Impacto Del Reglamento DORA: ¿Qué Es Y Cómo Nos Afecta?

Elena Digital López

El reglamento DORA (Digital Operational Resilience Act) es una regulación de la Unión Europea destinada a mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, particularmente en relación con los riesgos asociados a las tecnologías de la información y la comunicación (TIC).

Con la implementación de DORA, las entidades financieras están obligadas a establecer requisitos para la gestión de incidentes de ciberseguridad con el objetivo de proteger, detectar, contener, recuperar y reparar incidentes relacionados con las TIC. El reglamento impone obligaciones específicas para la gestión del riesgo de las TIC, la notificación de incidentes, la realización de pruebas de resiliencia operativa, el establecimiento de acuerdos de intercambio de ciberamenazas y la monitorización del riesgo de la cadena de suministro de las entidades financieras, reconociendo que los incidentes de ciberseguridad y la falta de resiliencia operativa pueden comprometer la estabilidad de todo el sistema financiero.

DORA establece requisitos en cuatro dominios principales:

  1. Gestión y gobernanza del riesgo de TIC: Las entidades financieras deben desarrollar marcos integrales para identificar y clasificar activos críticos, realizar evaluaciones continuas de riesgos y establecer medidas de ciberseguridad adecuadas. La dirección de las entidades será responsable de definir las estrategias de gestión del riesgo y podría ser responsable personalmente en caso de incumplimiento de la regulación.

  2. Notificación de incidentes: Las entidades financieras deben monitorear, administrar, registrar, clasificar e informar incidentes relacionados con las TIC, presentando informes a las autoridades competentes y a los clientes y socios afectados sobre incidentes graves, y con carácter voluntario, incidentes importantes.

  3. Pruebas de resiliencia operativa digital e intercambio de amenazas: Las instituciones financieras deben probar regularmente sus sistemas TIC para evaluar su fortaleza y detectar vulnerabilidades mediante evaluaciones de vulnerabilidades, pruebas basadas en escenarios y pruebas de penetración. Asimismo, se deben establecer acuerdos de intercambio de información e inteligencia sobre ciberamenazas entre las entidades financieras.

  4. Gestión de riesgos de terceros: Las instituciones financieras deben gestionar activamente el riesgo de terceros de TIC, estableciendo acuerdos contractuales específicos y mapeando dependencias de la cadena de suministro. Los proveedores de servicios TIC críticos también estarán sujetos a supervisión directa y deberán cumplir con los requisitos de DORA.

DORA aplica a una amplia gama de entidades financieras de la Unión Europea, incluyendo bancos, compañías de seguros, gestores de fondos y otros proveedores de servicios financieros. Las entidades financieras deberán seguir pasos precisos para notificar un incidente, identificando, evaluando, y notificando a las autoridades competentes dentro del plazo establecido.

El Reglamento DORA también establece que las sanciones por incumplimiento deben ser efectivas, proporcionadas y disuasorias, aunque no especifica los tipos de sanciones ni las cuantías de las multas.

La cronología de DORA es la siguiente:

  1. 16 de enero de 2023: Entrada en vigor de DORA.
  2. 17 de enero 2023 a 16 de enero 2025: Plazo de dos años para que las entidades financieras cumplan con los requisitos del reglamento.
  3. 17 de enero 2025: Inicio de las actividades de supervisión por las autoridades competentes.

Desde 2023, INCIBE-CERT fortalece su relación con el sector financiero a través de convenios de colaboración, ofreciendo ayuda en la gestión y respuesta a incidentes, vigilancia de activos, intercambio de inteligencia contra ciberamenazas, participación en ciber ejercicios, y la mejora de la ciberresiliencia.

Para asistir a las organizaciones financieras, INCIBE pone a disposición la Línea de Ayuda en Ciberseguridad (017), canales de mensajería instantánea como WhatsApp (900 116 117) y Telegram (@INCIBE017), y un formulario de contacto en su web para consultas de empresas y profesionales, brindando apoyo en conflictos online relacionados con la tecnología y dispositivos conectados.