DORA: el tsunami que amenaza al sector financiero

¿Qué problemas aborda DORA? "DORA, Digital Operational Resilience Act, tiene como objetivo consolidar y mejorar los requisitos de riesgo de las TIC, es decir, las tecnologías de la información y las comunicaciones, en todas las entidades financieras para conseguir que todas las empresas estén sujetas a un conjunto de normas comunes para mitigar estos riesgos".

¿A quién afectará DORA?

• Afectará a entidades de crédito, entidades de pago, entidades de dinero electrónico, empresas de servicios de inversión, proveedores de servicios de criptoactivos, emisores de criptoactivos, emisores de fichas referenciadas a activos y emisores de fichas significativas referenciadas a activos, depositarios centrales de valores, entidades de contrapartida central, centros de negociación, registros de operaciones, gestores de fondos de inversión alternativos, sociedades de gestión, proveedores de servicios de suministro de datos, empresas de seguros y de reaseguros, intermediarios de seguros, intermediarios de reaseguros e intermediarios de seguros complementarios, fondos de pensiones de jubilación, agencias de calificación crediticia, auditores legales y sociedades de auditoría, administradores de índices de referencia cruciales, proveedores de servicios de financiación participativa, registros de titulizaciones y proveedores terceros de servicios de TIC.

¿En qué aspectos pone el foco DORA?

DORA pone el foco en que las empresas dispongan de:

• Una completa especificación de la política de la seguridad (confidencialidad, integridad y disponibilidad) incluyendo redundancia y pruebas de restauración de servicios ante incidencias.
• Enfoque orientado a la gestión del riesgo TIC.
• Con una clara identificación de las políticas de restricción de acceso físico y lógico.
• Con fomento de la autenticación fuerte y protección con cifrado de la información.
• Dispongan de una clara y efectiva política de gestión de cambios y parches.
• Y no perder de vista el riesgo aportado por terceros.
• Mecanismo de notificación de los incidentes relacionados con las TIC. Incluye la gestión, la clasificación y la comunicación a las autoridades para reforzar la eficacia de la supervisión (prevé un mecanismo similar al ya identificado en España en el RD 43/21 de Ciberseguridad).
  
  

Además, para asegurar su cumplimiento, se especificarán sanciones y medidas, incluso penales, que deberán ser eficaces, proporcionadas y disuasorias, llegando incluso a dar publicidad a las sanciones impuestas.

La propuesta además incluye un mecanismo coherente de notificación de incidentes, que incluye la gestión, la clasificación y la comunicación a las autoridades.

La aplicación de DORA implicará disponer de:

• Marco de gestión del riesgo (propio y de terceras partes)para hacer frente al mismo y alcanzar objetivos específicos.
• Proceso de gestión, clasificación y notificación de incidentes.
• Programa de resiliencia operativa digital que tenga como fin detectar debilidades, deficiencias o carencias de la seguridad de sus redes y sus sistemas de información.
• Procedimiento para la realización de pruebas de penetración guiadas por amenazas que abarque las funciones y servicios esenciales.
• Sistema que despliegue herramientas, políticas y procedimientos de seguridad TIC adecuados para el control de los servicios y herramientas que se utilicen.
• Política de continuidad de las actividades y un plan de recuperación en caso de catástrofe y su comunicación en caso de crisis.
• Sistema que permita el aprendizaje y evaluación de las vulnerabilidades, incidentes y ciberataques que se hayan detectado/producido.
  
  

¿Qué organismos especificarán requisitos complementarios al Reglamento?

Este grupo de entidades está formado por:

• la Autoridad Bancaria Europea (ABE),
• la Autoridad Europea de Valores y Mercados (AEVM).
• y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ),

que en consulta con la Agencia de la Unión Europea para la Ciberseguridad (ENISA), elaborarán proyectos de normas técnicas de regulación complementarios al Reglamento.

¿Cuándo se prevé la aprobación y publicación de DORA?

El pasado 24 de septiembre de 2021, la Comisión Europea publicó el borrador de Reglamento de Resiliencia Digital Operativa y se estima que el texto final entre en vigor a finales de 2021 o principios de 2022. Su aplicación, desde su publicación, podría ser a partir de los 12 meses de modo general y 36 meses para resiliencia avanzada (aspectos aún en discusión en el Parlamento Europeo).

Las expectativas que ha levantado este borrador está animando a otros sectores a apuntarse a este reglamento y, claro está, asumirlo como propio.

¿Necesitas más información? ¿Aún no has hecho una identificación de tus riegos? ¿Dispones ya de una herramienta para medir la eficacia de los controles de mitigación  que has implantado? ¿Te interesa implementar un método de mejora continua? Estamos para ayudarte.