DORA: más seguridad TI y legal en finanzas

2 minutos de lectura

Con el Digital Operational Resilience Act, conocido como DORA, que entró en vigor en enero de 2023 y se hizo jurídicamente vinculante dos años después, la Unión Europea ha creado una normativa destinada a reforzar la resiliencia digital de las entidades financieras y aseguradoras.

Lo más importante en resumen

• DORA desde enero de 2023: Acta de Resiliencia Operativa Digital – Regulación de la UE para la resiliencia digital en el sector financiero.
• Vigente legalmente desde enero de 2025: Todas las empresas afectadas deben cumplir ya con los requisitos establecidos.
• Afectados: Bancos, compañías de seguros, mercados financieros, agencias de calificación crediticia y sus proveedores de servicios de tecnologías de la información y las comunicaciones (TIC).
• Principales obligaciones: Gestión de riesgos TI, notificación de incidentes, pruebas de resiliencia y monitoreo de terceros.
• Responsabilidad personal: Los directores ejecutivos son responsables de la implementación.

¿Qué es DORA?

DORA es una prioridad concreta para las empresas en 2024, porque influye directamente en la capacidad de datacenter, la eficiencia energética y el cumplimiento. Este artículo utiliza el ejemplo de synaforce para mostrar qué requisitos, cifras y pasos operativos importan en la práctica.

DORA, la Acta de Resiliencia Operativa Digital, constituye un paso fundamental hacia una mayor seguridad informática y jurídica en el sector financiero y asegurador, en los mercados financieros, en las agencias de calificación crediticia, así como en los proveedores de servicios de TIC y en aquellos que ofrecen servicios relacionados con las criptomonedas.

La Comisión Europea, que impulsó esta regulación, busca principalmente reforzar la resiliencia digital de las empresas y ha establecido un marco uniforme sobre cómo deben responder ante ciberamenazas y fallos tecnológicos.

Las buenas leyes requieren tiempo

Al igual que otros reglamentos y leyes de la Unión Europea, DORA, como parte del paquete financiero digital de la Comisión, entró oficialmente en vigor el 16 de enero de 2023, tras su publicación a finales de 2022. No obstante, los Estados miembros disponen de un plazo de dos años para su transposición nacional. Por consiguiente, las empresas afectadas y las autoridades financieras están obligadas a cumplir los requisitos de DORA antes del 17 de enero de 2025.

DORA se aproxima: las empresas y las autoridades deben reforzar ahora la resiliencia digital. Fuente de la imagen: Adobe Stock/ yakub

Su denominación completa, «Resiliencia Operativa Digital para el Sector Financiero y modificación de los reglamentos», revela que el objetivo principal es fortalecer la resistencia digital en el sector financiero. Sin embargo, los proveedores externos de servicios de tecnologías de la información y la comunicación (TIC) también comparten esta responsabilidad. La Comisión Europea pretende reducir la vulnerabilidad frente a las ciberamenazas y las perturbaciones a lo largo de toda la cadena de valor del sector financiero, e instar a las empresas afectadas a responder de manera adecuada ante estas situaciones.

Lo que contiene la regulación

La ordenanza de 79 páginas, según Security Insider, aborda también requisitos nacionales como los de la BaFin y el BSI. Pero además, se añaden nuevos elementos. En general, el Acto de Resiliencia Operativa Digital contiene cinco temas centrales:

• Establecer un marco para la gestión del riesgo de TI
• Tratamiento, clasificación y notificación de incidentes de TI
• Pruebas de resiliencia operativa
• Gestión de riesgos por parte de proveedores externos
• Crea un marco de supervisión para proveedores de servicios críticos

La gestión del riesgo de TI está establecida en el ámbito legal y no es solo una disposición administrativa. La responsabilidad total recae generalmente en la dirección de la empresa financiera o aseguradora. Esta debe estar obligada a supervisar, controlar y actualizar continuamente sus sistemas de TI. Además, las empresas deben definir y establecer estrategias para respaldo y recuperación, así como mantener documentos de riesgo listos para su revisión interna y externa.

La responsabilidad sigue en las empresas financieras

DORA exige: las empresas financieras son responsables, incluso de sus proveedores de servicios de TI y comunicación. Fuente de la imagen: Adobe Stock/ lovelyday12

Además, DORA establece procedimientos para la clasificación de ciertos incidentes de TI y comunicación que deben ser notificados y una revisión de los sistemas informáticos mediante métodos de prueba adecuados. Para las organizaciones de importancia sistémica existen requisitos más elevados.

Un componente fundamental de la regulación es que las empresas financieras están obligadas a prestar atención al manejo de riesgos en sus proveedores de servicios de TI y comunicación, con un marco de supervisión que otorga amplias facultades a los proveedores críticos de terceros.

En cuanto a los ámbitos de aplicación mencionados anteriormente para las empresas afectadas, DORA permite ciertas excepciones nacionales para bancos de desarrollo. En otros casos, la regulación es vinculante para empresas del sector financiero y asegurador.

Dado los requisitos obligatorios y el plazo cada vez más corto, es necesario contar con un socio fuerte y competente.

En caso de dudas sobre la implementación de las exigencias de DORA, los expertos en seguridad informática y protección de datos de msecure estarán encantados de asesorarle.

Hechos clave a simple vista

En vigor: Enero 2023, válido desde enero de 2025

Afectados: Bancos, aseguradoras, empresas de valores, agencias de calificación, proveedores de servicios de TI y comunicación

Áreas principales: Gestión de riesgos informáticos, notificación de incidentes, pruebas de resiliencia, supervisión de terceros

Deber de notificación: Incidentes graves de TI dentro de las 4 horas

Sanciones: Multas dependientes del volumen de negocio, responsabilidad personal de la dirección ejecutiva

Dato: Según el BKA, la ciberdelincuencia causó a las empresas alemanas un daño de más de 206 mil millones de euros en 2024.

Dato: El número de nuevas variantes de malware descubiertas diariamente se sitúa según AV-TEST en más de 450.000.

Preguntas frecuentes

¿Qué es DORA?

El Reglamento de Resiliencia Operativa Digital (DORA) es una norma de la Unión Europea que refuerza la resiliencia digital de las entidades financieras. A diferencia de una directiva, DORA entra en vigor de forma directa en todos los Estados miembros de la UE sin necesidad de adaptación nacional.

¿Quiénes están afectados por DORA?

Todas las entidades financieras sujetas a regulación: bancos, aseguradoras, empresas de valores, mercados organizados, agencias de calificación crediticia, prestadores de servicios de pago y sus proveedores críticos de tecnologías de la información y la comunicación (TIC). También quedan incluidos los proveedores de nube y centros de datos que presten servicios a entidades financieras.

¿En qué se diferencia DORA de NIS2?

DORA es específica del sector financiero, mientras que NIS2 tiene un alcance transversal a múltiples sectores. En muchos aspectos, DORA va más allá de NIS2, por ejemplo en las exigencias sobre pruebas de resiliencia y supervisión de terceros. Para las entidades financieras, DORA, al ser una norma más específica, tiene prioridad.

¿Qué deben hacer las empresas concretamente?

Implementar un marco integral de gestión de riesgos en TIC, establecer procesos de respuesta a incidentes con obligación de notificación en cuatro horas, realizar pruebas periódicas de resiliencia (incluyendo pruebas de penetración) y supervisar y garantizar contractualmente a todos sus proveedores críticos de TIC.

¿Qué papel desempeña el proveedor de servicios de TIC bajo DORA?

Los proveedores críticos de TIC serán supervisados directamente por las autoridades de control europeas por primera vez. Las entidades financieras deberán mantener un registro de todas las partes externas de TIC, evaluar los riesgos de concentración y disponer de estrategias de salida.

Lectura adicional en la red

NIS2 – la perspectiva transversal por sectores: NIS2: Actuar ahora (Security Today)

Cumplimiento en la nube para entidades financieras: cloudmagazin.com

Resiliencia digital como responsabilidad de gestión: digital-chiefs.de

Artículos relacionados

• Estudio de caso: Migración a la nube de un proveedor de servicios financieros – Seguridad desde el principio

Más del ecosistema de MBF Media

cloudmagazin | MyBusinessFuture | Digital Chiefs

Fuente de la imagen principal: Adobe Stock / Maxim

Sobre el autor: SecurityToday Redaktionsteam

Más artículos de SecurityToday Redaktionsteam