D.O.R.A. (Digital Operational Resilience Act) es una normativa de la Unión Europea diseñada para fortalecer la resiliencia operativa digital del sector financiero. Su objetivo principal es garantizar que las entidades financieras y sus proveedores de servicios de tecnología estén preparados para enfrentar, resistir y recuperarse de cualquier tipo de perturbación operativa, especialmente aquellas relacionadas con riesgos cibernéticos y tecnológicos.
D.O.R.A. establece requisitos claros para la gestión de riesgos tecnológicos, la supervisión de terceros proveedores, la seguridad de la información y la respuesta ante incidentes. La normativa también busca mejorar la transparencia y la cooperación entre las instituciones financieras y las autoridades reguladoras, creando un marco que protege la estabilidad y seguridad del sistema financiero europeo en un entorno digital cada vez más complejo y desafiante.
El Digital Operational Resilience Act (D.O.R.A.) es una regulación de la Unión Europea (UE) que forma parte de un paquete legislativo diseñado para asegurar que el sector financiero europeo sea capaz de resistir y recuperarse de perturbaciones operativas digitales, como ciberataques y fallos tecnológicos. La iniciativa surge en respuesta al creciente riesgo que las amenazas digitales representan para la estabilidad del sistema financiero, en un contexto donde la digitalización y la dependencia de tecnologías avanzadas son cada vez mayores.
1. Gestión de Riesgos de TIC:
– D.O.R.A. obliga a las entidades financieras a implementar políticas y procedimientos robustos para gestionar riesgos relacionados con las tecnologías de la información y la comunicación (TIC). Esto incluye el desarrollo de planes de continuidad del negocio que aseguren la disponibilidad, integridad y confidencialidad de los sistemas críticos en caso de interrupciones.
Hopla puede ayudarle con la adopción de la herramienta que automatiza esta tarea desarrollada por Mastercard para uso interno y de sus clientes: Riskrecon
2. Supervisión de Terceros Proveedores de TIC:
– La normativa impone estrictos requisitos para la supervisión de terceros proveedores de servicios tecnológicos, como proveedores de la nube y otros servicios de TI. Las entidades financieras deben asegurarse de que estos proveedores cumplan con estándares de seguridad y resiliencia, incluyendo la capacidad de recuperarse rápidamente de fallos.
En Hopla hemos seleccionado un conjunto de herramientas y buenas prácticas que les permitan asegurar que la colaboración entre su empresa y sus proveedores es totalmente segura. Entre estas herramientas se encuentran: Confidential Containers, Hashicorp Vault, Synopsys y Sonatype.
3. Pruebas de Resiliencia Operativa:
– Las entidades financieras deben realizar pruebas regulares de sus sistemas TIC para evaluar su capacidad de resistir y recuperarse de incidentes operativos. Esto incluye ejercicios como simulaciones de ciberataques y otras pruebas de estrés que puedan identificar vulnerabilidades.
Para ello, desde Hopla hemos analizado las tareas que permiten conseguir este objetivo, como son:
4. Notificación de Incidentes:
– D.O.R.A. establece requisitos estrictos para la notificación de incidentes operativos importantes a las autoridades competentes. Esto permite una respuesta coordinada y oportuna a las amenazas emergentes y facilita la mitigación de riesgos sistémicos.
5. Cooperación y Supervisión:
– La normativa promueve la cooperación entre las entidades financieras y las autoridades reguladoras, tanto a nivel nacional como europeo. Además, crea un marco de supervisión que involucra a múltiples agencias de la UE, como la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Valores y Mercados (ESMA) y la Autoridad Europea de Seguros y Pensiones (EIOPA).
6.Gobernanza y Requisitos Organizativos:
– D.O.R.A. también impone obligaciones en materia de gobernanza, asegurando que los órganos de dirección de las entidades financieras estén plenamente informados y sean responsables de la gestión del riesgo operativo digital.
Entidades Financieras:
Proveedores ICT externos:
Dentro del alcance:
Áreas de incertidumbre:
La implementación de D.O.R.A. representa un cambio significativo en cómo el sector financiero europeo gestiona el riesgo digital. Al establecer un marco legal uniforme, se busca elevar los estándares de seguridad cibernética y resiliencia operativa en toda la UE, protegiendo tanto a las instituciones financieras como a los consumidores frente a posibles fallos tecnológicos o ataques cibernéticos.
D.O.R.A. no solo refuerza la capacidad del sector para resistir perturbaciones, sino que también promueve una mayor transparencia y confianza en el sistema financiero europeo. Las empresas que no cumplan con los requisitos de D.O.R.A. pueden enfrentarse a sanciones significativas, lo que subraya la importancia de esta normativa en el contexto de la estabilidad financiera y la protección del mercado único europeo.
DORA entra en vigor con plazo de dos años para alineación regulatoria
Herramientas, métodos, prácticas y políticas de gestión de riesgos de TIC.
Elementos de gestión de riesgos TIC que deben incluirse
Clasificación de incidentes y ciberamenazas relacionados con las TIC
Principios para el registro de información de terceros
Principios para contratos con terceros
Contenido y modelos de informes
Requisitos de prueba para herramientas, sistemas y procesos de TIC
Estándares para la subcontratación de servicios TIC para funciones importantes
DORA en vigor
Barcelona
Madrid
A Coruña
Bilbao
Castellón
Gijón
Palma
Sevilla
Valencia
Paiões
Singapur
Liverpool
Lucerna
México DF
Bogotá
C/ Don Quijote, 1
28020 Madrid
+34 912 91 84 13
[email protected]
Av. Álvaro Obregón 171, Roma Nte., Cuauhtémoc,
06700 Ciudad de México, CDMX, México
+52 (1) 55 2313 2110
+52 (1) 56 1834 4441
[email protected]
Cra. 7 #116- 50,
Usaquén, Bogotá, Cundinamarca
+57 300 283 9029
[email protected]
