La Ley de Resiliencia Operativa Digital (DORA) es una iniciativa regulatoria de la Comisión Europea (UE) destinada a fortalecer las medidas de seguridad cibernética en el sector de servicios financieros de la UE. Con una fecha de entrada en vigor a partir de enero de 2025, DORA establece pasos significativos para fortalecer la resistencia de los principales participantes del sistema financiero ante la creciente amenaza de los ciberataques y otros riesgos.
DORA incluye un conjunto integral de regulaciones destinadas a consolidar y elevar los requisitos de riesgo de tecnología de la información y las comunicaciones (TIC) en todos los sectores financieros. Este sistema marco asegura que todos los participantes cumplan con un conjunto común de estándares de riesgo de las TIC, creando una defensa unificada y sólida contra las posibles interrupciones.
Los objetivos principales de DORA se centran en la gestión de riesgos, la notificación de incidentes, las pruebas de resistencia, la gestión de riesgos asociados con terceros y el intercambio de información. Estos requisitos imponen a las instituciones financieras, así como a los principales proveedores externos, como los proveedores de servicios en la nube (CSPs), la necesidad de implementar procesos y procedimientos específicos.
Requisitos principales
Las empresas sujetas a DORA tienen la obligación de cumplir con cinco requisitos básicos:
- Plan de respuesta a incidentes: Las empresas deben desarrollar un plan de respuesta a incidentes detallado, que defina ataques cibernéticos, respuestas apropiadas de los empleados y procedimientos para restaurar operaciones después de una violación de seguridad.
- Programa de ciberseguridad: Se exige la implementación de un programa integral de ciberseguridad, incluyendo la evaluación de amenazas asociadas a ataques cibernéticos y planes apropiados para mitigar esas amenazas.
- Controles de seguridad: Las empresas deben mantener controles de seguridad sólidos sobre su infraestructura digital, incluyendo encriptación, autenticación, control de acceso, logs de auditoría, sistemas de monitoreo, sistemas de gestión de incidentes.
- Reporte de incidentes: Se requiere la presentación oportuna de informes de incidentes, permitiendo a las autoridades reguladoras evaluar la vulnerabilidad y ofrecer recomendaciones para mejorar la seguridad.
- Continuidad en la prestación de servicios: Establecer un plan para garantizar la continuidad en la prestación de servicios durante las interrupciones es esencial para cumplir con los reglamentos.
El marco de supervisión establecido por DORA impone a las instituciones reguladoras de la UE la obligación de auditar y evaluar los controles de las empresas, garantizando el cumplimiento de los estándares establecidos por DORA y la capacidad de mantener un entorno seguro y resistente para manejar datos financieros.
Es importante destacar que el impacto de DORA no se limita a la UE, ya que las autoridades reguladoras, incluyendo la Comisión de Valores y Bolsa de Estados Unidos (SEC), han introducido propuestas paralelas. En respuesta a estos cambios, empresas como SS&C Advent se están adaptando activamente a los requisitos de DORA, subrayando la importancia de la seguridad, el cumplimiento y la resiliencia en el paisaje digital en constante evolución de hoy en día.
¿A qué organizaciones afecta DORA?
- Instituciones de crédito;
- Instituciones de pago;
- Proveedor de servicios de información de cuentas;
- Instituciones de dinero electrónico;
- Instituciones que prestan servicios financieros;
- Proveedores de servicios externos en tecnologías de la información y comunicación (ICT); y proveedores de servicios en activos criptográficos autorizados bajo el reglamento del Parlamento Europeo y del Consejo sobre mercados de activos criptográficos y emisores de tokens basados en activos.
- Centros de comercio;
- Registros comerciales;
- Gestores de fondos de inversión alternativos;
- Compañías gestoras;
- Proveedores de datos para reportes financieros;
- Proveedor de servicios de financiamiento comunitario;
- Registro de titulizaciones;
- Depósito central de valores;
- Compañías de seguros y reaseguros;
- Intermediarios de seguros, intermediarios de reaseguros y agentes auxiliares de seguros;
- Instituciones de programas de jubilación para empleados;
- Agencias de calificación;
- Gestor de valores de referencia críticos;
DORA requiere que las organizaciones financieras monitoricen y gestionen los riesgos creados por los proveedores con los que colaboran. Esto se refiere tanto a individuos como a organizaciones que prestan servicios en nombre de estas empresas financieras: deben cumplir las reglas de DORA.
Es necesario tener en cuenta, sin embargo, que DORA no es aplicable a todas las entidades del sector financiero. Algunas están exentas, como las instituciones que administran programas de jubilación para menos de 15 personas, pequeñas empresas como intermediarios de seguros y otras organizaciones. Se puede encontrar la lista completa en el Artículo 2.3.
Cronograma para cumplir con los requisitos de DORA
DORA fue oficialmente aprobada el 16 de enero de 2023, y las instituciones financieras tienen dos años para preparar todo. Esto significa que deben cumplir con las reglas de DORA hasta el 17 de enero de 2025. Aunque puede parecer que hay mucho tiempo, es valioso que las empresas financieras comiencen a implementar las nuevas reglas ahora. No necesitan esperar hasta el último minuto – pueden comenzar a hacer cambios para cumplir con los requisitos.
En Z3X entendemos perfectamente los desafíos que enfrentan las empresas al adaptarse a las regulaciones del Digital Operational Resilience Act (DORA). Gracias a nuestro conocimiento de los marcos reguladores, estamos aquí para ayudar a tu empresa a asegurar el cumplimiento con los requisitos de DORA.
Nuestras soluciones personalizadas están diseñadas para ayudar a las instituciones financieras a implementar las acciones necesarias establecidas por DORA. Desde el desarrollo de estructuras de gestión de riesgos integral hasta la establecimiento de planes sólidos de respuesta a incidentes, nuestro equipo en Z3X tiene las herramientas adecuadas para guiar a tu empresa a través de todo el proceso.
Ofrecemos un enfoque proactivo, ayudando a tu organización a adelantarse a la competencia e iniciar el proceso de implementación con antelación. Utilizando nuestro conocimiento y experiencia, puedes simplificar la adopción de las regulaciones de DORA, asegurando una transición sin problemas y minimizando las interrupciones en las operaciones.
Colabora con Z3X no sólo para cumplir con las responsabilidades regulatorias, sino también para mejorar la resiliencia y seguridad general de tu negocio en un entorno digital cambiante. Nuestro objetivo es proporcionar soluciones prácticas que respondan a las necesidades específicas de tu organización, para que el viaje hacia la conformidad con DORA sea efectivo y eficiente. Permítele a Z3X ser tu socio de confianza para lidiar con las complejidades de las regulaciones y asegurar el futuro de tu negocio.
Puedes encontrar la regulación completa de DORA aquí.
—
Si prefieres leer este artículo en inglés, lo puedes encontrar aquí: ¿Qué es DORA y qué significa para tu empresa?
