y notificación de incidentes, pruebas de resiliencia operativa digital y gestión de riesgos de terceros. Es recomendable que haya además intercambio de información sobre incidentes.
Gestión de riesgos
Dentro de la gestión de riesgos, las empresas y entidades afectadas por DORA tendrán que regular tanto los procesos internos como los protocolos de actuación que pondrán en marcha para hacer frente a los riesgos TIC concretos a los que se enfrenten.
Es decir, tendrán que inventariar los riesgos que pueden correr en el ámbito de las tecnologías de la información, y enumerar las herramientas que tienen a su disposición y que pueden utilizar para evitar sufrirlos en la medida de lo posible, y para mitigar sus efectos en caso de ser afectados por ellos.
Los encargados de definir las estrategias que se llevarán a cabo en relación con la gestión del riesgo en una entidad financiera serán los miembros de su consejo de dirección. Si la empresa incumple la normativa DORA, los miembros de este consejo podrán ser considerados responsables de ello.
Notificación de incidentes
El reglamento DORA también dispone que las entidades financieras tendrán la obligación de informar sobre los incidentes graves que sufran a todas las partes implicadas. Es decir, a sus clientes y partners afectados.
Además, tienen que presentar informes sobre ellos a las autoridades competentes, con informes iniciales, intermedios y finales de cada incidente. Estos informes y comunicaciones solo serán obligatorios en el caso de incidentes graves. En el caso de que los incidentes se cataloguen como importantes, su presentación será voluntaria.
Pruebas de resiliencia
Con DORA en vigor es obligatorio realizar pruebas cada cierto tiempo, tanto de los sistemas como de los protocolos de las entidades financieras. A través de estas pruebas se puede comprobar si tienen el nivel de solidez y robustez adecuado para estar protegidos frente a incidentes, además de localizar las vulnerabilidades que, potencialmente, puedan desembocar en un ataque o en un incidente de seguridad.
Las pruebas tienen que incluir test de penetración con amenazas concretas dirigidas a entidades financieras. También pruebas basadas en diversos escenarios.
Intercambio información
En DORA se recoge también la necesidad de que las distintas entidades financieras lleguen a acuerdos entre ellas para intercambiar información sobre ciberamenazas. También sobre la inteligencia y medidas en relación con ellas, y sobre las vulnerabilidades que afecten a las instituciones financieras.
Otras
Además de estos requisitos, las empresas afectadas por DORA tendrán que adoptar un papel activo en la gestión de los riesgos TIC de terceros que tengan relación con ellas. Para ello será necesario que lleguen a acuerdos concretos y los fijen mediante un contrato.
Asimismo, es aconsejable que elaboren un mapeo de todas las dependencias de los proveedores y partners con los que se relacionan, para tener controlados no solo los posibles incidentes, sino también sus ramificaciones.
Como es lógico, todos los proveedores y partners de las entidades financieras están afectados por la ley DORA, así que tendrán que supervisar de manera directa los incidentes que puedan afectarles, y además cumplir los requisitos de la normativa.