La Ley de Resiliencia Operacional Digital (DORA, por sus siglas en inglés) es una importante iniciativa regulatoria de la Comisión Europea (UE) cuyo objetivo es mejorar las medidas de ciberseguridad en el sector financiero de la UE. Con una fecha de entrada en vigor fijada para enero de 2025, DORA establece pasos cruciales para fortalecer la resiliencia de los principales participantes del sistema financiero frente a las crecientes amenazas de ciberataques y otros riesgos.

DORA abarca un conjunto completo de regulaciones diseñadas para consolidar y elevar los requisitos de riesgo de Tecnologías de la Información y Comunicación (TIC) en todo el sector financiero. Este marco asegura que todos los participantes cumplan con un conjunto común de estándares de riesgo de TIC, creando una defensa unificada y robusta frente a posibles interrupciones.

Los objetivos centrales de DORA se centran en la gestión de riesgos, la notificación de incidentes, las pruebas de resiliencia, la gestión de riesgos de terceros y el intercambio de información. Estos requisitos obligan a las instituciones financieras, así como a proveedores críticos de terceros como los Proveedores de Servicios en la Nube (CSP), a implementar procesos y procedimientos específicos.

Requisitos principales

Las empresas que están bajo la jurisdicción de DORA están obligadas a cumplir con cinco requisitos principales:

  1. Plan de Respuesta a Incidentes: Las empresas deben desarrollar un plan detallado de respuesta a incidentes, que defina qué es un ciberataque, las respuestas apropiadas de los empleados y los procedimientos para restaurar las operaciones después de una violación de seguridad.
  2. Programa de Ciberseguridad: Se requiere un programa integral de ciberseguridad, que incluya evaluaciones de riesgos de posibles amenazas cibernéticas y planes correspondientes de mitigación.
  3. Controles de Seguridad: Las empresas deben mantener controles de seguridad sólidos en su infraestructura digital, que abarquen el cifrado, la autenticación, los controles de acceso, los registros de auditoría, los sistemas de monitoreo, los sistemas de gestión de eventos y los planes de respuesta a incidentes.
  4. Reporte de Incidentes: Se requiere la notificación oportuna de incidentes, lo que permite a los reguladores evaluar las vulnerabilidades y proporcionar recomendaciones para mejorar las posturas de seguridad.
  5. Continuidad del Servicio: Es esencial establecer un plan para garantizar la continuidad del servicio durante interrupciones para cumplir con las normas.

El marco de supervisión establecido por DORA establece la responsabilidad de las autoridades reguladoras financieras de la Unión Europea de auditar y evaluar los controles de las empresas, garantizando el cumplimiento de los estándares especificados por DORA y la capacidad de mantener un entorno seguro y resistente para el manejo de datos financieros.

Es importante destacar que el impacto de DORA no se limita a la Unión Europea, ya que los organismos reguladores, como la Comisión de Valores y Bolsa de los Estados Unidos (SEC), han propuesto medidas paralelas. En respuesta a estos desarrollos, empresas como SS&C Advent se están alineando activamente con los requisitos de DORA, enfatizando la importancia de la seguridad, el cumplimiento normativo y la resiliencia en el panorama digital en constante evolución de hoy en día.

¿Qué organizaciones están bajo DORA?

  • instituciones de crédito; 
  • instituciones de pago; 
  • proveedores de servicios de información de cuentas; 
  • instituciones de dinero electrónico; 
  • empresas de inversión; 
  • proveedores de servicios de terceros de TI; y proveedores de servicios de activos criptográficos autorizados bajo un Reglamento del Parlamento Europeo y del Consejo sobre mercados de activos criptográficos, e emisores de tokens referenciados a activos.
  • contrapartes centrales; 
  • lugares de negociación; 
  • registros de operaciones; 
  • gestores de fondos de inversión alternativos; 
  • empresas de gestión; 
  • proveedores de servicios de informes de datos; 
  • proveedores de servicios de financiación colectiva; 
  • registros de titularización; 
  • entidades de contrapartes centrales de valores; 
  • entidades aseguradoras y reaseguradoras; 
  • intermediarios de seguros, intermediarios de reaseguros e intermediarios de seguros auxiliares; 
  • instituciones de jubilación profesional; 
  • agencias de calificación crediticia; 
  • administradores de índices de referencia críticos; 

DORA hace necesario que las empresas financieras supervisen y gestionen el riesgo que representan los proveedores con los que trabajan. Esto se aplica tanto a personas como a organizaciones que prestan servicios a estas empresas financieras; deben seguir las reglas de DORA.

Sin embargo, es importante saber que DORA no se aplica a todos en el sector financiero. Algunos están exentos, como las instituciones que gestionan planes de jubilación para menos de 15 personas, pequeñas empresas como intermediarios de seguros y ciertas otras entidades. Puede encontrar la lista completa en el Artículo 2.3.

Cronograma para cumplir con los requisitos de DORA

DORA fue aprobado oficialmente el 16 de enero de 2023 y las instituciones financieras tienen dos años para poner todo en orden. Esto significa que deben seguir las reglas de DORA antes del 17 de enero de 2025. Aunque pueda parecer que hay mucho tiempo, es buena idea que las empresas financieras comiencen a adoptar las nuevas reglas desde ahora. No tienen que esperar hasta el último minuto: pueden empezar a hacer cambios para cumplir los requisitos.

¿Cómo podemos ayudar?

En Z3X, entendemos los desafíos a los que se enfrentan las empresas al adaptarse a las regulaciones de la Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés). Con nuestra experiencia en navegar en marcos legales, estamos aquí para brindar nuestro apoyo a su compañía en asegurar el cumplimiento de los requisitos de DORA.

Nuestras soluciones personalizadas están diseñadas para ayudar a las entidades financieras a implementar las medidas necesarias establecidas por DORA. Desde el desarrollo de marcos integrales de gestión de riesgos hasta el establecimiento de sólidos planes de respuesta ante incidentes, nuestro equipo en Z3X cuenta con los recursos necesarios para guiar a su empresa durante todo el proceso.

Ofrecemos un enfoque proactivo, ayudando a su organización a anticiparse y comenzar el proceso de implementación con suficiente antelación. Al aprovechar nuestros conocimientos y experiencia, puede agilizar la adopción de las regulaciones de DORA, asegurando una transición fluida mientras minimiza las interrupciones en sus operaciones.

Asóciese con Z3X no solo para cumplir con las obligaciones regulatorias, sino también para mejorar la resiliencia y seguridad general de su negocio en el cambiante panorama digital. Nuestro compromiso es brindar soluciones prácticas que se alignen a las necesidades específicas de su organización, haciendo que el proceso de cumplimiento de DORA sea eficiente y efectivo. Permítanos en Z3X ser su socio confiable al navegar por las complejidades del cumplimiento normativo y salvaguardar el futuro de su negocio.

Puede encontrar la regulación completa de DORA aquí.

Si prefiere leer este artículo en inglés, puede encontrarlo aquí: What is DORA and what does it mean for you company?

Recomiende este artículo