Explicamos en este post los aspectos fundamentales de la Ley de Resiliencia Operacional Digital, más conocida como DORA. Con esta normativa europea, se establece un marco común para dar un impulso a las estrategias preventivas de seguridad y la respuesta ante posibles incidentes incidentes.
La Ley de Resiliencia Operacional Digital, conocida como DORA (Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014, (UE) nº 909/2014 y (UE) 2016/1011), es una regulación de la Unión Europea diseñada para fortalecer la resiliencia operativa y la ciberseguridad en el sector financiero.
Principales características
- Gestión de Riesgos de TIC:
- Las entidades financieras deben desarrollar un marco integral de gestión de riesgos de tecnologías de la información y la comunicación (TIC). Esto incluye identificar y clasificar activos críticos, realizar evaluaciones continuas de riesgos y establecer medidas de ciberseguridad adecuadas.
- Se requiere la creación de estrategias de continuidad del negocio y planes de recuperación ante desastres, así como la implementación de controles de seguridad para todos los activos críticos.
- Notificación de Incidentes:
- DORA establece un sistema para monitorear, administrar, registrar, clasificar e informar incidentes relacionados con las TIC. Las entidades deben presentar informes iniciales, intermedios y finales sobre incidentes graves a las autoridades competentes.
- Este sistema busca consolidar y simplificar los múltiples requisitos de informes actuales, armonizando las plantillas de notificación y reduciendo los eventos desencadenantes de notificación.
- Pruebas de Resiliencia Operativa Digital:
- Las entidades financieras deben realizar pruebas regulares de sus sistemas TIC para evaluar su fortaleza y detectar vulnerabilidades. Estas pruebas incluyen evaluaciones de vulnerabilidades, pruebas basadas en escenarios y pruebas de penetración dirigidas.
- También se fomenta el intercambio de información e inteligencia sobre ciberamenazas y vulnerabilidades de ciberseguridad entre las entidades financieras.
- Gestión de Riesgos de Terceros:
- Las instituciones financieras deben gestionar activamente los riesgos de terceros proveedores de TIC, estableciendo acuerdos contractuales específicos y mapeando las dependencias de la cadena de suministro.
- Los proveedores de servicios de TIC críticos estarán sujetos a supervisión directa y deberán cumplir con los requisitos de DORA.
Foto obtenida de ¿Qué es el reglamento DORA? | Empresas | INCIBE
Ámbito de aplicación
DORA se aplica a una amplia gama de entidades dentro del sector financiero de la Unión Europea, incluyendo:
- Bancos comerciales y de inversión.
- Compañías de seguros.
- Gestores de fondos de inversión.
- Sociedades de valores.
- Plataformas de negociación.
- Proveedores de servicios de compensación y liquidación de valores.
- Agencias de calificación crediticia.
- Proveedores de servicios de criptoactivos y crowdfunding.
- Fintech y otros proveedores del sistema financiero.
Entrada en vigor
La Ley DORA fue publicada en el Diario Oficial de la Unión Europea en diciembre de 2022 y entró en vigor el 16 de enero de 2023. Sin embargo, las entidades financieras tienen un período de transición de dos años para cumplir con los requisitos establecidos, es decir, hasta el 17 de enero de 2025.
Sanciones
La normativa DORA establece sanciones significativas para las entidades financieras que no cumplan con sus requisitos.
- Multas Administrativas:
- Las entidades pueden enfrentarse a multas de hasta 10 millones de euros o el 5% de su volumen de negocios total anual, lo que sea mayor.
- En algunos casos, las multas pueden ser del 1% de la facturación anual total de la entidad.
- Medidas Correctivas:
- Además de las multas, las autoridades pueden imponer otras medidas correctivas, como amonestaciones públicas.
- También pueden exigir la implementación de acciones específicas para remediar las deficiencias detectadas.
- Responsabilidad Personal:
- Los altos directivos y el órgano de dirección de las entidades financieras pueden ser responsables personalmente por el incumplimiento de la regulación.
Estas sanciones están diseñadas para ser efectivas, proporcionadas y disuasorias, asegurando que las entidades financieras tomen en serio la resiliencia operativa y la ciberseguridad.
¡Asegura la resiliencia operativa de tu empresa y cumple con la Ley DORA! Contrata los servicios especializados de Ciberso y protege tu negocio frente a las amenazas digitales.