¿Qué es la Ley de Resiliencia Operacional Digital (DORA)?

La Unión Europea (UE) pronto lanzará una nueva regulación que requerirá que los bancos y empresas de la industria financiera global maduren sus programas de gestión de riesgos de terceros para incluir requisitos de ciberseguridad establecidos, que también se aplicarán a la tecnología crítica de la información y la comunicación ( TIC) proveedores de servicios con los que están trabajando.

El plazo para cumplir con los estándares de cumplimiento será relativamente corto a pesar de la complejidad que se espera con el nuevo marco. Comprender la Ley de resiliencia operativa digital (DORA) , así como reconocer la hoja de ruta y el cronograma de DORA, es importante para todas las empresas elegibles para que los CIO, CISO y los gerentes de cumplimiento puedan comenzar a planificar de inmediato.

¿Qué es la Ley de Resiliencia Operacional Digital (DORA)?

La Ley de Resiliencia de Operaciones Digitales (DORA) es el intento de la Unión Europea de agilizar el proceso de gestión de riesgos de terceros en todas las instituciones financieras.

La Comisión Europea publicó un borrador de DORA el 24 de septiembre de 2020.

Sin esta ley, no existe un estándar objetivo de gestión de riesgos de tecnologías de la información y la comunicación (TIC) en Europa. Para lograr una apariencia de unificación, se han intentado varias iniciativas reguladoras nacionales, pero esto solo ha fragmentado aún más el enfoque del sector financiero hacia la ciberseguridad.

DORA tiene como objetivo reemplazar múltiples marcos de gestión de riesgos de TIC, con un único enfoque unificado para mitigar todos los incidentes relacionados con las TIC en la industria financiera europea. Esta es una respuesta intencionada a la Estrategia de Financiamiento Digital de la Comisión Europea.

DORA también tiene como objetivo reforzar la resiliencia operativa dentro de la industria financiera para que se pueda garantizar la continuidad del negocio incluso cuando las TIC de una organización están sufriendo interrupciones, como durante un ciberataque.

DORA también está obligando a los terceros proveedores de TIC críticos (CTPP) a ajustarse a los estándares regulatorios, un requisito que será supervisado por una de las tres Autoridades Europeas de Supervisión:

  • La Autoridad Bancaria Europea (ABE)
  • Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA)
  • La Autoridad Europea de Valores y Mercados (ESMA)

El cumplimiento se evaluará mediante inspecciones (fuera del sitio y en el sitio) y la solicitud de información específica, como detalles del servicio de TIC, registros de informes de incidentes y detalles de las defensas contra riesgos cibernéticos implementadas.

Mejorar la ciberdefensa y la supervisión

En este contexto, DORA tiene como objetivo garantizar que todas las partes interesadas del sector financiero hayan tomado las medidas de seguridad necesarias para prevenir o mitigar los ciberataques y otros incidentes relacionados con las TIC. Además, se espera que DORA permita a las autoridades de supervisión europeas revisar los servicios subcontratados.

Con este fin, se introducirá un marco de supervisión para los proveedores de TIC de terceros que operan en el sector financiero, como los proveedores de servicios de computación en la nube.

Contenido principal

El borrador actual de la propuesta de reglamento de la UE «sobre resiliencia operativa digital para el sector financiero» contiene requisitos relacionados con la gestión de riesgos de TIC, la clasificación y notificación de incidentes relacionados con las TIC, pruebas de resiliencia operativa digital, acuerdos contractuales entre terceros de TIC proveedores de servicios y entidades financieras, el marco de supervisión para los proveedores de servicios de terceros críticos de TIC y las reglas para el intercambio de información.

¿Por qué es importante la resiliencia operativa digital?

Existe una necesidad creciente de resiliencia operativa tras la reciente proliferación de ciberataques dirigidos al sector financiero europeo. Este es el resultado de un aumento global de los ataques cibernéticos.

Si bien no se pueden evitar los ataques cibernéticos, la estabilidad financiera en Europa aún se puede lograr si las organizaciones mitigan el impacto de las amenazas cibernéticas en las tecnologías de la información y la comunicación (TIC).

¿Qué problemas resuelve DORA?

El actual marco jurídico de la UE para los riesgos de las TIC y la resiliencia operativa en el sector financiero está fragmentado y, hasta cierto punto, es incoherente. Actualmente, prácticamente todos los países tienen sus propias reglas (p. Ej., para realizar pruebas de resiliencia) y enfoques de supervisión (p. Ej., para dependencias de TIC de terceros) que a veces no consideran suficientemente ciertos riesgos de TIC.

Al mismo tiempo, las entidades financieras transfronterizas están sometidas a mayores cargas administrativas y financieras como resultado de la duplicación de requisitos y disposiciones incoherentes, como la Directiva sobre seguridad de redes y sistemas de información (Directiva NIS), la legislación de la UE sobre servicios financieros y regulaciones nacionales (por ejemplo, para reportar incidentes).

La nueva regulación de la UE tiene como objetivo armonizar las reglas y ya no dar a los estados miembros ninguna razón para adoptar sus propias regulaciones, estándares y requisitos nacionales de resiliencia operativa y ciberseguridad. Las entidades financieras transfronterizas también recibirán claridad jurídica sobre las regulaciones de resiliencia digital.

¿Cuándo entrará en vigor la Ley de Resiliencia Operativa Digital?

La legislación oficial se encuentra actualmente en forma de borrador y debe ser sometida a la aprobación del Parlamento Europeo. Se espera que el reglamento final se publique en 2022.

Una vez adoptada, las organizaciones afectadas deben recibir un período de transición para cumplir con los requisitos de DORA.

¿Qué organizaciones se verán afectadas por DORA?

DORA afectará a todas las entidades financieras reguladas a nivel de la UE, incluidas:

  • La industria de servicios financieros
  • Instituciones de pago
  • Empresas de inversión
  • Agencias de calificación crediticia
  • Proveedores de servicios de criptoactivos
  • Proveedores de servicios de crowdfunding
  • Fintech
  • Lugares de negociación
  • Proveedores del sistema financiero
  • Instituciones de crédito

A la luz del principio de proporcionalidad, deben tenerse en cuenta las diferencias en el modelo de negocio, tamaño, perfil de riesgo o relevancia del sistema a la hora de definir los requisitos clave en los diferentes ámbitos de aplicación. Por ejemplo, según la Comisión de la UE, las entidades financieras más pequeñas tendrán que tomar medidas menos completas para reportar incidentes y realizar pruebas de resiliencia.

Principales requisitos de DORA

DORA presenta sus requisitos a través de 5 pilares clave.

  • Gestión de riesgos de TIC
  • Notificación de incidentes de TIC
  • Pruebas de resiliencia operativa digital
  • Intercambio de información e inteligencia
  • Gestión de riesgos de terceros de TIC

Gestión de riesgos de TIC

Se requerirá que las entidades financieras creen y sigan un marco de gestión de riesgos de TIC que respalde una estrategia de continuidad comercial, políticas de recuperación y estrategias de comunicación.

Es importante establecer un canal de comunicación confiable con las partes interesadas. Este nuevo requisito se basa en las directrices existentes, como las directrices de la EBA sobre TIC y gestión de riesgos de seguridad.

Las partes interesadas asumirán la responsabilidad de garantizar la continuidad del negocio al participar en las siguientes funciones:

  • Establecer el grado de tolerancia al riesgo y al impacto de las interrupciones de las TIC.
  • Desarrollar y aprobar estrategias de continuidad del negocio.
  • Desarrollar y aprobar planes de recuperación ante desastres.
  • Especificar controles de seguridad para todos los activos críticos.

Las estrategias de respuesta y recuperación deben involucrar más que una serie de políticas. La estricta expectativa de operaciones comerciales ininterrumpidas requerirá el establecimiento de redundancias de tecnología de la información y la comunicación para hacerse cargo de los procesos interrumpidos.

La inversión en un sistema de este tipo, que también debe incluir redes de respaldo y restauración, requerirá la participación de las partes interesadas.

Notificación de incidentes relacionados con las TIC

DORA creará un canal de informes más simplificado para los incidentes relacionados con las TIC, que es una consolidación bienvenida de los múltiples requisitos de informes actuales.

Se deben reducir los eventos desencadenantes de notificación y se armonizarán las plantillas de notificación.

Este es un paso hacia un canal de informes completamente simplificado que conduce a un único centro de la UE en lugar de múltiples autoridades nacionales competentes.

El centro de la UE recopilará todos los informes de los principales eventos relacionados con las TIC que afecten a las entidades financieras. Los datos recopilados revelarán cualquier tendencia de vulnerabilidad común en todo el sector financiero para respaldar una mayor optimización de la resiliencia y la seguridad de las TIC.

De acuerdo con las nuevas normas de información de la UE, todas las empresas financieras deberán presentar un informe de causa raíz en el plazo de un mes a partir de un incidente de TIC importante.

Para respaldar la presentación oportuna de dichos informes, las entidades financieras deberán implementar indicadores confiables de alerta temprana de las interrupciones de las TIC.

Pruebas de resiliencia operativa digital

Para garantizar la confiabilidad de las defensas de TIC establecidas, las entidades financieras deberán someterse a pruebas periódicas de resiliencia de las operaciones digitales realizadas por partes independientes, ya sean internas o externas.

Estas pruebas regulares deben incluirse en un programa de prueba de resistencia digital que incluya los siguientes detalles:

  • Metodologías de prueba
  • Procedimientos y herramientas de prueba
  • Frecuencia de las pruebas de resiliencia
  • Estrategia de priorización para políticas de prueba

Este no es un requisito nuevo. Los marcos de pruebas de penetración liderada por amenazas (TLPT) son actualmente obligatorios para determinadas infraestructuras del mercado financiero. DORA ampliará los requisitos de prueba en todo el sector de servicios financieros, aumentando el número de entidades necesarias para realizar pruebas obligatorias.

Las Autoridades Europeas de Supervisión (AES) describirán los detalles de estos criterios ampliados de presentación de informes en una segunda legislación que se espera que se publique a finales de 2021.

DORA se basa en el proceso de reconocimiento de pruebas transfronterizas del marco voluntario TIBER-EU desarrollado por el Banco Central Europeo (BCE). Esto fomenta el reconocimiento de las pruebas de confiabilidad en los estados miembros de la UE para reducir la duplicación de pruebas.

Esto también podría reducir la complejidad y el coste de cumplimiento de las entidades financieras que ya están pasando por este proceso de prueba.

Intercambio de información e inteligencia

DORA permitirá y fomentará el intercambio de información sobre amenazas cibernéticas entre entidades dentro de comunidades financieras confiables. El objetivo de este intercambio de información es crear conciencia sobre las nuevas ciberamenazas, las soluciones fiables de protección de datos y las tácticas de resiliencia operativa.

Gestión de riesgos de TIC de terceros

Este es probablemente el pilar más desafiante de DORA. Los proveedores de servicios en la nube (CSP) se verán obligados a cumplir con los reguladores si se clasifican como «críticos».

Algunos de los factores que clasificarían a un proveedor de servicios de terceros como crítico incluyen:

  • Grado de sustituibilidad: los CSP críticos son más difíciles de reemplazar en caso de una interrupción operativa (ya sea internamente o en el entorno del proveedor).
  • El número de entidades financieras que dependen del CSP para la continuidad operativa.

Las ESA supervisarán el cumplimiento de la CSP crítica a través de inspecciones tanto en el sitio como fuera del sitio. Los supervisores principales podrían imponer una multa por incumplimiento de hasta el 1% de la facturación mundial diaria.

Estos requisitos de cumplimiento no reemplazarán las regulaciones existentes, como el Reglamento general de protección de datos (GDPR).

Es importante comprender que la carga del cumplimiento de DORA no recae completamente en proveedores externos críticos. Las entidades de servicios financieros deberán implementar programas de riesgo de terceros para evitar interrupciones operativas causadas por ataques a la cadena de suministro e infracciones de terceros.

Cómo prepararse para la Ley de resiliencia operativa digital

2022 se acerca rápidamente y las entidades financieras dentro del alcance de la Comisión Europea deben comenzar a prepararse para los requisitos de gestión de riesgos de DORA ahora.

Los siguientes elementos de acción ayudarán a tu organización a prepararse para esta propuesta legislativa.

1. Realiza un análisis de brechas

Se debe completar una evaluación del riesgo de madurez en relación con todos los requisitos de DORA para determinar todas las brechas de cumplimiento. Esto fomentará una reforma más eficiente de cualquier sistema de TIC afectado.

2. Determina si serás clasificado como «crítico»

Los proveedores externos de TIC deberán determinar si se incluirán en la categoría crítica. Esto requerirá una evaluación de todas las características que definen la criticidad según la DORA.

Los proveedores externos que pertenecen a esta categoría deberán comenzar a planificar cómo garantizarán el cumplimiento del marco de supervisión, una estrategia que podría implicar el establecimiento de equipos reguladores dedicados y software de seguridad de datos.

Las firmas financieras también deberán determinar cuáles de sus proveedores de servicios en la nube de terceros se clasificarán como críticos.

El nivel de cumplimiento de DORA de todos los proveedores críticos debe rastrearse a través de evaluaciones de riesgo y software de monitorización de superficie de ataque de terceros.

Todos los proveedores no críticos deben asignarse a opciones alternativas de subcontratación en caso de que un incidente de TIC afecte a cada proveedor.

3. Implementar un marco de prueba de penetración dirigido por amenazas

Las entidades financieras que actualmente no implementen TLPT deberán buscar proveedores independientes para este servicio.

La actividad de las ESA deberá ser monitorizada de cerca para una exposición avanzada a los requisitos de prueba cuando los detalles estén disponibles.

4. Evaluar las estrategias de respuesta y recuperación

Las estrategias actuales de respuesta y recuperación deberán compararse con los requisitos de DORA con un enfoque específico en el proceso de notificación de incidentes de la legislación.

La alineación con el proceso de informes de DORA podría implicar la optimización de las asignaciones de recursos actuales y modificaciones a los canales de informes internos actuales.

5. Realiza un análisis de brechas

Se debe completar una evaluación del riesgo de madurez en relación con todos los requisitos de DORA para determinar todas las brechas de cumplimiento. Esto fomentará una reforma más eficiente de todos los sistemas de TIC afectados.

¿Qué deben tener en cuenta las entidades financieras a la hora de elegir un proveedor de servicios de TIC externo en el futuro?

Lo más probable es que DORA dé lugar a ajustes significativos en las normas de subcontratación nacionales existentes. En virtud del actual proyecto de ley DORA, las entidades financieras de la UE deben evaluar el riesgo de subcontratación por adelantado y realizar la debida diligencia para identificar a los proveedores de servicios de terceros adecuados. Además, se establece que las entidades financieras solo pueden celebrar acuerdos contractuales con proveedores de servicios de TIC de terceros que cumplan con los estándares de seguridad de la información altos, apropiados y los más recientes.

Los acuerdos contractuales con proveedores de servicios de terceros países deben tener en cuenta la protección de datos, la aplicación efectiva de la ley, las disposiciones sobre insolvencia en caso de que el tercero se declare insolvente y las restricciones que puedan surgir en relación con la restauración urgente de los datos de la empresa.

En la práctica, todos estos requisitos serán mucho más fáciles de implementar si se elige un proveedor de servicios de TIC externo de la UE. En general, los proveedores de servicios de TIC de terceros sin presencia comercial en la UE cuyo fallo operativo tendría un impacto sistémico en la prestación de servicios financieros deberían excluirse como socios de subcontratación.