DORA: Todo lo que necesitas saber sobre el Nuevo Reglamento de Resiliencia Operativa Digital de la Unión Europea

Para proteger el sistema de riesgos y amenazas digitales, la Unión Europea ha puesto en marcha un reglamento que busca precisamente eso: blindar a las instituciones financieras. Así nace DORA (Digital Operational Resilience Act), una normativa diseñada para que las entidades financieras en Europa sean mucho más resistentes a incidentes cibernéticos y problemas tecnológicos. Aquí te contamos todo lo que necesitas saber sobre DORA y cómo puede afectar a la industria financiera.

I. ¿Qué es DORA?

DORA, o Reglamento de Resiliencia Operativa Digital, es una normativa europea que establece cómo deben prepararse las instituciones financieras para estar a prueba de ciberataques y fallos tecnológicos. La idea es que estas organizaciones puedan operar de manera segura y estable, sin importar los desafíos digitales que surjan. Aunque DORA se aprobó en 2022, su cumplimiento será obligatorio a partir del 17 de enero de 2025, y a partir de esa fecha las autoridades comenzarán a supervisar a las empresas para asegurarse de que están alineadas con estos requisitos.

Este reglamento unifica normas existentes (como las de la EBA, PSD, EIOPA, y eIDAS), creando un marco de regulación común para todas las instituciones en la UE. En otras palabras, si una entidad financiera opera en Europa, tiene que cumplir con DORA.

II. ¿Quién debe cumplir con DORA?

El alcance de DORA es amplio y afecta a una gran variedad de instituciones dentro del sector financiero europeo. Algunas de las organizaciones que tienen que adaptarse a esta normativa son:

• Bancos (tanto comerciales como de inversión).
• Aseguradoras.
• Gestores de fondos de inversión.
• Sociedades de valores.
• Plataformas de negociación de instrumentos financieros.
• Agencias de calificación crediticia.

En definitiva, si trabajas o tienes contacto con una empresa que maneja dinero, inversiones o datos financieros, es muy probable que esté dentro del alcance de DORA.

III. Los Objetivos de DORA ¿para qué sirve esta regulación?

DORA tiene varias metas claras que buscan reducir los riesgos asociados a la digitalización del sector financiero. Los cuatro objetivos principales son:

  1. Aumentar la resiliencia operativa digital: Esto significa que las instituciones deben ser capaces de resistir y recuperarse de incidentes relacionados con la tecnología, ya sea un ciberataque o una falla técnica.
  2. Crear un marco normativo común para la UE: Con DORA, la Unión Europea busca establecer normas de ciberseguridad que se apliquen de forma consistente en todos los países, reduciendo así las diferencias entre ellos.
  3. Reducir la dependencia de proveedores externos: Especialmente cuando se trata de servicios tecnológicos críticos como la nube, DORA quiere asegurar que las instituciones financieras tengan un control efectivo sobre sus proveedores.
  4. Proteger a los consumidores y al sistema financiero en general: Al final del día, DORA busca proteger tanto a los clientes como a la economía europea de los posibles daños causados por problemas tecnológicos.

IV. Requisitos clave de DORA

Para cumplir con DORA, las instituciones financieras tienen que adaptarse a cinco áreas principales:

Gestión de riesgos TIC (Tecnologías de Información y Comunicación)

Las empresas deben implementar controles rigurosos para gestionar los riesgos en sus infraestructuras digitales, lo cual incluye:
• Realizar evaluaciones periódicas de riesgos TIC.
• Aplicar políticas de seguridad robustas.
• Implementar procedimientos para monitorear y mitigar amenazas.

Reporte de incidentes digitales

DORA exige que cualquier incidente de TIC significativo se informe en un máximo de 72 horas. Además, las instituciones deben documentar cada paso de su respuesta para que las autoridades puedan evaluar el impacto del incidente.

Pruebas de resiliencia operativa digital

Para garantizar que sus sistemas están bien protegidos, las entidades deben realizar pruebas de ciberseguridad, como simulaciones de ataques y pruebas de recuperación ante desastres. En el caso de las grandes instituciones, incluso deben hacer evaluaciones externas de forma periódica.

Supervisión de proveedores externos críticos

Las entidades financieras también deben evaluar y supervisar a los proveedores de servicios esenciales (como los de almacenamiento en la nube) para minimizar cualquier riesgo. Además, DORA exige que las instituciones notifiquen a las autoridades sobre acuerdos con proveedores críticos.

Intercambio de información y cooperación

Para fortalecer la defensa frente a ciberataques, DORA promueve que las instituciones compartan información sobre amenazas con las autoridades nacionales y europeas.
Se destaca el papel de las Autoridades Europeas de Supervisión (AES), incluidas la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Valores y Mercados (AEVM) y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ), que estarán a cargo de las normas técnicas de regulación (NTR) y de las normas técnicas de ejecución (NTE) que deben aplicar las entidades alcanzadas.

V. Herramientas de cumplimiento: RTS e ITS

DORA ofrece herramientas como los Estándares Técnicos de Reglamentación (RTS) y los Estándares Técnicos de Implementación (ITS), que especifican paso a paso cómo deben cumplir las instituciones con el reglamento. Estas guías abarcan desde los reportes de incidentes hasta pruebas de seguridad, y ayudan a las empresas a implementar los requisitos de DORA en la práctica.

Hasta ahora las Autoridades Europeas de Supervisión (AES) han publicado los siguientes RTS e ITS:

• ITS para establecer las plantillas para el Registro de Información (Art. 28.9)
• RTS sobre el marco de la gestión de riesgos TIC (Art. 15)
• RTS sobre el marco simplificado de la gestión de riesgos TIC (Art. 16)
• RTS sobre los criterios de clasificación de incidentes graves relacionados con las TIC (Art. 18.3)
• RTS para especificar la política sobre servicios TIC (Art. 28.10)
• ITS para establecer los formularios, plantillas y procedimientos de los informes de incidentes graves relacionados con las TIC (Art. 20.b)
• RTS sobre especificar el contenido y los plazos de notificación para incidentes graves relacionados con las TIC (Art. 20.a)
• RTS para especificar pruebas de penetración basadas en amenazas (Art. 26.11)
• RTS para especificar elementos al subcontratar funciones críticas o importantes (Art. 30.5)
• RTS para especificar información sobre conductas de supervisión (Art.41)

Serán las autoridades nacionales competentes las que deberán supervisar el cumplimiento y aplicación de DORA.

VI. ¿Qué pasa si no se cumple con DORA?

DORA establece que las sanciones por incumplimiento deben ser efectivas, proporcionales y disuasorias, pero no especifica montos exactos de multas o restricciones operativas. Esto significa que las penalizaciones serán determinadas por las autoridades nacionales, y podrían variar según la gravedad de la infracción.

VII. Impacto de DORA en el sector financiero

Para adaptarse a DORA, las instituciones financieras tendrán que invertir en ciberseguridad, actualizar sus políticas y capacitar a su personal. También, los proveedores tecnológicos —sobre todo aquellos que ofrecen servicios críticos como la nube— deberán cumplir con los estándares de DORA para no exponer a las entidades a riesgos innecesarios.

VIII. Beneficios de DORA: ¿Qué ganan las empresas y los consumidores?

Además de proteger a las instituciones, DORA trae beneficios para los consumidores y la economía en general:

  1. Mayor confianza y seguridad: Los consumidores podrán estar más tranquilos al saber que sus bancos y aseguradoras están preparados para enfrentar ciberamenazas.
  2. Reducción de costos a largo plazo: Si bien la implementación de DORA tiene un costo inicial, a la larga ayudará a reducir los riesgos operativos, evitando pérdidas potenciales por ciberataques.
  3. Estabilidad del sistema financiero: DORA fortalece la estabilidad del sistema financiero europeo, minimizando el riesgo de crisis provocadas por problemas tecnológicos.
  4. Innovación segura: Esta normativa impulsa la innovación en el sector financiero, pero con altos estándares de seguridad.

IX. Conclusión

DORA representa un gran paso hacia la protección del sector financiero europeo frente a riesgos cibernéticos y tecnológicos. Aunque adaptarse a sus exigencias supone un esfuerzo considerable, los beneficios en términos de seguridad y estabilidad financiera son clave para el futuro de la industria en Europa. Con la fecha límite de enero de 2025 acercándose, las empresas deben empezar a trabajar en su adaptación a DORA para estar listas para el entorno digital de hoy y de mañana.

Si trabajas en el sector financiero, ¡es hora de ponerse manos a la obra!

Más
noticias