Search
Plataforma inteligente de gestión de contenido digital

Plataforma Inteligente de Gestión de Contenidos Digitales

Reglamento DORA: nuevo marco regulador de ciberseguridad en el sector financiero y aseguradoras

Descubre los requisitos clave del Reglamento DORA (UE): resiliencia operativa digital en el sector financiero y su implicación para los proveedores TIC.
Reglamento DORA: nuevo marco regulador de ciberseguridad en el sector financiero y aseguradoras / DORA Regulation
Picture of Almudena Delgado

Almudena Delgado

Reglamento DORA: la Ley de Resiliencia Operacional Digital de la UE

La Ley de Resiliencia Operacional Digital, también conocida como Reglamento DORA por sus siglas en inglés -Digital Operational Resilience Act-, es una legislación de la Unión Europea que establece un marco regulatorio para fortalecer la resiliencia operacional de los sistemas digitales utilizados por el sector financiero

En una era donde las tecnologías digitales desempeñan un papel central en la industria financiera, la necesidad de una seguridad y resiliencia sólidas nunca ha sido más crucial. El Reglamento DORA busca establecer un marco estandarizado en todos los estados miembros de la UE, garantizando un alto nivel de resiliencia operacional digital que pueda resistir, responder y recuperarse de una amplia gama de interrupciones y amenazas relacionadas con las TIC (Tecnologías de la Información y la Comunicación).

¿Quiénes se verán afectados por el Reglamento DORA?

La regulación DORA tendrá un impacto generalizado en diversas entidades dentro del sector financiero de la UE. Esto incluye:

  • Bancos e Instituciones de Crédito: como columna vertebral del sector financiero, los bancos deberán cumplir con medidas estrictas para garantizar que sus operaciones digitales sean resilientes.
  • Compañías de Seguros: dada su dependencia de plataformas digitales para interacciones con clientes y procesamiento de datos, las aseguradoras son un objetivo primordial del Reglamento DORA.
  • Firmas de Inversión: con el comercio digital y la gestión de activos siendo centrales para sus operaciones, las firmas de inversión están bajo el ámbito del Reglamento DORA.
  • Instituciones de Pago y Entidades de Dinero Electrónico: como facilitadores de transacciones digitales, estas instituciones son cruciales para el ecosistema financiero y deben cumplir con las regulaciones de DORA.

Proveedores de Servicios de Activos Criptográficos: reflejando la creciente importancia de las monedas digitales, también se incluyen los proveedores que manejan activos criptográficos.

Propósito y Objetivos del Reglamento DORA

El propósito principal del Reglamento DORA es mejorar la capacidad del sector financiero para permanecer operativo durante graves interrupciones operacionales. Sus objetivos incluyen:

  • Fortalecimiento de la Gestión del Riesgo de las TIC: al hacer cumplir requisitos sólidos de gestión del riesgo de las TIC, el Reglamento DORA tiene como objetivo minimizar el impacto de las interrupciones relacionadas con las TIC.
  • Armonización de Normas en toda la UE: la Ley de Resiliencia Operacional Digital busca crear un marco cohesivo en todos los estados miembros, eliminando disparidades en la resiliencia operacional digital.
  • Aumento de la Supervisión y Obligaciones de Reporte: DORA introduce mecanismos rigurosos de supervisión y obligaciones de reporte para entidades financieras, garantizando transparencia y responsabilidad.

Promoción de la Ciberseguridad y Resiliencia: la regulación enfatiza la importancia de la ciberseguridad y la capacidad de las entidades financieras para recuperarse rápidamente de incidentes relacionados con las TIC.

Cronograma de Implementación

Se espera que la regulación DORA entre en vigencia a partir de enero de 2025. La línea de tiempo para el cumplimiento es crucial para que las entidades afectadas se preparen y alineen sus operaciones con las nuevas regulaciones.

Disposiciones y requisitos clave

El Reglamento DORA abarca varias disposiciones y requisitos clave que las entidades financieras y las aseguradoras deben cumplir, incluyendo:

  • Gestión del Riesgo de las TIC: implementación de políticas y procedimientos integrales de gestión del riesgo.
  • Pruebas y Reporte: pruebas regulares de sistemas de TIC e informes obligatorios de incidentes a las autoridades regulatorias.
  • Gestión del Riesgo de Terceros: supervisión de proveedores de servicios de terceros, asegurando que cumplan con los estándares de resiliencia establecidos por la Ley de Resiliencia Operacional Digital.
  • Pruebas de Resiliencia Operacional Digital: realización de pruebas de resiliencia para evaluar la capacidad de manejar varios tipos de interrupciones de TIC.

Impacto en Proveedores TIC externos y Cumplimiento de DORA

Los proveedores TIC externos se ven indirectamente afectados por el Reglamento DORA, ya que las entidades financieras solo pueden contratar proveedores que cumplan con los altos estándares de seguridad de la información establecidos por la regulación. Para cumplir con la regulación DORA, los proveedores TIC deben implementar medidas de seguridad sólidas, someterse a auditorías y garantizar la transparencia en sus operaciones. Además, deben trabajar en estrecha colaboración con las entidades financieras y compañías de seguros para garantizar la conformidad y la resiliencia operacional digital en todas las etapas de su relación contractual.

Para que los proveedores TIC externos cumplan con los requisitos de la regulación DORA, así como con otros estándares y regulaciones relevantes en el sector financiero, es fundamental adoptar un enfoque integrador y multinorma:

  • Gestión de riesgos de seguridad TIC: los proveedores de TIC deben implementar un enfoque integral para identificar, evaluar y gestionar los riesgos de seguridad de la información en sus sistemas y servicios. Esto implica la adopción de marcos de gestión de riesgos reconocidos, como el establecido por la norma ISO 27001, que proporciona un enfoque sistemático para gestionar la seguridad de la información.
  • Gestión de incidentes relacionados con las TIC: los proveedores TIC deben tener procedimientos establecidos para la gestión de incidentes de seguridad de la información, incluyendo la detección, respuesta, mitigación y comunicación de incidentes. Esto implica la implementación de un proceso de gestión de incidentes que cumpla con los requisitos de las normativas aplicables, como el Reglamento General de Protección de Datos (RGPD) y la legislación NIS.
  • Pruebas y auditorías periódicas: los proveedores TIC deben realizar pruebas y auditorías periódicas de sus sistemas y servicios para evaluar su resiliencia operacional digital. Esto puede incluir pruebas de vulnerabilidad, pruebas de penetración, auditorías de seguridad y evaluaciones de cumplimiento con estándares como PCI-DSS e ISO 27001.
  • Gestión de riesgos de terceros: los proveedores TIC deben gestionar los riesgos asociados con sus proveedores y subcontratistas de servicios tecnológicos. Esto implica evaluar la seguridad de los proveedores de terceros, establecer contratos de prestación de servicios que incluyan cláusulas de seguridad, y realizar auditorías de terceros para verificar el cumplimiento con los estándares de seguridad.
  • Formación y concienciación: los proveedores TIC deben proporcionar formación y concienciación en seguridad de la información a su personal, para asegurar que estén familiarizados con las políticas y procedimientos de seguridad y puedan identificar y responder adecuadamente a las amenazas de seguridad.

Mejora continua y modelo PDCA: los proveedores TIC deben adoptar un enfoque de mejora continua basado en el ciclo Planificar-Hacer-Verificar-Actuar (PDCA). Esto implica revisar y actualizar regularmente las medidas de seguridad, realizar análisis de lecciones aprendidas de incidentes de seguridad, y ajustar las políticas y procedimientos en función de las nuevas amenazas y vulnerabilidades identificadas.

Fortaleciendo la seguridad de la información digital

Para garantizar un control sólido en el entorno corporativo sin comprometer la seguridad de la documentación electrónica, Athento implementa rigurosos controles de seguridad de manera continua, en línea con las disposiciones del Reglamento DORA:

Certificaciones

Hardening

Recuperación y continuidad

Athento no solo se presenta como una solución técnica robusta, sino que va más allá del papel tradicional del software de gestión documental. Ofrece características como copias de seguridad automáticas, control de versiones, registro de auditoría y controles exhaustivos de seguridad, convirtiéndose en un aliado esencial para las empresas que buscan seguridad y eficiencia en la gestión de su documentación electrónica.

Al adoptar Athento, las empresas no solo garantizan la confidencialidad de sus documentos, sino que también establecen un estándar elevado para la integridad de la información en un entorno digital en constante evolución.

Si quieres saber más sobre Athento, pruébalo gratis o contacta con nuestro equipo.