Reglamento dora
7 de agosto, 2024

El Digital Operational Resilence Act, también conocido como el reglamento DORA, es una regulación publicada por la unión europea el 27 de diciembre de 2022, aunque esta entro en vigor el 16 de enero de 2024, y su periodo de aplicación comenzará el 17 de enero de 2025.

El objetivo de este reglamento es mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, más específicamente en relación con los riesgos relativos a la tecnología de la información y comunicación (TIC).

Tras la implementación de DORA, todas las entidades financieras deberán establecer y cumplir con ciertos requisitos que garanticen la ciberseguridad, con el fin de proteger, detectar, contener, recuperar y reparar cualquier tipo de incidente relacionado con las TIC.

 

¿Cuáles son sus requisitos que establece?

Uno de los objetivos detrás del reglamento DORA, es establecer requisitos para asegurar la ciberseguridad de las entidades financieras, los cuales se pueden resumir en cuatro puntos:

  1. Notificación de incidentes: Las entidades financieras deben de establecer sistemas que les permita monitorear, administrar, registrar, clasificar e informar incidentes. Esto con el objetivo de poder presentar a las debidas autoridades, a los clientes y socios afectados sobre aquellos incidentes graves, proporcionando informes completos sobre lo sucedido.
  2. Gestión y gobernanza del riesgo: Se deberán desarrollar marcos integrales para gestionar el riesgo en las TIC.
  3. Gestión de riesgo de terceros: Esto se hará mediante un control y análisis exhaustivo, estableciendo acuerdos contractuales y controlando la cadena de suministro.
  4. Pruebas de resiliencia operativa digital: Esto incluye evaluaciones y pruebas basadas en posibles amenazas, para así poder aprender de ellas.

 

¿Qué entidades están afectadas por DORA?

  • Entidades financieras incluyendo bancos, aseguradoras, fondos de pensiones, empresas de inversión, entre otras entidades financieras.
  • Proveedores de servicios de TIC, siendo aquellas empresas que proporcionan servicios de tecnologías de la información y comunicación a las entidades financieras.
  • Entidades de pago y de dinero electrónico.
  • Proveedores de servicios de información sobre cuentas.

 

¿Cómo sería su implantación?

  1. Evaluación Inicial:
  • Análisis de Riesgos: Las entidades deben realizar un análisis exhaustivo de los riesgos tecnológicos y operativos.
  • Identificación de Proveedores Críticos: Determinar cuáles proveedores de servicios TIC son críticos para sus operaciones.
  1. Desarrollo de Estrategias:
  • Plan de Resiliencia: Crear un plan detallado para asegurar la continuidad de los servicios en caso de interrupciones.
  • Políticas de Seguridad: Establecer políticas y procedimientos de seguridad cibernética robustos.
  1. Implementación Técnica:
  • Actualización de Infraestructura: Mejorar o actualizar la infraestructura tecnológica para cumplir con los nuevos requisitos.
  • Integración de Sistemas: Asegurar que todos los sistemas y proveedores estén alineados con las nuevas políticas.
  1. Capacitación y Concienciación:
  • Formación del Personal: Capacitar a los empleados sobre las nuevas políticas y procedimientos.
  • Simulacros y Pruebas: Realizar simulacros y pruebas regulares para evaluar la efectividad de los planes de resiliencia.
  1. Monitoreo y Evaluación Continua:
  • Auditorías Internas: Realizar auditorías internas periódicas para asegurar el cumplimiento continuo.
  • Revisión de Proveedores: Evaluar regularmente a los proveedores de servicios TIC para asegurar que cumplen con los estándares.
  1. Reportes y Cumplimiento:
  • Informes Regulares: Proporcionar informes regulares a las autoridades regulatorias sobre el estado de cumplimiento.
  • Actualización de Políticas: Revisar y actualizar las políticas y procedimientos según sea necesario para adaptarse a nuevos riesgos y regulaciones.

 

Si representas una entidad financiera o alguna otra de las entidades afectadas por este Reglamento tienes todavía tiempo para adaptarte a esta normativa hasta mediados de enero. Contacta con nuestros expertos para que te ayuden en todo lo que necesites

 

Hablamos de...

Comparte el post

Leave A Comment