¿Qué es la Ley DORA (Digital Operational Resilience Act) y cómo prepararse para ella?
ShareCompartir

¿Qué es la Ley DORA (Digital Operational Resilience Act) y cómo prepararse para ella?

Publicado en 15 de October de 2024

La Ley DORA (Digital Operational Resilience Act) es una regulación de la Unión Europea que busca reforzar la seguridad de las Tecnologías de la Información y Comunicación (TIC) en instituciones financieras como bancos, aseguradoras y corredurías de inversión. La idea es que el sector financiero europeo pueda resistir interrupciones críticas en sus operaciones.

Con el sector financiero cada vez más dependiente de las tecnologías digitales, el riesgo de ciberataques o incidentes preocupa cada vez más a empresas y autoridades. Si no se gestionan adecuadamente, estas situaciones pueden interrumpir los servicios financieros en todo el continente.

Hasta ahora, las instituciones financieras gestionaban los riesgos operacionales asignando capital para cubrir posibles pérdidas económicas. Con la llegada de la DORA —llamada en español Ley de Resiliencia Operacional Digital— estas empresas deben seguir directrices estrictas para protegerse contra incidentes TIC.

En este artículo, te contamos todo lo que necesitas saber sobre la Ley DORA, sus objetivos y cómo puedes prepararte para ella.

Objetivos de la Ley DORA

El principal objetivo de la Digital Operational Resilience Act es fortalecer la seguridad de las TIC en las entidades financieras de la Unión Europea. La nueva legislación busca armonizar la regulación de la resiliencia operativa digital en 21 tipos de entidades financieras.

Estos son los seis principales objetivos de la Ley DORA:

  1. Gestión de riesgos TIC: Ofrece un marco que define principios y requisitos para la gestión de riesgos de las TIC.
  2. Pruebas de resiliencia operativa digital: Establece un programa de pruebas de resistencia contra ciberataques e incidentes, desde evaluaciones básicas hasta las más avanzadas.
  3. Intercambio de información: Facilita el intercambio de información e inteligencia sobre ciberamenazas entre diferentes instituciones.
  4. Gestión de riesgos de terceros en TIC: Mitiga amenazas causadas por terceros, creando disposiciones contractuales que deben incluirse en los contratos con proveedores y socios.
  5. Gestión de incidentes: Gestiona incidentes relacionados con las TIC, con la obligación de notificar los más graves. Incluye una línea directa de comunicación con las autoridades competentes.
  6. Supervisión de proveedores críticos de terceros: Asegura que los proveedores TIC críticos sean rigurosamente supervisados por las Autoridades Europeas de Supervisión (ESAs).

En general, la Ley DORA se centra en aumentar la resiliencia del sistema financiero europeo contra ciberataques e incidentes TIC. Como consecuencia, la Unión Europea busca proteger incluso a empresas de otros sectores de las caídas en los sistemas financieros.

eBook gratuito: Servicios financieros: desafíos y oportunidades para la resiliencia de los negocios

¿Qué organizaciones están afectadas por la Ley DORA?

La Ley de Resiliencia Operacional Digital se aplica a todas las instituciones financieras que operan en la Unión Europea. Esto incluye entidades tradicionales como bancos, corredurías de inversión e instituciones de crédito.

La nueva legislación también afecta a empresas menos tradicionales en el sector, como proveedores de servicios de criptoactivos y plataformas de financiación colectiva.

Lo que diferencia a la Ley DORA de sus predecesoras es que también se aplica a entidades que generalmente están excluidas de las legislaciones financieras. Esto incluye a proveedores de servicios TIC para empresas del mercado financiero.

También están bajo esta regulación los proveedores de servicios de computación en la nube y centros de datos, que deben cumplir con los requisitos de la DORA. Finalmente, la ley cubre a compañías que proporcionan servicios críticos de información de terceros, como organizaciones de clasificación de crédito y proveedores de análisis de datos.

En resumen, estas son las organizaciones afectadas por la Ley de Resiliencia Operacional Digital:

  1. Entidades financieras tradicionales: Bancos, corredurías de inversión e instituciones de crédito.
  2. Entidades financieras no tradicionales: Proveedores de servicios de criptoactivos y plataformas de financiación colectiva.
  3. Proveedores de servicios externos: Empresas que proporcionan servicios TIC a entidades del mercado financiero, proveedores de servicios en la nube y centros de datos.
  4. Servicios de información de terceros: Organizaciones de clasificación de crédito y proveedores de análisis de datos.

Lea más: Modelo de 3 líneas: lo qué es y cómo funciona en la gestión de riesgos financieros

Requisitos de la Ley DORA

La Digital Operational Resilience Act se basa en cinco pilares principales para garantizar la resiliencia operativa digital del mercado de servicios financieros europeo. A continuación, te explicamos cada uno de ellos en detalle.

1. Gestión de riesgos de TIC

El primer objetivo de la Ley DORA es transformar la gestión de riesgos TIC en un proceso proactivo. Actualmente, funciona de manera reactiva, respondiendo solo a incidentes que ya han ocurrido.

Para ello, la nueva legislación exige el desarrollo e implementación de evaluaciones regulares de riesgos, prácticas de evaluación, estrategias de mitigación, planes de respuesta a incidentes y procesos de concienciación sobre riesgos en las organizaciones.

2. Notificación de incidentes

La Digital Operational Resilience Act estandariza el proceso de notificación de incidentes en las instituciones financieras que operan en la Unión Europea. Requiere que estas organizaciones implementen sistemas de monitoreo, detección, descripción, notificación y análisis de incidentes significativos.

El marco para estos informes debe incluir procedimientos para informar a las partes interesadas internas y externas. Esto forma parte del esfuerzo de la regulación para garantizar una mayor transparencia en la seguridad del mercado financiero.

3. Pruebas de resiliencia operativa

Las organizaciones deben realizar pruebas periódicas para evaluar sus vulnerabilidades digitales y su capacidad de respuesta a ciberamenazas. A partir de los resultados, deben crear un plan para mejorar sus prácticas de seguridad digital.

Este pilar busca asegurar que las instituciones financieras europeas puedan sobrevivir a ataques maliciosos. Estas amenazas pueden ser básicas, intermedias o avanzadas, dependiendo del tamaño y la complejidad de la entidad.

4. Gestión de riesgos de terceros

La Ley de Resiliencia Operacional Digital requiere que las instituciones financieras redacten contratos detallados con sus proveedores de TIC. Deben realizar una buena auditoría jurídica y tener un proceso robusto para la desvinculación de estos socios.

El objetivo de este requisito es fortalecer la relación entre las instituciones financieras y sus proveedores externos más críticos, evitando que estos vínculos comprometan la resiliencia operativa de las organizaciones del sector financiero en Europa.

5. Intercambio de información

Las organizaciones deben compartir información de manera segura para aumentar la colaboración y la resiliencia de las instituciones financieras en su conjunto. El objetivo es aumentar la concienciación de los miembros de la industria sobre la resiliencia operativa.

Otro punto de este pilar es fomentar el intercambio de prácticas o lecciones aprendidas en todo el sector.

Leer más: SoftExpert Servicios Financieros – Fortalezca el cumplimiento normativo, gestione de manera eficiente los riesgos y optimice la productividad en el sector de servicios financieros

Cómo prepararse para la Ley DORA

La Digital Operational Resilience Act se compone de tres partes: regulación (nivel 1), estándares técnicos (nivel 2) y directrices (nivel 3).

El primer nivel se refiere al texto legislativo que establece el marco para la resiliencia operativa digital del sector financiero.

El segundo nivel trata de las normas desarrolladas por las Autoridades Europeas de Supervisión (ESAs), que proporcionan los requisitos técnicos y procedimientos para implementar las regulaciones. Por último, el nivel 3 incluye las recomendaciones no vinculantes emitidas por las ESAs, que ayudan a las entidades financieras a cumplir con los estándares técnicos.

En este primer momento, es crucial que tu institución tome todas las precauciones posibles para prepararse para la nueva legislación. Aquí te dejo algunos pasos que puedes seguir para que tu organización esté lista para la Ley de Resiliencia Operacional Digital.

1. Entiende los procesos y sistemas

Mapea qué servicios corporativos dependen de qué procesos y sistemas, y cómo se da ese soporte. Verifica el flujo de datos y cómo interactúan los diferentes sistemas entre sí.

Documenta qué tipos de información procesa cada sistema y asegúrate de que el flujo de datos sea seguro y cumpla con las legislaciones relevantes.

2. Identifica riesgos TIC

Si aún no lo has hecho, implementa un marco de Gestión de Riesgos de Tecnología de la Información y Comunicación. Si ya tienes uno, revísalo para asegurarte de que cumple con la DORA.

Tu marco de riesgos TIC debe incluir la identificación, evaluación, mitigación y monitoreo de amenazas.

También debes realizar evaluaciones regulares de los riesgos TIC, incluyendo revisiones de hardware, software, datos y sistemas de comunicación.

El software SoftExpert GRC (Gobernanza, Riesgos y Cumplimiento) te asegura estar al día con las políticas corporativas, leyes y regulaciones externas. Con esta herramienta, tu organización estará lista para la llegada de la Ley DORA, mientras también se adapta a normas como ISO 9001, ISO 190011 e ISO 22301.

3. Realiza una evaluación de brechas

Comprueba si tu marco actual cumple con los requisitos de la DORA e identifica las brechas que necesiten ser corregidas. Realiza una evaluación rigurosa de tus capacidades actuales de resiliencia operativa digital.

Haz un análisis de brechas enfocado en identificar deficiencias en las prácticas existentes. Determina qué puntos de no conformidad necesitan ser mejorados para cumplir con los estándares de la Ley de Resiliencia Operacional Digital.

4. Gestiona los riesgos de terceros

Identifica a todos tus proveedores y otros stakeholders externos para desarrollar una estrategia de gestión de riesgos TIC para terceros. Lista a todos tus proveedores y evalúa sus roles en el sistema TIC de tu organización.

Desarrolla una estrategia integral para gestionar los riesgos asociados a los proveedores TIC externos. Esto incluye realizar una auditoría jurídica, los arreglos contractuales necesarios y un monitoreo continuo.

5. Implementa un proceso de gestión de incidentes

Asegúrate de que tu empresa tenga un proceso maduro para la gestión de incidentes. Este debe permitir respuestas rápidas a ciberamenazas y el intercambio de información con las autoridades.

Tu estructura de gestión de incidentes debe tener procedimientos establecidos para identificar, seguir, registrar y clasificar las ocurrencias relacionadas con el sistema TIC.

Tu proceso de gestión de incidentes debe incluir mecanismos de respuesta ágiles y protocolos para crear informes que se entregarán a los reguladores. Este procedimiento debe cubrir los planes de comunicación, los roles y responsabilidades de los empleados y la forma de documentar los incidentes.

Lea más: ¿Por qué su empresa debe preocuparse con la gestión de activos?

Conclusión

La Ley DORA representa un avance significativo en la regulación de la resiliencia operativa digital para el sector financiero europeo. A medida que las amenazas cibernéticas se vuelven más sofisticadas, cumplir con esta legislación será esencial para garantizar la seguridad y la continuidad de los servicios financieros.

Desde grandes bancos hasta proveedores de servicios tecnológicos, instituciones de todos los tamaños necesitarán revisar y fortalecer sus prácticas de gestión de riesgos y resiliencia. Prepararse para la Ley DORA no es solo una cuestión de cumplir con los requisitos regulatorios, sino de proteger los activos y la reputación de la organización.

Esto incluye identificar vulnerabilidades, gestionar riesgos de terceros y asegurar una respuesta rápida y eficaz a los incidentes. En resumen, la implementación cuidadosa de las directrices de la DORA proporcionará mayor confianza al sector financiero y a sus clientes, elevando el nivel de seguridad y colaboración entre las instituciones.

¿Buscando más eficiencia y conformidad en sus operaciones? Nuestros especialistas pueden ayudar a identificar las mejores estrategias para su empresa con las soluciones de SoftExpert. ¡Hable con nosotros hoy mismo!

Sobre el autor
Carlos Estrella

Carlos Estrella

Carlos Estrella es Analista de Marketing de Contenidos en SoftExpert. Con una licenciatura en periodismo, ha dedicado los últimos años a dominar los campos de SEO y marketing de contenidos. Tiene experiencia con artículos de blog, videos de YouTube, podcasts, videocasts, seminarios web y escritura creativa.

También puede interesarte:

Logo SoftExpert Suite

La solución empresarial más completa para la gestión integrada del cumplimiento, la innovación y la transformación digital