OPINIÓN

Reglamento DORA: Cinco pasos clave para evitar sanciones en enero de 2025



Dirección copiada

Las consecuencias de una interrupción aislada o sistémica de los servicios, en particular debido a ciberataques, podrían ser catastróficas

Publicado el 27 may 2024

Darren Thomson

Field CTO de Commvault para EMEA



DORA, resiliencia, ciberseguridad, ciberresiliencia

¿Qué es DORA?

Dada la complejidad y la naturaleza interconectada del ecosistema de los servicios financieros, no es de extrañar que la resiliencia operativa siga siendo objeto de escrutinio y revisión por parte de las autoridades reguladoras. Las consecuencias de una interrupción aislada o sistémica de los servicios, en particular debido a ciberataques, podrían ser catastróficas, y las autoridades se centran, con razón, tanto en la prevención como en la mitigación.

Una de las consecuencias de estos retos es que a partir del 17 de enero del año que viene entrará en vigor la Ley de Resiliencia Operativa Digital (DORA) de la UE. Comienzan las actividades de supervisión y se prevén duras sanciones económicas en caso de incumplimiento. El objetivo de la DORA es reforzar “la seguridad informática de entidades financieras como bancos, aseguradoras y empresas de inversión, y garantizar que el sector financiero europeo pueda seguir siendo resiliente en caso de interrupción grave de las operaciones”.

La normativa exige que las organizaciones se centren en una serie de áreas clave. Estos van desde la gestión del riesgo de las TIC (incluidos los proveedores externos), las pruebas de resiliencia operativa digital y la notificación de incidentes, hasta el intercambio de información y la aplicación de un marco de supervisión para los proveedores externos de TIC críticos

DARREN THOMSON, COMMVAULT

En la práctica, armonizará las normas de resiliencia operativa de 20 tipos distintos de entidades financieras y proveedores de servicios TIC a terceros. Entre ellos figuran entidades de crédito y de pago, empresas de inversión, proveedores de servicios de criptoactivos, organizaciones de los sectores de seguros y pensiones, e incluso servicios de crowdfunding, entre otros.

Gesión del riesgo y pruebas de resiliencia operativa

La normativa exige que las organizaciones se centren en una serie de áreas clave. Estos van desde la gestión del riesgo de las TIC (incluidos los proveedores externos), las pruebas de resiliencia operativa digital y la notificación de incidentes, hasta el intercambio de información y la aplicación de un marco de supervisión para los proveedores externos de TIC críticos. Como tales, pueden tener consecuencias de gran alcance para las entidades financieras y los proveedores de TIC que operen sin los procesos o controles adecuados.

A cuánto ascenderán las sanciones

Como ley de la UE, la DORA no se aplicará directamente en el Reino Unido, pero -de forma similar al RGPD- es relevante para muchas entidades financieras o proveedores de TIC con sede en el Reino Unido que prestan servicios a organizaciones de la UE. Deben cumplir sus normas, y las infracciones pueden acarrear sanciones de hasta el 2% del total de los ingresos anuales mundiales, dependiendo de la gravedad de cada caso. A juzgar por la aplicación del RGPD, los reguladores de la UE están plenamente centrados en las normas, con más de 4.000 millones de euros recaudados por las organizaciones que incumplen el RGPD desde 2018.

Planificando el cumplimiento

Así pues, a menos de un año del inicio de las actividades de supervisión, ¿qué medidas pueden tomar las organizaciones para asegurarse de que cumplen la normativa? Hay cinco puntos básicos útiles:

1. Formar equipos interdepartamentales para coordinar un enfoque organizativo

Al reunir a líderes, expertos y partes interesadas de áreas como TI, ciberseguridad, cumplimiento, riesgo y legal, resulta mucho más fácil garantizar los niveles de colaboración que son esenciales para el desarrollo exitoso de la estrategia. Fundamentalmente, este enfoque también ayuda a garantizar que las organizaciones puedan desarrollar una comprensión global de cómo se les aplica la DORA desde una serie de perspectivas importantes.

2. Presionar para que la dirección acepte

La cooperación entre departamentos también ayudará a descubrir detalles importantes y matizados contenidos en DORA. Por ejemplo, ¿cuántos líderes sabrán ya que el Consejo de Administración y el CEO deben poseer los conocimientos y habilidades para comprender el riesgo de las TIC y su impacto? En un mundo ideal, por tanto, la alta dirección comprenderá y apoyará la relevancia e importancia de la DORA mucho antes de enero de 2025. Hacerlo puede suponer una enorme diferencia en los niveles de autoridad, recursos y urgencia que pueden aplicarse. Por el contrario, las organizaciones que limitan el alcance de sus esfuerzos son mucho más propensas a experimentar un incumplimiento y las sanciones potencialmente severas que podrían aplicarse.

3. Evaluar los procesos actuales, las capacidades y las vulnerabilidades potenciales

Es crucial que se identifique pronto cualquier laguna entre las capacidades actuales de seguridad y resistencia y los requisitos establecidos por DORA. De este modo, cualquier carencia puede abordarse de forma proactiva y oportuna, en lugar de como reacción a un incumplimiento.

4. Actualizar y establecer objetivos claros de resistencia

En el centro de cualquier estrategia eficaz de seguridad y resistencia se encuentran unos objetivos claros y viables. DORA pondrá de relieve la eficacia de estos objetivos y empujará a las organizaciones a revisarlos continuamente. Esto también permitirá a los equipos priorizar las actividades de cumplimiento y garantizar que la inversión en ciberseguridad y resiliencia se alinee con la norma lo antes posible.

5. Supervisar las actualizaciones normativas y actuar en consecuencia

Con el tiempo, es probable que las autoridades de la UE modifiquen la DORA para garantizar que sigue siendo totalmente relevante para el ecosistema dinámico que está diseñado para proteger. Esto significa que las organizaciones deben establecer un proceso que garantice que se mantienen al corriente de cualquier novedad que pueda afectar a sus niveles de cumplimiento. Esto debe apoyarse en procesos que vuelvan a centrarse en el análisis de carencias, el establecimiento de prioridades y la inversión para formar un círculo virtuoso en el que el cumplimiento de la normativa sea siempre una prioridad.

En un entorno en el que las normativas desempeñan un papel cada vez más importante a la hora de determinar la dirección de la estrategia de ciberseguridad, es vital que las organizaciones perfeccionen su enfoque del cumplimiento en general. De este modo, se abre la perspectiva de una situación beneficiosa para todos en la que la seguridad y la resiliencia digitales reciban la importancia que merecen, y menos organizaciones sean víctimas de infracciones graves. Lo que es casi seguro, sin embargo, es que en algún momento de 2025 se anunciará la primera medida coercitiva relacionada con DORA. Las organizaciones que se preparen ahora pueden minimizar las posibilidades de aparecer en los titulares negativos.

Artículos relacionados

Artículo 1 de 4