¿Qué es DORA?
La Ley de resiliencia operativa digital (DORA, por sus siglas en inglés) es una legislación de la Comisión Europea para reforzar la resiliencia operativa del sector financiero en la Unión Europea. El objetivo de DORA es garantizar que el sector financiero sea capaz de resistir frente a las ciberamenazas, las interrupciones informáticas y otros riesgos operativos.
DORA surgió como una reacción necesaria ante la dependencia cada vez mayor de las tecnologías digitales en el ámbito financiero y la necesidad de abordar los riesgos que conllevan. La gestión de riesgos en este sector es crucial, ya que actualmente es uno de los objetivos preferidos por los hackers. El último ciberataque al Banco Central de Dinamarca y otros siete bancos privados es solo un ejemplo de las numerosas interrupciones que están causando las ciberamenazas en el sector financiero europeo, con importantes consecuencias económicas y jurídicas.
Aunque la situación es crítica para el sector financiero, la Comisión Europea ha concedido un plazo de dos años a partir del 16 de enero de 2023 para aplicar la ley. Puede parecer mucho tiempo, pero las organizaciones deben empezar ya a prepararse si quieren cumplir todas las medidas cuando llegue la fecha.
Situación actual del sector financiero: ¿por qué DORA?
El sector financiero está cada vez más interconectado y su dependencia de la tecnología digital no deja de aumentar, por lo que es más vulnerable a todo tipo de ciberataques. De hecho, según Statista, el sector de las finanzas y los seguros fue el segundo más atacado por los ciberdelincuentes en 2022.
Las entidades financieras manejan enormes cantidades de datos sensibles y confidenciales, como información financiera personal, detalles de cuentas, números de la seguridad social, etc., por lo que son un objetivo muy valioso para los hackers. Este sector sabe desde hace mucho que los ciberdelincuentes están al acecho pero, aunque algunas organizaciones ya cuentan con medidas de ciberseguridad, no todas están tan bien protegidas como deberían. Una encuesta realizada por el Fondo Monetario Internacional (FMI) reveló lo siguiente:
- El 56 % de los bancos centrales o supervisores carecen de una estrategia cibernética nacional para el sector financiero.
- En el 42 % de los países no existe una normativa específica sobre ciberseguridad o gestión de riesgos tecnológicos.
- En el 64 % de los países no es obligatorio hacer tests de resiliencia.
- El 54 % no dispone de un régimen específico para notificar incidentes cibernéticos.
- Por último, nada menos que un 48 % carece de normativa sobre ciberdelincuencia.
Esta situación es ideal para los ciberdelincuentes, que aprovechan la falta de armonización de las normas de seguridad en el sector financiero para atacarlo con mayor agresividad. En febrero de 2022, la Bolsa de Moscú y SberBank, los mayores prestamistas de Rusia, fueron víctimas de un ataque DDoS que dejó su sitio web caído durante tres días. Unido a otros acontecimientos y sanciones globales, esto hizo que las acciones de SberBank con cotización en Londres se hundieran casi un 80 % y el banco perdiera una parte importante de su valor. Menos de un mes antes, una de las mayores instituciones financieras de Finlandia, OP Financial Group, también fue víctima de un ataque de phishing que interrumpió sus servicios.
Si tenemos en cuenta estos y otros muchos casos, la Ley de resiliencia operativa digital (DORA) adopta una importancia crucial. DORA pretende proteger, armonizar y unificar las normas de seguridad a modo de escudo protector de las entidades financieras contra los ciberdelincuentes. Con su enfoque integral hacia la seguridad digital, DORA constituye una protección imprescindible contra las amenazas cibernéticas, siempre en permanente evolución y protege no solo a cada una de las instituciones financieras, sino también al ecosistema financiero mundial en general.
¿A qué entidades se aplica la normativa DORA?
DORA se aplica prácticamente a todas las entidades financieras de la Unión Europea. Aunque lo que primero se viene a la mente son los bancos y las compañías de seguros, esta normativa también abarca a muchas otras organizaciones, según se expone en el artículo 2:
- entidades de crédito;
- entidades de pago;
- proveedores de servicios de información sobre cuentas;
- entidades de dinero electrónico;
- empresas de servicios de inversión;
- proveedores de servicios de criptoactivos autorizados por el Reglamento del Parlamento Europeo y del Consejo relativo a los mercados de criptoactivos y emisores de fichas referenciadas a activos;
- depositarios centrales de valores;
- entidades de contrapartida central;
- centros de negociación;
- registros de operaciones;
- gestores de fondos de inversión alternativos;
- sociedades de gestión;
- proveedores de servicios de suministro de datos;
- empresas de seguros y de reaseguros;
- intermediarios de seguros, intermediarios de reaseguros e intermediarios de seguros complementarios;
- fondos de pensiones de empleo;
- agencias de calificación crediticia;
- administradores de índices de referencia cruciales;proveedores de servicios de financiación participativa;
- registros de titulizaciones; y
- proveedores terceros de servicios de TIC.
Es importante señalar que un Estado miembro puede optar por eximir a algunas de estas entidades de las responsabilidades de la normativa DORA. No obstante, en ese caso el Estado debe comunicárselo a la Comisión Europea, que publicará la información sobre las excepciones en su sitio web y en otros lugares de acceso público.
DORA también exige a las entidades financieras que controlen el riesgo de terceros proveedores. Esto significa que los individuos y las organizaciones que prestan servicios a entidades financieras también deben cumplir los requisitos de DORA.
Sin embargo, esta normativa no lo abarca todo, es decir, que algunas entidades financieras están exentas de esta normativa. Este es el caso por ejemplo de los fondos de pensiones de empleo que gestionen planes de pensiones que, en conjunto, no tengan más de quince partícipes en total, las personas físicas o jurídicas, los intermediarios de seguros, los intermediarios de reaseguros y los intermediarios de seguros complementarios que sean microempresas o pequeñas o medianas empresas, así como las oficinas de cheques postales, entre otros. La lista completa figura en el artículo 2.3.
Requisitos de DORA para las entidades financieras
La normativa DORA puede dividirse en cinco categorías destinadas a ayudar a las organizaciones a mejorar distintos aspectos de su sistema de ciberseguridad. Los principales componentes son la gestión del riesgo de las TIC, la gestión, clasificación y notificación de incidentes relacionados con las TIC, las pruebas de resiliencia operativa digital, la gestión del riesgo de las TIC de terceros y el intercambio de información e inteligencia. A continuación, analizamos cada categoría en detalle.
Gestión de los riesgos de las TIC
DORA establece que las empresas deben disponer de un marco integral de gestión de riesgos de las TIC (tecnologías de la información y la comunicación) con estrategias, políticas, procedimientos y protocolos claramente documentados. Este marco debe basarse en normas internacionales reconocidas y ajustarse a las directrices de supervisión. Además, el marco debe incluir una estrategia de implementación de resiliencia digital que, entre otras cosas, establezca indicadores clave de rendimiento y métricas de riesgo para los objetivos de seguridad de la información, evalúe la situación actual de resiliencia operativa digital basándose en incidentes de TIC anteriores y en la eficacia de las medidas actuales y esboce la estrategia de comunicación en caso de incidente.
Las entidades financieras también deben asegurar la independencia de las funciones de gestión de riesgos, control y auditoría interna de las TIC. Para garantizar que el marco de gestión de riesgos está actualizado y refleja las últimas tendencias, debe revisarse y auditarse anualmente y someterse a auditorías internas.
La Ley atribuye al órgano directivo de la entidad financiera la responsabilidad de definir, aprobar y supervisar la implementación del marco.
Estos requisitos subrayan la importancia de que el personal directivo tenga la formación adecuada en materia de ciberseguridad: el artículo 13.6 de DORA estipula que todos los miembros de la organización, incluido el personal de alta dirección, deben recibir una formación en ciberseguridad adecuada a sus funciones. El objetivo es dotar al personal de los conocimientos y las habilidades necesarias para comprender y evaluar los riesgos de las TIC y su impacto en las operaciones de la entidad financiera.
Esta categoría va más allá y exige a las entidades financieras que utilicen las tecnologías y procesos de TIC más avanzados para garantizar la seguridad de la información y que pongan en marcha mecanismos para detectar rápido las actividades anómalas. Para garantizar la continuidad de las operaciones empresariales, las entidades financieras también deben contar con una política de continuidad empresarial de las TIC específica y exhaustiva que cubra la supervisión, el análisis y la recuperación tras incidentes relacionados con las TIC.
Al mismo tiempo, las entidades deben implantar un sistema de copia de seguridad y recuperación de datos y asegurarse de que sus proveedores externos de TIC mantienen al menos un centro de procesamiento secundario con todas las características y herramientas necesarias para satisfacer las necesidades empresariales de la entidad. Las entidades financieras también deben comunicar todos los incidentes y vulnerabilidades de TIC detectados para ayudar a las organizaciones a aprender y crecer a partir de estos sucesos.
Gestión, clasificación y notificación de incidentes relacionados con las TIC
La segunda categoría abarca la forma en que las entidades financieras detectan, gestionan y notifican los incidentes relacionados con las TIC. El capítulo III de esta normativa destaca la importancia de un sistema unificado de supervisión, tratamiento y aviso de incidentes relacionados con las TIC para garantizar que se identifican, se documentan y se abordan las causas fundamentales de estos sucesos y se ayuda a las organizaciones a prevenirlos.
Para unificar el sistema de detección y aviso de incidentes, DORA exige a las entidades que clasifiquen la amenaza del riesgo de TIC y presenten varios informes a la autoridad competente:
- Una notificación inicial.
- Un informe intermedio siempre que se produzca un cambio significativo en el estado del incidente original o en la gestión del incidente tras recibir nueva información.
- Un informe final cuando se finalice el análisis de la causa del incidente y cuando se conozcan las cifras de impacto definitivas, independientemente de que ya se hayan puesto en marcha medidas paliativas.
Estos informes incluirán toda la información necesaria para determinar la importancia del incidente y evaluar las posibles repercusiones en otros países. Una vez que las autoridades europeas reciban el informe, proporcionarán directrices para minimizar las consecuencias negativas en todas las áreas de la institución financiera. Las autoridades publicarán un informe anual con información sobre el número de incidentes graves relacionados con las TIC.
Pruebas de resiliencia operativa digital (DOR, por sus siglas en inglés)
Uno de los requisitos de DORA es que las entidades se sometan a pruebas de resiliencia operativa digital y vulnerabilidad. Estas han de realizarse por expertos independientes, ya sean internos o externos. El objetivo es evaluar el grado de preparación para hacer frente a incidentes relacionados con las TIC e identificar los puntos débiles del sistema. Las pruebas deben incluir una serie de evaluaciones y exploraciones, análisis de fuentes abiertas, evaluaciones de la seguridad de la red, análisis de deficiencias, revisiones de la seguridad física, cuestionarios y soluciones de software de exploración, revisiones del código fuente, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento, pruebas de extremo a extremo, y pruebas de penetración. Para realizar el programa de pruebas también se debe tener en cuenta un enfoque basado en el riesgo. Además, las entidades financieras deben realizar evaluaciones de vulnerabilidad antes de cualquier despliegue o modificación de servicios nuevos o ya existentes que sirvan de base a las funciones críticas de la entidad.
Gestión de los riesgos de las TIC de terceros
DORA exige a las entidades financieras que utilizan servicios de TIC de terceros que adopten una estrategia de riesgo para asegurarse de que no haya vulnerabilidades que puedan afectar a la propia entidad. Esto significa que las entidades financieras deben identificar y evaluar de forma independiente todos estos riesgos en el marco de sus acuerdos contractuales con terceros. Si existe algún riesgo de ataque a través de proveedores de servicios de TIC externos o si no existe la posibilidad de supervisar sus sistemas o infracciones reales, las entidades financieras deben rescindir el contrato con los proveedores que suponen un riesgo. Además, las entidades financieras deben facilitar un informe anual de los acuerdos contractuales de servicios de TIC, las categorías de terceros proveedores de servicios de TIC, el tipo de acuerdos contractuales y los servicios y funciones prestados.
DORA también establece los elementos que se deben incluir en los acuerdos contractuales con proveedores de servicios tanto críticos como no críticos. Sin embargo, para aplicarlos, las autoridades europeas (las autoridades supervisoras europeas, el comité mixto y el foro de supervisión) tienen que determinar qué proveedores de servicios externos se pueden considerar de una importancia crítica para las entidades financieras. Los proveedores de servicios críticos son los que afectan a la estabilidad, la continuidad o la calidad de la prestación de los servicios financieros. Posteriormente, el supervisor principal designado por las autoridades supervisoras europeas determinará si este proveedor de servicios externo cuenta con normas, procedimientos, mecanismos y disposiciones adecuados para gestionar los riesgos de las TIC. Basándose en la evaluación y los resultados, las autoridades supervisoras europeas establecerán un proceso unificado de información y recomendaciones para mejorar las medidas de ciberseguridad de los proveedores externos.
Intercambio de información e inteligencia
DORA permite y anima a las entidades financieras a que se comuniquen entre ellas y compartan cualquier información relevante sobre riesgos relacionados con las TIC con entidades financieras de confianza. Este sistema de comunicación abierto tiene como objetivo ayudar a las entidades financieras a mejorar su resiliencia operativa digital y minimizar las amenazas relacionadas con las TIC. Para garantizar la protección de la información potencialmente sensible, las entidades financieras deben informar a las autoridades sobre su participación en los acuerdos de intercambio de información.
¿Qué relación tiene DORA con la NIS2?
DORA y la NIS2 son los dos nuevos marcos de ciberseguridad diseñados para reforzar y homogeneizar la ciberseguridad en las entidades de toda Europa. La NIS2 (Directiva sobre redes y sistemas de información para servicios esenciales) se introdujo en diciembre de 2022, entró en vigor en enero de 2023 y debe ser adoptada por los Estados miembros antes de octubre de 2024. La NIS2 es bastante similar a DORA, ya que está diseñada para mejorar la resiliencia de las entidades de toda Europa, pero sus objetivos son diferentes. El objetivo de esta directiva es mejorar la resiliencia de los sectores público y privado, principalmente la de los proveedores de servicios esenciales e importantes como telecomunicaciones, computación en la nube, servicios gestionados, centros de datos, banca, transporte, administración pública, plataformas de redes sociales y motores de búsqueda, servicios postales y de mensajería, etc. Además, la NIS2 pretende normalizar los requisitos de gobernanza y estrategia cibernética, detección y gestión de incidentes de seguridad, así como seguridad de infraestructuras y aplicaciones. Por su parte, DORA se centra en mejorar la resiliencia del sector financiero y armonizar la forma en que las entidades financieras detectan, gestionan y notifican los riesgos relacionados con las TIC.
Aunque el ámbito de aplicación de estas dos normativas es diferente, ambas están diseñadas para armonizar la legislación, proteger la integridad de la información y mitigar el creciente riesgo de infracciones debido a la digitalización de las operaciones cotidianas.
Calendario para cumplir los requisitos de la normativa DORA
La Comisión Europea presentó la propuesta inicial de la normativa DORA el 24 de septiembre de 2020. Formaba parte de un paquete más amplio de medidas destinadas a mejorar la resiliencia de las entidades financieras de toda Europa en materia de ciberseguridad para garantizar, por un lado, la estabilidad financiera y, por otro, la protección de los consumidores.
La versión final de DORA se acordó el 16 de enero de 2023 y tendrá un período de implementación de 24 meses, lo que significa que las entidades financieras deberán cumplir los requisitos antes del 17 de enero de 2025. Ahora que se ha aprobado la ley, las autoridades supervisoras europeas pertinentes ya pueden elaborar las normas técnicas de regulación (NTR). Aunque se podría pensar que esto va a llevar mucho tiempo, las entidades financieras no tienen tiempo que perder, y lo mejor que pueden hacer es empezar a implementar medidas para cumplir la normativa.
Teniendo en cuenta que este reglamento y el período de implementación se aplican tanto a las entidades financieras como a sus proveedores externos de servicios de TIC, el período de implementación de 24 meses es un buen momento para acordar una estrategia con todos los socios implicados, especialmente con los citados proveedores de servicios críticos.
Sin embargo, si todavía tienes la sensación de que en la legislación hay partes un tanto difusas y difíciles de comprender, el artículo 15 establece que las autoridades supervisoras europeas (AES) y la Agencia de Ciberseguridad de la Unión Europea (ENISA) deben proponer proyectos comunes de normas técnicas de regulación antes del 17 de enero de 2024. Estos borradores especificarán diferentes partes de la legislación, desde los componentes de los planes de respuesta y recuperación de las TIC hasta la comprobación de los planes de continuidad de la operatividad de las TIC.
Cómo cumplir la normativa DORA: próximos pasos
Las medidas necesarias para cumplir los requisitos de DORA no son las mismas en todas las organizaciones. Mientras que algunas entidades financieras solo necesitarán unos pequeños retoques, otras tendrán que establecer un plan bien diseñado con numerosos pasos. Estos pasos iniciales te pueden servir de guía:
- Consulta los detalles de la aplicación de la normativa DORA con un asesor jurídico que conozca a fondo la Ley y sus implicaciones para tu entidad.
- Evalúa el riesgo actual de las TIC en tu organización, el procedimiento de aviso de incidentes y la capacidad de reconocer amenazas, por ejemplo haciendo pruebas de resiliencia en funciones y sistemas críticos. Como parte de este mismo paso, si dispones actualmente de un programa de concienciación sobre seguridad, analiza en qué medida es eficaz a la hora de abordar estos riesgos.
- Determina cuáles son tus proveedores de servicios de TIC más críticos y evalúa sus vulnerabilidades.
- Destina el presupuesto necesario para implementar cambios técnicos e impartir programas de formación para concienciar sobre la seguridad.
- Habla con las correspondientes partes interesadas de tu organización para decidir las medidas concretas que se deben tomar a nivel interno o, si es necesario, contrata a proveedores externos para cubrir esas necesidades.
- Habla con tus proveedores de servicios externos para acordar las medidas específicas que deben tomar y, si no lo hacen, cambia de proveedor.
- Una vez implantadas todas las medidas, haz otra evaluación de las deficiencias para asegurarte de que has logrado una conformidad plena.
Cómo puede ayudarte SoSafe a cumplir la normativa DORA
La normativa DORA es un paso importante para proteger la estabilidad y la integridad del sistema financiero frente a la evolución de las amenazas digitales. Para cumplir la normativa y reducir el riesgo humano y, por tanto, el riesgo cibernético de tu organización es fundamental evaluar tus necesidades y aplicar un enfoque integral que combine medidas técnicas, prácticas operativas e iniciativas de concienciación sobre seguridad.
Una de las claves de la gestión de riesgos es ser consciente de las posibles amenazas y riesgos mediante una formación de concienciación continua. DORA establece como uno de los principales requisitos para la gestión de riesgos de las TIC la concienciación en ciberseguridad, un aspecto crucial para transmitir a los usuarios los conocimientos y herramientas necesarios para hacer frente a las diversas ciberamenazas que acechan al sector financiero. La formación de concienciación gamificada de SoSafe basada en la ciencia del comportamiento te proporciona módulos de aprendizaje detallados —pero fáciles de asimilar en pequeñas dosis— sobre toda una serie de amenazas, así como las mejores prácticas de seguridad para mantenerlas a raya. También nos aseguramos de que nuestra plataforma supere las barreras lingüísticas con contenidos en más de 30 idiomas. Este enfoque multilingüe respeta la diversidad y cumple los requisitos legales de los países que exigen que la formación se imparta en la lengua nacional.
DORA establece que las empresas deben implantar políticas que garanticen altos niveles de disponibilidad, autenticidad, integridad y confidencialidad de los datos. La función Content Management de nuestra plataforma es una solución integrada para consolidar en un único lugar las políticas de seguridad y los materiales de formación de tu organización con una combinación perfecta entre accesibilidad y eficacia. Además, nuestra plataforma facilita el seguimiento de la aceptación de las políticas por parte de tus empleados y el cumplimiento de los requisitos. Con SoSafe dispondrás de información en tiempo real sobre el nivel de cumplimiento de tu organización, lo que facilita la identificación de puntos débiles, el seguimiento de los progresos y la garantía de que todos los empleados están al corriente.
Es cierto que la concienciación y la prevención son muy importantes, pero algunos de los errores más costosos están relacionados con la detección y el aviso de incidentes. Si el proceso de elaboración de informes internos es largo y engorroso, puede provocar retrasos en los informes externos y poner en peligro el cumplimiento de los requisitos de la normativa. El botón de aviso de phishing de SoSafe incluye una función llamada Phish Assist que permite a cualquier empleado informar rápidamente de incidentes de seguridad, lo que contribuye a un proceso de detección más rápido que agiliza a su vez el aviso a terceros y a las autoridades competentes.
La medición del éxito de las nuevas medidas de gestión de riesgos puede resultar desalentadora si no se dispone de las herramientas adecuadas. Además, la normativa DORA exige a las entidades que apliquen estrategias de gestión de riesgos que incluyan indicadores clave de rendimiento y métricas de riesgo. Con el Human Risk OS de SoSafe, que cumple la norma ISO 27001, puedes hacer un seguimiento del progreso de tus programas de concienciación y consultar análisis detallados, métricas e índices clave de rendimiento relativos al riesgo humano de tu empresa. De este modo no solo habrás implantado las medidas necesarias para cumplir los requisitos de la DORA, sino que también mejorarás la resiliencia cibernética de tu empresa.