El Digital Operational Resilience Act (D.O.R.A.) es un Reglamento europeo DORA que forma parte de un paquete legislativo diseñado para asegurar que el sector financiero europeo sea capaz de resistir y recuperarse de perturbaciones operativas digitales, como ciberataques y fallos tecnológicos. La iniciativa surge en respuesta al creciente riesgo que las amenazas digitales representan para la estabilidad del sistema financiero, en un contexto donde la digitalización y la dependencia de tecnologías avanzadas son cada vez mayores.
Principales componentes de D.O.R.A.:
1. Gestión de Riesgos de TIC:
– D.O.R.A. obliga a las entidades financieras a implementar políticas y procedimientos robustos para gestionar riesgos relacionados con las tecnologías de la información y la comunicación (TIC). Esto incluye el desarrollo de planes de continuidad del negocio que aseguren la disponibilidad, integridad y confidencialidad de los sistemas críticos en caso de interrupciones.
Hopla puede ayudarle con la adopción de la herramienta que automatiza esta tarea desarrollada por Mastercard para uso interno y de sus clientes: Riskrecon.
2. Supervisión de Terceros Proveedores de TIC:
– La normativa impone estrictos requisitos para la supervisión de terceros proveedores de servicios tecnológicos, como proveedores de la nube y otros servicios de TI. Las entidades financieras deben asegurarse de que estos proveedores cumplan con estándares de seguridad y resiliencia, incluyendo la capacidad de recuperarse rápidamente de fallos.
En Hopla hemos seleccionado un conjunto de herramientas y buenas prácticas que les permitan asegurar que la colaboración entre su empresa y sus proveedores es totalmente segura. Entre estas herramientas se encuentran: Confidential Containers, Hashicorp Vault, Synopsys y Sonatype.
3. Pruebas de Resiliencia Operativa:
– Las entidades financieras deben realizar pruebas regulares de sus sistemas TIC para evaluar su capacidad de resistir y recuperarse de incidentes operativos. Esto incluye ejercicios como simulaciones de ciberataques y otras pruebas de estrés que puedan identificar vulnerabilidades.
Para ello, desde Hopla hemos analizado las tareas que permiten conseguir este objetivo, como son:
- Gestión de la superficie de ataque
- Evaluación y automatización de procesos operativos.
- Pruebas y gestión de ciberresiliencia, alta disponibilidad y recuperación ante desastres
- Repositorio de datos inmutable y herramientas de recuperación de datos
- Evaluación y respuesta a incidentes con reconocimiento todo ello asistido por IA y herramientas ITOps
4. Notificación de Incidentes:
– D.O.R.A. establece requisitos estrictos para la notificación de incidentes operativos importantes a las autoridades competentes. Esto permite una respuesta coordinada y oportuna a las amenazas emergentes y facilita la mitigación de riesgos sistémicos.
5. Cooperación y Supervisión:
– La normativa promueve la cooperación entre las entidades financieras y las autoridades reguladoras, tanto a nivel nacional como europeo. Además, crea un marco de supervisión que involucra a múltiples agencias de la UE, como la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Valores y Mercados (ESMA) y la Autoridad Europea de Seguros y Pensiones (EIOPA).
6. Gobernanza y Requisitos Organizativos:
– D.O.R.A. también impone obligaciones en materia de gobernanza. Además, asegura que los órganos de dirección de las entidades financieras estén plenamente informados y sean responsables de la gestión del riesgo operativo digital.
Impacto de D.O.R.A.:
La implementación de D.O.R.A. representa un cambio significativo en cómo el sector financiero europeo gestiona el riesgo digital. Al establecer un marco legal uniforme, se busca elevar los estándares de seguridad cibernética y resiliencia operativa en toda la UE para proteger tanto a las instituciones financieras como a los consumidores frente a posibles fallos tecnológicos o ataques cibernéticos.
D.O.R.A. no solo refuerza la capacidad del sector para resistir perturbaciones, sino que también promueve una mayor transparencia y confianza en el sistema financiero europeo. Las empresas que no cumplan con los requisitos de D.O.R.A. pueden enfrentarse a sanciones significativas, lo que subraya la importancia de esta normativa en el contexto de la estabilidad financiera y la protección del mercado único europeo.
