Ley de Resiliencia Operativa Digital (DORA)

Definición y alcance de DORA

Las siglas DORA hacen referencia a la Ley de Resiliencia Operativa Digital de la Unión Europea (UE), aprobada en 2022 para proporcionar un marco de gestión de riesgos con el fin de proteger el sector financiero de la UE frente a las ciberamenazas. Determina las medidas que las instituciones financieras de la UE deben adoptar para proteger sus tecnologías de la información y la comunicación (TIC).

La Ley de Resiliencia Operativa Digital tiene un alcance muy amplio. Establece normas tecnológicas específicas que las instituciones financieras y sus proveedores de servicios deben implementar en los sistemas TIC. Dichas normas no solo se aplican a las organizaciones de la UE, sino también a las instituciones financieras y a sus proveedores de servicios externos cuando operan en la UE.

Contexto histórico y recorrido legislativo

El principal impulsor de la Ley de Resiliencia Operativa Digital fue el reconocimiento por parte de la Comisión Europea del alcance del uso de las TIC y la dependencia de estas tecnologías existente en las instituciones financieras. A medida que los ciberataques aumentaban y los ciberriesgos se disparaban, la Comisión se propuso legislar en materia de prácticas recomendadas de ciberseguridad para proteger los sistemas TIC de los sectores financieros, reforzándolos y garantizando su resiliencia operativa. Un segundo objetivo fue armonizar las distintas normas de gestión de riesgos que habían surgido en toda la UE.

La importancia de DORA en la era digital para las entidades financieras

Cuando la Ley de Resiliencia Operativa Digital se aplique plenamente en enero de 2025, las instituciones financieras tendrán que asumir requisitos de gestión de datos estrictos, que tendrán amplias implicaciones no solo para los sistemas TIC, sino también para los sistemas y procesos complementarios.

Además, estos requisitos irán mucho más allá de las instituciones financieras individuales. Los requisitos de cumplimiento tendrán una escala muy amplia, ya que será necesario evaluar a todos los proveedores externos y certificar que cumplen dichos requisitos.

El marco principal de DORA: explicación de los cinco pilares

La Ley de Resiliencia Operativa Digital se basa en cinco principios o pilares principales, que abordan los aspectos básicos de la resiliencia operativa digital.

1. Requisitos de gestión de riesgos de las TIC

La Ley de Resiliencia Operativa Digital exige que las instituciones financieras desarrollen e implementen un programa de gestión de riesgos. Esto debe seguir un marco de gestión de riesgos basado en normas internacionales y debe incluir una estrategia de resiliencia digital, formación en materia de ciberseguridad para todos los empleados, incluido el equipo directivo, y auditorías periódicas. Las organizaciones deben contar con controles de seguridad para proteger los activos TIC y con planes para recuperar dichos activos en caso de ataque o desastre.

2. Informes de incidentes relacionados con las TIC

La capacidad de detectar los incidentes de ciberseguridad y reaccionar de manera rápida y eficiente es un objetivo fundamental de la Ley de Resiliencia Operativa Digital. La normativa exige que las instituciones financieras cuenten con sistemas y procesos integrales para detectar los incidentes de ciberseguridad que pongan en peligro los sistemas TIC, reaccionar y recuperarse, además de contar con informes de causa principal en caso de problemas de importancia.

DORA exige que las instituciones financieras presenten informes de incidentes TIC en un plazo de un mes desde la detección del incidente. Dentro del marco de DORA, una ubicación centralizada de la UE recopilará datos relacionados con incidentes en materia de TIC, en lugar de que las autoridades nacionales competentes (ANC) recopilen esta información localmente.

3. Pruebas de resiliencia operativa digital

La Ley de Resiliencia Operativa Digital exige que las organizaciones realicen pruebas periódicas de los sistemas TIC. Dichas pruebas deben incluir una evaluación de procedimientos, herramientas y metodologías para identificar las vulnerabilidades y las soluciones inmediatas y establecer prioridades.

DORA exige que se realicen pruebas formales una vez al año, y Threat Led Penetration Testing (TLPT) cada tres años. Para reducir las molestias asociadas a las pruebas, el marco de pruebas de DORA se ha diseñado siguiendo el marco TIBER-EU, que es una directriz de pruebas voluntarias desarrollada por el Banco Central Europeo en la que se detalla cómo las instituciones financieras deben evaluar su ciberresiliencia.

4. Gestión del riesgo de terceros, incluidos los proveedores de servicios

Para abordar los ciberriesgos procedentes de proveedores de servicios externos, la Ley de Resiliencia Operativa Digital exige que las instituciones financieras asuman la responsabilidad de mapear las dependencias de terceros y evaluar los posibles riesgos provenientes de estos socios. Esto incluye riesgos que podrían afectar a su ciberresiliencia, provocar una filtración de datos o exponerlas a ataques a la cadena de suministro. Las instituciones financieras deben realizar evaluaciones de su situación de riesgo y presentar informes anuales sobre todos los socios y proveedores TIC.

5. Intercambio de información entre entidades financieras

En un esfuerzo por aumentar la visibilidad del panorama de riesgos y amenazas que afectan a las organizaciones financieras de la UE y favorecer la colaboración en materia de defensa ante ciberamenazas, la Ley de Resiliencia Operativa Digital fomenta el intercambio de información. El objetivo del intercambio de información entre instituciones financieras es aumentar el conocimiento de las ciberamenazas y las tácticas de respuesta para mitigar el ciberriesgo en todo el sector.

La Ley de Resiliencia Operativa Digital se aplica a todas las organizaciones que prestan servicios financieros en la UE, independientemente de su ubicación. La normativa está centrada en el sector financiero, pero también afecta a los proveedores y proveedores de servicios externos del sector financiero.

Lista completa de las entidades que deben cumplir los requisitos

Según el artículo 2, Ámbito de aplicación, los tipos de entidades financieras a los que la Ley de Resiliencia Operativa Digital exige cumplir la normativa son los siguientes:

1. Proveedores de servicios de información de cuentas
2. Administradores de índices de referencia cruciales
3. Contrapartes centrales
4. Depositarios centrales de valores
5. Entidades de crédito
6. Agencias de calificación crediticia
7. Proveedores de servicios de financiación participativa
8. Proveedores de servicios de criptoactivos autorizados según un Reglamento del Parlamento Europeo y del Consejo sobre los mercados de criptoactivos
9. Proveedores de servicios de suministro de datos
10. Entidades de dinero electrónico, incluidas las entidades de dinero electrónico que están exentas de conformidad con la Directiva 2009/110/CE
11. Proveedores de servicios externos de TIC
12. Instituciones de provisión de jubilación ocupacional
13. Empresas de seguros o reaseguros
14. Mediadores de seguros, mediadores de reaseguros y mediadores de seguros auxiliares
15. Sociedades de inversión
16. Sociedades de gestión
17. Gestores de fondos alternativos de inversión
18. Entidades de pago, incluidas las entidades de pago que están exentas de conformidad con la Directiva (UE) 2015/2366
19. Repositorios de titulizaciones
20. Repositorios de operaciones
21. Plataformas de negociación

Descripción de las obligaciones de cumplimiento según DORA

1. Acceso de auditoría para los reguladores y las instituciones financieras que evalúan a los proveedores
2. Intercambio de inteligencia sobre ciberamenazas entre instituciones financieras
3. Proceso de informes de incidentes para compartir información en la ubicación centralizada de la UE de DORA
4. Mapeo de todos los proveedores de servicios TIC externos y evaluación de su situación de riesgo
5. Análisis retrospectivo de los incidentes de TIC
6. Marco de gobernanza y gestión de riesgos con las directivas y los programas correspondientes
7. Programas de pruebas de seguridad con elaboración de informes sobre pruebas generales y elaboración de informes sobre pruebas de penetración

Función de las Autoridades Europeas de Supervisión en el cumplimiento

En relación con las entidades financieras, los reguladores, denominados autoridades competentes, garantizan el cumplimiento de la Ley de Resiliencia Operativa Digital en cada Estado miembro de la UE. Tienen autoridad para imponer sanciones administrativas y penales a las organizaciones que no cumplen la normativa. Cada Estado miembro de la UE determina las sanciones específicas.

Tres Autoridades Europeas de Supervisión (AES) supervisan a los proveedores de servicios TIC considerados críticos por la Comisión Europea:

1. Autoridad Bancaria Europea (ABE)
2. Autoridad Europea de Valores y Mercados (AEVM)
3. Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ)

Un supervisor principal, designado por las AES, se ocupa de supervisar a los proveedores de servicios TIC según la Ley de Resiliencia Operativa Digital. Cuenta con el respaldo de otras agencias, como la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y otras autoridades competentes de la UE.

El supervisor principal puede imponer a los proveedores de servicios TIC que no cumplan la normativa multas de hasta el 1 % de sus ingresos anuales. Es posible multar a los proveedores de servicios TIC cada día durante un periodo máximo de seis meses hasta que cumplan la normativa.

Puesta en práctica de DORA en su organización

Tal y como sucede con muchas normativas, la puesta en práctica de la Ley de Resiliencia Operativa Digital suele ser cuestión de ajustar y aumentar los sistemas y procesos existentes. La mayor carga para la mayoría de las organizaciones es el requisito de evaluar y supervisar a los proveedores de servicios TIC externos. A continuación se proporciona una visión general de cómo poner en práctica DORA de manera eficaz.

Pasos para cumplir la normativa DORA

A continuación se incluyen pasos generales para ayudar a las entidades financieras a cumplir la Ley de Resiliencia Operativa Digital.

1. Determinar el ámbito de aplicación.
   Revise la lista de entidades del artículo 2 de la Ley de Resiliencia Operativa Digital que deben cumplir DORA para confirmar que la normativa DORA se aplica a la organización.
2. Comprender los requisitos de cumplimiento.
   Determine qué debe hacer la organización para cumplir los requisitos establecidos en la Ley de Resiliencia Operativa Digital.
3. Realizar una evaluación de ciberriesgos.
   Evalúe cómo la organización y los sistemas y procesos de sus proveedores de servicios TIC externos cumplen los requisitos de la Ley de Resiliencia Operativa Digital y documente las lagunas.
4. Implicar a los equipos en toda la organización.
   Incluya a los equipos que no forman parte del grupo de TI para garantizar que se identifiquen todos los ciberriesgos y lagunas. Así también se garantiza una estrategia de cumplimiento integral y se satisfacen las necesidades de otros grupos.
5. Desarrollar una estrategia de resiliencia operativa.
   Si existe una estrategia de resiliencia, revísela para confirmar que cumple los requisitos de la Ley de Resiliencia Operativa Digital y modifíquela según corresponda. Si aún no se ha desarrollado ninguna, cree una estrategia integral para garantizar la continuidad del negocio en caso de incidentes de seguridad que afecten a los sistemas TIC, así como para reaccionar ante las ciberamenazas, las filtraciones de datos y otros problemas o interrupciones.
6. Definir responsabilidades.
   Según la Ley de Resiliencia Operativa Digital, el consejo de administración y el equipo ejecutivo son responsables de gestionar los riesgos TIC y garantizar la resiliencia operativa. Es fundamental que los directivos deleguen y supervisen las funciones. Entre las áreas clave en las que conviene centrarse se incluyen:
7. Identificar y evaluar a los proveedores de servicios de TIC externos.
   Mapee todos los proveedores de servicios de TIC externos y desarrolle un plan para evaluar su ciberriesgo y ciberresiliencia en función de los criterios de la Ley de Resiliencia Operativa Digital. Implemente procesos para realizar una supervisión continua y pruebas periódicas.
8. Probar los sistemas y procesos.
   Realice pruebas periódicas de resiliencia operativa digital para confirmar el cumplimiento e identificar deficiencias o áreas de optimización. También deben realizarse pruebas de Threat Led Penetration Testing (TLPT) al menos cada tres años utilizando marcos aprobados, como TIBER-EU y CBEST Intelligence-Led Testing.
9. Desarrollar un plan de respuesta ante incidentes.
   Prepárese para reaccionar de manera rápida y eficaz ante un incidente desarrollando un plan integral de respuesta ante incidentes que abarque tanto las respuestas técnicas como los protocolos de comunicación. Asigne roles a cada función y practíquelos. Además, es necesario probar y revisar periódicamente el plan de respuesta ante incidentes.
10. Desarrollar un programa de formación.
    Cree un programa de formación para empleados que genere y aplique conocimiento sobre la resiliencia operativa digital y las tareas de cada persona para su mantenimiento. Céntrese en la importancia de la ciberseguridad y los pasos para minimizar el ciberriesgo.
11. Supervisar los sistemas de TIC.
    Utilice herramientas para automatizar la supervisión de los sistemas de TIC a fin de identificar el ciberriesgo y las ciberamenazas de manera proactiva.
12. Directivas de seguridad para garantizar la seguridad de los datos
13. Gestión y gobernanza de las funciones y sistemas relacionados con las TIC
14. Revisiones de la estrategia de resiliencia operativa digital y de los sistemas y programas asociados
15. Evaluaciones de proveedores de servicios de TIC
16. Presupuesto para apoyar las iniciativas de resiliencia operativa

Implementación de un marco de gestión de riesgos de las TIC

A continuación se incluyen los pasos básicos para implementar un marco de gestión de riesgos de las TIC de conformidad con los requisitos de la Ley de Resiliencia Operativa Digital. Cada organización tendrá requisitos y pasos secundarios únicos, pero estos pasos proporcionan una visión general de lo que implica.

1. Prepárese desarrollando una comprensión adecuada de todos los requisitos de la gestión de riesgos de las TIC, así como de las entidades y personas implicadas en todas sus áreas.
2. Clasifique los sistemas TIC y detalle sus funciones, los datos recopilados, las conexiones con otros sistemas y el acceso de los usuarios.
3. Seleccione e implemente controles de seguridad para los sistemas TIC, incluyendo los que abarcan la protección técnica, operativa y física y la resiliencia digital.
4. Evalúe la precisión y eficacia de los controles de seguridad de las TIC para identificar las lagunas o vulnerabilidades.
5. Implemente procesos para la supervisión continua de los sistemas TIC a fin de identificar ciberamenazas y ciberriesgos y reaccionar lo antes posible.

Prácticas recomendadas para los informes de incidentes y las pruebas de resiliencia

Los informes de incidentes y las pruebas de resiliencia son pilares de la Ley de Resiliencia Operativa Digital. Entre las prácticas recomendadas para facilitar estas funciones críticas se incluyen las enumeradas a continuación.

Las prácticas recomendadas para los informes de incidentes comienzan con la definición de lo que es un incidente y el establecimiento de categorías de incidentes. Cuando se produce un incidente, un informe exhaustivo debe incluir lo siguiente:

1. Información general sobre el incidente: cuándo ha ocurrido y un resumen de lo que ha sucedido
2. Cronología del incidente y las tácticas de respuesta
3. Marco o entorno en el que se produjo el incidente
4. Personas, organizaciones y sistemas afectados, así como los daños
5. Testigos y equipos implicados en la detección y resolución del incidente, así como información sobre lo que vieron e hicieron
6. Elementos visuales de apoyo en caso de incidentes físicos
7. Tácticas de respuesta inmediatas, así como tácticas de resolución planificadas

Para garantizar la eficacia de un plan de ciberresiliencia, es importante probarlo. A continuación se incluyen una serie de consideraciones que deben tenerse en cuenta al realizar pruebas de ciberresiliencia.

1. Definir parámetros de ciberresiliencia, como el tiempo de recuperación
2. Establecer puntos de referencia para los parámetros de resiliencia operativa digital
3. Simular ciberataques o interrupciones del sistema
4. Probar los planes de resiliencia operativa digital y respuesta ante incidentes, así como los conocimientos de los empleados sobre las prácticas recomendadas de ciberresiliencia y ciberseguridad y sus funciones
5. Utilizar los resultados de las pruebas para actualizar y mejorar las estrategias de resiliencia operativa digital y los planes asociados

Gestión de riesgos relacionados con las TIC y los terceros

Se debe tener en cuenta lo indicado a continuación al evaluar la gestión de riesgos de TIC de los proveedores de servicios externos para el cumplimiento de los requisitos de la Ley de Resiliencia Operativa Digital.

Al evaluar a los posibles proveedores de servicios de TIC, empiece por determinar la importancia del servicio que se presta. La profundidad de la evaluación debe corresponderse con dicho factor.

Una vez que se ha seleccionado un proveedor de servicios de TIC, establezca requisitos mínimos de resiliencia operativa digital y ciberseguridad en el contrato. Además, se deben establecer procesos y parámetros para supervisar y probar el cumplimiento de estos requisitos.

Asegúrese de contar con todos los planes de continuidad del negocio y recuperación necesarios para todos los proveedores de servicios de TIC. Dichos planes deben incluir copias de seguridad de todos los datos críticos.

Se espera que la Ley de Resiliencia Operativa Digital mejore de manera significativa las operaciones y la seguridad generales del sector de los servicios financieros tanto en la UE como fuera de ella.

Esto se debe a los requisitos de los proveedores de servicios de TIC externos y al hecho de que la normativa afecta a todas las organizaciones que operan en la UE.

Mejora de la resiliencia operativa ante las amenazas digitales

Los requisitos específicos de ciberseguridad establecidos por la Ley de Resiliencia Operativa Digital están diseñados para garantizar la continuidad del negocio si se produce un ciberataque o tienen lugar otros incidentes que afecten a los sistemas TIC. La normativa codifica las ciberprácticas recomendadas y las aplica al ecosistema de servicios financieros en expansión.

Función de DORA en el fomento de un ecosistema financiero europeo armonizado

Uno de los principales motores de la Ley de Resiliencia Operativa Digital ha sido armonizar las normativas en toda la UE. DORA crea un entorno normativo unificado que optimiza el cumplimiento y ayuda a las entidades financieras y a los proveedores de servicios de TIC externos a ofrecer el mismo elevado nivel de resiliencia y ciberseguridad.

Posibles retos y consideraciones de cara al futuro

Para muchas organizaciones, la implementación eficaz de procesos y sistemas para cumplir los requisitos de la Ley de Resiliencia Operativa Digital supondrá todo un reto. Entre los problemas que más se mencionan se incluye la falta de:

1. Una definición clara de resiliencia operativa
2. Procesos e infraestructura para la elaboración de informes y el intercambio de información
3. Recursos al evaluar e identificar el ámbito completo de los ciberriesgos que afectan a la resiliencia digital

Conclusión: adoptar la resiliencia operativa digital para alcanzar un éxito sostenible

Cumplir los requisitos de la Ley de Resiliencia Operativa Digital no solo ayuda a las organizaciones a evitar sanciones, sino que, además, proporciona un modelo de ciberresiliencia y ciberseguridad sostenibles.

Resumen de las conclusiones clave sobre DORA

Comprender los cinco pilares de la Ley de Resiliencia Operativa Digital es fundamental para garantizar el cumplimiento y conseguir un rendimiento óptimo de todos los sistemas y operaciones. Cualquier institución financiera, independientemente de si debe cumplir DORA, puede beneficiarse de las directrices establecidas en los cinco pilares:

1. Requisitos de gestión de riesgos de las TIC
2. Informes de incidentes relacionados con las TIC
3. Pruebas de resiliencia operativa digital
4. Gestión del riesgo de terceros, incluidos los proveedores de servicios
5. Intercambio de información entre entidades financieras

La importancia de un compromiso proactivo con los requisitos de DORA

Con un ecosistema tecnológico y un panorama de amenazas en rápida evolución, las organizaciones deben permanecer alerta. Dedique tiempo a informarse sobre las más recientes soluciones disponibles para respaldar las defensas de ciberseguridad y la resiliencia operativa digital. Supervise también la inteligencia sobre amenazas de fuentes internas y externas para incorporarla a las estrategias y tácticas de la ciberdefensa y la resiliencia operativa digital.

Reflexión final sobre cómo prepararse para un futuro digital resiliente en el sector de las finanzas

La Ley de Resiliencia Operativa Digital es una oportunidad para que las organizaciones financieras evalúen y mejoren su situación de seguridad y resiliencia. Los requisitos para los proveedores de servicios de TIC externos amplían esto a la comunidad empresarial en general, lo que se espera que ofrezca ventajas importantes, ya que las organizaciones estarán mejor preparadas para alcanzar niveles elevados de resiliencia operativa digital.

Evalúe la solidez de su programa de seguridad de la identidad

Datos de referencia específicos del sector respaldados por estudios y una hoja de ruta para impulsar el valor empresarial