info@solver4.com
+34 911 74 35 66
Linkedin
ES
¿Qué es la Ley de Resiliencia Operacional Digital (DORA)?
Empezaremos por hacer una pequeña introducción sobre la Ley de Resiliencia Operacional Digital (DORA, por sus siglas en inglés) que será plenamente aplicable a partir del 17 de enero de 2025. La Unión Europea ha lanzado esta nueva regulación para reemplazar los múltiples marcos de gestión de riesgos de TIC, con un único enfoque unificado para mitigar todos los incidentes relacionados con las TIC en la industria financiera europea. La innovación y la mejora de las normas que ya existen, así como la estandarización del modelo de notificación de incidentes es uno de los principales objetivos de DORA. Antes no existía un estándar objetivo de gestión de riesgos TIC en Europa.
Reforzar la resiliencia operativa dentro del sector financiero para garantizar la continuidad del negocio durante un ciberataque es uno de los principales objetivos de esta ley. Pero DORA también obliga a los proveedores de sistemas TIC críticos a adaptarse a esta regulación. El cumplimiento de terceros será evaluado mediante inspecciones realizadas por la autoridad Bancaria Europea (ABE), o la Autoridad Europea de Valores y Mercados (ESMA) o la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA).
¿Cuáles son los principales requisitos de DORA?
1. Gestión de riesgos TIC
Este primer requisito busca que las entidades financieras sigan un marco de gestión de riesgos TIC y toma en cuenta las directrices de la Autoridad Bancaria Europea (EBA) de Riesgos Tecnológicos.
Cada empresa debe contar con un sistema de gestión de riesgos completo y eficaz para identificar, evaluar, supervisar y controlar los riesgos asociados a sus operaciones digitales para garantizar la continuidad de negocio.
2. Reporte de incidentes TIC
Se hará a través de unas plantillas de notificación que se remitirán a la autoridad competente, en el plazo máximo de un mes tras el incidente, lo que permite una centralización que facilita la detección de tendencias.
3. Pruebas de resiliencia operativa digital
Las pruebas de resiliencia basadas en amenazas son las protagonistas de este punto. Pruebas anuales de toso los sistemas y aplicaciones críticos TIC (vulnerabilidades, análisis de código, rendimiento, capacidad…) así como pruebas avanzadas específicas de amenazas sobre funciones y servicios críticos.
4. Acuerdos de intercambio de información e inteligencia
El intercambio de información será uno de los puntos clave de esta regulación sobre ciberataques ya que permite crear conciencia sobre las nuevas amenazas que afectan al sector financiero, minimizar su propagación, apoyas las capacidades defensivas y las técnicas de detección de amenazas.
5. Gestión de riesgos TIC de terceros
DORA amplía el perímetro a todos los proveedores de alto riesgo y por lo tanto las entidades financieras deberán desarrollar un registro de información que refleje una visión completa de todos los servicios TIC e informar de posibles cambios anualmente.
Si quieres saber más sobre DORA descárgate el siguiente webinar.
¿A partir de cuando se debe cumplir con DORA?
Desde el momento de aprobación de la legislación el 16 de enero de 2023, se inicia un periodo de aplicación de 2 años que finalizará el 17 de enero de 2025. Las entidades financieras y sus proveedores de servicios críticos disponen de 24 meses para comenzar a trabajar en las necesidades que tienen para poder cumplir con la normativa y recomendamos no demorar esta etapa e iniciarla cuanto antes.
Estate atento a nuestro blog ya que te iremos contando más cosas sobre DORA. Pero, si te surge cualquier duda ¡pregúntanos! y nuestros expertos te la resolverán.