Dora izertis
Laura Burillo Responsable de Inspección

Cuenta atrás para la aplicación del Reglamento Europeo de Resiliencia Operativa Digital, DORA

Podemos definir la resiliencia como la capacidad de adaptación y recuperación ante una situación adversa, y ese es el principal objetivo del reglamento DORA, regular cómo debemos hacer frente a una de esas posibles situaciones que, de llegar a producirse, podrían ocasionar graves consecuencias. 

Y es que, un sector tan clave y del que dependen muchas otras organizaciones, tanto públicas como privadas, como es el financiero, debe contar con los mecanismos adecuados de resiliencia operativa digital para afrontar situaciones que puedan comprometer el normal funcionamiento de las operaciones y, si esto ocurriera inevitablemente, poder minimizar el impacto de un incidente para volver a la normalidad en el menor tiempo posible.

DORA es el reglamento de la Unión Europea diseñado para establecer un marco único de ciberseguridad que homogeneiza cómo las entidades financieras deben gestionar el riesgo digital en las organizaciones. Pero, ¿a quién aplica este reglamento? ¿Qué empresas están obligadas a cogerse a ella? ¿De qué manera puede afectarme este cambio? ¿Cuándo entra en vigor?


¿A quién aplica el reglamento DORA? 

En el artículo 2 del Reglamento podemos encontrar un listado de las organizaciones que deberán cumplir con la regulación europea (entidades de crédito, compañías de seguros, entidades de pago, entidades de dinero electrónico, gestoras, fondos de pensiones, agencias de calificación crediticia, etc.), que son básicamente, la gran mayoría de organizaciones del sector financiero, además de sus proveedores, punto muy importante este, ya que se exigirá contratar con terceros considerados “seguros”, cuestión que todavía está pendiente de determinar. 

¿Cómo me afectará el reglamento DORA? 

A grandes rasgos, DORA va a impactar en toda la organización incluyendo a la alta dirección, pudiendo agrupar distintas iniciativas de cumplimiento con incidencia en los siguientes grupos: 

DORA va a impactar en toda la organización incluyendo a la alta dirección

Gobierno y Normativa

Se deberán adecuar las políticas, normas y procedimientos internos ya implementados en la organización a los requerimientos de DORA, (p.ej. adecuar el procedimiento de gestión de incidentes para incluir las comunicaciones de incidentes graves a la autoridad europea). 

Medidas Organizativas 

Se establecerán nuevos roles, responsabilidades y rendición de cuentas para el órgano de gobierno, así como la designación de nuevas figuras como el Chief Technology Risk Officer (CTRO) que supervisen el cumplimiento de la regulación, será la persona encargada de velar por el cumplimiento de los riesgos tecnológicos a los que se enfrentará la organización. Esta nueva figura puede ser desempeñada de manera interna o a través de una empresa externa. 

Seguridad de las TIC, continuidad de negocio y gestión de riesgos en terceros 

La seguridad y la continuidad de las operaciones se hará extensible a toda la cadena de suministro. Ya no solo tendremos que evaluar, tratar y mitigar los riesgos TIC propios, sino que tendremos que asegurarnos y supervisar que nuestros proveedores críticos también hagan lo propio, de esa manera podemos reducir los riesgos de incidentes de terceros. 

Gestión y notificación de incidentes 

Además de ser capaces de identificar, gestionar y contener un incidente de seguridad, tendremos que notificar los incidentes graves a la autoridad europea competente, a través de un procedimiento que todavía está pendiente de definir.  

Tendremos que notificar los incidentes graves a la autoridad europea competente

Pruebas de resiliencia operativa digital 

Anualmente y de manera independiente se deberá evaluar todo riesgo específico al que esté expuesta la entidad y cualquier factor que se considere apropiado. 

Ejecutar pruebas anuales de todos los sistemas y aplicaciones críticos TIC (vulnerabilidades, análisis de código, rendimiento, capacidad, etc.). Además, pruebas avanzadas específicas, validadas por las autoridades supervisoras. 

¿Cuándo entra en vigor DORA? 

Su fecha de entrada en vigor efectiva es enero de 2025, pero debido a la gran cantidad de iniciativas que se deberán llevar a cabo, las entidades ya trabajan para ponerse al día con los requisitos que establece el reglamento. 

Una de las cuestiones más importantes para su adopción es que las autoridades supervisoras europeas todavía tienen que desarrollar y publicar diversas normas técnicas de regulación (RTS) que especifiquen cómo abordar e implantar algunos aspectos de DORA que no están definidos.  

Está previsto que la emisión de estas RTS se produzca antes de julio de 2024, lo que nos deja poco tiempo para lograr el cumplimiento. Por lo tanto, la mejor estrategia sería identificar y adoptar lo antes posible las medidas que exige DORA, adecuándolas antes de que se publiquen las RTS. 

¿Cómo te podemos ayudar? 

Desde Izertis adecuamos todo tipo de organizaciones al cumplimiento de DORA, desde el diagnóstico o estudio de situación de partida, análisis GAP, la adaptación del marco normativo, la evaluación de seguridad en proveedores hasta las pruebas técnicas para medir la resiliencia operativa digital, ¿hablamos?