{"id":30582,"date":"2024-10-14T19:00:04","date_gmt":"2024-10-14T17:00:04","guid":{"rendered":"https:\/\/www.metafrase.com\/blog\/?p=30582"},"modified":"2024-10-14T19:00:04","modified_gmt":"2024-10-14T17:00:04","slug":"cumplir-con-el-reglamento-dora","status":"publish","type":"post","link":"https:\/\/www.metafrase.com\/blog\/cumplir-con-el-reglamento-dora\/","title":{"rendered":"Cumplir con el Reglamento DORA"},"content":{"rendered":"<h2>\u00bfQu\u00e9 es el Reglamento DORA?<\/h2>\n<p>En un art\u00edculo anterior ya comentamos en que consist\u00eda el nuevo Reglamento <a href=\"https:\/\/www.metafrase.com\/blog\/reglamento-dora\/\">DORA<\/a>.<\/p>\n<p>B\u00e1sicamente, es un nuevo reglamento lanzado por la Uni\u00f3n Europea en octubre del pasado 2020, con el fin de regular la forma en que la empresas financieras pueda gestionar los riesgos digitales. Se le conoce con el nombre de DORA, por sus iniciales en ingl\u00e9s: Digital Operational Resiliencie Act.<\/p>\n<p>&nbsp;<\/p>\n<h2>\u00bfCu\u00e1les son los 5 pilares del Reglamento DORA?<\/h2>\n<p>La nueva Regulaci\u00f3n europea se ha construido en torno a cinco pilares clave destinados a reforzar los marcos de gesti\u00f3n de riesgos de TIC de las entidades financieras.<\/p>\n<p>La arquitectura de DORA incluye:<\/p>\n<ol>\n<li>Gesti\u00f3n de riesgos TIC.<\/li>\n<li>Informes y respuesta a incidentes cibern\u00e9ticos.<\/li>\n<li>Pruebas de resiliencia operativa.<\/li>\n<li>Gesti\u00f3n de riesgos de terceros.<\/li>\n<li>Intercambio de informaci\u00f3n.<\/li>\n<\/ol>\n<figure id=\"attachment_30518\" aria-describedby=\"caption-attachment-30518\" style=\"width: 740px\" class=\"wp-caption aligncenter\"><img fetchpriority=\"high\" decoding=\"async\" class=\"size-full wp-image-30518 lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"\" width=\"740\" height=\"389\" sizes=\"(max-width: 740px) 100vw, 740px\" data-src=\"http:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/06\/DORA-5-pillars-blog-central-leyes.webp\" data-srcset=\"https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/06\/DORA-5-pillars-blog-central-leyes.webp 740w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/06\/DORA-5-pillars-blog-central-leyes-300x158.webp 300w\"><figcaption id=\"caption-attachment-30518\" class=\"wp-caption-text\">Fuente: Centraleyes<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<h2>\u00bfPara qui\u00e9n es obligatorio el Reglamento DORA?<\/h2>\n<p>&nbsp;<\/p>\n<p>El Reglamento DORA (Digital Operational Resilience Act) es obligatorio para una amplia gama de entidades del sector financiero en la Uni\u00f3n Europea. Estas incluyen:<\/p>\n<ol>\n<li><strong>\u00a0Entidades financieras<\/strong>: bancos, aseguradoras, empresas de inversi\u00f3n, entidades de pago, instituciones de dinero electr\u00f3nico, etc.<\/li>\n<li><strong>\u00a0Infraestructuras del mercado financiero<\/strong>: bolsas de valores, depositarios centrales de valores, contrapartes centrales, entre otras.<\/li>\n<li>\u00a0<strong>Proveedores de servicios de TIC<\/strong>: empresas que proporcionan servicios tecnol\u00f3gicos cr\u00edticos a las entidades financieras, como servicios en la nube, software y otros servicios de TI.<\/li>\n<li><strong>\u00a0Otros actores del sector financiero<\/strong>: empresas de gesti\u00f3n de activos, fondos de pensiones, fintech, asesores de inversi\u00f3n, entre otros.<\/li>\n<\/ol>\n<p>DORA se centra en fortalecer la resiliencia operativa digital y establece requisitos espec\u00edficos para la gesti\u00f3n de riesgos de TIC, pruebas de ciberresiliencia, notificaci\u00f3n de incidentes y dependencia de proveedores externos de servicios tecnol\u00f3gicos.<\/p>\n<p>Todas estas entidades deben cumplir con estos requisitos para mejorar su capacidad de prevenir, detectar, responder y recuperarse de incidentes de ciberseguridad.<\/p>\n<p>&nbsp;<\/p>\n<h2>\u00bfCu\u00e1les son los plazos del Reglamento DORA?<\/h2>\n<p>El Reglamento DORA establece los siguientes plazos clave para su implementaci\u00f3n:<\/p>\n<ol>\n<li><strong>Entrada en vigor:<\/strong> DORA entr\u00f3 en vigor el 16 de enero de 2023. Sin embargo, no todas las disposiciones aplican de inmediato.<\/li>\n<li><strong>Aplicaci\u00f3n obligatoria:<\/strong> La normativa ser\u00e1 aplicable a partir del **17 de enero de 2025**, es decir, dos a\u00f1os despu\u00e9s de su entrada en vigor. Durante este per\u00edodo, las entidades afectadas deben preparar sus sistemas, procesos y estructuras para cumplir con las disposiciones del reglamento.<\/li>\n<\/ol>\n<p>Estos dos a\u00f1os de preparaci\u00f3n permiten a las entidades financieras y a los proveedores de servicios de TIC adaptar sus pr\u00e1cticas para alinearse con los requisitos de gesti\u00f3n de riesgos de las tecnolog\u00edas de la informaci\u00f3n, notificaci\u00f3n de incidentes y pruebas de resiliencia que exige DORA.<\/p>\n<figure id=\"attachment_30589\" aria-describedby=\"caption-attachment-30589\" style=\"width: 1024px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" class=\"wp-image-30589 size-large lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"reglamento Dora\" width=\"1024\" height=\"535\" sizes=\"(max-width: 1024px) 100vw, 1024px\" data-src=\"http:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/10\/dora-regulations-kpmg-1024x535.webp\" data-srcset=\"https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/10\/dora-regulations-kpmg-1024x535.webp 1024w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/10\/dora-regulations-kpmg-300x157.webp 300w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/10\/dora-regulations-kpmg-768x401.webp 768w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/10\/dora-regulations-kpmg-1536x802.webp 1536w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/10\/dora-regulations-kpmg-2048x1069.webp 2048w\"><figcaption id=\"caption-attachment-30589\" class=\"wp-caption-text\">Fuente: KPMG<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<h2>\u00bfEn qu\u00e9 consiste el reglamento DORA en Espa\u00f1a?<\/h2>\n<p>El Reglamento DORA (Digital Operational Resilience Act) en Espa\u00f1a, como en el resto de la Uni\u00f3n Europea, establece un marco regulatorio uniforme para garantizar la resiliencia operativa digital de las entidades del sector financiero. Su objetivo es asegurar que estas entidades puedan resistir, responder y recuperarse ante incidentes y amenazas cibern\u00e9ticas. Los elementos clave del reglamento DORA incluyen:<\/p>\n<ol>\n<li><strong>Gesti\u00f3n del riesgo TIC<\/strong>: Las entidades financieras deben implementar un marco s\u00f3lido para la gesti\u00f3n de riesgos tecnol\u00f3gicos, que abarque el monitoreo y control de las amenazas a sus sistemas de tecnolog\u00eda de la informaci\u00f3n y comunicaci\u00f3n (TIC).<\/li>\n<li><strong>Notificaci\u00f3n de incidentes<\/strong>: DORA obliga a las entidades a notificar incidentes de ciberseguridad relevantes a las autoridades competentes de manera r\u00e1pida y detallada. En Espa\u00f1a, la autoridad competente variar\u00e1 seg\u00fan el tipo de entidad, pero normalmente ser\u00e1 el Banco de Espa\u00f1a, la Comisi\u00f3n Nacional del Mercado de Valores (CNMV) o la Direcci\u00f3n General de Seguros y Fondos de Pensiones (DGSFP).<\/li>\n<li><strong>Pruebas de resiliencia digital<\/strong>: Las entidades deben realizar pruebas peri\u00f3dicas para evaluar su capacidad de resistir incidentes y amenazas, incluyendo pruebas de penetraci\u00f3n que simulen ciberataques avanzados.<\/li>\n<li><strong>Gesti\u00f3n de riesgos de terceros<\/strong>: Las entidades deben gestionar adecuadamente los riesgos que surjan de la externalizaci\u00f3n de servicios tecnol\u00f3gicos a terceros, como proveedores de servicios en la nube. Esto incluye realizar evaluaciones de riesgo y contar con mecanismos contractuales para garantizar la seguridad de sus operaciones.<\/li>\n<li><strong>Cooperaci\u00f3n y supervisi\u00f3n<\/strong>: Se establece un marco de cooperaci\u00f3n entre las autoridades nacionales y europeas para supervisar el cumplimiento de DORA y coordinar la respuesta a incidentes cibern\u00e9ticos a nivel de la Uni\u00f3n Europea.<\/li>\n<li><\/li>\n<\/ol>\n<p>En el contexto espa\u00f1ol, las autoridades nacionales, como el Banco de Espa\u00f1a y la <a href=\"https:\/\/www.cnmv.es\/portal\/home.aspx\" target=\"_blank\" rel=\"noopener\">CNMV<\/a>, supervisar\u00e1n la implementaci\u00f3n de DORA y garantizar\u00e1n que las entidades financieras est\u00e9n cumpliendo con los requisitos del reglamento. Este marco busca estandarizar la ciberresiliencia en todo el sector financiero de la UE, permitiendo que el sistema sea m\u00e1s robusto y menos vulnerable a las amenazas digitales.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00bfQu\u00e9 es el Reglamento DORA? En un art\u00edculo anterior ya comentamos en que consist\u00eda el nuevo Reglamento DORA. B\u00e1sicamente, es un nuevo reglamento lanzado por la Uni\u00f3n Europea en octubre del pasado 2020, con el fin de regular la forma en que la empresas financieras pueda gestionar los riesgos digitales. Se le conoce con el [&hellip;]<\/p>\n","protected":false},"author":10,"featured_media":30588,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[2,1],"tags":[157,168],"class_list":["post-30582","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","category-sin-categoria","tag-dora","tag-reglamento"],"_links":{"self":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/30582","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/comments?post=30582"}],"version-history":[{"count":7,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/30582\/revisions"}],"predecessor-version":[{"id":30592,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/30582\/revisions\/30592"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media\/30588"}],"wp:attachment":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media?parent=30582"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/categories?post=30582"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/tags?post=30582"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}