¿Qué es la DORA y cómo le afectará? Desmitificación de la Ley de resiliencia operativa digital
Adelántese a la curva y prepárese con confianza para la fecha límite de cumplimiento de la Ley de Resiliencia de las Operaciones Digitales de enero de 2025.
El sector financiero no es ajeno a las normativas destinadas a mejorar la resistencia operativa y la seguridad. La Ley de Resiliencia Operativa Digital (DORA) destaca como un marco crucial diseñado para reforzar la resiliencia operativa de las entidades financieras de la Unión Europea. A medida que nos acercamos al 17 de enero de 2025, fecha límite para el cumplimiento de la DORA, es esencial que las entidades financieras comprendan sus requisitos y se preparen en consecuencia.
Pero aquí está el truco: Por primera vez en la historia, las organizaciones sólo dispondrán de un mes de plazo para cumplir plenamente las nuevas actualizaciones de la normativa DORA tras su publicación definitiva en diciembre.
Los próximos seis meses llegarán más rápido de lo que esperas (sobre todo entre diciembre y enero). Por suerte, los equipos pueden empezar a prepararse de forma proactiva hoy mismo; algunas plataformas (como Mitratech Alyne) ya disponen de borradores de contenido RTS, lo que le da la oportunidad de empezar a trazar mapas ahora y la tranquilidad de poder implementar fácilmente cualquier actualización necesaria en esos últimos 30 días. Tampoco es necesario un enfoque de "arrancar y reemplazar" o una revisión a fondo. Alyne se integra a la perfección con su infraestructura, herramientas y tecnología existentes, actuando como experto en DORA para ayudarle a comprender y mapear los requisitos del borrador final de RTS y consolidar de forma eficiente todos los datos necesarios (incluidos los requeridos por las plantillas de la EBA/ESA) en el Registro de Información.
Pero la implementación puede tardar de 4 a 6 semanas, por lo que ahora es el momento de empezar a trabajar para cumplir con la DORA. Siga leyendo para conocer algunas medidas proactivas que puede tomar para reducir el riesgo de sanciones por incumplimiento y garantizar el pleno cumplimiento antes de la fecha límite de cumplimiento del DORA de 2025.
Un rápido paso atrás: ¿Qué es DORA?
DORA, o Digital Operational Resilience Act, es una normativa de la UE diseñada para garantizar que las entidades financieras puedan resistir, responder y recuperarse de todo tipo de perturbaciones y amenazas relacionadas con las TIC. Esta nueva normativa cubre un amplio espectro de incidentes relacionados con las TIC, yendo más allá de las prácticas tradicionales de gestión de riesgos para incluir medidas integrales de protección, detección, contención, recuperación y reparación.
Antes del DORA, las entidades financieras se centraban principalmente en la asignación de capital para gestionar los riesgos operativos. Ahora, el DORA introducirá un enfoque más detallado de la resistencia operativa, exigiendo estrategias y políticas sólidas para gestionar eficazmente los riesgos de las TIC. Este cambio subraya la importancia de manejar los datos de forma responsable y ética, garantizando que las entidades financieras puedan mantener sus operaciones incluso ante perturbaciones significativas.
Conozca las 5 principales obligaciones de cumplimiento del DORA
El DORA se divide en cinco ámbitos de regulación centrados en las TIC y la ciberseguridad.
- Gestión de riesgos y gobernanza de las TIC: El DORA exigirá a las organizaciones que establezcan un sólido marco de gobernanza de las TIC que incluya una estrategia de resiliencia digital, una tolerancia al riesgo de las TIC definida y una documentación detallada de todas las funciones y activos empresariales relacionados con las TIC. Esto conducirá a una evaluación periódica para mitigar los riesgos de las TIC, crear políticas de seguridad integrales e impartir formación periódica de concienciación sobre seguridad a los empleados.
- Respuesta y notificación de incidentes: Las organizaciones deben crear un plan de respuesta claro que garantice que los empleados conocen los procedimientos de notificación y clasifican los incidentes de forma eficaz. El DORA también garantiza que todos los incidentes relacionados con las TIC se notifiquen a las autoridades pertinentes, así como a los usuarios y clientes.
- Pruebas de resistencia operativa digital: En virtud del DORA, las organizaciones tendrán que aplicar un marco de pruebas que incluya pruebas básicas periódicas de las TIC y pruebas avanzadas de penetración dirigidas por amenazas (TLPT). Cualquier debilidad, deficiencia o brecha debe ser identificada y eliminada o mitigada con la ejecución de medidas contraactivas.
- Gestión de riesgos de terceros: Además del cumplimiento interno, las organizaciones deben evaluar las medidas de seguridad de los proveedores externos de TIC para asegurarse de que también cumplen los requisitos de la DORA. Los contratos con estos proveedores deben incluir un seguimiento exhaustivo y detalles de accesibilidad, como una descripción completa del nivel de servicio e información sobre los lugares donde se procesan los datos.
- Acuerdos para compartir información e inteligencia: El DORA fomenta la colaboración entre comunidades de confianza de otras entidades financieras con el fin de: aumentar la concienciación sobre los riesgos de las TIC, minimizar la capacidad de propagación de las amenazas de las TIC y, en general, mejorar la resiliencia operativa digital de las entidades financieras. El intercambio periódico de información sobre amenazas y la coordinación de esfuerzos para identificar las amenazas y vulnerabilidades emergentes ayudarán a reducir el riesgo.
El propósito de estos dominios es proporcionar un marco integral de resiliencia digital que haga hincapié en la importancia de la adaptación y la mejora continuas.
Aplicación de los requisitos del DORA
Los requisitos del DORA son exigibles 24 meses después de su entrada en vigor, el 16 de enero de 2023. Por lo tanto, se espera que las entidades financieras cumplan con el DORA antes del 17 de enero de 2025.
Pero como hemos mencionado anteriormente: los borradores finales de RTS y las actualizaciones de DORA no se publicarán oficialmente hasta diciembre de 2024, dejando a su equipo para navegar por un plazo inaudito de un mes. El cumplimiento no se produce de la noche a la mañana, y con este plazo acercándose rápidamente, las organizaciones deben actuar ahora para asegurarse de que están preparadas.
Mientras se familiariza con los requisitos, es igualmente importante dotar a su organización de las herramientas y los conocimientos necesarios para lograr una sólida resistencia operativa.
Automatización del cumplimiento del DORA
Si bien esta visión general proporciona un punto de partida para comprender y prepararse para el DORA, la normativa hace hincapié en la importancia de la adaptación y la mejora continuas. A medida que evoluciona el panorama normativo, es esencial mantenerse al día de las modificaciones y directrices adicionales.
Sólo estamos en los primeros 100 metros de la carrera de la milla.
En otras palabras, trabajar con controles es sólo la configuración... después viene la identificación de lagunas, el análisis de lagunas, la creación de su registro, etc.
El uso de la tecnología de automatización ofrece la oportunidad de racionalizar sus esfuerzos con una plataforma centralizada y personalizable para gestionar el cumplimiento de DORA y otras normas pertinentes, siempre que elija la plataforma adecuada. Los sistemas toscos y de gran tamaño no serán lo suficientemente ágiles como para recopilar y seguir el ritmo de las cambiantes actualizaciones de DORA. Las plataformas más ágiles (como Mitratech Alyne) han sido diseñadas para ayudarle a alcanzar la plena conformidad con DORA en sólo 30 días.
Cumplir con la nueva legislación no tiene por qué ser estresante. Para obtener más información sobre cómo Mitratech puede proporcionar soluciones con el Marco DORA y las Normas Técnicas Reglamentarias (NTR) ya configuradas, póngase en contacto con nuestro equipo.
Descubra Mitratech GRC Management
Obtenga más información sobre nuestro exclusivo conjunto de soluciones integrales de riesgo y cumplimiento normativo.