Digital Operational Resilience Act

DORA


DORA como la clave para una defensa efectiva contra las amenazas cibernéticas.

Las entidades financieras necesitan funcionar sin problemas.

DORA es una nueva regulación de la UE que tiene como objetivo fortalecer la resiliencia operativa digital de las entidades financieras. Para alcanzar este objetivo, requieren sistemas de TIC robustos, procesos bien diseñados y acuerdos claros con los proveedores de servicios. Descubre más sobre cómo podemos ayudarte a implementar DORA y cumplir con los requisitos de esta regulación clave.

La regulación DORA establece un marco uniforme sobre cómo aumentar la resiliencia informática para las entidades financieras y sus proveedores de servicios de TI dentro de la UE. Esta regulación no solo ayuda a minimizar los riesgos de ataques cibernéticos y interrupciones técnicas, sino que también aumenta la confianza de los consumidores e inversores en el sector financiero en su conjunto.

Tobias Dieter, Consultor Gerente en la Línea de Negocio de Seguridad de la Información en adesso SE.


Compl.AI

Verifica los contratos para el cumplimiento de DORA de manera rápida y sencilla.

Automatiza el proceso de revisión de contratos con Compl.AI y reduce el tiempo, costos y riesgos de cumplimiento. La herramienta analiza automáticamente los contratos para verificar su conformidad con DORA, monitorea continuamente los cambios y garantiza que tu organización esté siempre actualizada. Esto te permite concentrarte en tu negocio principal y asegurar la seguridad de tu infraestructura de TIC.


Puntos claves abordados por la regulación


El marco de gestión de riesgos de TIC mejora la gestión de riesgos de información y de seguridad de la información en las entidades financieras. El marco abarca el diseño y la operación de sistemas y procesos de TIC robustos que funcionan eficazmente en caso de una interrupción o emergencia. Para que esto ocurra, debe asegurarse la monitorización constante de los riesgos de TIC y el establecimiento de salvaguardias. Las pruebas regulares garantizan que todas las directrices, planes y medidas sean exitosas en mantener de manera consistente operaciones comerciales estables.

El régimen de pruebas para la resiliencia operativa que deben llevar a cabo las empresas incluye la planificación y realización de pruebas en los componentes de TIC, la identificación, evaluación y tratamiento de vulnerabilidades, así como la realización de pruebas de penetración dirigidas por amenazas (TLPT) en los servicios de TIC para funciones críticas, con la participación directa de los proveedores de servicios de TIC de terceros.

Las entidades financieras están obligadas a desarrollar procedimientos fiables para manejar incidentes de TIC. Para cumplir con este requisito, deben introducir un procedimiento estandarizado para monitorear, clasificar e informar sobre incidentes de TIC a las autoridades supervisoras.

La gestión de riesgos de TIC incluye requisitos mejorados para la gestión de riesgos de terceros y cuartos. Las entidades financieras deben identificar y abordar adecuadamente los riesgos que presentan los proveedores de servicios de TIC externos. También deben preparar e informar sobre una lista de actividades externalizadas e incluir los contenidos mínimos especificados para los contratos con los proveedores de servicios de TIC.

El intercambio regular de información e inteligencia sobre amenazas cibernéticas entre las entidades financieras y los reguladores es vital para una comunicación transparente.


  • Instituciones de crédito
  • Instituciones de pago
  • Proveedores de servicios de información de cuentas
  • Instituciones de dinero electrónico
  • Firmas de inversión
  • Proveedores de servicios de criptoactivos
  • Depositarios centrales de valores
  • Lugares de negociación
  • Repositorios de negociació
  • Gestores de fondos de inversión alternativa
  • Compañías de gestión
  • Proveedores de servicios de informes de datos,
  • Entidades de seguros y reaseguros
  • Intermediarios de seguros y reaseguros
  • Instituciones de pensiones ocupacionales
  • Agencias de calificación
  • Proveedores de servicios de financiación colectiva
  • y así sucesivamente

Las entidades financieras afectadas se pueden dividir en dos grupos:

  • Estos incluyen bancos, compañías de seguros, proveedores de servicios de pago y compañías de gestión de capital.

    Conocen los “requisitos de TI regulatorios” emitidos por BaFin (xAIT) que les son aplicables. Además, las empresas suelen tener sistemas de gestión funcionales para la seguridad de la información, riesgos, emergencias y proveedores de servicios, y operan un sistema de gestión de servicios de TI alineado con sus necesidades. DORA añade una variedad de otros aspectos a los temas existentes. El desafío consiste en evaluar los nuevos requisitos e implementarlos correctamente en los sistemas de gestión existentes. Adesso realiza una comparación de objetivos/rendimiento contigo y te apoya durante la evaluación y la implementación de medidas para gestionar incidentes.

  • Es importante revisar todos los requisitos. Las evaluaciones de preparación han demostrado ser una opción excelente, ya que permiten cumplir con los requisitos de manera estructurada mediante la formulación de preguntas específicas y el uso de las respuestas para desarrollar planes de acción.

    DORA define umbrales de proporcionalidad para mantener el esfuerzo requerido de las entidades financieras dentro de lo razonable y diferencia entre empresas según su tamaño y ingresos.

    Las entidades financieras están obligadas a desarrollar y realizar regularmente capacitación obligatoria en seguridad de TI y resiliencia operativa digital para todos los empleados y, cuando sea apropiado, para los proveedores de servicios de TI de terceros también. Esta capacitación debe tener un nivel de complejidad “proporcional al alcance de sus funciones” (Art. 13(6) DORA).


Proveedores de servicios de TI de terceros

Además de las entidades financieras cubiertas por la regulación, DORA también requiere que sus proveedores de servicios garanticen una provisión de servicios estable. Un "proveedor de servicios de TI de terceros" se define en el Art. 3 No. 19 DORA como "una empresa que proporciona servicios de TI".

Los "servicios de TI" significan "servicios digitales y de datos proporcionados a través de sistemas de TI a uno o más usuarios internos o externos de manera continua, incluidos servicios de hardware como servicio y servicios de hardware que incluyen la provisión de soporte técnico a través de actualizaciones de software o firmware por parte del proveedor de hardware, excluyendo los servicios telefónicos analógicos tradicionales".
(Art. 3 No. 21 DORA)

Gráfico del procedimiento temporal DORA adesso

Autoridades supervisoras

DORA ha sido publicado, pero aún no está completamente desarrollado.

Los estándares técnicos de regulación estarán disponibles por parte de la autoridad supervisora bancaria europea a partir de enero de 2024, abarcando los siguientes temas, entre otros:

  • Seguridad de la red
  • Salvaguardias contra intrusiones y uso indebido de datos
  • Controles de derechos de gestión de acceso
  • Detección de actividades anormales y monitoreo de comportamientos anormales y procesos de respuesta
  • Planificación de la continuidad del negocio de TIC
  • Revisión del marco de gestión de riesgos de TIC
  • Clasificación de incidentes relacionados con TIC y amenazas cibernéticas
  • Informes de incidentes graves relacionados con TIC
  • Pruebas avanzadas de herramientas, sistemas y procesos de TIC basadas en TLPT
  • Principios clave para una gestión sólida del riesgo de terceros en TIC
  • Armonización de los requisitos para llevar a cabo actividades de monitoreo

Medidas de aplicación

Los Estados miembros de la UE deberán garantizar que sus autoridades nacionales competentes monitoreen de manera efectiva el cumplimiento de los requisitos de DORA.

Las multas deberán ser "efectivas, proporcionales y disuasorias" (Artículo 50(3) DORA), teniendo en cuenta las circunstancias del caso individual.

Las autoridades públicas pueden adoptar cualquier "tipo de medida, incluyendo de naturaleza pecuniaria" (Art. 50(4)(c) DORA) para obligar a las entidades financieras a remediar las infracciones de los requisitos de DORA.


Servicios que ofrece adesso

adesso tiene una amplia experiencia en los campos necesarios para garantizar la implementación exitosa de los requisitos de DORA. Esto se aplica en particular a la gestión de la seguridad de la información (ISM), la gestión de riesgos de información (IRM), la gestión de la continuidad del negocio (BCM) y la gestión de proveedores. Cumplir con todos los requisitos es complejo y requiere la acción coordinada de diversas funciones comerciales.

Por lo tanto, es importante que las entidades financieras y los proveedores de servicios de TIC tomen las siguientes medidas desde el inicio del proceso:

Paso 1 – Análisis: evaluar los requisitos y determinar el grado de cumplimiento como parte de un chequeo de preparación para DORA.

Paso 2 – Planificación de acciones: identificar áreas de acción y crear una hoja de ruta.

Paso 3 – Implementación: implementar paquetes de trabajo, establecerlos a nivel organizativo en la gestión de proyectos y proporcionar apoyo durante la fase de implementación.

Esperamos tu consulta


¿Tienes alguna pregunta sobre DORA?

Contáctanos y hablemos sobre tus desafíos específicos juntos.

Esperamos tener un intercambio contigo, ya sea en persona o de forma digital.

Escríbenos