El sector financiero está atravesando una intensa transformación digital y, hoy en día, se presenta como uno de los sectores más dinámicos en términos de innovación tecnológica. Los pagos digitales, la banca en línea y los sistemas de autenticación cada vez más sofisticados permiten ofrecer una experiencia al cliente más fluida, rápida y personalizada. Sin embargo, el reverso de la moneda muestra cómo la carrera hacia la digitalización ha abierto la puerta a nuevos y más poderosos ciberataques.El Reglamento DORA (Digital Operational Resilience Act) surge en este contexto.
El Digital Operational Resilience Act forma parte de un amplio paquete de normativas y medidas estratégicas, lanzadas por la Comisión Europea con el objetivo de fortalecer y garantizar la resiliencia de las organizaciones financieras y su capacidad para hacer frente a los ciberataques. En particular, DORA se enfoca en la resiliencia operativa digital, es decir, la capacidad de garantizar la continuidad del negocio incluso en caso de incidentes o violaciones de infraestructura IT.
El reglamento DORA, que entró en vigor el 16 de enero de 2023, será obligatorio a partir del 17 de enero de 2025. Las empresas del sector financiero que operan en la Unión Europea, y que aún no lo han hecho, deberán implementar una serie de medidas relacionadas con la Gobernanza, la Gestión de Riesgos, la Ciberseguridad y la Gestión de Incidentes, con el fin de cumplir con la normativa DORA y evitar las sanciones previstas, que serán aplicadas por las autoridades reguladoras designadas en cada estado.
La normativa se aplica a las entidades financieras (como bancos, aseguradoras, sociedades de inversión, instituciones de crédito, operadores de criptomonedas, etc.) y a sus proveedores críticos de terceros que proporcionan servicios de Tecnologías de la Información y Comunicación (ICT).
A estos, se les exige cumplir con los nuevos requisitos normativos, demostrando de manera medible su resiliencia operativa y garantizando la seguridad de los sistemas mediante monitoreo constante, pruebas periódicas y actividades de gestión de riesgos.
Una de las principales novedades asociadas con la entrada en vigor del Reglamento es que los prohibiciones de externalizar servicios ICT (outsourcing) relacionados con funciones empresariales operativas esenciales (“Funciones Esenciales e Importantes” en la terminología DORA), previamente estipuladas por la normativa secundaria del Banco de Italia, ya no serán aplicables, como se detalla en la última actualización de dicho Banco.
La normativa DORA tiene dos objetivos principales:
La implementación del reglamento por parte de las entidades financieras garantiza, además, una mayor protección a los consumidores.
El cumplimiento de estos objetivos se articula en una serie de puntos clave, pilares que las organizaciones deberán implementar y respetar para garantizar su cumplimiento.
Se pueden identificar 9 requisitos para la gestión de riesgos ICT según el Reglamento DORA:
Gobernanza. Es necesario un mayor alineamiento dentro de las empresas respecto a la gestión de los riesgos ICT: identificación de responsabilidades, mapeo de sistemas, identificación de activos críticos y dependencias, evaluación de riesgos y definición de planes de acción relacionados con interrupciones graves, con el fin de garantizar la continuidad del negocio y la recuperación ante desastres. En Gobernanza también entra la capacitación relacionada con estas actividades.
Gestión de Riesgos. El objetivo de este pilar es definir y mejorar las normativas y regulaciones relacionadas con la gestión de riesgos. Las entidades financieras deberán implementar sistemas para identificar, monitorear, gestionar, registrar, clasificar y reportar de manera puntual los riesgos asociados a ICT. La actividad de Gestión de Riesgos también implica la implementación de herramientas y sistemas IT resilientes, así como estrategias de continuidad operativa y recuperación.
Gestión de Incidentes. DORA establece criterios específicos para mapear y clasificar los incidentes, con el fin de definir umbrales de relevancia. Dependiendo de la gravedad del incidente, también podría ser necesario informar a las autoridades reguladoras, clientes y socios interesados.
Pruebas de Resiliencia. Las organizaciones, en cumplimiento con el Reglamento DORA, deberán someterse a pruebas periódicas para identificar posibles puntos débiles y definir acciones correctivas en términos de seguridad. Organismos autorizados se encargarán de realizar pruebas de penetración y ejercicios de Red-Teaming. El objetivo de este pilar es adoptar un enfoque proactivo y no solo reactivo frente a los riesgos ICT. De acuerdo con el artículo 26 del Reglamento DORA, los intermediarios identificados deberán realizar Threat-Led Penetration Tests al menos cada tres años. Estas pruebas forman parte de los instrumentos de supervisión y sus resultados se integrarán en los procesos de supervisión.
Gestión del Riesgo de Proveedores de Terceros. Una de las principales novedades de DORA es que también se aplica a los proveedores críticos de terceros, lo que obliga a estos proveedores a adaptarse a las nuevas normativas. Deberán estar listos para responder a las preguntas de sus clientes sobre resiliencia operativa y cumplir con los requisitos específicos.
Resiliencia Operativa. Las empresas involucradas deberán redactar un plan de continuidad operativa y recuperación ante desastres (BCP/DRP). Este plan también debe contemplar la Continuidad del Negocio y debe ser probado y actualizado periódicamente según las necesidades.
Seguridad de Datos. La confidencialidad, integridad y disponibilidad de los datos gestionados por los sistemas IT deberán garantizarse mediante medidas técnicas y organizativas, con el fin de prevenir accesos no autorizados y minimizar los riesgos de pérdida o compromiso de los datos.
Supervisión y Auditoría. Para garantizar una gestión eficaz de los riesgos, es fundamental mantener documentación precisa, completa y actualizada de los procesos. Esta documentación facilitará el trabajo de auditoría y supervisión por parte de las autoridades competentes para verificar el cumplimiento de DORA por parte de las empresas.
Intercambio de Conocimiento. DORA fomenta la comunicación y cooperación entre las entidades financieras dentro de la Comunidad Europea, mediante acuerdos voluntarios para el intercambio de información y datos de inteligencia sobre amenazas. Es importante señalar que, en todo caso, esta información debe estar protegida conforme a las políticas y normativas aplicables, y el tratamiento de datos personales debe realizarse respetando el GDPR.
Las empresas deben alinearse con la nueva normativa y aproximarse a los pilares, aprovechando las herramientas disponibles y desarrollando o modificando sus procesos relacionados con la notificación de incidentes.
Para cumplir con los requisitos más estrictos, las empresas del sector financiero deberán llevar a cabo 4 actividades principales:
En caso de incumplimiento de la normativa, las sanciones principales, que varían según la gravedad de las infracciones y la entidad implicada, incluyen:
En resumen, la identificación de las brechas y vulnerabilidades, así como de los procesos eficientes ya implementados, es fundamental no solo para garantizar el cumplimiento de la normativa, sino también para mejorar los procesos internos de Gobernanza. La Gobernanza y el Cumplimiento están estrechamente relacionados y constituyen el punto de partida para la adopción y el cumplimiento de cualquier protocolo o normativa. DORA es solo uno de los últimos cambios importantes a los que deberá adaptarse el sector financiero, junto con la Directiva NIS2, pero la rapidez de innovación y desarrollo tecnológico del sector sugiere que no será el único.