Seguro que has oído hablar de la Ley de Resilencia Operativa Digital, o DORA para los amigos. Una norma que entrará en vigor el próximo 17 de enero de 2025. Una Ley promulgada por la Comisión Europea que persigue mejorar la resiliencia operativa del sector financiero y se basa en tres principios clave:
- Gestión de riesgos informáticos y de ciberseguridad. Identificar, evaluar y gestionar los riesgos del sistema.
- Gestión de continuidad de la actividad. Desarrollo de un plan integral de continuidad de negocio.
- Supervisión y vigilancia. Auditoría por parte de la autoridad reguladora.
Las organizaciones que sujetas a esta norma son todas aquellas entidades que tienen que ver con gestión monetaria, física o virtual, ya sean depositarias, gestoras, aseguradoras, negociadoras, etc…
Papel de las autoridades en materia de supervisión en la aplicación del Reglamento DORA.
Los supervisores últimos de esta Ley van a ser la Autoridad Bancaria Europea (ABE) y las autoridades nacionales competentes, siendo la coordinación entre organismos clave para fomentar y promover la inclusión activa de las entidades financieras.
Entre sus responsabilidades figuran:
- Fomentar de la coordinación. El reglamento hace hincapié en la trascendencia de la coordinación y cooperación entre autoridades supervisoras. Dichas autoridades fomentarán la adhesión a estas prácticas armonizadas en toda la UE.
- Ofrecer orientación a las entidades financieras. Orientación que abarca desde la gestión de riesgos, continuidad de las actividades, ciberseguridad, hasta otros aspectos vinculados a la resiliencia operativa.
- Realizar inspecciones in situ, es decir, en la propia entidad financia, pudiendo ser en algún área específica o el conjunto de la organización.
- Evaluar la resiliencia operativa. Esto incluye mapeo y testeo de los servicios críticos del negocio, de los Sistemas IT, de los procesos y revisión de los acuerdos de externalización.
- Imponer y ejecutar de sanciones. Sanciones con un amplio rango de afectación:
- Multas administrativas. Hasta 10 millones de euros o el 5% de su cifra de negocio anual, en el rango de infracciones graves.
- Medias correctoras. Exigir que adopten las medidas correctoras que subsanen debilidades o fallos en su resiliencia.
- Amonestaciones públicas.
- Retirada de la autorización. En caso de incumplimiento reiterado de los requisitos de la norma.
- Indemnización por daños y perjuicios, causados a clientes y/o terceros por incumplimiento de la norma.
DORA y GDPR: No tan lejos
Aunque son normativas distintas ambas abordan aspectos sobre la protección del dato y la Ciberseguridad.
- Ambas hacen especial atención en lo referente a los datos personales y garantizar la triada de la ciberseguridad: confidencialidad, integridad y disponibilidad. Si bien DORA se enfoca en la resiliencia operativa del sector financiero.
- Los dos Reglamentos, exigen un esfuerzo para defender el dato contra amenazas y brechas. Aunque DORA establece unos requisitos específicos para identificar y mitigar riesgos operativos y GDPR establece la evaluación de riesgos para los datos y la aplicación de medidas técnicas y organizativas para su protección.
- También coinciden en materia de sanciones en caso de incumplimiento. DORA establece 10 millones de €uros o el 5% de la cifra de negocio anual y GDPR, 20 millones de €uros o el 4% de la facturación anual.
Puntos a tener en cuenta de cara al cumplimiento de DORA
Si tuviéramos que sintetizar aspectos a tener en cuenta para garantizar el cumplimiento destacaríamos los siguientes:
- Test de seguridad informática. Revisa periódicamente los sistemas informáticos y controles de seguridad (test de penetración, evaluaciones de vulnerabilidad y auditoría de los sistemas informáticos) de cara a fortalecer los sistemas ante ciberataques y otros riesgos operativos.
- Evaluación de riesgos. Evalúa y establece un marco de actuación para la gestión de riegos con políticas, procedimientos y controles.
- Continuidad de la actividad: Planificación. Elabora y actualiza un plan integral de continuidad del negocio donde se especifique la respuesta ante paradas de los procesos, incluidos los ciberataques y brechas de datos.
- Gestión ante incidentes. Desarrolla y actualiza un plan de gestión ante incidentes, y sobre todo el plan de testeo periódico.
- Protección del dato. Por su similitud, el GDPR es un buen referente para la protección del Dato.
- Cadena de suministro. Considerar a proveedores parte de la cadena de ciberseguridad, incluso planteando clausulas contractuales que exijan a terceros el cumplimiento de DORA.
- Establece un sistema de informes y notificaciones para informar a la dirección de riesgos operativos significativos.
- Supervisar el cumplimiento. Periódicamente revisar que se esta cumpliendo la norma, mediante autoevaluaciones, auditorías y evaluaciones de riesgos.
DORA y los datos
El reglamento resalta en varios momentos la importancia en la gestión y protección de los datos, dándoles un papel fundamental.
Los puntos clave son:
- Gestión del dato. Establece un marco sólido de gestión de datos que garanticen su integridad y trazabilidad. Establece un marco sólido de Gobierno del Dato.
- Intercambio de datos. Implanta mecanismos de compartición de datos de forma segura.
- Control sobre el dato en colaboraciones con terceros. Garantiza el control sobre tus datos más allá del perímetro corporativo. Establece mecanismos de control sobre ellos.
- Eleva el nivel en Ciberseguridad. Adopta medidas eficaces para la protección de los datos: controles de acceso, cifrado y planes de respuesta ante incidentes.
- Notificación. Todo incidente referido a los datos debe ser reportado a las autoridades competentes, incluida la ABE, en los plazos fijados.
MICROMOUSE y DORA
Desde MICROMOUSE te proporcionamos soluciones de Ciberseguridad basadas en tecnologías de nicho que permiten el cumplimiento normativo más exigente: soluciones de cifrado multifactor, de gobierno de acceso al dato, auditoría de gestión del dato, protección perimetral avanzada (multiscanning, CDR, etc…).
¿Hablamos sobre DORA? ¿Hablamos de Ciberseguridad?