¿Qué es el Reglamento DORA? así ha cambiado la gestión del riesgo tecnológico en las entidades financieras
En un contexto en el que se percibe un aumento notorio de ataques cibernéticos a nivel global, el sector financiero, especialmente en Europa, sufre una oleada de delitos cibernéticos que precisan de una solución urgente. Así es como se ha puesto en circulación la nueva Ley de Resiliencia Operativa Digital (DORA), un reglamento que crea un marco vinculante y exhaustivo para la gestión de riesgos de las TIC en el sector financiero europeo. El objetivo es que el Reglamento DORA proteja a las entidades financieras y sus terceros proveedores de servicios tecnológicos críticos, debiendo implantarse una serie de normativas regulatorias antes del 17 de enero de 2025. El periodo de adaptación de los sistemas informáticos será de un máximo de dos años. Unificación de la ciberseguridad financiera DORA se marca como objetivos abordar la gestión del riesgo de las TIC en el sector de los servicios financieros y armonizar las normativas sobre gestión del riesgo de las TIC, unificando los Estados miembros de la UE. Se consolidarían una serie de prácticas efectivas para mitigar el impacto de las amenazas cibernéticas. DORA estaba enfocada inicialmente en garantizar que las empresas dispusiesen de capital suficiente para cubrir riesgos operativos. No obstante, las directrices no se aplicaban a todas las entidades financieras por igual y se basaban en principios generales más que en normas técnicas específicas. A partir de ahora se implanta una mayor claridad jurídica en relación a las obligaciones de ciberseguridad y ciberresiliencia, en un marco transfronterizo. No obstante, las pequeñas empresas no estarán sometidas a las mismas obligaciones que las de mayor calado. Dicho esto, todas las entidades financieras de la UE, incluidos los proveedores de servicios de criptoactivos, se someterán a DORA, pese a que fuesen entidades inicialmente excluidas de las regulaciones financieras. Algo que afectará de lleno a los proveedores de servicios en la nueve y los centros de datos, así como los servicios de calificación crediticia. Los objetivos de DORA Además de fijar un marco operativo de riesgos, el Reglamento DORA tiene la obligación de realizar pruebas periódicas a los sistemas y protocolos de las entidades mediante test que desvelasen sus vulnerabilidades. También será necesario garantizar la transparencia, informando a las partes implicadas de cualquier tipo de incidente, así como monitorear la cadena de valor. Las entidades financieras deberán controlar, de manera exhaustiva, cualquier función tecnológica subcontratada o delegada en terceros. DORA exigirá a las entidades que apliquen medidas adecuadas de protección de ciberseguridad. Aquí se incluyen políticas de gestión de identidades y accesos y gestión de parches, software de gestión de eventos e información de seguridad (SIEM) y herramientas de orquestación, automatización y respuesta en materia de seguridad (SOAR). Evolución histórica de DORA La gestión del riesgo tecnológico en las entidades financieras ha ido evolucionando de manera paulatina. Así es como DORA fue propuesto por primera vez, de manos de la Comisión Europea, en septiembre de 2020. Forma parte de un paquete financiero digital más amplio, el cual incluye iniciativas para regular los criptoactivos y mejorar la estrategia general de financiación digital de la UE. Tanto el Consejo de la UE como el Parlamento Europeo adoptaron DORA de manera formal en noviembre de 2022. Las Autoridades Europeas de Supervisión (AES) siguen afinando detalles para su implantación. Se espera que todas las normas técnicas de regulación (NTR) y las normas técnicas de ejecución (NTE) se finalicen en este 2024. Medidas restrictivas de DORA A posteriori, su aplicación será responsabilidad de los reguladores asignados por cada Estado miembro de la UE; ‘autoridades competentes’. Éstas pueden solicitar que las entidades financieras adopten medidas de seguridad específica y corrijan vulnerabilidades, así como imponer sanciones administrativas. DORA autoriza a los supervisores a multar a los proveedores de TIC con un importe equivalente al 1% de la facturación media diaria mundial del proveedor en el ejercicio anterior. Los proveedores pueden ser multados diariamente en un máximo de seis meses. Pruebas de resiliencia operativa digital Las entidades tienen la obligación de probar periódicamente sus sistemas TIC para evaluar la solidez de sus protecciones e identificar vulnerabilidades. Los resultados y los planes para subsanar las deficiencias serán comunicados a las autoridades competentes. Para ello, se realizarán evaluaciones de vulnerabilidad, al menos, una vez al año. Las entidades financieras clave deberán someterse a pruebas de penetración basadas en amenazas (TLPT) cada tres años. Todas estas normas técnicas aún no se han consolidado, aunque probablemente se alinearán con el maco TIBER-UE para el red teaming ético basado en la inteligencia de amenazas. Intercambio de información De igual modo, DORA fija que las entidades financieras deben establecer procesos para aprender de los incidentes relacionados con las TIC, tanto internos como externos. Cualquier información que se comparta deberá seguir estando protegida en base a las directrices pertinentes. Así pues, la información de identificación personal seguirá estando sujeta a las consideraciones del Reglamento General de Protección de Datos (RGPD). FUENTE: Martorell Delgado, Sergio. »¿Qué es el Reglamento DORA? así ha cambiado la gestión del riesgo tecnológico en las entidades financieras» Bitlifemedia.com. 04/03/2024. (https://bitlifemedia.com/2024/03/reglamento-dora-gestion-riesgo-tecnologico-entidades-financieras/).