Por qué es importante la Ley de Resiliencia Operativa Digital (DORA)

Por: Joseph Philipose, Responsable de Servicios Gestionados, iGCB, Intellect Design Arena Ltd.

La Ley de Resiliencia Operativa Digital (DORA) para el sector financiero es un requisito normativo que establece unas normas mínimas para que las empresas financieras garanticen la disponibilidad, integridad y resiliencia de sus servicios y sistemas críticos. Esta ley establecería un marco regulador para que los proveedores de servicios digitales garanticen que sus sistemas y servicios son seguros, fiables y pueden seguir funcionando durante una crisis.

El objetivo de la ley DORA es proteger la seguridad nacional, la seguridad pública y la economía mejorando la resistencia de las infraestructuras digitales críticas frente a las ciberamenazas. La ley crearía un nuevo regulador con competencias para hacer cumplir la normativa e imponer sanciones en caso de incumplimiento, y obligaría a los proveedores de servicios a aplicar normas de ciberseguridad, disponer de sólidos planes de gestión de incidentes, evaluar y gestionar los riesgos de la cadena de suministro y compartir información sobre ciberamenazas e incidentes.

Se trata de una iniciativa legislativa de reciente introducción sobre ciberseguridad en la Unión Europea, dirigida específicamente al sector financiero. Por lo que entiendo de los requisitos, está diseñada para complementar las actuales normativas horizontales sobre ciberseguridad, como la Directiva sobre seguridad de las redes y de la información (DSRI) y el ampliamente reconocido Reglamento general de protección de datos (RGPD).

DORA vs GDPR

El Reglamento General de Protección de Datos (RGPD) es un conjunto de normas que regulan la protección y la privacidad de los datos personales de las personas en la UE y el Reino Unido. Esta normativa se aplica al tratamiento de datos personales en todos los sectores.

Aunque tanto el DORA como el GDPR pretenden garantizar la protección y la seguridad de los datos, tienen objetivos diferentes y alcances distintos. El DORA se centra en garantizar la resiliencia de los servicios financieros, mientras que el GDPR se centra en proteger los datos personales y los derechos de privacidad.

Objetivo:

La Unión Europea está respondiendo activamente al creciente riesgo de ciberataques aplicando medidas para reforzar la seguridad informática de las entidades financieras, incluidos bancos, compañías de seguros y empresas de inversión. Una de estas medidas es la Ley de Resiliencia Operativa Digital (DORA), que pretende garantizar que el sector financiero en Europa pueda mantener su resiliencia ante una interrupción operativa significativa.

El DORA engloba a terceros proveedores críticos de servicios de tecnologías de la información y la comunicación (TIC), incluidas las plataformas en la nube, el análisis de datos y los servicios de auditoría, que son utilizados por las entidades financieras. Estos proveedores de servicios también están sujetos a las normas establecidas en esta nueva legislación. Establece un marco normativo para la resiliencia operativa digital, exigiendo a todas las empresas que garanticen que tienen la capacidad de resistir, responder y recuperarse de todas las formas de interrupciones y amenazas relacionadas con las TIC.

Pilares básicos:

La Ley de Resiliencia Operativa Digital (DORA) proporciona un marco integral de resiliencia digital que abarca múltiples ámbitos.

1. Marco de gestión de riesgos de las TIC: Normas de ciberseguridad que obligarían a los proveedores de servicios a aplicar medidas de ciberseguridad adecuadas para proteger sus sistemas y servicios de las ciberamenazas. Establecer y mantener sistemas y herramientas TIC robustos que mitiguen el impacto de los riesgos TIC.

2. Gestión, clasificación y notificación de incidentes de las TIC: Se exigirá a los proveedores de servicios que dispongan de sólidos planes de gestión de incidentes para responder a los incidentes cibernéticos y recuperarse de ellos.

3. Pruebas de resistencia operativa digital: Cualquier deficiencia o brecha debe ser identificada y abordada con prontitud, de acuerdo con su gravedad, ya sea eliminándola rápidamente o implementando medidas contraactivas adecuadas.

4. Gestión de riesgos de proveedores terceros: Los proveedores de servicios estarían obligados a evaluar y gestionar los riesgos planteados por sus proveedores, incluidos los proveedores terceros.

5. Compartir información: Se anima a las entidades financieras a compartir información sobre ciberamenazas e incidentes para mejorar la seguridad general y la resistencia de la infraestructura digital.

Estos pilares pretenden garantizar que las infraestructuras digitales críticas sean seguras, resistentes y puedan seguir funcionando durante una crisis.

Calendario:

El 27 de diciembre de 2022, el Diario Oficial de la Unión Europea publicó el texto definitivo de la Ley de Resiliencia Operativa Digital (DORA) como Reglamento (UE) 2022/2554.

Fuente: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554

Esta cronología procede de un artículo publicado por Deloitte.