El reglamento DORA (Digital Operational Resilience Act) es una regulación de la Unión Europea que tiene como objetivo mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, específicamente en relación con los riesgos relacionados con las tecnologías de la información y la comunicación (TIC).
Con la implementación de DORA, las entidades financieras deben establecer requisitos para la gestión de incidentes de ciberseguridad con el fin de proteger, detectar, contener, recuperar y reparar incidentes relacionados con las TIC.
DORA establece unos requisitos y obligaciones específicos para la gestión del riesgo de las TIC, la notificación de incidentes, la realización de pruebas de resiliencia operativa, el establecimiento de acuerdos de intercambio de ciberamenazas y la monitorización del riesgo de la cadena de suministro de las entidades financieras. Este reglamento reconoce que los incidentes de ciberseguridad y la falta de resiliencia operativa pueden poner en peligro la solidez de todo el sistema financiero.
DORA establece requisitos específicos en cuatro dominios principales:
1. Gestión y gobernanza del riesgo de TIC: Las entidades financieras deben desarrollar marcos integrales de gestión del riesgo de las TIC, identificando y clasificando activos críticos, realizando evaluaciones continuas de riesgos y estableciendo medidas de ciberseguridad adecuadas. El órgano de dirección de las entidades financieras será responsable de definir las estrategias de gestión del riesgo y podrá ser responsable personalmente por el incumplimiento de la regulación.
2. Notificación de incidentes: Las entidades financieras deben establecer sistemas para monitorear, administrar, registrar, clasificar e informar incidentes relacionados con las TIC. Deben presentar informes a las autoridades competentes y a los clientes y socios afectados sobre incidentes graves, proporcionando informes iniciales, intermedios y finales, y, con carácter voluntario, incidentes importantes.
3. Pruebas de resiliencia operativa digital, e intercambio de amenazas: Las instituciones financieras deben probar regularmente sus sistemas de TIC para evaluar su fortaleza y detectar vulnerabilidades. Las pruebas incluyen evaluaciones de vulnerabilidades y pruebas basadas en escenarios, así como pruebas de penetración con amenazas específicas dirigidas a entidades financieras. Igualmente, se deben establecer acuerdos de intercambio de información e inteligencia en relación con las ciberamenazas y las vulnerabilidades de ciberseguridad entre las entidades financieras.
4. Gestión de riesgos de terceros: Las instituciones financieras deben asumir un papel activo en la gestión del riesgo de terceros de TIC, estableciendo acuerdos contractuales específicos y mapeando dependencias de la cadena de suministro. Los proveedores de servicios de TIC críticos también estarán sujetos a supervisión directa y deberán cumplir con los requisitos de DORA.
DORA aplica a una amplia gama de entidades dentro del sector financiero de la Unión Europea. Algunas de las entidades afectadas incluyen: bancos, compañías de seguros, gestores de fondos, sociedades de valores, plataformas de negociación, proveedores de servicios de compensación y liquidación de valores y agencias de calificación crediticia.
Las entidades financieras deben seguir los siguientes pasos para notificar un incidente:
1. Identificación del incidente: La entidad financiera debe tener procedimientos internos establecidos para identificar, rastrear, registrar, categorizar y clasificar todos los incidentes relacionados con las TIC. Es importante disponer de mecanismos adecuados para detectar y evaluar los incidentes de manera efectiva, así como realizar un seguimiento, tratamiento y respuesta coherentes. Además, es fundamental documentar y abordar las causas subyacentes de los incidentes para prevenir su recurrencia.
2. Evaluación de la gravedad: La entidad financiera debe realizar una evaluación de la gravedad o importancia del incidente para determinar si es necesario realizar la notificación. Los incidentes considerados graves deben ser comunicados a los altos directivos pertinentes y al órgano de dirección, explicando sus repercusiones, las medidas adoptadas como respuesta y los controles adicionales que se prevé implantar como resultado de estos incidentes graves relacionados con las TIC.
3. Notificación a la Autoridad de Supervisión Competente (ASC): La entidad financiera está obligada a informar sobre el incidente a la autoridad de supervisión competente correspondiente dentro el plazo establecido por DORA. La autoridad competente puede variar dependiendo del tipo de entidad financiera y su ámbito de actividad. En España, el Banco de España actúa como autoridad supervisora de las entidades de crédito. Además, INCIBE-CERT es uno de los equipos de respuesta ante incidentes de referencia que se coordina con otros equipos nacionales e internacionales.
4. Contenido de la notificación: Se requerirá una notificación Inicial, un informe intermedio, cuando la situación del incidente haya cambiado significativamente y un informe final con las conclusiones del análisis de la causa subyacente. La notificación debe incluir información relevante sobre la naturaleza del incidente, su impacto esperado o actual, las medidas adoptadas o previstas, y cualquier otra información solicitada por la autoridad de supervisión competente.
El Reglamento DORA establece que las sanciones por incumplimiento pueden variar en su gravedad y cuantía, y que deben ser efectivas, proporcionadas y disuasorias. Sin embargo, el reglamento no especifica de manera precisa los tipos de sanciones ni los importes exactos de las multas o restricciones operativas.
Cronología de DORA:
1. 16 de enero de 2023: Entrada en vigor de DORA.
2. 17 de enero 2023 a 16 de enero 2025: Las entidades financieras tienen un plazo de dos años para cumplir los requisitos establecidos en el reglamento DORA.
3. 17 de enero 2025: Las entidades financieras tienen que estar cumpliendo los requisitos establecidos en el reglamento DORA. Inicio de las actividades de supervisión por las autoridades competentes.
INCIBE-CERT apuesta firme por el sector financiero. Desde 2023, busca fortalecer la relación con este sector mediante convenios de colaboración con asociaciones y empresas del sector financiero. Entre los servicios ofrecidos por INCIBE-CERT a las organizaciones financieras se encuentran la ayuda y el apoyo en la gestión y respuesta a incidentes, la vigilancia y monitorización de sus activos, el intercambio de información de inteligencia contra ciberamenazas, la participación en ciber ejercicios para el entrenamiento de sus capacidades de ciberseguridad y la medición y mejora de la ciberresiliencia.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.