¿Cómo cumplir con DORA?

Resumen

1. 1. Introducción: DORA en breve
   2. ¿Por qué cumplir con DORA?
   3. ¿Qué empresas se ven afectadas por DORA?
   4. Los 6 pilares principales del reglamento DORA
   5. Pasos clave para cumplir con DORA
   6. ¿Cuáles son los riesgos en caso de incumplimiento?

1. Introducción: DORA en breve

La Ley de Resiliencia Operacional Digital (DORA) es un reglamento europeo que impone nuevas obligaciones en materia de ciberseguridad, resiliencia digital, gestión de proveedores de TIC y notificación de incidentes para todo el sector financiero. Entra en vigor el 17 de enero de 2025.

Su objetivo: garantizar que todas las entidades financieras y sus proveedores de TI puedan resistir, responder y recuperarse de un incidente cibernético o una falla digital.

2. ¿Por qué cumplir con DORA?

• Obligación legal: DORA es un reglamento europeo, por tanto directamente aplicable.
• Reducción del riesgo cibernético: anticipación de incidentes importantes.
• Mayor confianza Clientes, socios y autoridades.
• Evitar sanciones: penalización del 1% de la facturación global por día para los proveedores de servicios que no cumplan con las normas.
• Complementariedad con el RGPD, NIS 2, ISO 27001: DORA fortalece su postura general de cumplimiento.

3. ¿Qué empresas se ven afectadas por DORA?

DORA concierne a todas las entidades financieras europeas, incluidas:

• Bancos, aseguradoras, mutualidades
• Empresas de gestión de activos
• Plataformas de criptoactivos
• Instituciones de jubilación, plataformas de crowdfunding
• Proveedores de servicios TIC (hosts, editores, SaaS, proveedores de subcontratación, etc.)

En total, más de 22.000 entidades en Europa están afectadas.

4. Los 6 pilares principales del reglamento DORA

1. Gobernanza de las TIC y ciberseguridad
2. Gestión de riesgos relacionados con las tecnologías de la información y la comunicación
3. Detección, clasificación y notificación de incidentes
4. Realización de pruebas de resiliencia (incluidas pruebas de intrusión TLPT)
5. Supervisión de proveedores de servicios TIC (contratos, auditoría, estrategia de salida)
6. Intercambio de información entre actores financieros y autoridades

5. Pasos clave para cumplir con DORA

1. Identificar funciones críticas
   Mapee sus procesos comerciales y de TI críticos. Clasificarlos según su impacto en la actividad.
2. Evalúa tus riesgos TIC
   Implementar una metodología de gestión de riesgos: vulnerabilidades, obsolescencia, dependencias, escenarios de ataque...
3. Actualice sus contratos con proveedores de servicios TIC
   Agregue las cláusulas requeridas por DORA (auditoría, reversibilidad, pruebas de penetración, reporte de incidentes, SLA, plan de salida...).
4. Estructurando su gobernanza de ciberseguridad
   Definir roles, comités, políticas de seguridad, capacitación interna. Implementar un plan de continuidad del negocio (BCP).
5. Implementar un plan de pruebas y auditoría
   Planifique sus auditorías internas, escaneos de vulnerabilidades, pruebas de recuperación y pruebas de penetración basadas en amenazas (TLPT).
6. Documenta y rastrea todas tus acciones
   Utilice una solución de cumplimiento cibernético que garantice la trazabilidad, el control de versiones, los informes y la evidencia de auditoría.

6. ¿Cuáles son los riesgos en caso de incumplimiento?

• Sanciones financieras: hasta el 1% de los ingresos globales por día durante 6 meses para proveedores críticos.
• Incumplimiento de contrato impuesto por el regulador (AMF, ACPR, AES).
• Responsabilidad directa de la entidad financiera incluso en caso de incumplimiento por parte del subcontratista.
• Pérdida de confianza clientes, socios e inversores.
• Exclusión convocatorias de licitaciones o mercados regulados.