Hoy entra en vigor el Reglamento de Resiliencia Operativa Digital, que incluye obligaciones para las entidades financieras con el objetivo de fortalecer la seguridad digital. Estas son las principales novedades.
El Reglamento de Resiliencia Operativa Digital, conocido como DORA, entra en vigor este viernes 17 de enero. Sin embargo, las entidades llevan meses o años de trabajo intenso para adaptarse a la nueva era digital. Al fin y al cabo, el objetivo de esta norma es fortalecer la estabilidad operativa y la seguridad digital del sector financiero a nivel europeo así como prevenir y responder ante cualquier incidente digital.
La normativa afecta desde bancos y aseguradoras hasta empresas de inversión y proveedores de servicios tecnológicos que gestionan datos o funciones críticas para estas instituciones. Se trata de garantizar que las empresas financieras y sus proveedores de sistemas de tecnología de información y comunicación (TIC) cuenten con los recursos suficientes así como de un sistema de control de riesgos adecuado que les permita garantizar la continuidad del servicio financiero y su calidad en caso de un incidente.
En diciembre, la CNMV publicó las conclusiones de un estudio sobre la preparación de las entidades de cara a la llegada de DORA. Este concluía que las entidades analizadas tenían buenas medidas de gobernanza, de ciberseguridad y de continuidad de negocio. No obstante, detectaba algunas carencias en la gestión de incidentes, en la gestión de pruebas y en la gestión del riesgo de proveedores de servicios de TIC. El informe completo se puede consultar aquí.
No es de extrañar teniendo en cuenta que cumplir con esta norma ha supuesto un esfuerzo para las entidades, sobre todo para aquellas de menor tamaño. En cuanto han tenido que contar con los recursos necesarios para adaptar sus servicios y sistemas a los requisitos dispuestos en ella. Un reto que no acaba aquí, sino que continuará ahora para mantener estos recursos que garanticen los servicios prestados.
Principales aspectos de la norma
Esta ley define un marco normativo homogéneo para todos los estados miembros de la Unión Europea de cara a que cualquier entidad pueda hacer frente a una amenaza y recuperarse de ella. Para ello, se establecen unos requisitos uniformes que impactan en los siguientes puntos, recogidos por la Asociación Española de FinTech e InsurTech (AEFI).
- La gestión de riesgos en TIC (Tecnologías de la Información y Comunicación): DORA exige que las empresas implementen estrategias específicas para la gestión de riesgos relacionados con las tecnologías digitales, anticipándose así a posibles amenazas y vulnerabilidades en sus sistemas.
- La notificación de incidentes: La normativa requiere que las instituciones notifiquen inmediatamente cualquier incidente significativo, lo que permite a las autoridades y al sector financiero en su conjunto reaccionar de manera ágil y coordinada ante posibles amenazas.
- Pruebas de resiliencia operativa: Para asegurar la solidez de sus sistemas, las empresas deben realizar pruebas periódicas que garanticen su capacidad para soportar situaciones adversas sin afectar la calidad de sus servicios.
- Gestión de riesgos de terceros proveedores: Uno de los puntos más relevantes de DORA es la supervisión de proveedores críticos, en especial aquellos que ofrecen servicios esenciales en la nube y en centros de datos. Esta supervisión es clave para asegurar que todos los actores de la cadena cumplan con los altos estándares de seguridad requeridos.
- Intercambio de información sobre ciberamenazas: El reglamento fomenta una colaboración más estrecha entre las instituciones, promoviendo el intercambio de información sobre ciberamenazas para que los riesgos puedan ser mitigados de manera conjunta.