DORA: DIGITAL OPERATIONAL RESILENCE ACT. Reglamento de Resiliencia Operativa Digital
Entrada en vigor el 16 de enero 2023. Fecha de aplicación 17 de enero del 2025.
El Reglamento de Resiliencia Operativa Digital (DORA) es una normativa europea que establece un conjunto de requisitos comunes en materia de gestión de riesgos y notificación de incidentes para el sector financiero.
Su principal propósito es garantizar que las entidades financieras y las empresas de tecnologías de la información (TIC) que les prestan servicios necesarios para su funcionamiento puedan resistir, responder y recuperarse de eventos disruptivos, como ciberataques o fallos tecnológicos.
DORA se centra de forma específica en la resiliencia operativa digital, entendida como la capacidad de una organización para garantizar la continuidad operativa en un entorno cada vez más digital y conectado y donde una disrupción en sus servicios podría tener graves consecuencias
Ámbito de aplicación:
A entidades financieras y sus proveedores servicios TIC (informática y comunicaciones):
- Bancos
- Cajas
- Compañías de seguro
- Compañías financieras
- Firmas de inversión
- Firmas de criptoactivos
- Entidades de crédito.
- Entidades de pago.
- Proveedores de servicios de información sobre cuentas.
- Entidades de dinero electrónico.
- Empresas de servicios de inversión
- Proveedores de servicios de criptoactivos.
- Depositarios centrales de valores
- Sociedades de gestión.
- Proveedores de servicios de suministros de datos.
- Empresas e intermediarios de seguros, reaseguros y seguros complementarios.
- Fondos de pensiones de empleo.
- Agencias de calificación crediticia.
- Administradores de índices de referencias cruciales.
- Entidades de contrapartida central
- Centros de negociación.
- Registros de operaciones
- Gestores de fondos de inversión alternativos.
- Proveedores de servicios de financiación participativa.
- Registros de titulaciones.
- Empresas de pago y cobros
- Empresas de dinero electrónico
- Compañías proveedoras de software
- Compañías proveedoras servicios Cloud
- Compañías proveedoras servicios comunicaciones
- Proveedores servicios TIC como programadores, servicios recovery, etc.
- Las filiales de empresas financieras con sede fuera de la UE que operen en su territorio, también están obligadas a cumplir DORA, para asegurar que todas las operaciones dentro del mercado europeo cumplan con los mismos estándares de resiliencia.
NOTA IMPORTANTE: están obligadas a cumplir con DORA, todas las empresas que operen en el mercado de la Unión Europea, estén o no instaladas en la Unión Europea
Los requisitos establecidos por el Reglamento se pueden dividir en 6 grandes ámbitos:
1. Gobernanza de las TIC dentro de las Entidades Financieras.
2. Gestión de los riesgos de TIC.
3. Gestión de los riesgos TIC de terceros.
4. Gestión y notificación de incidentes.
5. Pruebas de resiliencia operativa.
6. Intercambio de información.
Gestión y gobernanza del riesgo de TIC: las entidades financieras deben desarrollar marcos integrales de gestión del riesgo de las TIC, identificando y clasificando activos críticos, realizando evaluaciones continuas de riesgos y estableciendo medidas de ciberseguridad adecuadas. El órgano de dirección de las entidades financieras será el responsable de definir las estrategias de gestión del riesgo y podrá ser responsable personalmente por el incumplimiento de la regulación.
Notificación de incidentes: las entidades financieras deben establecer sistemas para monitorear, administrar, registrar, clasificar e informar incidentes relacionados con las TIC. Deben presentar informes a las autoridades competentes y a los clientes y socios afectados sobre incidentes graves, proporcionando informes iniciales, intermedios y finales, y, con carácter voluntario, incidentes importantes.
Pruebas de resiliencia operativa digital, e intercambio de amenazas: las instituciones financieras deben probar regularmente sus sistemas de TIC para evaluar su fortaleza y detectar vulnerabilidades. Las pruebas incluyen evaluaciones de vulnerabilidades y pruebas basadas en escenarios, así como pruebas de penetración con amenazas especificas dirigías a entidades financieras. Igualmente, se deben establecer acuerdos de intercambio de información e inteligencia en relación con las ciberamenazas y las vulnerabilidades de ciberseguridad entre las entidades financieras.
Gestión de riesgos de terceros: las instituciones financieras deben asumir un papel activo en la gestión del riesgo de terceros de TIC, estableciendo acuerdos contractuales específicos y mapeando dependencias de la cadena de suministro. Los proveedores de servicios de TIC críticos también estarán sujetos a supervisión directa y deberán cumplir con los requisitos de DORA.
Obligaciones clave bajo el Reglamento DORA
Las empresas deben:
" Implementar sistemas sólidos de gestión de riesgos TIC (Tecnologías de la Información y Comunicación).
" Contar con políticas de continuidad operativa y planes de recuperación ante desastres.
" Realizar pruebas de resiliencia operativa regularmente.
" Notificar incidentes significativos a las autoridades competentes.
" Garantizar que los terceros proveedores de servicios tecnológicos cumplan con estándares adecuados de seguridad y resiliencia.
DORA también impone sanciones para las empresas que no cumplan con estos requisitos, haciendo imprescindible la preparación y alineación con las normativas establecidas.
Si tu empresa opera en alguno de estos sectores, es fundamental implementar estándares internacionales como ISO 27001 e ISO 22301 para facilitar el cumplimiento del reglamento. ¿Te gustaría más información o asesoramiento?
INTERCER
Soluciones en certificación, inspección y auditoria enfocadas a la optimización de los negocios.
NOTA: ESTA WEB NO UTILIZA COOKIES NI NINGÚN MEDIO DE CONTROL VISITANTES.
INTERCER
Avda. del Conocimiento nº 34, Parque Tecnológico de Ciencias de la Salud , 18006 Granada, Spain
Copyright INTERCER. All rights reserved.