DORA: Explicación de la Ley de Resiliencia Operativa Digital

La importancia del DORA: ¿sólo una cuestión de cumplimiento?

En un mundo cada vez más digitalizado, la protección contra las ciberamenazas se ha convertido en un pilar crucial para el buen funcionamiento de nuestra sociedad. Para hacer frente a esta creciente necesidad, el Parlamento Europeo ha ampliado la legislación de la UE con una nueva normativa pionera en materia de ciberseguridad: la Ley de Resiliencia Operativa Digital (DORA). La ciberseguridad engloba todas las medidas necesarias para proteger las redes y los sistemas de información, a sus usuarios y a todas las demás personas afectadas por las ciberamenazas.

¿Qué es la DORA?

La Ley de Resiliencia Operativa Digital, o Reglamento DORA (2022/2554), entró en vigor directamente en todos los Estados miembros de la UE el 17 de enero de 2023 sin necesidad de transposición a la legislación nacional. Será aplicable a partir del 17 de enero de 2025. El reglamento se aplica a casi todas las organizaciones del sector financiero.

El objetivo del DORA es estandarizar y mejorar el nivel de ciberseguridad del sector financiero en la UE, reforzando la capacidad de resistir los daños de los ciberataques (resiliencia).

¿Qué significa DORA para el sector financiero?

Los grandes bancos y otras empresas del sector financiero mantienen desde hace tiempo procesos organizativos y sistemas informáticos para aumentar la seguridad y la resistencia, asignando los recursos adecuados. Sin embargo, especialmente para las pequeñas y medianas organizaciones, el cumplimiento de los requisitos legales mínimos del DORA y de las normas que lo acompañan suele marcar el inicio de un enfoque estructurado de la ciberseguridad y la resiliencia informática. La normativa DORA proporciona un amplio marco que ayuda a que, por primera vez, los Sistemas de Gestión de la Seguridad de la Información (SGSI) se centren en áreas ajenas a las TI que antes no se tenían en cuenta (los llamados "puntos ciegos"). La ciberseguridad ya no es sólo una cuestión técnica de TI, sino que requiere la participación activa de toda la organización, desde la tecnología hasta la dirección ejecutiva, pasando por los procesos empresariales y las ventas.

Para quienes deben utilizar los recursos con eficacia a largo plazo, es aconsejable centrarse desde el principio en algo más que el cumplimiento de las leyes y normas. El cumplimiento por sí solo no garantiza automáticamente la protección contra el robo, la manipulación y la publicación de información crítica para la empresa o titulares negativos con amplia cobertura mediática. Por esta razón, el legislador ha basado los requisitos de la Ley de Resiliencia Operativa Digital en un enfoque basado en el riesgo. En consecuencia, las instituciones afectadas pueden decidir las medidas técnicas, operativas y organizativas adecuadas y proporcionadas, teniendo en cuenta la probabilidad de incidentes de seguridad y su gravedad (incluidas las repercusiones sociales y económicas).

Este enfoque pretende promover el desarrollo eficaz de sistemas resistentes en lugar del cumplimiento eficiente de requisitos rígidos. Los controles eficaces de la seguridad de la información no ralentizan la actividad empresarial, sino que permiten -como los frenos de un coche- avanzar con mayor rapidez y seguridad hacia un futuro digital.

¿A quién afecta la Ley de Resiliencia Operativa Digital?

La DORA se aplica a todas las instituciones financieras (IF) que operan en la UE. En concreto, el ámbito de aplicación directo de la normativa incluye (Artículo 2 Apartado 1 DORA)

a. Las entidades de crédito CRR
b. Las entidades de pago
c. Proveedores de servicios de información sobre cuentas
d. Entidades de dinero electrónico
e. Empresas de inversión
f. Proveedores de servicios de criptoactivos autorizados en virtud de la MiCAR y emisores de tokens referenciados a activos
g. Depositarios centrales de valores
h. Entidades de contrapartida central
i. Centros de negociación
j. Registros de operaciones
k. Gestores de fondos de inversión alternativos
l. Sociedades gestoras
m. Proveedores de servicios de transmisión de datos
n. Compañías de seguros y reaseguros
o. Mediadores de seguros, mediadores de reaseguros y mediadores de seguros auxiliares
p. Organismos de previsión para la jubilación
q. Agencias de calificación crediticia
r. Administradores de índices de referencia críticos
s. Proveedores de servicios de crowdfunding
t. Repositorios de titulización
u. Proveedores de servicios TIC

Las organizaciones que no entran directamente en estas categorías pero que actúan como proveedores o socios pueden verse afectadas indirectamente por el DORA, ya que pueden representar potenciales puntos de entrada para ciberataques.

Requisitos y obligaciones clave del DORA

Las organizaciones afectadas deben cumplir amplios requisitos de ciberseguridad. Estos pueden resumirse en 5 pilares principales:

• Gestión de riesgos de las TIC: Bajo este pilar, la dirección debe garantizar que se establece un marco apropiado para (entre otras cosas) identificar adecuadamente los riesgos de ciberseguridad y continuidad del negocio y mitigarlos eficazmente a través de medidas apropiadas.
• Notificación de incidentes de TIC: Esto implica la gestión, clasificación y notificación de incidentes relacionados con las TIC. Las organizaciones deben ser capaces de detectar y gestionar rápidamente las amenazas en su entorno de TIC. Deben establecerse procesos y procedimientos adecuados para comunicarse con los terceros afectados y la autoridad competente. Los plazos de notificación incluyen una notificación inicial en las 24 horas siguientes a la detección del incidente y un informe intermedio más detallado en las 72 horas siguientes.
• Pruebasde resistencia digital: Define los requisitos para las pruebas periódicas de los sistemas y procesos, incluidas las evaluaciones de vulnerabilidad, las pruebas de penetración y los ejercicios del proceso de respuesta a incidentes o simulacros de crisis.
• Gestión de riesgos de terceros: Para garantizar la resistencia frente a las interrupciones digitales y los ciberriesgos, deben gestionarse sistemáticamente las dependencias de proveedores externos de servicios de TIC. Esto se centra especialmente en la identificación de proveedores terceros críticos, la aplicación de normas contractuales y relevantes para la seguridad, y la supervisión y gestión de riesgos continuas.
• Intercambio de información sobre amenazas: Para mejorar continuamente el conocimiento de la situación, se fomenta el intercambio voluntario de información e inteligencia entre las instituciones financieras. Esto se complementa con ejercicios intersectoriales de gestión de crisis y emergencias para mejorar la comunicación y reforzar la resistencia del sector financiero.

Cronología del Reglamento DORA

La Ley de Resiliencia Operativa Digital entró en vigor el 16 de enero de 2023, con un periodo de aplicación de dos años. A lo largo de 2024 se publicaron importantes normas técnicas de regulación (NTR) y normas de ejecución (NTE):

• Primer semestre de 2024: Normas iniciales que incluyen la gestión de riesgos TIC, la seguridad operativa, la clasificación de incidentes TIC y la gestión de riesgos TIC de terceros.
• Segundo semestre de 2024: Normas adicionales, como notificación de incidentes de TIC, requisitos de pruebas de resistencia y especificaciones de acuerdos de subcontratación.

La fecha límite para la aplicación de la DORA es enero de 2025, momento en el que las entidades financieras deberán cumplir plenamente todos los requisitos de la Ley de Resiliencia Operativa Digital.

Un posible enfoque de solución

Aunque el DORA presenta retos significativos para las organizaciones afectadas, también ofrece una oportunidad para mejorar sustancialmente la ciberseguridad. Un enfoque holístico que vaya más allá de las TI y proporcione fundamentos para la toma de decisiones basadas en el riesgo permite a las organizaciones no sólo cumplir los requisitos del DORA, sino también reforzar su resistencia.

Para la aplicación práctica de este enfoque holístico, recomendamos optar por un proceso estructurado, regular y de auto-mejora. Las normas de ciberseguridad establecidas, como la ISO 27001, ofrecen un ciclo Planificar-Hacer-Verificar-Actuar para ejecutar regularmente el sistema de gestión de políticas, gestión de riesgos, medidas y revisiones. Esto ayuda a identificar los puntos débiles de los procesos y las medidas organizativas y técnicas, derivando riesgos y medidas de mejora para la organización.

Dado que la planificación e implantación de este sistema de gestión requiere un esfuerzo adicional significativo, A1 Digital puede apoyarle con "CISO-as-a-Service". Nuestros Jefes de Seguridad de la Información (CISO) cuentan con años de experiencia práctica y formación actual específica en seguridad para proporcionarle apoyo profesional. Usted puede decidir individualmente si el "CISOaaS" se encarga de todas las tareas relacionadas con la ciberseguridad o proporciona apoyo específico para cuestiones concretas, de acuerdo con sus deseos y presupuesto.

Además de nuestro CISOaaS holístico, ofrecemos soluciones técnicas avanzadas y servicios de consultoría específicos para implantar medidas en los 5 pilares del DORA:

Gestión de riesgos TIC:

• Conceptos de formación e impartición de formación en ciberseguridad para todos los grupos objetivo relevantes (directivos, empleados, grupos especiales como administradores de sistemas, desarrolladores de software).

Gestión de incidentes de TIC:

• Servicios de respuesta a incidentes de nuestro socio Ikarus
• Consultoría sobre la creación de procesos de respuesta a incidentes y planes de emergencia

Pruebas de resistencia operativa:

• Pruebas de penetración dirigidas por amenazas (TLPT)
• Apoyo en la planificación y realización de simulacros para probar los procesos de incidentes y emergencias

Gestión de riesgos de terceros:

• Para DE → comprobación de riesgos cibernéticos BSI según DIN SPEC 27076
• Para AT → calificación de riesgo cibernético A+ con auditoría independiente de A1 Digital para proveedores críticos

Intercambio de inteligencia sobre amenazas:

• Su inteligencia sobre amenazas puede mejorarse a través de Offensity con comprobaciones de seguridad automatizadas de activos basados en web, supervisión de fugas de cuentas, incluidos informes de seguridad individuales.

Otra legislación de la UE sobre ciberseguridad

Además de la Ley de Resiliencia Operativa Digital, el legislador de la UE ha promulgado otras normativas de ciberseguridad para promover las capacidades de ciberdefensa y combatir la ciberdelincuencia. Entre ellas destacan: