D.O.R.A. 
(Digital
Operational Resilience Act)

D.O.R.A. (Digital Operational Resilience Act) es una normativa de la Unión Europea diseñada para fortalecer la resiliencia operativa digital del sector financiero. Su objetivo principal es garantizar que las entidades financieras y sus proveedores de servicios de tecnología estén preparados para enfrentar, resistir y recuperarse de cualquier tipo de perturbación operativa, especialmente aquellas relacionadas con riesgos cibernéticos y tecnológicos. 

 D.O.R.A. establece requisitos claros para la gestión de riesgos tecnológicos, la supervisión de terceros proveedores, la seguridad de la información y la respuesta ante incidentes. La normativa también busca mejorar la transparencia y la cooperación entre las instituciones financieras y las autoridades reguladoras, creando un marco que protege la estabilidad y seguridad del sistema financiero europeo en un entorno digital cada vez más complejo y desafiante. 

El Digital Operational Resilience Act (D.O.R.A.) es una regulación de la Unión Europea (UE) que forma parte de un paquete legislativo diseñado para asegurar que el sector financiero europeo sea capaz de resistir y recuperarse de perturbaciones operativas digitales, como ciberataques y fallos tecnológicos. La iniciativa surge en respuesta al creciente riesgo que las amenazas digitales representan para la estabilidad del sistema financiero, en un contexto donde la digitalización y la dependencia de tecnologías avanzadas son cada vez mayores. 

Principales componentes de D.O.R.A.:

1. Gestión de Riesgos de TIC: 

  – D.O.R.A. obliga a las entidades financieras a implementar políticas y procedimientos robustos para gestionar riesgos relacionados con las tecnologías de la información y la comunicación (TIC). Esto incluye el desarrollo de planes de continuidad del negocio que aseguren la disponibilidad, integridad y confidencialidad de los sistemas críticos en caso de interrupciones.

Hopla puede ayudarle con la adopción de la herramienta que automatiza esta tarea desarrollada por Mastercard para uso interno y de sus clientes: Riskrecon

2. Supervisión de Terceros Proveedores de TIC:

   – La normativa impone estrictos requisitos para la supervisión de terceros proveedores de servicios tecnológicos, como proveedores de la nube y otros servicios de TI. Las entidades financieras deben asegurarse de que estos proveedores cumplan con estándares de seguridad y resiliencia, incluyendo la capacidad de recuperarse rápidamente de fallos. 

En Hopla hemos seleccionado un conjunto de herramientas y buenas prácticas que les permitan asegurar que la colaboración entre su empresa y sus proveedores es totalmente segura. Entre estas herramientas se encuentran: Confidential Containers, Hashicorp Vault, Synopsys y Sonatype

3. Pruebas de Resiliencia Operativa:

  – Las entidades financieras deben realizar pruebas regulares de sus sistemas TIC para evaluar su capacidad de resistir y recuperarse de incidentes operativos. Esto incluye ejercicios como simulaciones de ciberataques y otras pruebas de estrés que puedan identificar vulnerabilidades.

 

Para ello, desde Hopla hemos analizado las tareas que permiten conseguir este objetivo, como son: 

  • Gestión de la superficie de ataque 
  • Evaluación y automatización de procesos operativos. 
  • Pruebas y gestión de ciberresiliencia, alta disponibilidad y recuperación ante desastres 
  • Repositorio de datos inmutable y herramientas de recuperación de datos 
  • Evaluación y respuesta a incidentes con reconocimiento asistido por IA y herramientas ITOps 


4. Notificación de Incidentes:
 

   – D.O.R.A. establece requisitos estrictos para la notificación de incidentes operativos importantes a las autoridades competentes. Esto permite una respuesta coordinada y oportuna a las amenazas emergentes y facilita la mitigación de riesgos sistémicos. 

5. Cooperación y Supervisión: 

  – La normativa promueve la cooperación entre las entidades financieras y las autoridades reguladoras, tanto a nivel nacional como europeo. Además, crea un marco de supervisión que involucra a múltiples agencias de la UE, como la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Valores y Mercados (ESMA) y la Autoridad Europea de Seguros y Pensiones (EIOPA).

6.Gobernanza y Requisitos Organizativos: 

   – D.O.R.A. también impone obligaciones en materia de gobernanza, asegurando que los órganos de dirección de las entidades financieras estén plenamente informados y sean responsables de la gestión del riesgo operativo digital. 

¿Quién se ve afectado por esta normativa?

Entidades Financieras: 

  • Entidades de crédito y pago 
  • Empresas de inversión 
  • Depositarios centrales de valores 
  • Empresas de trading 
  • Proveedores de servicios de informes de datos 
  • Proveedores de servicios de información de cuentas 
  • Aseguradores, reaseguradores, intermediarios de seguros 
  • Agencias de calificación crediticia 
  • Repositorios de titulizaciones 

Proveedores ICT externos: 

  • Proveedores de servicios de computación en la nube 
  • Software 
  • Servicios de análisis de datos 
  • Proveedores de centros de datos 
  • Participantes en el ecosistema de servicios de pago 

Rango de efectos

Dentro del alcance: 

  • Las entidades financieras son responsables de sus marcos de servicios operativos totales, no solo de los procesos internos sino también de los proveedores. 
  • Las organizaciones estadounidenses y mundiales que ofrecen servicios financieros dentro de la UE o prestan servicios de terceros a empresas de servicios financieros de la UE están dentro del alcance. 

Áreas de incertidumbre: 

  • Se reducirán las obligaciones para las empresas más pequeñas, pero no está claro hasta qué punto 
  • Los mecanismos de aplicación de DORA pueden recaer en países individuales dentro del marco de la UE 
  • Es probable que los requisitos de DORA influyan en los reguladores de otros mercados 

Impacto de D.O.R.A:

La implementación de D.O.R.A. representa un cambio significativo en cómo el sector financiero europeo gestiona el riesgo digital. Al establecer un marco legal uniforme, se busca elevar los estándares de seguridad cibernética y resiliencia operativa en toda la UE, protegiendo tanto a las instituciones financieras como a los consumidores frente a posibles fallos tecnológicos o ataques cibernéticos. 

 

D.O.R.A. no solo refuerza la capacidad del sector para resistir perturbaciones, sino que también promueve una mayor transparencia y confianza en el sistema financiero europeo. Las empresas que no cumplan con los requisitos de D.O.R.A. pueden enfrentarse a sanciones significativas, lo que subraya la importancia de esta normativa en el contexto de la estabilidad financiera y la protección del mercado único europeo. 

Cronograma

6 Ene 2023

DORA entra en vigor con plazo de dos años para alineación regulatoria 

17 Ene 2024

Herramientas, métodos, prácticas y políticas de gestión de riesgos de TIC.  

Elementos de gestión de riesgos TIC que deben incluirse  

Clasificación de incidentes y ciberamenazas relacionados con las TIC  

Principios para el registro de información de terceros  

Principios para contratos con terceros 

17 Jul 2024

Contenido y modelos de informes 

 Requisitos de prueba para herramientas, sistemas y procesos de TIC  

Estándares para la subcontratación de servicios TIC para funciones importantes 

17 Ene 2025

DORA en vigor