Ley de Resiliencia Operativa Digital (DORA)
La Ley de Resiliencia Operativa Digital (DORA) es un reglamento de la UE que establece requisitos integrales de gestión de riesgos de TIC para el sector financiero. Con entrada en vigor el 17 de enero de 2025, DORA armoniza los estándares de resiliencia digital en todos los estados miembros de la UE, garantizando que las entidades financieras puedan resistir y recuperarse de las perturbaciones relacionadas con las TIC.
ISMS Copilot cuenta con conocimientos especializados sobre los requisitos de DORA. Puede realizar preguntas específicas sobre el marco, generar políticas alineadas con los pilares de DORA y evaluar las brechas de cumplimiento utilizando el asistente de IA.
¿Quién debe cumplir con DORA?
DORA se aplica a más de 20.000 entidades financieras en toda la UE, incluyendo:
Bancos e instituciones de crédito
Empresas de seguros y reaseguros
Empresas de inversión y centros de negociación
Entidades de pago e instituciones de dinero electrónico
Proveedores de servicios de criptoactivos
Proveedores terceros críticos de servicios de TIC (proveedores de nube, centros de datos, proveedores de software que prestan servicios a entidades financieras)
Tanto las grandes instituciones como las entidades financieras más pequeñas deben cumplirla, aunque se aplican consideraciones de proporcionalidad basadas en el tamaño, la naturaleza del negocio y el perfil de riesgo.
Los cinco pilares de DORA
DORA estructura sus requisitos en cinco pilares clave:
Gestión de riesgos de TIC: Marcos integrales para identificar, gestionar y mitigar los riesgos de TIC, incluyendo la gobernanza, la evaluación de riesgos y la continuidad del negocio
Notificación de incidentes: Notificación obligatoria de incidentes graves relacionados con las TIC a los reguladores dentro de plazos estrictos (notificación inicial, informes intermedios, análisis final)
Pruebas de resiliencia operativa digital: Programas periódicos de pruebas que incluyen evaluaciones de vulnerabilidad, análisis de escenarios y pruebas de penetración avanzadas basadas en amenazas (TLPT) para entidades críticas
Gestión de riesgos de terceros: Supervisión rigurosa de los proveedores de servicios de TIC, incluidos los requisitos contractuales, la diligencia debida, el seguimiento y las estrategias de salida
Intercambio de información: Acuerdos voluntarios para compartir inteligencia sobre ciberamenazas y mejores prácticas entre entidades financieras
Requisitos clave
Las entidades financieras deben implementar varias capacidades obligatorias:
Marco de gestión de riesgos de TIC: Políticas, procedimientos y controles documentados y alineados con los cinco pilares
Gobernanza y rendición de cuentas: Supervisión a nivel de junta directiva, funciones y responsabilidades claras e implicación del órgano de dirección
Pruebas de resiliencia: Programas anuales de pruebas, incluyendo TLPT para entidades significativas cada tres años
Clasificación y notificación de incidentes: Sistemas para detectar, clasificar y notificar incidentes graves dentro de los plazos especificados
Registros de terceros: Mantener registros detallados de todos los proveedores de servicios de TIC y de los acuerdos contractuales
Continuidad del negocio y recuperación ante desastres: Planes y capacidades para mantener las operaciones durante las interrupciones
DORA impone sanciones significativas por incumplimiento, incluyendo multas de hasta el 2% de la facturación anual global por infracciones graves.
Terceros proveedores críticos de TIC
DORA introduce un marco de supervisión único para los proveedores terceros críticos de servicios de TIC (TPP). Estos proveedores se enfrentan a:
Supervisión regulatoria directa: Supervisión por parte de las Autoridades Europeas de Supervisión (AES)
Criterios de designación: Basados en la importancia sistémica, la sustituibilidad y los servicios prestados a múltiples entidades financieras
Obligaciones reforzadas: Requisitos de gestión de riesgos, notificación de incidentes y pruebas de resiliencia
Si usted proporciona servicios de nube, centros de datos o software crítico a entidades financieras de la UE, puede quedar sujeto al régimen de TPP de DORA.
Cómo ayuda ISMS Copilot
ISMS Copilot ofrece un apoyo integral para el cumplimiento de DORA:
Orientación específica sobre el marco: Realice preguntas sobre pilares, artículos o requisitos específicos de DORA
Generación de políticas: Cree políticas de gestión de riesgos de TIC listas para auditoría, procedimientos de respuesta ante incidentes y marcos de gestión de terceros
Análisis de brechas: Cargue documentación existente para identificar deficiencias respecto a los requisitos de DORA
Evaluaciones de riesgos: Genere evaluaciones de riesgos de TIC alineadas con DORA para sistemas y relaciones con terceros
Planificación de respuesta ante incidentes: Desarrolle esquemas de clasificación de incidentes y flujos de trabajo de notificación
Organización del espacio de trabajo: Gestione los proyectos de DORA de forma independiente de otras iniciativas de cumplimiento
La IA tiene conocimiento directo de la estructura de DORA y de las normas técnicas de regulación (RTS), por lo que puede hacer referencia a artículos o pilares específicos en sus instrucciones.
Pruebe a preguntar: "Genera una plantilla de evaluación de riesgos de terceros de TIC alineada con el artículo 28 de DORA" o "¿Cuáles son los plazos de notificación de incidentes según DORA?"
Primeros pasos
Para comenzar el trabajo de cumplimiento de DORA en ISMS Copilot:
Cree un espacio de trabajo dedicado para el cumplimiento de DORA
Pida a la IA que explique pilares o requisitos específicos relevantes para su tipo de organización
Genere políticas fundamentales para la gestión de riesgos de TIC y la respuesta ante incidentes
Cargue las políticas de TIC existentes para el análisis de brechas
Desarrolle un registro de terceros y un proceso de evaluación de riesgos utilizando la guía de la IA
Recursos relacionados
Texto oficial del reglamento DORA: EUR-Lex
Orientación y normas técnicas de regulación de las Autoridades Europeas de Supervisión (AES)