icon

Reglamento de la UE sobre la Ley de Resiliencia Operativa Digital (DORA)

contents

Understanding the Digital Operational Resilience Act

ICT Risk Management Framework Under DORA

Incident Reporting and Management Requirements

Digital Operational Resilience Testing

Third-Party Risk Management and Oversight

Implementation Timeline and Compliance Considerations

Impact of DORA on the EU Financial Sector

How Hideez Can Help with DORA Compliance

Ley de Resiliencia Operativa Digital: ¿Qué es DORA?

 

La Ley de Resiliencia Operativa Digital (DORA) es una regulación histórica de la Unión Europea diseñada para fortalecer la seguridad informática y la resiliencia operativa de las entidades financieras en toda Europa. Entró en vigor el 16 de enero de 2023, y su cumplimiento será obligatorio a partir del 17 de enero de 2025. DORA es reconocida como una herramienta bien fundamentada y efectiva para gestionar los riesgos digitales en el sector financiero.

La regulación surge como una respuesta de la Unión Europea a la creciente dependencia de las tecnologías de la información y la comunicación (TIC) en los servicios financieros y al aumento de las amenazas de ciberataques. Por lo tanto, DORA busca abordar puntos críticos como las regulaciones nacionales fragmentadas, las prácticas inadecuadas de gestión de riesgos TIC y la supervisión insuficiente de los proveedores tecnológicos de terceros. 

En Hideez, estamos comprometidos a apoyar a las instituciones financieras en el cumplimiento de las regulaciones de seguridad y en el aumento de la productividad de los empleados con nuestras soluciones de autenticación sin contraseñas. ¡Descubramos las principales consideraciones para ayudarle a lograr el cumplimiento total de DORA!

Entendiendo la Ley de Resiliencia Operativa Digital

DORA es una iniciativa de la UE que tiene como objetivo fomentar la innovación, garantizar la estabilidad financiera y proteger a los consumidores en diferentes sistemas financieros como bancos, aseguradoras, firmas de inversión y otros. 

La ley establece requisitos uniformes para la seguridad de las redes y los sistemas de información, respaldando los procesos comerciales de las entidades financieras. Una característica destacada de DORA es que está diseñada para garantizar que las instituciones financieras puedan responder y recuperarse fácilmente de las interrupciones y amenazas relacionadas con las TIC. Además, busca fortalecer la estabilidad del sistema financiero europeo unificando las normas de resiliencia digital en toda la UE, reduciendo las inconsistencias regulatorias.

¿A quién afecta DORA?

DORA se aplica a más de 22,000 entidades financieras y proveedores de servicios TIC que operan dentro de la UE, junto con la infraestructura TIC que los respalda fuera de la UE. Impacta varios sistemas financieros, incluyendo:

  • Bancos
  • Compañías de seguros
  • Firmas de inversión
  • Procesadores de pagos
  • Bolsa de valores
  • Entidades de infraestructura de mercado
  • Agencias de calificación crediticia
  • Proveedores de servicios de criptoactivos

Además, se extiende a proveedores críticos de TIC que sirven a estas instituciones financieras. Como resultado, las organizaciones deben mapear sus dependencias críticas de terceros en TIC y diversificar los proveedores para evitar la dependencia excesiva de un único o limitado grupo de proveedores.

 

Objetivos clave y alcance de DORA

La ley tiene dos objetivos esenciales. El primero es abordar de manera integral la gestión de riesgos TIC en el sector de servicios financieros. Esto incluye establecer estándares para la evaluación de riesgos, la notificación de incidentes y las pruebas de resiliencia. El segundo objetivo es equilibrar las regulaciones de gestión de riesgos TIC en los estados miembros de la UE, con el objetivo de crear condiciones equitativas y reducir las dificultades de cumplimiento para los sistemas financieros que operan en varios países de la UE.

Los componentes principales de DORA incluyen:

  • Gestión de riesgos TIC
  • Notificación de incidentes
  • Pruebas de resiliencia operativa digital
  • Gestión de riesgos de terceros
  • Marco de supervisión para proveedores de servicios TIC críticos

Marco de Gestión de Riesgos TIC según DORA

DORA exige que las entidades financieras establezcan un marco de gestión de riesgos TIC sólido, integral y bien documentado. Este marco es un factor vital dentro del sistema general de gestión de riesgos de la entidad y debe permitir abordar de manera rápida, eficiente y efectiva cualquier riesgo potencial. Los cinco componentes principales de este marco son:

  1. Identificación y evaluación de riesgos: las entidades deben evaluar y documentar regularmente los riesgos TIC, incluidos los que surgen de las dependencias de terceros.
  2. Medidas de protección y prevención: Implementación de estrategias, políticas y herramientas de seguridad para proteger los sistemas y los datos, como soluciones de acceso sin contraseña que mitiguen los riesgos asociados con ataques de phishing y problemas relacionados con contraseñas.
  3. Mecanismos de detección: utilización de procesos y tecnologías para identificar rápidamente anomalías e incidentes de seguridad potenciales.
  4. Planificación de respuesta y recuperación: desarrollo y mantenimiento de planes de continuidad de negocio y procedimientos de recuperación ante desastres.
  5. Aprendizaje y evolución: mejora continua del marco basado en lecciones aprendidas de incidentes y pruebas.

Además, es importante mencionar que DORA requiere asignar la responsabilidad de gestionar y supervisar los riesgos TIC a una función de control con un nivel adecuado de independencia. Esto enfatiza la necesidad de una rendición de cuentas clara y una gobernanza adecuada en la gestión de riesgos digitales.

Requisitos de DORA

Requisitos de notificación y gestión de incidentes

Una característica clave de DORA es su enfoque en la notificación y gestión de incidentes. Es obligatorio que las entidades financieras definan e implementen un proceso de gestión para supervisar y clasificar cualquier incidente relacionado con las TIC. La regulación introduce tres obligaciones de notificación para incidentes importantes que deben tenerse en cuenta:

Primero, la notificación inicial. Debe presentarse dentro de un marco temporal específico tras clasificar un incidente como importante. Segundo, el informe intermedio, que debe proporcionarse cuando el estado del incidente original haya cambiado significativamente. Tercero, el informe final, que se presenta una vez que se haya completado el análisis de la causa raíz y estén disponibles las cifras reales del impacto.

Además, la ley exige que las entidades financieras informen a sus clientes sin demoras indebidas sobre incidentes importantes relacionados con las TIC que afecten a sus intereses financieros. Este enfoque fomenta la confianza y permite a los clientes tomar medidas de protección adecuadas lo más rápido posible. 

Adicionalmente, DORA fomenta la notificación voluntaria de amenazas cibernéticas significativas, promoviendo un enfoque colaborativo hacia la ciberseguridad en el sector financiero.

Pruebas de Resiliencia Operativa Digital

Para garantizar la efectividad de los marcos de gestión de riesgos TIC, DORA requiere que las entidades financieras realicen pruebas regulares de su resiliencia operativa digital. Las etapas obligatorias son:

  1. Evaluaciones y análisis de vulnerabilidades: evaluaciones regulares para identificar posibles debilidades en los sistemas y aplicaciones.
  2. Evaluaciones de seguridad de redes e infraestructura: pruebas para asegurar la fortaleza de las protecciones de la red.
  3. Pruebas de seguridad de aplicaciones: evaluaciones de aplicaciones de software utilizadas en funciones críticas del negocio.
  4. Pruebas basadas en escenarios: simulaciones de diversos escenarios de ataques cibernéticos para evaluar las capacidades de respuesta.
  5. Pruebas de penetración lideradas por amenazas: pruebas avanzadas para entidades consideradas críticas para el sistema financiero, que deben realizarse al menos cada tres años.

Los resultados deben documentarse y reportarse a los niveles superiores dentro de la organización. A partir de ello, se debe desarrollar una estrategia para abordar los puntos débiles junto con los hallazgos. Este enfoque de pruebas integral tiene como objetivo mejorar continuamente la resiliencia de las entidades financieras frente a las amenazas cibernéticas en evolución. 

Gestión de riesgos de terceros y supervisión

Reconociendo el papel crucial que desempeñan los proveedores de servicios TIC en el ámbito financiero, DORA introduce requisitos estrictos para gestionar los riesgos de terceros. Los aspectos centrales son:

  1. Diligencia debida en la selección: las entidades financieras deben evaluar exhaustivamente a los proveedores de servicios TIC potenciales antes de celebrar acuerdos contractuales.
  2. Salvaguardas contractuales: los acuerdos con proveedores TIC deben contener términos específicos con respecto a seguridad, notificación de incidentes y derechos de auditoría.
  3. Monitoreo continuo: evaluación regular del desempeño y las medidas de seguridad de terceros.
  4. Estrategias de salida: desarrollo de planes integrales para la transición de proveedores de terceros si es necesario. 

Además, DORA establece un marco de supervisión para proveedores críticos de TIC de terceros. Esto permite que las Autoridades de Supervisión Europeas supervisen directamente a los proveedores críticos y garanticen que cumplan con los estándares requeridos para servir al sector financiero.

Cronograma de Implementación y Consideraciones de Cumplimiento

El cronograma de la Ley de Resiliencia Operativa Digital puede representarse de la siguiente manera. 

  • 16 de enero de 2023: DORA entró en vigor.
  • 17 de enero de 2025: Fecha límite para que las entidades financieras y los proveedores TIC logren el cumplimiento.

Cronograma de DORA

Impacto de DORA en el Sector Financiero de la UE

La implementación exitosa del marco de cumplimiento de DORA tiene efectos significativos en el sector financiero de la UE. A continuación, se detallan sus impactos: 

  1. Mejora de la ciberseguridad: mediante la implementación de diversas prácticas de gestión de riesgos TIC, DORA debería mejorar considerablemente la postura de ciberseguridad general de las entidades financieras.
  2. Regulaciones armonizadas: un enfoque integrado en los diversos estados miembros facilitará el cumplimiento de las regulaciones para operaciones financieras transfronterizas y garantizará una competencia justa. 
  3. Mejor gestión de riesgos de terceros: el marco de supervisión para proveedores TIC críticos ayudará a reducir los riesgos asociados con el outsourcing y los servicios en la nube.
  4. Fomento de la innovación: un plan claro con directrices regulatorias apoya a DORA en la adopción efectiva y eficiente de nuevas tecnologías en el sector financiero, asegurando prácticas sólidas de gestión de riesgos.
  5. Fortalecimiento de la confianza del consumidor: una mayor resiliencia y una notificación de incidentes más clara pueden ayudar a construir la confianza y la seguridad de los consumidores en los servicios financieros digitales.

¿Cómo puede Hideez ayudar con el cumplimiento de DORA?

Para las instituciones financieras que navegan por la Ley de Resiliencia Operativa Digital, la seguridad comienza con una autenticación sólida. El Artículo 9 de la legislación DORA lo deja claro: proteger el acceso a sistemas sensibles no es negociable. Es la primera línea de defensa contra el phishing, el acceso no autorizado y los incidentes de seguridad que pueden interrumpir las operaciones comerciales.

Si bien la implementación de la autenticación multifactor (MFA) es fundamental, no todos los métodos ofrecen el mismo nivel de protección. Como explicamos en nuestro artículo detallado “¿Cómo elegir el método MFA más seguro?,” los enfoques tradicionales como las notificaciones push o las contraseñas de un solo uso basadas en SMS son vulnerables a los ataques de phishing y al intercambio de SIM.

Para cumplir efectivamente con los requisitos de DORA, las instituciones financieras deben adoptar soluciones basadas en MFA sin contraseña. Este enfoque avanzado elimina las contraseñas por completo, reemplazándolas con opciones seguras como biometría o claves de seguridad físicas. Además, simplifica la experiencia del usuario, eliminando la molestia de gestionar contraseñas en el lugar de trabajo.

¿Listo para probar un entorno sin contraseñas? Reserve una demostración de la solución Hideez Workforce Identity o cree una cuenta en nuestro portal en la nube para configurar un SSO sin contraseñas para sus servicios web sin costo alguno. Ya sea que sea una pequeña empresa o una organización grande, nuestras herramientas pueden ayudarle a implementar prácticas de autenticación verdaderamente seguras y a cumplir con los estándares de resiliencia operativa de DORA.

Popular Pages

<b>¿Qué es FIDO2 y cómo funciona? Ventajas y desventajas de la autenticación sin contraseña</b> ¿Qué es FIDO2 y cómo funciona? Ventajas y desventajas de la autenticación sin contraseña

Volver a Hideez Blog y Noticias