Reglamento de Resiliencia Operativa Digital (DORA)

Ante el riesgo cada vez mayor de ciberataques, la EU está reforzando la seguridad de las TIC (Tecnologías de la Información y la Comunicación) de los bancos, compañías de seguros y empresas de servicios de inversión. Como parte de estas medidas, el Parlamento Europeo (EP) y el Consejo han aprobado el Reglamento de Resiliencia Operativa Digital (DORA) que vuelve a incidir en buena parte de los requerimientos establecidos en las Guías de la EBA sobre TIC y Outsourcing, añadiendo nuevos requisitos o reforzando algunos de los ya existentes.

Resumen ejecutivo

Esta normativa tiene por objetivo garantizar que el sector financiero en Europa sea capaz de responder de forma sólida en caso de una disrupción operativa severa, creando un marco normativo sobre la resiliencia operativa digital por el que todas las entidades deben asegurarse de poder afrontar, responder y recuperarse de todo tipo de perturbaciones y amenazas relacionadas con las TIC.

Contenido principal

Esta Nota Técnica resume los aspectos clave que comprende DORA, organizados como sigue:

• Perímetro y Gobernanza TIC. DORA establece requisitos uniformes relativos a la seguridad de las redes y los sistemas de información de las entidades financieras, así como de terceros de importancia crítica que les prestan servicios relacionados con las TIC, como las plataformas en la nube o los servicios de análisis de datos.  Por otro lado, establece las responsabilidades del Órgano de Dirección e identifica la figura de un encargado de monitorizar los acuerdos con proveedores terceros de servicios de TIC.
• Riesgos TIC. Las entidades financieras deberán:
  • Identificar y clasificar, según criticidad, funciones y activos soporte TIC, así como sus interdependencias con terceros.
  • Identificar de forma continua las fuentes de riesgo.
  • Evaluar de manera anual los riesgos específicos en todos los sistemas TIC legacy.
  • Llevar a cabo un Business Impact Analysis (BIA) de las exposiciones a interrupciones severas del negocio en términos de continuidad para evaluar su impacto potencial.
• Reporte de incidentes TIC. Las entidades financieras deberán:
  • Definir, establecer y aplicar un proceso de gestión de incidentes relacionados con las TIC para detectar, gestionar y notificar los incidentes relacionados con estas.
  • Clasificar los incidentes relacionados con las TIC y determinar su impacto en función de los criterios establecidos (e.g. el número y/o la importancia de los clientes o las contrapartes financieras afectadas), así como clasificar las ciberamenazas en función de la importancia de los servicios en riesgo.
  • Presentar una notificación inicial e informes sobre incidentes relevantes relacionados con las TIC a la autoridad competente pertinente. El feedback recibido debe evaluarse y proporcionará orientaciones a la entidad financiera, en particular para discutir las soluciones a nivel de la entidad o las formas de minimizar el impacto adverso en todos los sectores.
• Pruebas de Resiliencia. Las entidades financieras establecerán, mantendrán y revisarán un programa sólido y completo de pruebas de resiliencia operativa digital como parte integrante del marco de gestión de riesgos de las TIC. Esto incluirá:
  • Pruebas anuales de todos los sistemas y aplicaciones críticos TIC (vulnerabilidades, análisis de código, rendimiento, capacidad…).
  • Pruebas avanzadas específicas de amenazas sobre funciones y servicios críticos, que serán validadas por las autoridades supervisoras.

Las entidades deberán garantizar que las pruebas sean realizadas por terceros independientes y como mínimo de manera anual.

• Riesgos TIC de terceros. DORA amplía el perímetro a todos los proveedores de alto riesgo (no solo los considerados outsourcing en las guías EBA). Las entidades deberán desarrollar un registro de información que contenga una visión completa de todos los terceros que presten servicios TIC e informar de los cambios al regulador una vez al año. Asimismo, se exige una evaluación de los riesgos de concentración TIC.
• Intercambio de información. Para aumentar la concienciación sobre el riesgo de las TIC, minimizar su propagación, apoyar las capacidades defensivas de las entidades financieras y las técnicas de detección de amenazas, DORA permite y promueve que las entidades financieras establezcan acuerdos para intercambiar entre ellas información e inteligencia sobre ciberamenazas.

Próximos pasos

• DORA comenzará a aplicar a partir de enero de 2025.
• Las ESAs presentarán normas técnicas de regulación (RTS) que especifiquen algunos aspectos establecidos en DORA antes de julio de 2024.

Accede a la nota técnica de Reglamento de Resiliencia Operativa Digital (DORA).