Reglamento DORA - Digital Operational Resilience Act

El nuevo Reglamento DORA (Digital Operational Resilience Act), publicado el 27 de diciembre de 2022 en el Diario Oficial de la Unión Europea, tiene como objetivo reforzar y armonizar a nivel europeo los principales requisitos de ciberseguridad para las empresas financieras (bancos, aseguradoras, empresas de servicios de criptomonedas y entidades financieras) y sus proveedores de servicios críticos.

La necesidad de definir una regulación europea en el ámbito fintech deriva de una apreciación que podemos considerar común a muchos sectores: la transformación digital en la que la mayoría de los operadores financieros han visto a la mayoría no ha ido acompañada de una adecuada concienciación y gestión de los riesgos TIC a los que el sector está cada vez más expuesto.

Por tanto, el crecimiento en número y gravedad de los ciberataques, la peligrosidad de consecuencias para el conjunto del sistema tanto a nivel nacional como supranacional, combinado con diversas lagunas en el marco regulatorio existente, pueden evidenciar la necesidad de homogeneizar los parámetros a nivel europeo para garantizar la «digitalización». resiliencia operativa» en el sector financiero.

 

OBJETIVOS

Esta publicación constituye, por tanto, un punto de inflexión decisivo y relevante para todos los aspectos de la ciberseguridad en el sector financiero, con el objetivo de aquellas empresas del sector:

• Son capaces de gestionar adecuadamente los riesgos derivados del uso de las TIC
• Disponer de un completo y eficaz sistema de gestión de incidencias TIC.
• Compruebe la resiliencia operativa digital.
• Gestionan adecuadamente los retos que presenta la presencia de cada una de las terceras grandes que operan en el mundo TIC.
• Compartan con la comunidad financiera digital la información sobre ciberamenazas y vulnerabilidades detectadas

El Reglamento DORA entró en vigor en toda la Unión Europea el 17 de enero de 2023, mientras que será de plena aplicación a partir del 17 de enero de 2025. Por tanto, las empresas destinatarias del Reglamento disponen de dos años para adaptarse a las novedades. Aunque el lugar parece grande, en organizaciones completas es bastante limitado.

 

PUNTOS PRINCIPALES

Para las entidades financieras, los capítulos más relevantes son cuatro, que podemos considerar los pilares principales del Reglamento. Sin embargo, podemos resumir las numerosas obligaciones que introduce el Reglamento en los siguientes puntos principales:

• Gobierno y organización interna, cuyo objetivo es definir un marco de control para la gestión eficaz y prudente de los retos TIC. Un papel fundamental de empeña el «Órgano de Dirección» de la entidad, el cual tenderá a abrir y aplicar las disposiciones contenidas en el citado Marco, teniendo plena responsabilidad.

 

• Adopción de un plan de gestión de riesgos de TIC, que básicamente requiere la creación de un marco de gestión de riesgos de TIC y la definición de una estrategia de resiliencia digital (por ejemplo, continuidad del negocio y recuperación ante desastres).

 

• Gestión de incidencias relacionadas con las TICs mediante la aplicación de un proceso de seguimiento, registro y gestión constante de las incidencias relacionadas con las TICs, con el objetivo de notificarlas a las autoridades competentes. La gestión debe definirse en función de la prioridad, seriedad y crítica de los servicios afectados, con la clara intención de mitigar el impacto y garantizar el adecuado restablecimiento de las operaciones y la seguridad de los servicios.

 

• Prácticas de resistencia operativa digital, con el objetivo de aumentar la conciencia de los supervisores sobre los riesgos e incidentes cibernéticos en los que se ven involucradas las entidades financieras. Requerirá a las entidades financieras que realicen una serie de pruebas periódicas, también con el objetivo de identificar debilidades, deficiencias o lagunas, así como verificar la capacidad de aplicar medicamentos correctivos oportunos, con una aplicación proporcionada a su tamaño y perfil de negocio y necesidades.

 

• Sistema de gestión de recursos informáticos derivados de terceros. En particular, incluye la identificación, clasificación y documentación de todos los procesos dependientes de terceros proveedores de servicios relacionados con las TICs. Asimismo, se deberá solicitar la imposición de distintas obligaciones contractuales, con el fin de garantizar un adecuado seguimiento de las actividades realizadas por los proveedores que cumplen una función crítica para la actividad que desarrolla la entidad financiera.

 

• Definición de protocolos de intercambio de información, mediante el establecimiento de cuentas entre entidades financieras para el intercambio de información y ciberdatos.

 

El cumplimiento de la regulación puede ser difícil, especialmente para las pequeñas y medianas empresas. Sin embargo, la normativa tiene en cuenta el tamaño de la entidad para aplicar los requisitos, como ocurre con el RGPD. También hay otras leyes en materia de ciberseguridad que van solas con esta regulación y muchas organizaciones pueden tener que gestionar simultáneamente las actividades necesarias para cumplirlas, como la Directiva NIS, el Reglamento DORA y la Ley de Resiliencia Cibernética, por citar las más importante.

 

NUESTRO ENFOQUE

Nuestro conocimiento del proceso de cumplimiento del Reglamento DORA implica la elaboración de un plan de cumplimiento personalizado, definido según el nivel de implantación de las actividades exigidas por el reglamento. La evaluación se hace al final a través de un análisis de carencias con respecto a lo que estás haciendo en la empresa: solo al final de esta actividad será posible realizar una evaluación del impacto de las nuevas reglas del Reglamento DORA.

 

Este análisis incluye las siguientes evaluaciones:

1. Aspectos organizativos.
2. Marca de gestión de riesgos.
3. Proceso de gestión y notificación de accidentes.
4. Proceso de gestión de la continuidad de las actividades.
5. Proveedores de servicios TIC críticos.
6. Riesgos introducidos por terceros.
7. Proceso de control y supervisión.

 

Para cada área del análisis de deficiencias, se evalúa lo siguiente:

• El nivel de satisfacción encontrado.
• La brecha que debe cerrarse
• Las medidas que se deben tomar a corto y mediano plazo para cerrar la brecha

 

EN CONCLUSIÓN

Ante los requisitos de la norma y su potencial impacto, se recomienda a las organizaciones iniciar, lo antes posible, este proceso de cumplimiento. Incluso dos años pueden parecer suficientes, para situaciones completas puede que no se utilice.

En Innovery, nuestro equipo de expertos está preparado para brindar apoyo y asesoramiento en todas las fases del proceso de cumplimiento. Si quieres más información ¡contacta con nosotros!