El DORA afecta al sector de los servicios financieros de la UE, y esta legislación está a punto de hacer olas en la industria financiera. He aquí un vistazo a algunas de las obligaciones del DORA que deben cumplir las instituciones financieras.

El sector de los servicios financieros ha sido durante mucho tiempo un innovador tecnológico y un pionero. Los avances en la banca y las finanzas han hecho que la transformación digital en el sector vaya por delante. Pero la nueva tecnología y las nuevas formas de trabajar atraen a los ciberdelincuentes. El resultado es que los ataques contra el sector financiero se están disparando.

En 2021, la banca experimentó unaumento del1.318% en los ataques de ransomware, y El 65% de las grandes organizaciones financieras sufrieron un ciberataque en 2020. La gravedad de los ciberataques, cada vez más complejos y dañinos dentro del sector financiero, ha hecho que una nueva legislación entre en el léxico de la regulación de los servicios financieros, y su nombre es  DORA (Ley de Resiliencia Operativa Digital).

Conceptos básicos de DORA

El primer borrador del DORA se publicó el 24 de septiembre de 2020 y el Parlamento Europeo lo aprobó el 10 de septiembre de 2022. La legislación desempeñará un papel central en el «paquete de finanzas digitales», utilizado para permitir la innovación y la competencia en las finanzas digitales, al tiempo que se mitigan los riesgos derivados de la digitalización del sector.

Como tal, el artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE) se utiliza como base jurídica del DORA; la legislación se centra en la armonización de las directrices de ciberseguridad en todo el sector. 

A la UE le gusta utilizar medios normativos para consolidar y armonizar las mejores prácticas; el GDPR es un ejemplo de normativa armonizada sobre privacidad de datos; el DORA es el intento de la UE de consolidar y actualizar la gestión de riesgos de las TIC en todo el sector financiero, y el DORA afecta a las empresas de servicios financieros de la UE y a sus proveedores (críticos) de TIC.

El DORA exigirá a las empresas del sector financiero que apliquen medidas que las protejan contra los riesgos relacionados con las TIC: como tal, el DORA amplía los requisitos para incluir a terceros, como los proveedores de la nube.

¿Qué obligaciones exige el DORA al sector financiero?

El objetivo es crear un entorno resistente en todo el ecosistema de los servicios financieros. El marco subyacente del DORA se basa en un conjunto de normas diseñadas para ayudar a las instituciones financieras a desarrollar procesos sólidos de gestión de riesgos. Algunos de los requisitos básicos y la cobertura del DORA son los siguientes:

Ámbito de aplicación del DORA

Casi todos los tipos de entidades financieras entrarán en el ámbito del DORA. Entre las entidades cubiertas se incluyen las entidades de crédito, las entidades de pago, las entidades de dinero electrónico, las empresas de inversión, los proveedores de servicios de criptoactivos, los fondos de inversión alternativos, los gestores de seguros, etc. La excepción son los auditores, que actualmente no están sujetos a las normas del DORA, pero es probable que esto cambie en futuras versiones de la Ley. Para obtener una lista completa de las entidades cubiertas, consulte el artículo 2 del DORA.

Los proveedores de TIC que prestan servicios a las entidades cubiertas por la DORA también deben adherirse a la Ley. Los proveedores de TIC se consideran fundamentales para el sector financiero y, como tales, están sujetos a normas estrictas en virtud de la DORA. Los proveedores de servicios TIC críticos no establecidos en la UE a entidades financieras de la UE deben establecer una filial dentro de la UE.

Proveedores de TIC y DORA

La gestión de riesgos de terceros es una parte clave del DORA. La atención prestada a los proveedores de TIC es una reacción al aumento de los ataques a la cadena de suministro, como la actualización del software SolarWinds Orion. La Agencia de Ciberseguridad de la Unión Europea (ENISA) informó del aumento de la sofisticación y el volumen de los ataques a la cadena de suministro, con los atacantes apuntando a la cadena de suministro para robar datos y activos financieros. El DORA coordina los requisitos utilizando los marcos existentes, como las directrices de subcontratación de la Autoridad Bancaria Europea (ABE). (Véase también el artículo 14 del DORA)

En virtud del DORA, las empresas financieras pueden definir a algunos proveedores de TIC como «críticos». Como tal, un proveedor de TIC crítico que preste servicios a una entidad cubierta por el DORA estará sometido a normas estrictas que se aplicarán a través de un compromiso directo con las autoridades de servicios financieros (FS) de la UE.

Medidas clave de ciberseguridad

Los valores fundamentales de la legislación DORA consisten en mantener unos sistemas de TIC resistentes. Para lograrlo, se han establecido las siguientes directrices:

Gestión de riesgos y resistencia

En el núcleo del DORA se encuentran las directrices de gestión de riesgos para ayudar al sector de los servicios financieros a construir infraestructuras más resistentes. Los programas y evaluaciones de gestión de riesgos resultantes se utilizan como base para las pruebas de resistencia. Además, la legislación prevé que se lleven a cabo análisis de impacto empresarial basados en escenarios de «interrupción grave del negocio».

Se espera que las pruebas de resistencia y vulnerabilidad sean llevadas a cabo por expertos independientes e incluyan pruebas periódicas de penetración dirigidas por amenazas. Es importante que todos los sistemas críticos de TIC se prueben anualmente.

Medidas de protección (véase también el artículo 8)

Entre los ejemplos de medidas de protección necesarias se incluyen:

  • Utilice políticas adecuadas y exhaustivas para los parches y las actualizaciones.
  • Implantar políticas y protocolos para mecanismos de autenticación fuerte
  • Siga un enfoque basado en los riesgos para establecer una gestión sólida de la red y la infraestructura
  • Aplicar políticas que limiten el acceso físico y virtual a los recursos y datos del sistema TIC
  • Prevenir la fuga de información

TIC-Gestión de incidentes

El artículo 15 contiene detalles sobre los requisitos para gestionar y controlar los incidentes de seguridad, incluidos los procedimientos para «detectar, gestionar y notificar los incidentes relacionados con las TIC y establecerá indicadores de alerta temprana como alertas».

Notificación de incidentes de ciberseguridad

Las entidades cubiertas deben proporcionar un medio para supervisar, describir y notificar cualquier incidente significativo basado en las TIC a las autoridades pertinentes. Las normas de notificación son estrictas para los proveedores de TIC críticas. Incluyen la realización de una notificación inicial a más tardar al final del día laborable, o si el incidente significativo se produjo más de 2 horas antes del final del día laborable, a más tardar 4 horas desde el comienzo del siguiente día laborable.

A partir de ahí, se requiere un informe intermedio a más tardar una semana después de la notificación inicial; a éste le sigue un informe final cuando se ha completado el análisis de la causa raíz a más tardar un mes después de enviar el informe inicial.

Responsabilidad en materia de gestión y seguridad

El DORA sitúa la responsabilidad de los riesgos de las TIC y las ciberamenazas en la puerta del grupo directivo de los servicios financieros. Impartir formación sobre concienciación en materia de seguridad ayudará a garantizar que el nivel C y toda la empresa se centren en la seguridad.

El DORA también cubre aspectos esenciales de la gestión de la ciberseguridad y la respuesta, como el intercambio de información (véase el artículo 40).

¿Qué sigue para DORA?

El reglamento tiene un periodo de aplicación de 24 meses para las entidades financieras y sus proveedores de servicios críticos a partir de la entrada en vigor de la legislación. Por lo tanto, se aconseja a las entidades cubiertas que utilicen los 24 meses entre la fecha de entrada en vigor de la legislación y la aplicación de las medidas de cumplimiento para realizar un análisis de las deficiencias: de lo contrario, medidas como las pruebas de penetración dirigidas a las amenazas y las normas estrictas de información podrían quedar fuera de ese plazo.

Formación sobre sensibilización en materia de seguridad para proveedores externos