DORA – Nueva directiva aplicable al sector bancario y a sus proveedores

La ciberseguridad y la resiliencia operativa son factores clave para el sector financiero en la era digital. En este blog, discutiremos el Reglamento DORA (Digital Operational Resilience Act), sus principales medidas, a quiénes afecta y cómo A2SECURE puede ayudar a las entidades financieras y sus proveedores a cumplir con sus requisitos.

¿Qué es el Reglamento DORA?

Ya se ha publicado en el DOUE el Reglamento 2022/2554 sobre resiliencia operativa digital en el sector financiero, más conocido por sus siglas en inglés: DORA. Cuya fecha de entrada en vigor efectiva es 17 de enero de 2025.

El Reglamento DORA (Digital Operational Resilience Act) es una propuesta legislativa de la Unión Europea para mejorar la ciberseguridad y la resiliencia operativa de las entidades financieras en el ámbito digital. Tiene como objetivo garantizar la protección de los datos y la confianza en el sistema financiero de la Unión Europea.

Principales medidas establecidas por el Reglamento DORA

El reglamento establece una serie de requisitos y obligaciones para las entidades financieras, incluyendo bancos, proveedores de servicios de pago y empresas de inversión, en relación con la gestión de riesgos cibernéticos y la prevención de incidentes de seguridad. Las principales medidas incluyen:

• La gestión del riesgo TIC, propio y de terceros proveedores.
• Los incidentes y las notificaciones de incidentes relacionados con las TIC.
• Las pruebas de resiliencia operativa digital, que comprendan una variedad de evaluaciones, pruebas, metodologías, prácticas y herramientas.
• El intercambio de información entre entidades financieras.
• La monitorización continua del funcionamiento de los sistemas y herramientas.

Para cumplir con estas medidas, las entidades financieras deberán revisar y actualizar sus políticas y procedimientos existentes, implementar nuevas tecnologías de seguridad y protección de datos, y capacitar a sus empleados para garantizar la adecuada implementación y cumplimiento del Reglamento DORA.

Es importante destacar que el cumplimiento del Reglamento DORA no es opcional y las entidades financieras que no cumplan con sus requisitos podrían enfrentar sanciones y multas.

¿A quién afecta el reglamento DORA – Digital Operational Resilience Act?

El Reglamento DORA (Digital Operational Resilience Act) afecta a las entidades financieras que operan en la Unión Europea, incluyendo bancos, proveedores de servicios de pago, empresas de inversión y cualquier otra entidad financiera que preste servicios a clientes dentro de la Unión Europea.

A continuación se detallan los sectores y tipología de empresa que afecta el DORA:

¿Cómo puede A2SECURE ayudar a cumplir con el Reglamento DORA?

A2SECURE, como expertos en ciberseguridad y especializados en diferentes marcos normativos de ciberseguridad que son de obligado cumplimiento para las empresas del sector bancario e incluso para los proveedores de TIC que proporcionan soluciones a este sector, detalla las diferentes medidas para cumplir con el Reglamento DORA:

• Gestión de riesgos con A2SECURE

Según el reglamento DORA, las empresas tendrán que establecer y mantener sistemas e instrumentos de TIC resilientes para identificar y reducir al mínimo el riesgo de las TIC. Por ello, disponer de un marco de control en base a los riesgos a los que la entidad está expuesta es la base para cumplir con esta medida.

A2SECURE dispone de herramientas y especialistas en gestión de riesgos para llevar a cabo estas actividades de manera periódica en base los riesgos  que aparecen en el día a día y aporta una solución de valor para entidades del sector.

• Notificación de incidentes

DORA exigirá a las empresas que establezcan y apliquen un proceso de gestión para supervisar, clasificar y notificar a las autoridades competentes los incidentes importantes relacionados con las TIC. 

Con el servicio A2-SOC de A2SECURE, las entidades dispondrán de una monitorización continua de los eventos de seguridad de manera que se puedan prevenir, detectar y mitigar los incidentes de seguridad. Asimismo, con herramientas automatizadas se podrá notificar a las autoridades competentes de los incidentes más relevantes.

• Prueba de resiliencia operativa digital

El reglamento exigirá a las empresas poner a prueba la resiliencia operativa de las capacidades y funciones incluidas en el marco de gestión de riesgos de las TIC para identificar los puntos débiles, las deficiencias o las lagunas. 

Para ello, los profesionales de ciberseguridad de A2SECURE, pueden ejecutar diferentes pruebas a los sistemas TIC y poner a prueba su seguridad, detectando posibles brechas de seguridad para que se mitiguen antes de que causen un incidente de seguridad real.

• Riesgo de terceros en materia de TIC e Intercambio de inteligencia

Además de exigir a las empresas que evalúen, supervisen y documenten el riesgo de terceros en materia de TIC, tendrán que asegurarse que todos los contratos con esas partes se establezcan las obligaciones que les incumben en virtud de la ley.

Asimismo, para el Intercambio de inteligencia, DORA permitirá y alentará a las entidades financieras a establecer acuerdos para intercambiar información e inteligencia sobre amenazas cibernéticas entre ellas.

Con el departamento de Digital Law de A2SECURE, las entidades no tendrán que preocuparse del cumplimiento de esta medida, dado que el equipo de abogados expertos en seguridad y en empresas TIC realizará estas actividades en nombre de las entidades.

En este sentido, A2SECURE está preparado para ayudar a las entidades financieras a enfrentar estos desafíos y garantizar el cumplimiento del Reglamento DORA. Nuestro equipo de expertos en ciberseguridad y nuestras soluciones especializadas pueden brindar el apoyo necesario para que las entidades financieras refuercen su seguridad y protección de datos, al tiempo que mantienen la confianza en el sistema financiero de la Unión Europea.

No dejes que el cumplimiento del Reglamento DORA se convierta en una carga para tu entidad financiera. Ponte en contacto con A2SECURE hoy mismo y descubre cómo nuestros servicios y soluciones pueden ayudarte a enfrentar los retos de ciberseguridad y resiliencia operativa en el ámbito digital.