En un mundo cada vez más digitalizado y dependiente de la tecnología, la ciberseguridad se ha convertido en un tema crítico en todos los sectores, especialmente en el financiero. Para abordar los desafíos cibernéticos en el sector financiero, la Unión Europea (UE) se está preparando para implementar la Ley de Resiliencia Operacional Digital (DORA, por sus siglas en inglés), una regulación que promete cambiar la forma en que las instituciones financieras gestionan los riesgos de terceros y la ciberseguridad en general. En este artículo, exploraremos en detalle qué es la Ley DORA, por qué es importante, qué problemas busca resolver, cuándo entrará en vigor y cómo las organizaciones pueden prepararse para cumplirla.

¿Qué es la Ley de Resiliencia Operacional Digital (DORA)?

La Ley de Resiliencia Operacional Digital (DORA) es un intento de la Unión Europea de unificar y fortalecer la gestión de riesgos de terceros en todas las instituciones financieras dentro de su jurisdicción. La Comisión Europea presentó un borrador de DORA el 24 de septiembre de 2020. Esta ley tiene como objetivo reemplazar múltiples marcos de gestión de riesgos de tecnologías de la información y la comunicación (TIC) con un enfoque unificado para mitigar todos los incidentes relacionados con las TIC en la industria financiera europea.

La motivación detrás de DORA es crear una apariencia de unificación en la regulación de ciberseguridad, ya que hasta la fecha no existía un estándar objetivo de gestión de riesgos de TIC en Europa. A pesar de los intentos previos de regulación a nivel nacional, esta fragmentación solo complicó aún más el enfoque del sector financiero hacia la ciberseguridad.

Además de unificar los estándares, DORA también busca fortalecer la resiliencia operativa en la industria financiera. Esto significa garantizar la continuidad del negocio incluso cuando una organización enfrenta interrupciones en sus sistemas de tecnologías de la información y la comunicación (TIC), como las que podrían ocurrir durante un ciberataque.

Uno de los aspectos más destacados de DORA es que también aplica requisitos de ciberseguridad a los proveedores de servicios de TIC críticos con los que las instituciones financieras colaboran. La regulación establece un marco para evaluar y garantizar que estos proveedores cumplan con los estándares de seguridad cibernética.

¿Por qué es importante la resiliencia operacional digital?

La importancia de la resiliencia operacional digital se ha vuelto evidente debido a la creciente proliferación de ciberataques dirigidos al sector financiero europeo y, en realidad, a nivel global. Los ataques cibernéticos son cada vez más comunes y sofisticados, lo que ha llevado a una mayor conciencia sobre la necesidad de prepararse para enfrentar estas amenazas. La estabilidad financiera en Europa y en todo el mundo se puede lograr si las organizaciones pueden mitigar el impacto de las amenazas cibernéticas en sus sistemas de TIC. DORA aborda este desafío al proporcionar un marco claro para la ciberseguridad en la industria financiera.

¿Qué problemas resuelve DORA?

Uno de los problemas fundamentales que resuelve DORA es la fragmentación regulatoria que existía en la UE en lo que respecta a la gestión de riesgos de TIC y la resiliencia operativa. Hasta la fecha, cada país miembro de la UE tenía sus propias regulaciones y enfoques en lo que respecta a la ciberseguridad y la gestión de riesgos de TIC. Esto resultó en una falta de cohesión y claridad en el enfoque de la industria financiera hacia la ciberseguridad.

Además de unificar la regulación, DORA aborda otro problema crítico: la falta de un enfoque común para la gestión de riesgos de terceros, especialmente en lo que respecta a los proveedores de servicios de TIC. Los proveedores de TIC críticos, que desempeñan un papel crucial en la infraestructura de TIC de las instituciones financieras, se enfrentarán a requisitos regulatorios específicos. Esto garantizará que estos proveedores cumplan con los estándares de seguridad cibernética y se mantengan preparados para enfrentar amenazas cibernéticas.

¿Qué organizaciones se verán afectadas por DORA?

DORA impactará a todas las entidades financieras reguladas a nivel de la Unión Europea. Esto incluye no solo a los bancos, sino también a otras instituciones financieras, como empresas de inversión, agencias de calificación crediticia, proveedores de servicios de criptoactivos, fintech, lugares de negociación e instituciones de crédito.

La regulación tiene en cuenta la diversidad de organizaciones en términos de tamaño, modelo de negocio, riesgo y relevancia del sistema. Las entidades financieras más pequeñas deberán tomar medidas menos completas en comparación con las más grandes. Esto garantiza que la regulación sea proporcionada y se ajuste a las necesidades de diferentes organizaciones.

Principales requisitos de DORA

DORA establece cinco pilares clave en su regulación:

  1. Gestión de riesgos de TIC: Las entidades financieras deben crear y seguir un marco de gestión de riesgos de TIC que respalde una estrategia de continuidad comercial, políticas de recuperación y estrategias de comunicación. Esto implica establecer un canal de comunicación confiable con las partes interesadas y definir controles de seguridad para activos críticos.
  2. Notificación de incidentes de TIC: DORA simplificará el proceso de notificación de incidentes relacionados con las TIC. Las entidades financieras deben presentar informes de incidentes de TIC importantes en un plazo determinado y estar preparadas para implementar indicadores confiables de alerta temprana.
  3. Pruebas de resiliencia operativa digital: Las organizaciones deben someterse a pruebas periódicas de resiliencia operativa digital realizadas por terceros independientes, tanto internas como externas. Esto garantiza la confiabilidad de las defensas de TIC establecidas.
  4. Intercambio de información e inteligencia: DORA fomentará el intercambio de información sobre amenazas cibernéticas entre entidades financieras, creando conciencia sobre nuevas amenazas y tácticas de resiliencia operativa.
  5. Gestión de riesgos de TIC de terceros: Los proveedores de servicios de TIC críticos deben cumplir con regulaciones específicas y ser supervisados por las Autoridades Europeas de Supervisión (AES). Las entidades financieras también deben implementar programas de riesgo de terceros para evitar interrupciones operativas causadas por ataques a la cadena de suministro y violaciones de terceros.

Cómo prepararse para la Ley de resiliencia operacional digital

DORA representa un cambio significativo en la regulación de ciberseguridad en el sector financiero de la UE. Para prepararse adecuadamente para cumplir con los requisitos de DORA, las organizaciones pueden seguir los siguientes pasos:

  1. Realizar un análisis de brechas: Evaluar el nivel de cumplimiento actual de la organización con respecto a los requisitos de DORA y determinar las brechas que deben abordarse.
  1. Determinar la clasificación de «crítico»: Si la organización es un proveedor de servicios de TIC crítico, debe prepararse para cumplir con los requisitos regulatorios específicos. Esto incluye la implementación de equipos reguladores dedicados y software de seguridad de datos.
  1. Implementar un marco de prueba de penetración dirigido por amenazas: Aquellas organizaciones que aún no lo hayan hecho deben buscar proveedores independientes para realizar pruebas de resiliencia digital.
  1. Evaluar las estrategias de respuesta y recuperación: Comparar las estrategias actuales de respuesta y recuperación con los requisitos de DORA, prestando especial atención al proceso de notificación de incidentes.
  1. Realizar un análisis de brechas (nuevamente): Una vez que se hayan implementado las medidas necesarias, realizar un segundo análisis de brechas para asegurarse de que se cumplan los requisitos de DORA.

¿Qué deben tener en cuenta las entidades financieras a la hora de elegir un proveedor de servicios de TIC externo en el futuro?

En el contexto de DORA, las entidades financieras de la Unión Europea deben ser especialmente cautelosas al seleccionar proveedores de servicios de TIC externos en el futuro. Los requisitos de DORA establecen que solo pueden celebrar acuerdos contractuales con proveedores de servicios de TIC de terceros que cumplan con altos estándares de seguridad de la información y las regulaciones más recientes. Además, deben tener en cuenta aspectos como la protección de datos, la aplicación efectiva de la ley, disposiciones sobre insolvencia y restricciones en relación con la restauración urgente de los datos de la empresa.