Póngase en contacto con
Ayuda
Inicio de sesión
Protección de datos como servicio
4 min leer

¿Qué es la Ley de Resiliencia Operativa Digital (DORA)?

La Ley de Resiliencia Operativa Digital (DORA) es un amplio reglamento de la UE destinado a reforzar la seguridad informática y la gestión de riesgos en el sector financiero, que impone requisitos estrictos en materia de notificación de incidentes, pruebas de resiliencia y supervisión por terceros.

Escrito por
Bogdan Viher
Publicado el
7 de agosto de 2024
Compartir en redes sociales

La Ley de Resiliencia Operativa Digital (DORA) es una normativa destinada a transformar la gestión del riesgo digital en el sector financiero de la Unión Europea (UE). En esencia, DORA es un conjunto de requisitos para que las instituciones financieras de la UE protejan sus procesos de negocio clave de los riesgos tecnológicos y remodelen su forma de abordar el riesgo digital, la gestión de incidentes y las relaciones con terceros.

En concreto, el DORA pretende reforzar la seguridad informática de bancos, aseguradoras, empresas de inversión y otras organizaciones del sector financiero.

Para las empresas financieras de la UE, la atención se centra en que los directores de TI y los ejecutivos de la C-suite comprendan y se preparen para el DORA no sólo como un requisito normativo, sino como un imperativo estratégico. Esta urgencia se ve acentuada por las graves consecuencias del incumplimiento:

  1. Sanciones económicas: Multas de hasta 10 millones de euros y, en caso de infracciones graves o reiteradas, estas multas pueden duplicarse.
  1. Daño de la confianza del consumidor: El incumplimiento puede conducir a una mayor vulnerabilidad a los incidentes cibernéticos, lo que puede dar lugar a violaciones de datos o interrupciones del servicio. Estos sucesos pueden dañar la reputación de una organización, afectar a la confianza del consumidor y provocar la fuga de clientes y la disminución de la cuota de mercado.  
  1. Responsabilidad penal personal: En casos de negligencia grave o conducta dolosa, los altos directivos y los miembros del consejo de administración pueden enfrentarse a una responsabilidad penal personal. Esto podría incluir multas individuales, inhabilitación profesional e incluso encarcelamiento en casos extremos. Este riesgo personal subraya la necesidad de un compromiso al más alto nivel para garantizar el cumplimiento de la DORA.

Dado lo mucho que está en juego, los directores de TI y los ejecutivos de la C-suite deben comprender y prepararse para el DORA no sólo como un requisito normativo, sino como un imperativo estratégico.  

Antecedentes e historia

Los incidentes relacionados con las TIC en las instituciones financieras pueden causar importantes trastornos, pérdidas financieras y daños a la reputación.  

DORA es un componente clave de la estrategia más amplia de financiación digital de la Comisión Europea.  

Su objetivo es:

  • Consolidar y actualizar los requisitos de riesgo de las TIC en el sector financiero
  • Establecer un marco para los proveedores de TIC, incluidas las plataformas en nube
  • Crear un mecanismo de notificación de incidentes para aumentar la concienciación sobre las ciberamenazas.
  • Reforzar las pruebas de resistencia operativa digital

Al dar coherencia a estos requisitos en toda la UE, el DORA contribuirá a aumentar la estabilidad e integridad generales de los sistemas financieros.

Por qué es importante el DORA

El DORA representa un cambio significativo en la creación de un enfoque uniforme de la gestión del riesgo de las TIC en todo el sector financiero de la UE. Responde a la creciente preocupación por las ciberamenazas y las vulnerabilidades tecnológicas que podrían perturbar el sector financiero.

Los aspectos clave incluyen:

  1. Amplio ámbito de aplicación: El DORA se aplica a una amplia gama de entidades financieras, incluidos bancos, compañías de seguros, empresas de inversión y proveedores de servicios financieros.
  1. Armonización: Establece requisitos coherentes de gestión de riesgos de las TIC en toda la UE, sustituyendo al actual mosaico de normativas nacionales.
  1. Supervisión de terceros: El DORA introduce un marco para supervisar a los proveedores de servicios críticos de TIC de terceros, incluidos los servicios en la nube.
  1. Notificación de incidentes: Obliga a estandarizar los mecanismos de notificación de incidentes graves relacionados con las TIC.
  1. Pruebas de resistencia: El DORA exige pruebas periódicas de la resistencia operativa digital.

Diagrama de una línea de tiempoDescripción generada automáticamente

Áreas clave del DORA

1. Gestión de riesgos de las TIC

El DORA establece un marco global de gestión de riesgos de las TIC. Esto incluye:

  • Identificar y documentar las funciones empresariales, los recursos y las dependencias relacionados con las TIC.
  • Evaluación continua de riesgos y estrategias de mitigación
  • Aplicación de medidas de protección y prevención
  • Desarrollo de la capacidad de detección
  • Establecimiento de procedimientos de respuesta y recuperación

2. Notificación de incidentes

Implantar procesos para supervisar y registrar los incidentes relacionados con las TIC. Deben clasificar estos incidentes utilizando los criterios especificados por el DORA. Además, deben notificar los incidentes importantes a las autoridades pertinentes dentro de unos plazos estrictos.

3. Respuesta y recuperación

Entre las principales capacidades de respuesta y recuperación cabe citar: -

Planes de respuesta a incidentes:  

  • Desarrollar, documentar y aplicar planes integrales para responder a incidentes relacionados con las TIC y recuperarse de ellos.
  • Estos planes deben detallar los procedimientos para la rápida detección, análisis, contención y mitigación de incidentes.

Continuidad de negocio:

  • Mantener políticas de continuidad de la actividad y planes de recuperación en caso de catástrofe.
  • La comprobación periódica de estos planes es obligatoria para garantizar su eficacia.

Procedimientos de copia de seguridad:

  • El DORA obliga a realizar copias de seguridad periódicas de los sistemas y datos críticos.
  • Entre los requisitos específicos figuran la frecuencia definida de las copias de seguridad, el almacenamiento seguro fuera de las instalaciones y la comprobación periódica de los procesos de restauración de las copias de seguridad.

Objetivos de tiempo de recuperación (RTO):

  • Establecer y probar periódicamente la capacidad de restaurar sistemas en plazos definidos.
  • Minimice las interrupciones operativas y garantice una rápida recuperación tras los incidentes.

Protocolos de comunicación:

  • Deben establecerse procedimientos claros de comunicación interna y externa durante los incidentes.
  • Garantizar una respuesta oportuna y eficaz, incluida la notificación a las autoridades y partes interesadas pertinentes.

Análisis posterior al incidente:

  • Tras incidentes significativos, las organizaciones deben llevar a cabo análisis exhaustivos de las causas profundas.
  • Las lecciones aprendidas deben incorporarse a la mejora de los marcos de gestión de riesgos.

4. Pruebas de resistencia operativa digital

DORA introduce un marco armonizado para probar la resistencia operativa digital:

  • Pruebas básicas como evaluaciones de vulnerabilidades y análisis de seguridad de la red para todas las entidades.
  • Pruebas avanzadas, incluidas las pruebas de penetración dirigidas por amenazas (TLPT) para entidades importantes

5. Gestión de riesgos de las TIC frente a terceros

Con el aumento de la dependencia de terceros proveedores de servicios, DORA crea:

  • Principios que deben incluirse en los acuerdos con terceros proveedores de servicios de TIC
  • Un nuevo marco de supervisión para los proveedores de servicios críticos de TIC a terceros

Un texto azul y blancoDescripción generada automáticamente
Fuente: McKinsey

6. 6. Intercambio de información

El intercambio de información e inteligencia sobre ciberamenazas entre entidades financieras para mejorar la resistencia colectiva.

Ámbito de aplicación

El DORA se aplica a una amplia gama de entidades financieras que operan en la UE, entre ellas:

  • Entidades de crédito
  • Entidades de pago
  • Entidades de dinero electrónico
  • Empresas de inversión
  • Centros de negociación
  • Empresas de seguros y reaseguros
  • Agencias de calificación crediticia
  • Auditores de cuentas y sociedades de auditoría
  • Administradores de puntos de referencia críticos
  • Proveedores de servicios de información sobre cuentas
  • Proveedores de servicios de criptoactivos
  • Depositarios centrales de valores
  • Proveedores de servicios de información
  • Terceros proveedores de servicios

Acciones para el cumplimiento

Para cumplir los requisitos del DORA, los CIO, CTO, directores de TI y otras personas clave de TI deben centrarse en las siguientes acciones:

  1. Evaluar los marcos actuales: Evalúe los procesos existentes de gestión de riesgos de TIC en relación con los requisitos para identificar lagunas.
  1. Mejorar la gestión de riesgos de las TIC: Implantar procesos para identificar, proteger, detectar, responder y recuperarse de las perturbaciones relacionadas con las TIC.
  1. Desarrollar mecanismos de notificación de incidentes: Establecer sistemas y procedimientos para detectar y notificar incidentes importantes relacionados con las TIC en los plazos requeridos.
  1. Realice pruebas de resistencia: Implemente un programa de pruebas periódicas de resistencia, que incluya evaluaciones de vulnerabilidad y pruebas de penetración.
  1. Revisar los contratos con terceros: Evaluar y actualizar los acuerdos con los proveedores de servicios TIC para garantizar que cumplen los requisitos.
  1. Prepárese para las auditorías: Esté preparado para posibles auditorías normativas manteniendo una documentación exhaustiva de sus prácticas de gestión de riesgos de TIC.
  1. Aplicar medidas de continuidad de la actividad y protección de datos: Elabore y pruebe periódicamente planes de continuidad de la actividad y recuperación en caso de catástrofe, establezca procedimientos seguros de copia de seguridad, mejore la protección de datos, cree protocolos de comunicación en caso de crisis e imparta formación al personal conforme a los requisitos de los artículos 10 y 11.

Plazos y cumplimiento

El DORA entró en vigor el 16 de enero de 2023. Sin embargo, las entidades financieras tienen hasta el 17 de enero de 2025 para garantizar su pleno cumplimiento. Este plazo de dos años es crucial para que las organizaciones evalúen sus sistemas actuales, apliquen los cambios necesarios y se preparen para el nuevo entorno normativo.

La importancia de actuar ahora

Aunque 2025 pueda parecer lejano, el alcance y la profundidad de los cambios exigidos por el DORA hacen necesaria una actuación temprana. Empezar a prepararse ahora estará en mejor posición para:

  • Repartir el coste del cumplimiento en un periodo más largo
  • Obtenga una ventaja competitiva demostrando una sólida resistencia digital
  • Evite las prisas de última hora y las posibles sanciones por incumplimiento.
  • Contribuir a la estabilidad general y a la fiabilidad del sistema financiero de la UE.

Para más información

Shive Raja Headshot

Bogdan Viher

Director de Canal Atlassian

Bogdan lleva más de 15 años trabajando con VAR, canal y socios de distribución. Durante este tiempo, ha desarrollado una profunda comprensión y perspectiva de la industria en la protección de datos, recuperación ante desastres, migración, copia de seguridad y protección contra ransomware en entornos locales y de nube pública. Trabaja en estrecha colaboración con nuestros socios de canal y revendedores de Atlassian y sus clientes para demostrar el valor y las ventajas de las soluciones de protección de datos y recuperación ante desastres diseñadas específicamente para entornos SaaS y multi-nube.

También te puede gustar...

HYCU Extends Patented Application Awareness to SQL Databases in the Public Cloud

Protección de datos como servicio
Protección de datos como servicio
December 17, 2024

Reacción del Tifón Salado: El importante papel de la protección de datos para frenar el riesgo de terceros

Protección de datos como servicio
Protección de datos como servicio
16 de diciembre de 2024

Aprovechar el poder de las asociaciones: Cómo HYCU lidera la protección de datos

Protección de datos como servicio
Protección de datos como servicio
10 de diciembre de 2024

Experimente la plataforma de protección de datos SaaS número 1

Pruebe HYCU usted mismo y conviértase en un creyente.

Pruebe HYCU gratis
Solicitar una demostración
Plataforma HYCU
Visualizar con R-GraphConstruir sobre HYCU
Soluciones de protección de datos
Copias de seguridadMigración de datos y movilidadRecuperación ante desastresHíbrido y multi-nubeProtección contra ransomwareSeguridad y conformidadVer todas las tecnologías compatibles
Nube privada y centros de datos
NutanixNutanix MineDell PowerProtect Data DomainNetApp ONTAP
Como servicio
Google WorkspaceEntra IDVer todos
Aplicaciones y bases de datos
SAP HANAOracleVer todos
Empresa
LiderazgoConsejo de AdministraciónEmpleoSala de prensa
Programas globales de socios
Alianzas y socios tecnológicosProveedores de servicios gestionadosBuscar un distribuidorDistribuidoresReferenciasConviértase en socioRegistro de acuerdos
Comenzar
Prueba gratuitaSolicitar una demostración
Recursos
SoporteHistorias de clientesNuevo en HYCUBiblioteca de contenidosBlogWebinars y EventosCalculadora de ransomware y preparación
Siga
2024 HYCU. Todos los derechos reservados.
LegalCondiciones de usoPolítica de privacidadResponsable de privacidad