Infórmate de todo sobre la normativa DORA

1. ¿Qué es el Reglamento DORA?

El reglamento DORA (Ley de Resiliencia Operacional Digital) es un reglamento europeo (UE 2022/2554) que tiene como objetivo fortalecer la resiliencia operativa digital del sector financiero. Impone requisitos estrictos en términos de ciberseguridad, gestión de riesgos TIC, pruebas de resiliencia y supervisión de proveedores de servicios críticos.

2. ¿Cuando entra en vigor DORA?

El reglamento entró en vigor el 16 de enero de 2023, pero su aplicación es obligatoria a partir del 17 de enero de 2025. Las empresas deben cumplir plenamente con esta fecha.

3. ¿Quién se ve afectado por la regulación DORA?

DORA se aplica a más de 22.000 entidades financieras en la UE, tales como:

• Bancos, aseguradoras, instituciones de pago,
• Gestores de activos, plataformas de criptoactivos,
• Instituciones de jubilación, agencias de calificación,
• Y también los proveedores de servicios TIC considerados críticos para estas entidades.

4. ¿Cuáles son las principales obligaciones impuestas por DORA?

Los requisitos de DORA cubren 6 áreas principales:

• Fortalecimiento de la gobernanza de la ciberseguridad.
• Gestión estructurada de los riesgos TIC
• Detección, clasificación y notificación de incidentes,
• Realización de pruebas de resiliencia (incluido TLPT),
• Gestión de proveedores de servicios TIC, especialmente en caso de subcontratación crítica,
• Compartir información entre los actores del sector y las autoridades.

5. ¿Qué tipos de pruebas de seguridad requiere DORA?

DORA impone en particular pruebas de intrusión basadas en amenazas (TLPT) cada 3 años para entidades sistémicas. Estas pruebas deben simular ciberataques reales utilizando el método TIBER-EU.

6. ¿Qué deben hacer las empresas con sus proveedores de TIC?

Las empresas deben:

• Actualizar sus contratos (cláusulas, reversibilidad, auditorías, SLA...)
• Evaluar la criticidad del servicio TIC subcontratado,
• Requerir certificaciones, auditorías, informes de seguridad,
• Imponer planes probados de continuidad y salida de contratos,
• Proporcionar derechos de acceso, inspección y pruebas de seguridad para los proveedores de servicios.

7. ¿Cuáles son las sanciones en caso de incumplimiento?

Las sanciones pueden alcanzar el 1% de la facturación global/día durante 6 meses para los proveedores de servicios críticos. Las entidades financieras también corren el riesgo de recibir una orden judicial para rescindir cualquier contrato con un proveedor de servicios que no cumpla con las normas.

8. ¿Cuál es la diferencia entre DORA y NIS 2?

DORA es específica del sector financiero y constituye una "lex specialis" de la directiva NIS 2. NIS 2 se aplica a un espectro más amplio de organizaciones críticas e importantes. Para los actores financieros, ambos textos pueden coexistir.

9. ¿Cómo saber si un proveedor de servicios TIC es crítico según DORA?

Un proveedor se considera crítico si:

• Proporciona servicios TIC críticos a muchas entidades sistémicas,
• Su sustituibilidad es baja,
• Su fracaso podría afectar la estabilidad financiera de la UE,
• Opera una concentración de servicios o fuertes dependencias.

10. ¿Existen herramientas o software para facilitar el cumplimiento de DORA?

Sí, el software de cumplimiento cibernético le permite:

• Centralizar auditorías, incidentes, planes de continuidad,
• Gestionar obligaciones regulatorias (TIC, seguridad, contractualización),
• Monitorear continuamente el cumplimiento de indicadores y alertas,
• Contar con el apoyo de DPO o expertos en ciberseguridad.

11. ¿Cómo iniciar el cumplimiento de DORA?

1. Identifique las funciones críticas de su sistema de información
2. Mapee a sus proveedores de TIC y sus niveles de criticidad,
3. Actualizar contratos según los requisitos de DORA,
4. Evalúa tu postura de seguridad, tus pruebas, tus auditorías,
5. Lanzar una estrategia de gobernanza, un plan de acción y una auditoría DORA.