El 17 de enero de 2025 entra en vigor la Ley de Resiliencia Operativa Digital, o DORA, la cual define los parámetros de gestión de riesgos para las entidades financieras y proveedores de servicios tecnológicos. A continuación veremos en qué consiste este reglamento y cuáles son las claves de su aplicación.
¿Qué es el reglamento DORA?
Con el reglamento DORA, el Parlamento Europeo define las normas técnicas que deben emplear las entidades de índole financiera y los proveedores de servicios tecnológicos críticos para asegurar la resiliencia operativa en el marco de las tecnologías de la información y la comunicación (TIC).
Este reglamento será de aplicación obligatoria y tendrá como principal objetivo establecer un criterio de gestión del riesgo en los Estados miembros de la Unión Europea. Cada uno de los Estados deberá homologar sus normativas ya existentes a partir de la entrada en vigor del reglamento, ya que, en muchos casos, las normas previas se limitaban a que las empresas dispusieran de suficientes recursos para hacer frente al riesgo operativo.
El reglamento viene a subsanar esta disparidad de reglamentaciones entre los Estados miembros, con el objetivo de estandarizar las normas de gestión del riesgo, por un lado, y simplificar la adopción de la normativa por parte de las entidades financieras y proveedores de servicios, por el otro.
Así, el reglamento DORA establece un marco universal para reducir la complejidad y disparidad de normas de supervisión y resiliencia de las TIC en el sector de las finanzas y la banca. Supone una revisión de las normas vigentes para eliminar lagunas, redundancias y conflictos entre los diferentes Estados miembros. En conjunto, pretende mejorar los mecanismos de control de riesgo y facilitar el cumplimiento por parte de las entidades del sector financiero.
Alcance del Reglamento DORA: ¿qué empresas deben implementarlo?
El reglamento DORA será obligatorio para distintas entidades, empresas e instituciones. Entre las principales se encuentran todas aquellas empresas e instituciones de índole financiera tradicionales, como bancos, empresas de inversión, instituciones de crédito y aseguradoras. Asimismo, incluye a las entidades relativamente nuevas que presten servicios a las entidades tradicionales: por ejemplo, los proveedores de servicios de pago, proveedores de servicios de criptoactivos y plataformas de financiación colectiva.
El reglamento también será de aplicación obligatoria para entidades que no son consideradas exclusivamente financieras y que, por lo tanto, solían estar excluidas de las leyes que regulan al sector. En este conjunto se encuentran los proveedores de servicios externos que ofrecen servicios informáticos a las entidades financieras, los servicios de la nube y los centros de datos, empresas de servicios de calificación crediticia y scoring financiero, y las empresas de análisis de datos.
Estas entidades deberán cumplir con una serie de requisitos a partir de la entrada en vigencia del reglamento DORA.
Gestión de riesgos de servicios de Tecnología de la Información y Comunicaciones (TIC)
La gestión integral del riesgo informático es el pilar sobre el que se ejerce este nuevo reglamento: la tecnología central y las consideraciones de seguridad orientadas a la protección, detección, respuesta y recuperación de la información y los datos. Asimismo, incluye las estrategias, iniciativas, procedimientos y herramientas que permitan asegurar el correcto manejo y la supervisión de los datos.
En particular, el reglamento señala la responsabilidad del personal directivo y a los órganos de dirección de las entidades en la gestión del riesgo. Esto obliga al Consejo de Administración y a los altos mandos directivos de las empresas a elaborar estrategias y políticas de prevención y resiliencia operativa. También los responsabiliza de la ejecución activa de estas estrategias y de la actualización de los riesgos actuales de la industria TIC.
Las empresas y entidades entonces deberán desarrollar marcos integrales de gestión del riesgo informático. Esto incluye la cartografía de los sistemas, la identificación de los recursos y funciones críticos y su clasificación, así como también el inventariado de recursos, procesos y proveedores con los que trabajen. Las entidades sujetas al reglamento tendrán que evaluar activamente los riesgos inherentes a sus sistemas y documentar las ciberamenazas y registrar las medidas para reducir dichos riesgos.
Supervisión y notificación de incidentes
Las empresas deberán implementar procesos para la detección, la gestión y la divulgación de incidentes en el ejercicio de su actividad. Estos incidentes incluyen infracciones de seguridad informática, interrupciones de servicio, pérdida de datos. Todo ello será evaluado por las autoridades en función de los usuarios afectados, el impacto económico y la duración del incidente.
Las entidades establecerán medidas de prevención, supervisión, gestión, documentación y notificación de todos los incidentes relacionados con la informática. Esto garantizará la transparencia y permitirá que las autoridades puedan mantener un control estricto sobre la actividad. Por eso, dependiendo de la gravedad del incidente registrado, las entidades podrán verse obligadas a presentar informes tanto a los organismos de control oficiales como a los clientes, socios y accionistas afectados.
Las normas específicas para la supervisión y notificación de incidentes estarán a cargo de las Autoridades Europeas de Supervisión (AES). Dichas autoridades están compuestas por
- la European Banking Authority (EBA),
- la European Insurance and Occupational Pensions Authority (EIOPA),
- y la European Securities and Markets Authority (ESMA),
en conjunto con la Unión Europea para la Ciberseguridad (ENISA), con la cual definirán las Normas Técnicas de Regulación Comunes (RTS). Estas incluyen:
- Contenidos, plazos y plantillas para la notificación de incidentes
- Costos y pérdidas agregados de los principales incidentes
- Subcontratación de funciones críticas o importantes
- Armonización de la supervisión
- Directrices sobre cooperación en materia de supervisión entre las AES y las autoridades competentes
- RTS sobre pruebas de penetración basadas en amenazas (TLPT)
Compromisos contractuales
El reglamento exige que se respeten ciertos criterios contractuales entre los proveedores de servicio y las entidades financieras que los contratan. Entre estos criterios se encuentran la realización de auditorías, la planificación de salidas, la continuidad de los negocios y la subcontratación de contratistas clave.
En concreto, a la hora de externalizar funciones críticas de importancia para el correcto desempeño de la actividad, las entidades deberán exigir a los proveedores contratados estos requisitos en la formalización contractual de los acuerdos, en relación con la accesibilidad, la integridad y la seguridad de los sistemas. Si los proveedores no pudieran cumplir con estos requisitos, no podrán ser contratados por las entidades y, en caso de hacerlo, serán penalizadas.
En efecto, en caso de producirse un contrato sin considerar estos criterios, las autoridades europeas se verán habilitadas para suspender o rescindir los contratos realizados. Al mismo tiempo, las entidades deberán cartografiar sus dependencias TIC de terceros para garantizar que sus funciones críticas no se encuentren concentradas en un único proveedor de servicios.
Evaluaciones de riesgos
Una mención aparte exige la contratación de proveedores: las entidades financieras deberán realizar análisis de riesgos previos al contrato para conocer las vulnerabilidad y exposición al riesgo. Esto incluye evaluaciones de medidas de seguridad del proveedor contratado, la estabilidad financiera y el estado de conformidad, entre otros.
Asimismo, las entidades deberán implementar procesos que les permita aprender de los riesgos e incidentes producidos en el ejercicio de su actividad, ya sean incidentes internos o externos, siempre que sean de envergadura y representen un riesgo alto para la actividad. El reglamento DORA fomenta la participación de las entidades en acuerdos voluntarios de intercambio de información e inteligencia sobre riesgos, amenazas e incidentes registrados.
Conclusión
El reglamento DORA entrará en vigencia el 17 de enero de 2025 y las empresas y entidades financieras y los proveedores de servicios TIC deberán implementar sus directrices antes de dicha fecha. Las AES supervisarán de forma directa a los proveedores de TIC considerados “críticos” por la Comisión Europea. Los supervisores podrán exigir mecanismos de seguridad y reparación y establecer sanciones por falta de cumplimiento.