Cumplir con el Reglamento DORA

¿Qué es el Reglamento DORA?

En un artículo anterior ya comentamos en que consistía el nuevo Reglamento DORA.

Básicamente, es un nuevo reglamento lanzado por la Unión Europea en octubre del pasado 2020, con el fin de regular la forma en que la empresas financieras pueda gestionar los riesgos digitales. Se le conoce con el nombre de DORA, por sus iniciales en inglés: Digital Operational Resiliencie Act.

 

¿Cuáles son los 5 pilares del Reglamento DORA?

La nueva Regulación europea se ha construido en torno a cinco pilares clave destinados a reforzar los marcos de gestión de riesgos de TIC de las entidades financieras.

La arquitectura de DORA incluye:

  1. Gestión de riesgos TIC.
  2. Informes y respuesta a incidentes cibernéticos.
  3. Pruebas de resiliencia operativa.
  4. Gestión de riesgos de terceros.
  5. Intercambio de información.
Fuente: Centraleyes

 

¿Para quién es obligatorio el Reglamento DORA?

 

El Reglamento DORA (Digital Operational Resilience Act) es obligatorio para una amplia gama de entidades del sector financiero en la Unión Europea. Estas incluyen:

  1.  Entidades financieras: bancos, aseguradoras, empresas de inversión, entidades de pago, instituciones de dinero electrónico, etc.
  2.  Infraestructuras del mercado financiero: bolsas de valores, depositarios centrales de valores, contrapartes centrales, entre otras.
  3.  Proveedores de servicios de TIC: empresas que proporcionan servicios tecnológicos críticos a las entidades financieras, como servicios en la nube, software y otros servicios de TI.
  4.  Otros actores del sector financiero: empresas de gestión de activos, fondos de pensiones, fintech, asesores de inversión, entre otros.

DORA se centra en fortalecer la resiliencia operativa digital y establece requisitos específicos para la gestión de riesgos de TIC, pruebas de ciberresiliencia, notificación de incidentes y dependencia de proveedores externos de servicios tecnológicos.

Todas estas entidades deben cumplir con estos requisitos para mejorar su capacidad de prevenir, detectar, responder y recuperarse de incidentes de ciberseguridad.

 

¿Cuáles son los plazos del Reglamento DORA?

El Reglamento DORA establece los siguientes plazos clave para su implementación:

  1. Entrada en vigor: DORA entró en vigor el 16 de enero de 2023. Sin embargo, no todas las disposiciones aplican de inmediato.
  2. Aplicación obligatoria: La normativa será aplicable a partir del **17 de enero de 2025**, es decir, dos años después de su entrada en vigor. Durante este período, las entidades afectadas deben preparar sus sistemas, procesos y estructuras para cumplir con las disposiciones del reglamento.

Estos dos años de preparación permiten a las entidades financieras y a los proveedores de servicios de TIC adaptar sus prácticas para alinearse con los requisitos de gestión de riesgos de las tecnologías de la información, notificación de incidentes y pruebas de resiliencia que exige DORA.

reglamento Dora
Fuente: KPMG

 

¿En qué consiste el reglamento DORA en España?

El Reglamento DORA (Digital Operational Resilience Act) en España, como en el resto de la Unión Europea, establece un marco regulatorio uniforme para garantizar la resiliencia operativa digital de las entidades del sector financiero. Su objetivo es asegurar que estas entidades puedan resistir, responder y recuperarse ante incidentes y amenazas cibernéticas. Los elementos clave del reglamento DORA incluyen:

  1. Gestión del riesgo TIC: Las entidades financieras deben implementar un marco sólido para la gestión de riesgos tecnológicos, que abarque el monitoreo y control de las amenazas a sus sistemas de tecnología de la información y comunicación (TIC).
  2. Notificación de incidentes: DORA obliga a las entidades a notificar incidentes de ciberseguridad relevantes a las autoridades competentes de manera rápida y detallada. En España, la autoridad competente variará según el tipo de entidad, pero normalmente será el Banco de España, la Comisión Nacional del Mercado de Valores (CNMV) o la Dirección General de Seguros y Fondos de Pensiones (DGSFP).
  3. Pruebas de resiliencia digital: Las entidades deben realizar pruebas periódicas para evaluar su capacidad de resistir incidentes y amenazas, incluyendo pruebas de penetración que simulen ciberataques avanzados.
  4. Gestión de riesgos de terceros: Las entidades deben gestionar adecuadamente los riesgos que surjan de la externalización de servicios tecnológicos a terceros, como proveedores de servicios en la nube. Esto incluye realizar evaluaciones de riesgo y contar con mecanismos contractuales para garantizar la seguridad de sus operaciones.
  5. Cooperación y supervisión: Se establece un marco de cooperación entre las autoridades nacionales y europeas para supervisar el cumplimiento de DORA y coordinar la respuesta a incidentes cibernéticos a nivel de la Unión Europea.

En el contexto español, las autoridades nacionales, como el Banco de España y la CNMV, supervisarán la implementación de DORA y garantizarán que las entidades financieras estén cumpliendo con los requisitos del reglamento. Este marco busca estandarizar la ciberresiliencia en todo el sector financiero de la UE, permitiendo que el sistema sea más robusto y menos vulnerable a las amenazas digitales.

LinkedIn
Twitter
Facebook
WhatsApp
0 0 votos
Calificación del artículo
Suscribir
Notificar de
guest
0 Comentarios
Oldest
Newest Most Voted
Comentarios en línea
Ver todos los comentarios
Metafrase

© 2024, Metafrase SLU

0
Me encantaría conocer tu opinión, por favor comenta.x
()
x