Reglamento DORA (Digital Operational Resilience Act)

DORA (Digital Operational Resilience Act) es un reglamento de la Unión Europea cuyo objetivo es reforzar la ciberseguridad y la resiliencia operativa de las instituciones financieras, como bancos, compañías de seguros y empresas de inversión. Diseñada con criterios y requisitos específicos, el reglamento DORA establece un marco integral para garantizar que el sector financiero europeo pueda resistir y recuperarse de graves perturbaciones operativas, incluidos los ciberataques.

La ley de resiliencia operativa digital es un reglamento adoptado por la UE en 2022 y que entrará en vigor en enero de 2025. Está diseñada para armonizar las normas y requisitos relativos a la resistencia operativa para el sector financiero en toda la UE, abarcando más de 20 tipos diferentes de entidades financieras, así como proveedores de servicios de terceros de TIC (Tecnologías de la Información y la Comunicación).

Más que una simple salvaguarda recomendada, DORA es una normativa fundamental que pretende reforzar la postura de ciberseguridad y la resistencia operativa del sistema financiero europeo en su conjunto. Para lograrlo, la normativa DORA obliga a las entidades financieras a conocer toda su infraestructura informática, incluidos los proveedores externos, y a identificar las posibles vulnerabilidades y riesgos. Se espera que estas entidades apliquen estrategias sólidas para proteger sus sistemas, datos y clientes frente a las interrupciones.

DORA pretende capacitar al sector financiero para identificar, proteger, detectar, responder y recuperarse mejor de los incidentes relacionados con las TIC que puedan amenazar la prestación de servicios financieros críticos. Sus objetivos clave incluyen

• Reforzar la ciberseguridad y la resistencia operativa de las entidades financieras de la Unión Europea, como bancos, compañías de seguros y empresas de inversión.
• Establecer un marco global que garantice que el sector financiero puede resistir y recuperarse de graves perturbaciones operativas, incluidos los ciberataques.
• Normalizar los requisitos relacionados con la resistencia operativa para el sector financiero de la UE, incluidos los distintos tipos de entidades financieras y proveedores de servicios TIC a terceros.
• Garantizar que las entidades financieras conozcan toda su infraestructura informática, incluidos los proveedores externos, puedan identificar posibles vulnerabilidades y riesgos y aplicar estrategias sólidas para proteger sus sistemas, datos y clientes frente a las interrupciones.

El objetivo principal de DORA es elevar los estándares de ciberseguridad y la resistencia operativa digital en el sector financiero europeo. Pretende ir más allá de las meras medidas defensivas, abogando por un marco sólido de resiliencia que garantice la continuidad y la calidad de los servicios financieros, incluso ante perturbaciones operativas significativas.

El marco global de DORA para reforzar la ciberseguridad y la resistencia operativa del sector financiero de la UE se estructura en torno a cinco requisitos clave:

1. GESTIÓN DE RIESGOS PARA TIC

DORA exige que las entidades financieras dispongan de un sólido marco de gestión de riesgos de TIC con estrategias, políticas y procedimientos para proteger la información, el software y los activos físicos. Además, las entidades deben realizar análisis de impacto en el negocio, crear planes de respuesta y recuperación y probarlos con regularidad. También deben implantar programas de conciencia sobre seguridad para todo el personal y la dirección.

2. GESTIÓN, CLASIFICACIÓN Y NOTIFICACIÓN DE INCIDENTES RELACIONADOS CON LAS TIC

Las entidades deben ser capaces de clasificar, abordar y notificar rápidamente los incidentes relacionados con las TIC y las ciberamenazas a los reguladores y a las partes afectadas. Los incidentes deben notificarse en el plazo de cuatro horas desde que se tiene conocimiento de ellos, con un informe más detallado en el plazo de una semana. Esto requiere que las entidades cuenten con planes sólidos de respuesta a incidentes y procesos para el análisis de la causa raíz.

3. PRUEBAS DE RESILIENCIA OPERATIVA DIGITAL

DORA exige a las entidades que realicen pruebas periódicas de sus sistemas e infraestructuras de TIC para evaluar las vulnerabilidades y la eficacia de las medidas de protección. Esto incluye pruebas básicas anuales y pruebas de penetración más exhaustivas dirigidas por amenazas cada tres años para identificar lagunas y puntos débiles en las capacidades de resistencia de la entidad.

4. GESTIÓN DE RIESGOS DE TIC FRENTE A TERCEROS

DORA obliga a las entidades a gestionar activamente los riesgos de las TIC planteados por los proveedores de servicios de terceros, incluyendo la realización de la diligencia debida y auditorías. Los contratos con terceros deben incluir disposiciones sobre seguridad, notificación de incidentes y estrategias de salida. Las entidades también son responsables de garantizar que los terceros cumplan los requisitos de DORA.

5. INTERCAMBIO DE INFORMACIÓN E INTELIGENCIA

Para ayudar a crear una conciencia colectiva y desarrollar las mejores prácticas para prevenir y responder a las ciberamenazas, se anima a las entidades a participar en el intercambio voluntario de información sobre ciberamenazas con otras instituciones financieras. El intercambio de información debe cumplir la normativa de protección de datos y evitar revelar información sensible de los clientes.

Mediante la aplicación de estos cinco requisitos, las entidades financieras de la UE pueden reforzar su resistencia operativa digital general y resistir mejor y recuperarse de las perturbaciones graves relacionadas con las TIC.

El ámbito de aplicación del reglamento DORA es amplio y abarca una gran variedad de entidades y servicios financieros de la UE. Las principales entidades afectadas por DORA son:

INSTITUCIONES FINANCIERAS TRADICIONALES

• Entidades de crédito (bancos)
• Entidades de pago
• Entidades de dinero electrónico
• Empresas de inversión
• Compañías de seguros y reaseguros
• Agencias de calificación crediticia

Estos actores tradicionales del sector financiero son los principales objetivos de DORA, ya que son responsables de servicios financieros críticos y poseen grandes cantidades de datos sensibles de los clientes.

ENTIDADES FINANCIERAS EMERGENTES

• Proveedores de servicios de criptoactivos (CASP, por sus siglas en inglés)
• Proveedores de servicios de “crowdfunding”
• Gestores de fondos de inversión alternativos (GFIA, por sus siglas en inglés)
• Empresas gestoras de OICVM

DORA también abarca a participantes más recientes del mercado financiero, reconociendo así su creciente papel en la prestación de servicios y en la necesidad de garantizar la resiliencia operativa.

PROVEEDORES DE SERVICIOS EXTERNOS CLAVE

• Proveedores de computación en nube
• Operadores de centros de datos
• Proveedores de software
• Empresas de análisis de datos

DORA incluye a los proveedores de servicios TIC de terceros críticos que apoyan las operaciones de las entidades financieras. Estos proveedores se consideran de importancia sistémica y también deben cumplir los requisitos de DORA.

DORA tiende una amplia red que abarca un amplio abanico de instituciones financieras y proveedores de servicios de la UE. Sin embargo, su ámbito de aplicación se extiende más allá de las instituciones con sede en la UE: DORA también cubre las entidades financieras de fuera de la UE que operan en los mercados europeos. Esto significa que incluso si una organización tiene su sede fuera de la UE, pero tiene presencia o presta servicios dentro de la UE, sigue estando sujeta a la normativa de DORA.

El amplio alcance de DORA es intencionado, ya que pretende mejorar la resistencia operativa general de todo el sector financiero europeo. Al englobar a los bancos tradicionales, a los actores emergentes de las empresas Fintech y a los proveedores de servicios críticos de terceros, DORA pretende mitigar los riesgos sistémicos derivados de interrupciones o incidentes cibernéticos que afecten a cualquier parte del ecosistema financiero.

En la primavera de 2024, la Ley de Resiliencia Operativa Digital se encuentra en el periodo de aplicación, que dura dos años desde su entrada en vigor. Esto significa que todas las entidades financieras afectadas en los mercados de la UE y sus proveedores de TIC críticas deben estar preparados para cumplir plenamente los requisitos de DORA antes de enero de 2025.

Aunque los reguladores europeos aún están ultimando los detalles técnicos específicos, el alcance y los requisitos generales de DORA ya están claros. En enero de 2024, las Autoridades Europeas de Supervisión (AES) publicaron el primer conjunto de requisitos de DORA para la gestión de riesgos de las TIC y de terceros y la clasificación de incidentes. Estas normas se encuentran en la página web de la EIOPA (European Insurance and Occupational Pensions Authority).

Tras un período de implantación de dos años, la Ley de Resiliencia Operativa Digital será plenamente aplicable a partir de enero de 2025. Las autoridades reguladoras pertinentes de cada Estado miembro de la UE harán cumplir los requisitos de DORA. Estas autoridades estarán facultadas para supervisar el cumplimiento e imponer sanciones a las entidades financieras que no cumplan las normas del reglamento.

Entre los aspectos fundamentales de las normas de cumplimiento de DORA se incluyen:

• Supervisión reglamentaria: Las autoridades de supervisión vigilarán de cerca el cumplimiento de los requisitos de DORA por parte de las entidades financieras, incluida la gestión de riesgos de las TIC, la notificación de incidentes, las pruebas de resistencia y las prácticas de gestión de riesgos de terceros.
• Sanciones por incumplimiento: Las autoridades pueden imponer importantes sanciones a las entidades financieras que no cumplan las normas de DORA. Estas sanciones pueden incluir multas administrativas de hasta el 1% de la facturación anual total de la entidad, así como otras medidas correctivas como amonestaciones públicas o incluso la retirada de la autorización de la entidad para operar.
• Orientación y coordinación: Las autoridades reguladoras también proporcionarán orientación y mejores prácticas para ayudar a las entidades financieras a cumplir con DORA. También promoverán la coordinación y la coherencia de las prácticas de supervisión en toda la UE para garantizar la igualdad de condiciones.
• Supervisión de terceros críticos: DORA introduce un nuevo marco para la supervisión de los proveedores de servicios críticos de terceros de TIC que apoyan al sector financiero. Estos proveedores estarán sujetos a la supervisión directa de las AES para gestionar los riesgos que plantean a las entidades financieras.

Al facultar a los reguladores para supervisar de cerca el cumplimiento e imponer sanciones significativas, DORA pretende garantizar que las entidades financieras de la UE tomen las medidas necesarias para acatar las normas reguladoras de DORA.

A medida que las entidades financieras trabajan para cumplir con la Ley de Resiliencia Operativa Digital, se enfrentan a varios retos y obstáculos clave para cumplir con las normas de DORA.

COMPLEJIDAD DE LOS REQUISITOS NORMATIVOS

Dada su naturaleza compleja, interpretar y comprender las numerosas normativas de DORA puede ser todo un reto. Las organizaciones deben invertir mucho tiempo y recursos para comprender exhaustivamente los requisitos de la normativa y desarrollar estrategias de cumplimiento a medida.

LIMITACIONES DE RECURSOS

Muchas organizaciones se enfrentan a limitaciones de presupuesto, mano de obra y conocimientos técnicos necesarios para aplicar las sólidas medidas de cumplimiento exigidas por DORA. Esto incluye la realización de evaluaciones exhaustivas de los riesgos, la inversión en soluciones avanzadas de ciberseguridad y la actualización de los sistemas informáticos heredados.

SISTEMAS INFORMÁTICOS HEREDADOS

Las infraestructuras obsoletas y los sistemas heredados de las entidades financieras pueden carecer de las capacidades y medidas de seguridad necesarias para cumplir los requisitos de DORA. Actualizar o sustituir estos sistemas puede ser una empresa costosa y compleja.

CIBERAMENAZAS EN EVOLUCIÓN

La naturaleza dinámica y sofisticada de las ciberamenazas representa un desafío constante para las organizaciones que se esfuerzan por mantener el cumplimiento de la normativa. La supervisión, evaluación y mejora continuas de las medidas de seguridad son necesarias para seguir el ritmo de la evolución del panorama de amenazas.

GESTIÓN DE RIESGOS DE TERCEROS

El reglamento DORA pone un énfasis significativo en la gestión de los riesgos de las TIC planteados por los proveedores de servicios de terceros. Las entidades financieras deben establecer procesos sólidos de supervisión y diligencia debida para su extensa red de proveedores, lo que puede resultar una tarea compleja y que requiera muchos recursos.

PRUEBAS DE RESILIENCIA

Poner a prueba regularmente la resistencia operativa digital de las entidades financieras, tal y como exige DORA, puede ser todo un reto. Las organizaciones deben desarrollar un enfoque estratégico y coordinado de las evaluaciones de vulnerabilidad, las pruebas de penetración y otros ejercicios de resiliencia para garantizar una cobertura completa de sus funciones críticas.

FOMENTAR UNA CULTURA DE CUMPLIMIENTO

Implantar una cultura de conciencia del riesgo, responsabilidad y mejora continua en toda la organización es crucial para un cumplimiento eficaz de DORA. Superar las mentalidades aisladas y alinear a varios equipos, como los de TI, cumplimiento, jurídico y gestión de riesgos, puede ser un reto importante.

Superar estos desafíos exigirá a las entidades financieras el adoptar un enfoque proactivo y de colaboración, aprovechando la experiencia y las soluciones externas cuando sea necesario. La planificación cuidadosa, la asignación estratégica de recursos y el compromiso de mejorar la resistencia operativa digital serán esenciales para cumplir con éxito los requisitos de DORA.

El sector de los servicios financieros ha sido identificado como uno de los principales objetivos de las ciberamenazas, lo que subraya la necesidad crítica de contar con medidas sólidas de resistencia operativa. Según el IMF (International Monetary Fund), su encuesta reveló que el sector financiero está en peligro debido a la debilidad de las defensas de ciberseguridad.

De este sentimiento se hace eco el Banco de Inglaterra, cuya última encuesta sobre el riesgo sistémico reveló que el 74% de los encuestados considera los ciberataques como el mayor riesgo al que se enfrenta el sector financiero.

Marcos como la normativa DORA se han convertido en vitales para ayudar a las instituciones financieras y a sus proveedores asociados, como los proveedores de TIC, a comprender cómo gestionar eficazmente estos riesgos cibernéticos en evolución. Recientes estudios de la industria ponen de relieve las importantes ciberamenazas a las que se enfrenta el sector financiero:

• El informe de Verizon 2022 sobre investigaciones de filtraciones de datos (DBIR, por sus siglas en inglés) registró las amenazas más prevalentes, incluidas las filtraciones de datos, los ataques DDoS y el ransomware. El informe destaca que las credenciales robadas son un factor clave en el éxito de muchos de estos ataques.
• Una encuesta de la CFTC de 2022 reveló que el 74% de las 130 instituciones financieras mundiales encuestadas habían sufrido al menos un incidente de ataque de ransomware en el año anterior.

Estas alarmantes estadísticas subrayan la urgente necesidad de que las entidades financieras refuercen su postura de ciberseguridad y su resistencia operativa de acuerdo con normativas como DORA.

La ley de resiliencia operativa digital hace especial hincapié en la gestión del riesgo de terceros, reconociendo el importante papel que desempeñan los proveedores de TIC en el apoyo al sector de los servicios financieros.

Las investigaciones de la industria destacan la creciente amenaza de ataques a la cadena de suministro dirigidos al sector financiero. Según el informe Verizon 2022 Data Breach Investigations Report, el sector financiero fue el segundo objetivo más popular de este tipo de ataques. DORA pretende abordar esta vulnerabilidad estableciendo requisitos exhaustivos para que las entidades financieras gestionen los riesgos TIC que plantean sus proveedores de servicios externos.

La agencia de ciberseguridad de la Unión Europea (ENISA) ha informado del aumento de la sofisticación y el volumen de los ataques a la cadena de suministro, en los que los actores de las amenazas apuntan a la cadena de suministro tecnológico para robar datos y activos financieros. Las disposiciones de DORA para la gestión de riesgos de terceros coordinarán los requisitos utilizando marcos existentes como las directrices de subcontratación de EBA (European Banking Authority).

Cualquier proveedor de TIC designado como crítico según ESA (European Supervisory Authorities) estará sujeto a un estricto marco de supervisión. Este mayor escrutinio garantiza que estos proveedores de tecnología sistémicamente esenciales apliquen medidas de seguridad sólidas y cumplan los requisitos de DORA.

Las instituciones financieras recurren cada vez más a las soluciones de confianza cero (zero trust) para gestionar eficazmente los riesgos de terceros. Estas tecnologías proporcionan una mayor visibilidad en toda la red ampliada de proveedores, incluidos los proveedores de TIC. Al aplicar medidas de seguridad como el acceso con mínimos privilegios y el control proactivo de áreas y datos sensibles, la Confianza Cero ayuda a prevenir las violaciones de datos y a mitigar el impacto del ransomware y otras ciberamenazas.

A medida que se acerca la fecha límite de aplicación en enero de 2025, las instituciones financieras deben tomar medidas proactivas para asegurarse de que están preparadas para cumplir los requisitos de la normativa. He aquí algunos consejos útiles para prepararse de forma proactiva para el cumplimiento de DORA:

Comprenda DORA en profundidad

• Familiarícese a fondo con la normativa DORA, sus requisitos específicos y cómo se aplica a su organización.
• Considere la posibilidad de seguir una formación especializada, como convertirse en especialista certificado en cumplimiento de DORA, para profundizar en el conocimiento de la normativa.

Evalúe los riesgos cibernéticos

• Lleve a cabo una evaluación exhaustiva de los riesgos cibernéticos en toda su organización y cadena de suministro ampliada.
• Utilice soluciones de evaluación de riesgos para ayudar a identificar y evaluar las vulnerabilidades potenciales.

Adopte un principio de proporcionalidad

• Asegúrese de que su enfoque del cumplimiento de DORA tiene en cuenta la escala, la complejidad y la importancia de sus dependencias y riesgos relacionados con las TIC.
• Tome decisiones informadas sobre la gestión de riesgos que se ajusten a los requisitos de la normativa.

Implique a equipos interfuncionales

• Implique en el proceso de cumplimiento de DORA a múltiples equipos, incluidos los de seguridad informática, jurídico, cumplimiento, gestión de riesgos y alta dirección.
• Garantice un enfoque holístico de toda la organización para abordar los requisitos de DORA.

Capacite al liderazgo

• Asegúrese de que la alta dirección lidera la implementación de DORA y recibe la formación adecuada, como convertirse en un experto certificado de riesgos cibernéticos.
• Asegure la aceptación y el apoyo del consejo de administración para los cambios necesarios relacionados con DORA.

Revise y actualice periódicamente los planes

• Revise y actualice continuamente su estrategia de resiliencia operativa digital y sus políticas de gestión de riesgos de las TIC frente a terceros para mantenerse alineado con DORA.
• Manténgase ágil para realizar los cambios necesarios a medida que evolucionan las normativas y las amenazas.

Priorice las acciones correctivas

• Desarrolle un proceso sencillo para priorizar y abordar las vulnerabilidades operativas identificadas a través de las evaluaciones relacionadas con DORA.
• Céntrese primero en las áreas más críticas para mitigar los riesgos de mayor prioridad.

Produzca pruebas demostrables

• Sea capaz de proporcionar a los funcionarios reguladores pruebas de que su organización es resistente tanto a las amenazas específicas de la empresa como a las sectoriales más amplias.
• Mantenga una documentación exhaustiva para mostrar sus esfuerzos de cumplimiento de DORA.

Tenga en cuenta el entorno externo

• Supervise regularmente el panorama de las amenazas externas e incorpore esta información a su estrategia general de resistencia operativa.
• Manténgase informado sobre los riesgos potenciales y tome medidas proactivas para mitigarlos.

Identifique las funciones críticas

• Identifique claramente las funciones críticas o importantes (CIF) dentro de su organización según los requisitos DORA.
• Asegúrese de que estas CIF son el punto central para crear una sólida capacidad de recuperación operativa.

Siguiendo estos exhaustivos consejos, las instituciones financieras pueden prepararse mejor para los próximos requisitos de cumplimiento de DORA y reforzar su resistencia operativa digital general.

Proofpoint ofrece una gama de soluciones y conocimientos que pueden ayudar a las organizaciones del sector financiero a cumplir eficazmente los requisitos de la Ley de Resiliencia Operativa Digital. Las capacidades de Proofpoint pueden mejorar la resistencia general de una organización en materia de ciberseguridad y su capacidad de respuesta ante incidentes. Al proporcionar herramientas avanzadas de detección, prevención y respuesta ante amenazas, Proofpoint permite a las empresas protegerse mejor frente a las ciberamenazas externas, los riesgos internos y las vulnerabilidades de la cadena de suministro, todos ellos componentes críticos del cumplimiento de DORA, así como de la Directiva sobre redes y sistemas de información (NIS 2).

Tal y como fomentan estas normativas, Proofpoint también facilita la puesta en común de información y el intercambio de inteligencia sobre amenazas. Los servicios de inteligencia de amenazas y las plataformas de colaboración seguras de la empresa ayudan a las organizaciones a mantenerse informadas sobre las últimas ciberamenazas y a coordinar sus esfuerzos de respuesta con las partes interesadas y las autoridades pertinentes. Desde la realización de evaluaciones de riesgos y análisis de deficiencias hasta el desarrollo de estrategias de cumplimiento a medida, Proofpoint puede ayudar a las organizaciones a comprender sus capacidades actuales, identificar áreas de mejora e implantar los controles y procesos necesarios.

Además, las soluciones de Proofpoint también permiten la supervisión continua del cumplimiento y la elaboración de informes. Las organizaciones pueden aprovechar las herramientas de Proofpoint para evaluar regularmente su postura de seguridad, identificar vulnerabilidades y generar la documentación necesaria para demostrar su cumplimiento de los requisitos DORA y NIS 2 a los organismos reguladores.

Al asociarse con Proofpoint, las instituciones financieras y otros proveedores de infraestructuras críticas pueden reforzar su resistencia operativa digital general y cumplir las estrictas normas de ciberseguridad establecidas por estas normativas europeas de referencia. Para obtener más información, póngase en contacto con Proofpoint.