El Reglamento DORA (Digital Operational Resilience Act) es una nueva regulación de la Unión Europea que busca fortalecer la resiliencia operativa y la ciberseguridad en el sector financiero, específicamente frente a riesgos derivados de las tecnologías de la información y la comunicación (TIC).
Con la implementación de DORA, las entidades financieras tendrán que cumplir estrictos requisitos para gestionar incidentes de ciberseguridad, con el fin de proteger, detectar, contener, recuperar y reparar problemas vinculados a las TIC. Estas medidas apuntan a prevenir que dichos incidentes comprometan la estabilidad del sistema financiero en su totalidad.
DORA impone obligaciones específicas en varios aspectos clave:
Gestión y Gobernanza del Riesgo de TIC: Las entidades financieras deben desarrollar marcos integrales de gestión, identificando y clasificando sus activos críticos. Además, deben realizar evaluaciones continuas de riesgos y establecer medidas de ciberseguridad pertinentes. El órgano de dirección será responsable de definir las estrategias de gestión del riesgo y podría enfrentar responsabilidades personales en caso de incumplimiento.
Notificación de Incidentes: Las entidades deben establecer sistemas para monitorear, registrar, clasificar e informar sobre incidentes relacionados con las TIC. Deben presentar informes a las autoridades competentes, así como a clientes y socios afectados, sobre incidentes graves mediante reportes iniciales, intermedios y finales, además de la notificación voluntaria de incidentes importantes.
Pruebas de Resiliencia Operativa y Intercambio de Amenazas: Las instituciones financieras deben probar regularmente sus sistemas de TIC para evaluar su fortaleza y detectar vulnerabilidades. Estas pruebas incluyen evaluaciones de escenarios y pruebas de penetración dirigidas específicamente. También deben establecer acuerdos para intercambiar información e inteligencia sobre ciberamenazas y vulnerabilidades de ciberseguridad.
- Gestión de Riesgos de Terceros: Las entidades deben gestionar activamente los riesgos de terceros en TIC, estableciendo acuerdos contractuales específicos y mapeando las dependencias de su cadena de suministro. Los proveedores de servicios críticos de TIC también estarán sujetos a supervisión directa y deberán cumplir con los requisitos de DORA.
La normativa DORA abarca una amplia gama de entidades del sector financiero de la Unión Europea, incluyendo bancos, compañías de seguros, gestores de fondos, sociedades de valores, plataformas de negociación y agencias de calificación crediticia.
Las entidades financieras deben seguir un proceso detallado para notificar un incidente, comenzando con la identificación del incidente, seguido por la evaluación de su gravedad, y terminando con la notificación a la Autoridad de Supervisión Competente (ASC), como el Banco de España o INCIBE-CERT, en el caso de España.
El contenido de la notificación debe incluir un reporte inicial, intermedio y final, detallando la naturaleza del incidente, su impacto, las medidas adoptadas y cualquier otra información solicitada por la autoridad supervisora correspondiente.
Las sanciones por incumplimiento del reglamento DORA pueden variar en su gravedad y cuantía, aunque el reglamento no especifica los tipos exactos ni los importes de las multas.
En términos de cronología, DORA entró en vigor el 16 de enero de 2023. Las entidades financieras tienen hasta el 16 de enero de 2025 para cumplir con los requisitos establecidos. A partir de esa fecha, las autoridades comenzarán las actividades de supervisión.
Desde 2023, INCIBE-CERT ha intensificado su colaboración con el sector financiero, ofreciendo servicios de ayuda y apoyo en la gestión y respuesta a incidentes, vigilancia de activos, intercambio de información sobre ciberamenazas, y ejercicios de entrenamiento en ciberseguridad.
Para cualquier duda o asistencia, las entidades pueden contactar con INCIBE a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), WhatsApp (900 116 117), Telegram (@INCIBE017), o mediante el formulario de contacto disponible en su sitio web.
