DORA
Ley de Resiliencia Operativa Digital
Lo que necesitas saber
- La DORA (Ley de Resiliencia Operativa Digital) es una normativa de la UE cuyo objetivo es lograr una gestión integral de los riesgos de las tecnologías de la información y la comunicación (TIC) en el sector financiero de la UE y unificar las normativas existentes en los distintos Estados miembros.
- La DORA se aprobó en noviembre de 2022, y los Estados miembros deben adoptar las medidas necesarias para cumplir con ella antes del 17 de enero de 2025.
- La DORA se aplica de forma universal a todas las instituciones financieras de la UE, incluyendo a las entidades tradicionales y no tradicionales, así como a los proveedores de servicios externos y a los servicios de información críticos.
- Las autoridades competentes de cada Estado miembro de la UE se encargan de hacer cumplir la DORA, con sanciones por incumplimiento que incluyen multas de hasta el 1 % de la facturación global diaria para los proveedores de TIC «críticos».
- La DORA comparte importantes sinergias con el RGPD (Reglamento General de Protección de Datos), por lo que ofrece un marco complementario. El cumplimiento de los requisitos de la DORA puede no solo reforzar la resiliencia de las TIC, sino también alinearse con las normativas del RGPD, especialmente en áreas relacionadas con la seguridad y la resiliencia de los sistemas de red e información en el sector financiero.
- La DORA tiene puntos de intersección con la Directiva relativa a las redes y sistemas de información (NIS2). Para las entidades financieras cubiertas por ambas, la DORA se considera un instrumento jurídico sectorial específico de la Unión que sustituye a determinadas disposiciones de la Directiva NIS2.
- La DORA engloba cuatro dominios. Las áreas clave abordadas incluyen la gestión y gobernanza de los riesgos de las TIC, la respuesta y notificación de incidentes, las pruebas de resiliencia y la gestión de riesgos de terceros.
- La DORA obliga a que los acuerdos contractuales incorporen estipulaciones específicas. Entre ellas se incluye garantizar la accesibilidad, disponibilidad, integridad y seguridad para equilibrar las interacciones entre las instituciones financieras y las entidades de terceros.
- Las sanciones por incumplimiento de la DORA incluyen medidas administrativas y penales. Los proveedores de TIC críticos pueden enfrentarse a multas de hasta el 1 % de su facturación media global diaria durante seis meses hasta que cumplan la normativa.
Principales ventajas de la seguridad de los datos de comforte para el cumplimiento de la DORA
La plataforma de seguridad de los datos de comforte ofrece funciones de clasificación, protección y detección de datos para ayudarle a:
- Identificar y clasificar los datos sensibles: Gestione eficazmente el riesgo localizando y clasificando los datos sensibles dentro de sus sistemas TIC, garantizando así el cumplimiento de la DORA (artículo 18).
- Optimizar el inventario y documentar los activos de información: Identifique, categorice y documente los activos de información que respaldan sus funciones empresariales conforme a los requisitos de resiliencia operativa digital (artículo 8).
- Mejorar la protección de los datos: Implemente las prácticas recomendadas de ciberseguridad, como controles de acceso pormenorizados y métodos avanzados de protección de datos, para garantizar el cumplimiento de los cambiantes requisitos de protección de datos (artículo 56).
- Implementar medidas de protección de datos: Utilice el cifrado, la tokenización y el enmascaramiento de los datos para salvaguardar los datos sensibles y garantizar la confidencialidad, en consonancia con las normas de ciberseguridad del sector financiero (artículo 9).
- Simplificar las pruebas de cumplimiento: Verifique que los datos sensibles estén adecuadamente protegidos y que el cifrado cumpla las especificaciones de seguridad de la normativa financiera de la UE, lo que garantiza el cumplimiento sin fisuras de la DORA.
Preguntas frecuentes sobre el cumplimiento de la DORA
¿Qué es el cumplimiento de la DORA?
La DORA establece un marco global para la gestión de los riesgos de las TIC en el sector financiero de la UE, con el fin de mejorar la ciberseguridad y la resiliencia.
¿A quién se le aplica la DORA?
La DORA amplía su aplicación para abarcar tanto a entidades financieras convencionales como bancos, empresas de inversión e instituciones de crédito, como a entidades no tradicionales como proveedores de servicios de criptoactivos y plataformas de crowdfunding. Además, incluye a terceros críticos que prestan servicios relacionados con las tecnologías de la información y la comunicación (TIC) a dichas entidades financieras, como los servicios ofrecidos por plataformas en la nube o proveedores de análisis de datos.
¿Por qué se debe cumplir la DORA?
Porque la DORA establece un punto de referencia superior para la resiliencia operativa y la ciberseguridad, con el objetivo de mejorar la capacidad de las instituciones financieras para hacer frente y recuperarse de los incidentes relacionados con las tecnologías de la información y la comunicación (TIC). Su objetivo es armonizar las normativas existentes en materia de gestión de riesgos de las TIC en los distintos Estados miembros de la Unión Europea, fomentando así un enfoque más unificado y sólido de la gestión de los riesgos relacionados con las TIC en el sector financiero.
¿Qué hacer para cumplir con la DORA?
Para cumplir con las disposiciones de la DORA, las organizaciones deben ser proactivas y tomar medidas para garantizar la ciberseguridad. Esto supone implementar la gestión y gobernanza de los riesgos de las TIC, la respuesta y notificación de incidentes, las pruebas de resiliencia y la gestión de riesgos de terceros.
Pasos a seguir
Garantizar el cumplimiento de la DORA es fundamental. Si está buscando información sobre cómo cumplir con la DORA, póngase en contacto con nuestros expertos para hablar de soluciones a medida que le ayuden a cumplir los requisitos de protección de datos de distintas normativas y conocer las prácticas recomendadas para las auditorías de ciberseguridad financiera.
Hablemos