¿Qué es la Digital Operational Resilience Act (DORA)?

Áreas clave del DORA

1. Gestión de riesgos de las TIC

El DORA establece un marco global de gestión de riesgos de las TIC. Esto incluye
– Identificación y documentación de las funciones, recursos y dependencias empresariales relacionadas con las TIC.
– Evaluación continua de riesgos y estrategias de mitigación
– Aplicación de medidas de protección y prevención
– Desarrollo de capacidades de detección
– Establecimiento de procedimientos de respuesta y recuperación

2. Notificación de incidentes
Implantar procesos para supervisar y registrar los incidentes relacionados con las TIC. Deben clasificar estos incidentes utilizando los criterios especificados por el DORA. Además, deben informar de los incidentes importantes a las autoridades pertinentes dentro de plazos estrictos.

3. Respuesta y recuperación
‍
Se hace especial hincapié en las capacidades de respuesta y recuperación.
‍
Planes de respuesta a incidentes:
– Desarrollar, documentar y aplicar planes integrales para responder y recuperarse de incidentes relacionados con las TIC.
– Estos planes deben detallar los procedimientos para la rápida detección, análisis, contención y mitigación de incidentes.
Continuidad del negocio:
– Mantener políticas de continuidad de negocio y planes de recuperación de desastres.
– Es obligatorio comprobar periódicamente estos planes para garantizar su eficacia. Áreas clave del DORA

1. Gestión de riesgos de las TIC
El DORA establece un marco global de gestión de riesgos de las TIC. Esto incluye
– Identificación y documentación de las funciones, recursos y dependencias empresariales relacionadas con las TIC.
– Evaluación continua de riesgos y estrategias de mitigación
– Aplicación de medidas de protección y prevención
– Desarrollo de capacidades de detección
– Establecimiento de procedimientos de respuesta y recuperación
2. Notificación de incidentes
Implantar procesos para supervisar y registrar los incidentes relacionados con las TIC. Deben clasificar estos incidentes utilizando los criterios especificados por el DORA. Además, deben informar de los incidentes importantes a las autoridades pertinentes dentro de plazos estrictos.
3. Respuesta y recuperación‍
Se hace especial hincapié en las capacidades de respuesta y recuperación.
‍
Planes de respuesta a incidentes:
– Desarrollar, documentar y aplicar planes integrales para responder y recuperarse de incidentes relacionados con las TIC.
– Estos planes deben detallar los procedimientos para la rápida detección, análisis, contención y mitigación de incidentes.
Continuidad del negocio:
– Mantener políticas de continuidad de negocio y planes de recuperación de desastres.
– Es obligatorio comprobar periódicamente estos planes para garantizar su eficacia.
Procedimientos de copia de seguridad:
– El DORA exige copias de seguridad periódicas de los sistemas y datos críticos.
– Los requisitos específicos incluyen la frecuencia definida de las copias de seguridad, el almacenamiento seguro fuera de las instalaciones y la comprobación periódica de los procesos de restauración de las copias de seguridad.
Objetivos de tiempo de recuperación (RTO):
– Establecer y probar periódicamente la capacidad de restaurar sistemas en plazos definidos.
– Minimizar las interrupciones operativas y garantizar una rápida recuperación tras los incidentes.
Protocolos de comunicación:
– Deben establecerse procedimientos claros para la comunicación interna y externa durante los incidentes.
– Garantizar una respuesta oportuna y eficaz, incluida la notificación a las autoridades y partes interesadas pertinentes.
Análisis posterior al incidente:
– Después de incidentes significativos, las organizaciones deben llevar a cabo análisis exhaustivos de las causas raíz.
– Las lecciones aprendidas deben incorporarse a la mejora de los marcos de gestión de riesgos.
4. Pruebas de resistencia operativa digital
El DORA introduce un marco armonizado para probar la resistencia operativa digital:
– Pruebas básicas, como evaluaciones de vulnerabilidades y escaneos de seguridad de la red para todas las entidades.
– Pruebas avanzadas, incluidas las pruebas de penetración dirigidas por amenazas (TLPT) para entidades significativas.
5. Gestión de riesgos de TIC de terceros
Con el aumento de la dependencia de terceros proveedores de servicios, el DORA crea:
– Principios que deben incluirse en los acuerdos con terceros proveedores de servicios de TIC
– Un nuevo marco de supervisión para los proveedores de servicios críticos de TIC a terceros.

6. Intercambio de información

Intercambio de información e inteligencia sobre ciberamenazas entre entidades financieras para mejorar la resistencia colectiva.

Ámbito y aplicación

DORA se aplica a una amplia gama de entidades financieras que operan en la UE, incluyendo:

– Entidades de crédito

– Entidades de pago

– Entidades de dinero electrónico

– Empresas de inversión

– Centros de negociación

– Empresas de seguros y reaseguros

– Agencias de calificación crediticia

– Auditores legales y empresas de auditoría

– Administradores de índices de referencia críticos

– Proveedores de servicios de información sobre cuentas

– Proveedores de servicios de criptoactivos

– Depositarios centrales de valores

– Proveedores de servicios de información de datos

– Proveedores de servicios a terceros