Reglamento DORA: qué es, objetivos y a qué empresas se aplica

El sector financiero está atravesando una intensa transformación digital y, hoy en día, se presenta como uno de los sectores más dinámicos en términos de innovación tecnológica. Los pagos digitales, la banca en línea y los sistemas de autenticación cada vez más sofisticados permiten ofrecer una experiencia al cliente más fluida, rápida y personalizada. Sin embargo, el reverso de la moneda muestra cómo la carrera hacia la digitalización ha abierto la puerta a nuevos y más poderosos ciberataques.El Reglamento DORA (Digital Operational Resilience Act) surge en este contexto.

Reglamento DORA: qué es y a quién se dirige

El Digital Operational Resilience Act forma parte de un amplio paquete de normativas y medidas estratégicas, lanzadas por la Comisión Europea con el objetivo de fortalecer y garantizar la resiliencia de las organizaciones financieras y su capacidad para hacer frente a los ciberataques. En particular, DORA se enfoca en la resiliencia operativa digital, es decir, la capacidad de garantizar la continuidad del negocio incluso en caso de incidentes o violaciones de infraestructura IT.
El reglamento DORA, que entró en vigor el 16 de enero de 2023, será obligatorio a partir del 17 de enero de 2025. Las empresas del sector financiero que operan en la Unión Europea, y que aún no lo han hecho, deberán implementar una serie de medidas relacionadas con la Gobernanza, la Gestión de Riesgos, la Ciberseguridad y la Gestión de Incidentes, con el fin de cumplir con la normativa DORA y evitar las sanciones previstas, que serán aplicadas por las autoridades reguladoras designadas en cada estado.
La normativa se aplica a las entidades financieras (como bancos, aseguradoras, sociedades de inversión, instituciones de crédito, operadores de criptomonedas, etc.) y a sus proveedores críticos de terceros que proporcionan servicios de Tecnologías de la Información y Comunicación (ICT).
A estos, se les exige cumplir con los nuevos requisitos normativos, demostrando de manera medible su resiliencia operativa y garantizando la seguridad de los sistemas mediante monitoreo constante, pruebas periódicas y actividades de gestión de riesgos.
Una de las principales novedades asociadas con la entrada en vigor del Reglamento es que los prohibiciones de externalizar servicios ICT (outsourcing) relacionados con funciones empresariales operativas esenciales (“Funciones Esenciales e Importantes” en la terminología DORA), previamente estipuladas por la normativa secundaria del Banco de Italia, ya no serán aplicables, como se detalla en la última actualización de dicho Banco.

Reglamento DORA: cuáles son los objetivos

La normativa DORA tiene dos objetivos principales:

• Definir un marco para la gestión de riesgos ICT en el sector financiero

• Unificar la gestión de la resiliencia operativa de las entidades financieras en toda la UE, que hasta ahora estaba sujeta a leyes y regulaciones diversas en cada estado

La implementación del reglamento por parte de las entidades financieras garantiza, además, una mayor protección a los consumidores.

Pilares del Digital Operational Resilience Act

El cumplimiento de estos objetivos se articula en una serie de puntos clave, pilares que las organizaciones deberán implementar y respetar para garantizar su cumplimiento.
Se pueden identificar 9 requisitos para la gestión de riesgos ICT según el Reglamento DORA:

Gobernanza. Es necesario un mayor alineamiento dentro de las empresas respecto a la gestión de los riesgos ICT: identificación de responsabilidades, mapeo de sistemas, identificación de activos críticos y dependencias, evaluación de riesgos y definición de planes de acción relacionados con interrupciones graves, con el fin de garantizar la continuidad del negocio y la recuperación ante desastres. En Gobernanza también entra la capacitación relacionada con estas actividades.

Gestión de Riesgos. El objetivo de este pilar es definir y mejorar las normativas y regulaciones relacionadas con la gestión de riesgos. Las entidades financieras deberán implementar sistemas para identificar, monitorear, gestionar, registrar, clasificar y reportar de manera puntual los riesgos asociados a ICT. La actividad de Gestión de Riesgos también implica la implementación de herramientas y sistemas IT resilientes, así como estrategias de continuidad operativa y recuperación.

Gestión de Incidentes. DORA establece criterios específicos para mapear y clasificar los incidentes, con el fin de definir umbrales de relevancia. Dependiendo de la gravedad del incidente, también podría ser necesario informar a las autoridades reguladoras, clientes y socios interesados.

Pruebas de Resiliencia. Las organizaciones, en cumplimiento con el Reglamento DORA, deberán someterse a pruebas periódicas para identificar posibles puntos débiles y definir acciones correctivas en términos de seguridad. Organismos autorizados se encargarán de realizar pruebas de penetración y ejercicios de Red-Teaming. El objetivo de este pilar es adoptar un enfoque proactivo y no solo reactivo frente a los riesgos ICT. De acuerdo con el artículo 26 del Reglamento DORA, los intermediarios identificados deberán realizar Threat-Led Penetration Tests al menos cada tres años. Estas pruebas forman parte de los instrumentos de supervisión y sus resultados se integrarán en los procesos de supervisión.

Gestión del Riesgo de Proveedores de Terceros. Una de las principales novedades de DORA es que también se aplica a los proveedores críticos de terceros, lo que obliga a estos proveedores a adaptarse a las nuevas normativas. Deberán estar listos para responder a las preguntas de sus clientes sobre resiliencia operativa y cumplir con los requisitos específicos.

Resiliencia Operativa. Las empresas involucradas deberán redactar un plan de continuidad operativa y recuperación ante desastres (BCP/DRP). Este plan también debe contemplar la Continuidad del Negocio y debe ser probado y actualizado periódicamente según las necesidades.

Seguridad de Datos. La confidencialidad, integridad y disponibilidad de los datos gestionados por los sistemas IT deberán garantizarse mediante medidas técnicas y organizativas, con el fin de prevenir accesos no autorizados y minimizar los riesgos de pérdida o compromiso de los datos.

Supervisión y Auditoría. Para garantizar una gestión eficaz de los riesgos, es fundamental mantener documentación precisa, completa y actualizada de los procesos. Esta documentación facilitará el trabajo de auditoría y supervisión por parte de las autoridades competentes para verificar el cumplimiento de DORA por parte de las empresas.

Intercambio de Conocimiento. DORA fomenta la comunicación y cooperación entre las entidades financieras dentro de la Comunidad Europea, mediante acuerdos voluntarios para el intercambio de información y datos de inteligencia sobre amenazas. Es importante señalar que, en todo caso, esta información debe estar protegida conforme a las políticas y normativas aplicables, y el tratamiento de datos personales debe realizarse respetando el GDPR.

Cumplir con el Reglamento DORA: qué deben hacer las empresas

Las empresas deben alinearse con la nueva normativa y aproximarse a los pilares, aprovechando las herramientas disponibles y desarrollando o modificando sus procesos relacionados con la notificación de incidentes.

Para cumplir con los requisitos más estrictos, las empresas del sector financiero deberán llevar a cabo 4 actividades principales:

1. Análisis de brechas en su marco de Gestión de Riesgos, con el fin de identificar los pasos necesarios para alcanzar la situación óptima. El Banco de Italia, en una reciente nota, señala que las entidades financieras (salvo las microempresas) deberán asignar a una función de control independiente la responsabilidad de gestionar los riesgos ICT, para evitar conflictos de interés.
2. Adopción de políticas, procesos, procedimientos y soluciones tecnológicas para mejorar su nivel de seguridad, alineándolo con los requisitos de la normativa.
3. Revisión de los métodos de notificación de incidentes, para verificar las capacidades internas en cuanto a la elaboración de informes y la notificación de incidentes. A partir del 17 de enero, las entidades financieras deberán notificar, a través de la plataforma Infostat del Banco de Italia, todos los incidentes graves ICT y, de manera voluntaria, las amenazas informáticas significativas.
4. Evaluación de los proveedores críticos y renegociación de contratos, lo que permitirá identificar a los proveedores de servicios ICT y evaluar sus críticas y vulnerabilidades, acción indispensable tanto para planificar estrategias de mitigación de riesgos como para renegociar los acuerdos según lo dispuesto en DORA.

En caso de incumplimiento de la normativa, las sanciones principales, que varían según la gravedad de las infracciones y la entidad implicada, incluyen:

• Sanciones pecuniarias, que pueden variar según la legislación nacional y de la UE.
• Medidas correctivas, como ajustes inmediatos, suspensión de actividades específicas o interrupción de relaciones con proveedores de terceros no conformes.
• Responsabilidad civil y penal de los responsables de la Gobernanza y Gestión de Riesgos en caso de acciones legales por parte de clientes, socios o autoridades competentes.
• Régimen de supervisión intensificada, con auditorías más frecuentes y exhaustivas por parte de las autoridades.
• Revocación de la licencia operativa para las entidades financieras involucradas en infracciones graves.

En resumen, la identificación de las brechas y vulnerabilidades, así como de los procesos eficientes ya implementados, es fundamental no solo para garantizar el cumplimiento de la normativa, sino también para mejorar los procesos internos de Gobernanza. La Gobernanza y el Cumplimiento están estrechamente relacionados y constituyen el punto de partida para la adopción y el cumplimiento de cualquier protocolo o normativa. DORA es solo uno de los últimos cambios importantes a los que deberá adaptarse el sector financiero, junto con la Directiva NIS2, pero la rapidez de innovación y desarrollo tecnológico del sector sugiere que no será el único.