El aumento en la frecuencia y sofisticación de los ciberataques plantea serias amenazas a la estabilidad financiera global según un nuevo informe del Fondo Monetario Internacional (FMI). En las últimas dos décadas, casi una quinta parte de los incidentes cibernéticos reportados han afectado al sector financiero global, causando $12 mil millones en pérdidas directas para las firmas financieras, señala el informe.

Reconociendo la necesidad de la resiliencia de las entidades financieras, la Unión Europea ha respondido con la Ley de Resiliencia Operativa Digital (DORA). Esta regulación histórica está diseñada para mejorar la resiliencia operativa de las instituciones financieras mediante la imposición de medidas estrictas de ciberseguridad.

En esta publicación de blog, profundizaremos en los detalles de DORA, su propósito, requisitos, cronograma de implementación, sanciones por incumplimiento y cómo Secureframe puede simplificar y agilizar su camino hacia el cumplimiento.

¿Qué es la Ley de Resiliencia Operativa Digital?

La Ley de Resiliencia Operativa Digital (DORA) es una regulación de la UE que tiene como objetivo ayudar a las entidades financieras y sus proveedores de tecnología de la información y las comunicaciones (TIC) a soportar, responder y recuperarse de todo tipo de interrupciones y amenazas relacionadas con las TIC. Al establecer estándares robustos para la gestión de riesgos de TIC, informes de incidentes, pruebas de resiliencia operativa y monitoreo de riesgos de terceros, DORA busca mejorar la resiliencia operativa digital del sector financiero de la UE.

Aunque DORA se superpone con otras regulaciones como GDPR y NIS 2, la aplicabilidad de los tres marcos es muy diferente. DORA es única en su enfoque en fortalecer la resiliencia digital del ecosistema financiero europeo y se aplica específicamente al sector financiero, mientras que NIS2 y GDPR son mucho más amplios en la aplicabilidad organizacional.

DORA entró en vigor el 16 de enero de 2023 y será requerida a partir del 17 de enero de 2025. A medida que se acerca esta fecha de aplicación, es importante que las organizaciones comprendan el alcance, propósito y requisitos de DORA. Cubriremos esto a continuación.

¿A quién se aplica DORA?

El alcance de DORA es amplio dentro del sector financiero. La nueva ley se aplica a entidades financieras, lo que incluye la mayoría de los tipos de entidades de servicios financieros reguladas en la UE, como bancos, empresas de pagos y dinero electrónico, firmas de inversión, aseguradoras y firmas de criptoactivos.

DORA también se aplica a proveedores de servicios de terceros considerados "críticos" para estas entidades financieras. Los proveedores se designan como críticos en base a varios factores, incluyendo:

• el impacto potencial que una falla a gran escala tendría en la provisión de servicios financieros
• el tipo e importancia de las entidades que dependen del proveedor.
• qué tan fácilmente se puede reemplazar al proveedor

Estos proveedores deberán demostrar que pueden cumplir con las disposiciones contractuales obligatorias bajo DORA para continuar prestando servicios a sus clientes en la UE.

¿Cuál es el propósito de DORA?

El propósito principal de DORA es fortalecer la resiliencia operativa de las instituciones financieras frente al creciente número de amenazas cibernéticas. Lo hace de dos maneras significativas. Primero, busca armonizar varias regulaciones de ciberseguridad y gestión de riesgos que se aplican a las entidades financieras en toda la UE. Segundo, pretende ofrecer un marco integral que aborde varios aspectos clave de la gestión de riesgos.

Estas áreas clave de enfoque son:

• Gestión de riesgos TIC: Establecer marcos de gestión de riesgos comprensivos para identificar, evaluar y mitigar los riesgos relacionados con las TIC
• Incidentes relacionados con TIC: Exigir la notificación oportuna y estandarizada de incidentes significativos relacionados con TIC a las autoridades competentes
• Pruebas de resiliencia operativa digital: Requerir pruebas regulares de los sistemas TIC para identificar y rectificar vulnerabilidades
• Gestión de riesgos de terceros proveedores de TIC: Asegurar que las entidades financieras gestionen los riesgos asociados con los proveedores de servicios de TIC de terceros
• Supervisión de proveedores críticos terceros: Fortalecer el marco de gobernanza para supervisar eficazmente las prácticas de gestión de riesgos de TIC
• Intercambio de información: Intercambiar información y datos sobre amenazas cibernéticas

Requisitos de DORA: Cómo cumplir con la regulación

El documento de DORA tiene casi 80 páginas y consta de 64 artículos. El documento define varias áreas clave de enfoque en su regulación.

A continuación, resumimos los requisitos clave para el cumplimiento de DORA.

1. Establecer un marco de gestión de riesgos TIC

Las instituciones financieras en el ámbito de aplicación deben desarrollar y mantener un marco robusto de gestión de riesgos TIC que les permita responder a los riesgos de manera rápida y completa.

Como mínimo, este marco debe:

• Identificar las funciones comerciales respaldadas por TIC: Describir claramente todas las funciones comerciales que dependen de los sistemas y servicios TIC.
• Identificar riesgos TIC: Catalogar todas las fuentes potenciales de riesgos TIC, incluidos hardware, software, datos y sistemas de comunicación.
• Abordar las amenazas y vulnerabilidades de ciberseguridad: Monitorear y evaluar continuamente las amenazas y vulnerabilidades de ciberseguridad, e implementar medidas (como políticas, procedimientos y herramientas) para protegerse contra estas amenazas y actualizarlas regularmente según el panorama de amenazas en evolución.
• Mitigar riesgos identificados: Desarrollar y aplicar estrategias de mitigación de riesgos para gestionar los riesgos identificados de manera efectiva.

2. Establecer procesos y procedimientos de reporte de incidentes

Las entidades dentro del alcance deben establecer procesos y procedimientos para la detección, gestión y reporte oportuno de incidentes de seguridad relacionados con las TIC. Algunos próximos pasos pueden incluir:

• Implementar sistemas para detectar incidentes a medida que ocurren, incluyendo tanto mecanismos de detección automatizados como manuales.
• Desarrollar un proceso claro para gestionar los incidentes una vez detectados, incluyendo medidas de respuesta inmediata, procedimientos de investigación y pasos de remediación.
• Definir y adherirse a plazos estrictos para reportar incidentes a las autoridades relevantes y asegurar que estos reportes incluyan información detallada sobre la naturaleza del incidente, su impacto y las medidas tomadas para abordarlo.

3. Probar su sistema TIC regularmente

Las pruebas regulares de los sistemas TIC son obligatorias para garantizar la resiliencia frente a posibles amenazas. Las entidades dentro del alcance deben supervisar la implementación y los resultados de las pruebas de resiliencia, incluidas las evaluaciones de vulnerabilidad y las pruebas de penetración. Ambos tipos de pruebas pueden ayudar a identificar y abordar vulnerabilidades de seguridad en la infraestructura TIC de la entidad.

También es importante que las entidades dentro del alcance usen los resultados de estas pruebas para mejorar y fortalecer las medidas de seguridad de las TIC en consecuencia.

4. Establecer un sistema de gestión de riesgos de terceros

Las entidades dentro del alcance deben garantizar que sus contratos con proveedores de servicios TIC de terceros (incluidos los nuevos y existentes contratos) cumplan con los requisitos normativos establecidos en DORA.

Los contratos deben incluir ciertas disposiciones que obliguen a cumplir con los estándares de gestión de riesgos de la entidad, como proporcionar asistencia en la gestión de incidentes y participar en el entrenamiento de concienciación en seguridad y resiliencia operativa de la entidad.

Las entidades dentro del alcance deben desarrollar y mantener un registro de información sobre proveedores de servicios TIC para las autoridades competentes al menos cada tres años, o más a menudo si involucran a proveedores para funciones críticas. Este registro de información debe contener una diligencia debida extensa, incluyendo acuerdos contractuales e información de reportes.

Cronograma de implementación de DORA

La implementación de DORA sigue un cronograma estructurado para permitir a las entidades financieras tiempo suficiente para lograr el cumplimiento:

• Entrada en vigor: DORA entró en vigor el 16 de enero de 2023.
• Periodo de transición: Se otorga a las entidades financieras un periodo de transición hasta el 17 de enero de 2025 para alinear sus operaciones con los nuevos requisitos.
• Fecha límite de cumplimiento: Para el 17 de enero de 2025, todas las instituciones financieras dentro de la UE deben cumplir completamente con DORA.

Violaciones y multas de DORA: Sanciones por incumplimiento

El incumplimiento de DORA puede resultar en sanciones significativas, reflejando la naturaleza estricta de la regulación.

Las instituciones financieras que no cumplan con los requisitos de DORA enfrentan multas de hasta el 2% de su facturación mundial anual total. Las personas físicas enfrentan una multa máxima de EUR 1.000.000 por incumplimiento. El monto dependerá de la gravedad de la violación y de la disposición de la entidad financiera a cooperar con las autoridades. No informar de incidentes importantes relacionados con las TIC o amenazas cibernéticas significativas según lo requiere DORA también puede resultar en multas.

Los proveedores de servicios TIC de terceros designados como críticos por las Autoridades Europeas de Supervisión (AEV) pueden enfrentar multas de hasta EUR 5.000.000 por incumplimiento. Las personas físicas enfrentan una multa máxima de EUR 500.000.

Las entidades pueden enfrentar sanciones adicionales, incluyendo censura pública, restricciones en las actividades comerciales o incluso la revocación de licencias en casos graves. Más allá de las sanciones financieras, el incumplimiento también puede llevar a un daño reputacional severo, erosionando la confianza de los clientes y la confianza de los inversores.

Cómo los proveedores de servicios gestionados pueden ayudar a las entidades a cumplir con el plazo de cumplimiento de DORA

Según una encuesta de McKinsey realizada en marzo de 2024, solo alrededor de un tercio de las instituciones financieras tenían confianza en que podrían cumplir con todas las expectativas regulatorias de DORA para enero de 2025. El 31% dudaba que cumplirían con el plazo de DORA mientras que el 38% eran neutrales. Además, todos dijeron que esperaban que al menos algunos esfuerzos en relación con DORA continuaran más allá del plazo de 2025.

Un proveedor de servicios gestionados puede ayudar a simplificar y acelerar el proceso. Al aprovechar la experiencia y los recursos de los MSP, las instituciones financieras pueden optimizar sus esfuerzos de cumplimiento, identificando y abordando rápidamente las brechas en sus prácticas de gestión de riesgos de TIC y asegurando que cumplan con el plazo de cumplimiento de DORA.

Aquí hay algunas formas en que los MSP pueden ayudar a las entidades financieras a lograr el cumplimiento de DORA de manera eficiente y efectiva:

• Realización de un análisis de brechas: Un análisis de brechas es un primer paso crítico en el camino hacia el cumplimiento. Ayuda a identificar las diferencias entre el estado actual de la gestión de riesgos de TIC de una entidad y los requisitos establecidos por DORA. Después de evaluar cualquier proceso existente de gestión de riesgos de TIC, procedimientos de respuesta a incidentes, procesos de gestión de riesgos de terceros y estructuras de gobernanza, los MSP pueden resaltar brechas donde las prácticas actuales de la entidad no cumplen con los requisitos de DORA y ofrecer recomendaciones prácticas para abordar las brechas identificadas y alinear las prácticas con los estándares regulatorios.
• Implementación de una herramienta de cumplimiento automatizada: Más allá de las recomendaciones prácticas, los MSP pueden ir un paso más allá en simplificar el proceso de cumplimiento de DORA implementando herramientas que automatizan tareas de cumplimiento, como la recolección de evidencias, la gestión de políticas y el monitoreo continuo, y reducen el esfuerzo manual.
• Ofrecer orientación experta: Los MSP pueden ayudar a apoyar a las entidades financieras a lo largo de todo el proceso de cumplimiento, no solo durante la fase de preparación. Al ofrecer orientación experta en todas las etapas, los MSP pueden ayudar a las entidades a navegar por las complejidades de DORA, implementar las mejores prácticas para la gestión de riesgos de TIC e integrar sus esfuerzos en un programa existente de ciberseguridad y cumplimiento.
• Realización de evaluaciones continuas: Después de ayudar a la entidad a desarrollar e implementar un sólido marco de gestión de riesgos de TIC, así como procedimientos de reporte de incidentes, procesos de TPRM y más, los MSP pueden evaluar regularmente el estado de cumplimiento de la entidad e identificar cualquier brecha o problema emergente.

Si necesita ayuda para encontrar un Proveedor de Servicios que le ayude con el cumplimiento de DORA, contáctenos directamente en partners@secureframe.com.

Simplifique y acelere el cumplimiento de DORA con Secureframe

Lograr el cumplimiento con DORA puede ser un proceso complejo e intensivo en recursos. De hecho, la encuesta de McKinsey reveló que la mayoría de las instituciones financieras esperan gastar entre 5 y 15 millones de euros en estrategias, planificación, diseño y orquestación de DORA, y algunas estimaciones iniciales para los costos totales de implementación están llegando a ser de cinco a diez veces ese rango. Además, el 40% de las entidades financieras encuestadas y proveedores de TIC están dedicando más de siete equivalentes a tiempo completo a su programa de cumplimiento de DORA.

Las soluciones de automatización del cumplimiento como Secureframe pueden simplificar y acelerar significativamente este viaje, ayudando a reducir los esfuerzos y costos necesarios para cumplir. Aquí algunas características y funcionalidades clave que ofrece Secureframe:

• Pruebas de control automatizadas: Secureframe automatiza las pruebas de los requisitos de la DORA de la UE a través de integraciones con su pila tecnológica existente, asegurando el cumplimiento continuo con los requisitos de la DORA de la UE sin la carga manual. Con 110 controles alineados con la DORA de la UE, puede estar seguro de que cumplirá con la regulación.
• Políticas desarrolladas por expertos: Secureframe ofrece plantillas de políticas y procedimientos, desarrolladas y evaluadas por expertos en cumplimiento específicamente para la DORA de la UE. Puede publicar fácilmente esta documentación, asignarla a los responsables y hacer un seguimiento de la aceptación de las políticas y su revisión regular dentro de Secureframe.
• Experiencia en cumplimiento: Nuestro equipo de expertos en cumplimiento y antiguos auditores de seguridad y cumplimiento brindan el apoyo esencial para ayudarle a navegar los requisitos de la DORA de la UE de manera efectiva e implementar mejores prácticas para la gestión de riesgos de TIC.
• Soporte basado en la UE: Nuestro equipo dedicado en la UE asegura que reciba asistencia oportuna y localizada.
• Monitoreo continuo: Secureframe facilita el cumplimiento con la DORA de la UE. Puedes organizar y programar revisiones regulares de los controles a través de la plataforma Secureframe, asegurando la adhesión continua a los requisitos regulatorios.

Programa una demostración para ver cómo las instituciones financieras pueden cumplir con confianza los requisitos de DORA, salvaguardando sus operaciones y asegurando la resiliencia contra amenazas cibernéticas, con Secureframe.