Comprensión de la Ley de Resiliencia Operativa Digital (DORA)

La Ley de Resiliencia Operativa Digital es una normativa de la Unión Europea (UE) que se centra en la forma en que las entidades financieras y sus socios de tecnologías de la información y la comunicación (ICT) gestionan el ciberriesgo. Crea un marco de supervisión vinculante y establece normas técnicas que las entidades financieras de la UE y sus proveedores de servicios deben aplicar en sus sistemas de ICT.

La Comisión Europea propuso la DORA en septiembre de 2020 y el Parlamento Europeo la aprobó dos años después. Por último, el 17 de enero de 2024, la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Valores y Mercados (ESMA) y la Autoridad de Seguros y Pensiones de Jubilación (EIOPA) publicaron las normas técnicas definitivas. La DORA entró oficialmente en vigor ese mismo día.

Esto dio a las entidades financieras y los proveedores de servicios de ICT de la UE tiempo hasta el 17 de enero de 2025 para cumplir sus requisitos en materia de la DORA. Cada Estado miembro de la UE es responsable de velar por su cumplimiento. Un regulador designado, o “autoridad competente”, puede solicitar a las entidades que adopten medidas de seguridad específicas y corrijan las vulnerabilidades conocidas. 

Las sanciones por incumplimiento son severas. Los proveedores de ICT considerados “críticos” por la Comisión Europea son supervisados por “supervisores principales”. Estas organizaciones pueden sancionar a los proveedores incumplidores con multas de hasta el 1 % de su facturación media diaria mundial del ejercicio anterior.

¿Cómo afectan los requisitos de la DORA a su organización?

La DORA se aplica más directamente a las organizaciones que prestan servicios financieros en la Unión Europea. Esto incluye bancos, cooperativas de crédito, empresas de inversión, compañías de seguros y otros tipos de instituciones financieras. Sin embargo, el alcance no se detiene ahí.

Los proveedores de servicios de ICT también están sujetos al cumplimiento de la DORA. En otras palabras, cualquier empresa tecnológica que suministre sistemas de ICT al sector financiero de la UE debe cumplir su normativa. Según la DORA, eso incluye a cualquier proveedor de ICT con sede fuera de la UE, pero que siga operando dentro de su jurisdicción.

Supongamos que su organización tiene su sede en Estados Unidos y suministra servicios en la nube y análisis de datos a clientes austriacos. En este caso, su empresa debe establecer una filial en la UE para facilitar una gestión eficaz.

En total, según PricewaterhouseCoopers (PwC), la DORA se aplica a más de 22 000 empresas financieras y operadores de servicios de ICT. Como norma técnica reglamentaria, la DORA establece numerosos requisitos operativos. Más adelante, hablaremos de ellos con más detalle, pero a un alto nivel:

• Las entidades cubiertas deben establecer una estrategia integral de resiliencia operativa digital que incorpore evaluaciones de riesgos de ciberseguridad, planes de continuidad de negocio y protocolos de respuesta a incidentes.
• Se exige a las entidades que notifiquen rápidamente a las autoridades nacionales los incidentes significativos que afecten a sus operaciones digitales, lo que garantiza una respuesta coordinada en toda la UE.
• Las entidades financieras deben gestionar y controlar los riesgos asociados a sus proveedores de ICT externos. Esto incluye llevar a cabo la diligencia debida y asegurarse de que los proveedores cumplen los requisitos contractuales.
• Las organizaciones deben poner a prueba el marco de resistencia operativa con regularidad para identificar y abordar los puntos débiles.
• Las entidades deben tener estructuras de gobierno con altos directivos y consejos responsables de supervisar la resistencia y garantizar el cumplimiento.
• La DORA anima a las organizaciones a compartir información sobre amenazas y mejores prácticas, lo que mejora colectivamente la gestión del riesgo operativo.

¿Por qué es necesaria la DORA?

Los proveedores de servicios financieros corren peligro. La DORA pretende reforzar la ciberresiliencia de dos maneras:

1. Aborda la gestión de riesgos de las ICT para las entidades financieras a escala.
2. Armoniza la normativa sobre gestión de riesgos en un marco cohesionado.

Antes, la normativa de la UE se centraba principalmente en garantizar que las empresas financieras tuvieran suficiente capital para cubrir los riesgos operativos y las interrupciones. Algunos reguladores publicaron directrices sobre la gestión de riesgos de las ICT, pero no se aplicaban a todas las entidades por igual. Además, se basaban en buenas prácticas generales, no en normas técnicas.

Sin un marco de supervisión unificado, cada estado miembro de la UE emitió sus propios requisitos. Esto creó un laberinto de normativas inconexas por el que las empresas transfronterizas no podían navegar fácilmente.

La DORA resuelve este problema con una norma técnica reglamentaria para todas las entidades cubiertas, independientemente del lugar de la UE en el que operen. Al armonizar la gestión de riesgos en el sector financiero, la DORA minimiza la confusión y eleva el listón de la seguridad de las ICT, la gestión del riesgo operativo y la continuidad de las actividades.

¿Qué es la ciberresiliencia?

La DORA está diseñada para reforzar la “ciberresiliencia” de las entidades financieras reguladas. Este término engloba la capacidad de una organización para mantener la integridad operativa y la continuidad del negocio en medio de interrupciones, como filtraciones de datos y ciberataques. 

La continuidad es especialmente vital en el sector financiero, donde los sistemas de ICT desempeñan un papel clave en la forma en que los consumidores acceden a sus fondos y los gestionan. Según la ESMA, los servicios financieros han pasado a depender en gran medida de las tecnologías digitales para llevar a cabo sus operaciones cotidianas. Esa dependencia, a su vez, ha aumentado exponencialmente el riesgo cibernético.

De hecho, incluso un solo incidente relacionado con las ICT puede tener importantes efectos dominó en la infraestructura crítica. Cuando no se gestionan adecuadamente, los riesgos pueden interrumpir la prestación de servicios financieros, lo que puede repercutir en otras entidades, sectores e incluso en la economía europea en su conjunto.

Imaginemos una situación en la que la plataforma de negociación de terceros de un banco de inversión se desconecta durante un ataque de denegación de servicio. Esto no solo perturbaría la experiencia del usuario final, sino que también podría costar a los clientes mucho dinero en el mercado.

Para complicar las cosas, los acontecimientos geopolíticos han dado lugar a que atacantes patrocinados por el estado y hacktivistas sin escrúpulos tengan como objetivo los servicios financieros. La guerra de Rusia en Ucrania, por ejemplo, inspiró a los ciberdelincuentes prorrusos a atacar la infraestructura de red del Banco Europeo de Inversiones en 2023. Afortunadamente, el incidente solo afectó brevemente a la disponibilidad del sitio web del banco.

El marco global de la DORA se estructura en torno a cinco pilares. Cada uno de ellos aborda un aspecto diferente de la ciberresiliencia y la gestión de riesgos, pero, en combinación, forman la base de un sector financiero fuerte y seguro.

1. Gestión de riesgos y gobernanza de las ICT

Según el Artículo 5, los órganos de administración son responsables de aplicar un marco de gestión de riesgos de las ICT “sólido, completo y bien documentado” que les permita mitigar el riesgo cibernético y garantizar la resiliencia operativa a un nivel proporcional a sus necesidades, tamaños y complejidades empresariales. Los dirigentes que no lo hagan pueden ser considerados personalmente responsables del incumplimiento.

En términos generales, las organizaciones deben disponer de sistemas para mantener la continuidad de la actividad en caso de incidente de las ICT. Los marcos de gestión de riesgos deben incluir estrategias, políticas, procedimientos y herramientas para proteger los componentes físicos y la infraestructura digital de accesos no autorizados o daños.

Además, las empresas están obligadas a lo siguiente:

• Mapear los sistemas de ICT para identificar los activos, las funciones y las dependencias críticas entre proveedores.
• Realizar evaluaciones periódicas de los riesgos de los sistemas de ICT para documentar, clasificar y planificar las ciberamenazas.
• Realizar el análisis del impacto empresarial para comprender cómo podrían afectar las interrupciones graves a las operaciones.
• Implementar medidas de ciberseguridad adecuadas, como herramientas de gestión de identidad y acceso (IAM), sistemas automatizados de detección de amenazas, etc.
• Establecer planes de continuidad de la actividad y recuperación en caso de catástrofe para ciberataques, fallos del servicio y catástrofes naturales.
• Completar las revisiones posteriores a los incidentes para aprender de los sucesos pasados e impulsar la mejora continua.

2. Notificación de incidentes

El Artículo 15 exige a las entidades financieras que establezcan y apliquen un proceso de gestión de incidentes relacionados con las ICT. En concreto, las organizaciones deben poner en marcha sistemas de alerta temprana para detectar, mitigar y notificar los incidentes lo antes posible. También se les exige que establezcan procesos de seguimiento de los incidentes durante y después de los hechos que permitan a los equipos identificar y erradicar sus causas profundas.

Y, según los Artículos 16-20, las organizaciones deben:

• Clasificar los incidentes relacionados con las ICT con los criterios que se aplican a los distintos niveles de impacto.
• Crear una plantilla o un procedimiento común para notificar incidentes a la autoridad supervisora.
• Informar sin demora a los usuarios finales y clientes sobre un incidente grave, además de todas las medidas que se aplican para mitigar sus consecuencias.
• Notificar los sucesos antes del final del día laborable o en las cuatro horas siguientes al inicio del siguiente día laborable (si el incidente se produce en las dos horas siguientes al final del anterior).

En particular, la DORA exige a las entidades que presenten tres tipos de informes diferentes:

1. Un informe inicial para notificar a las autoridades
2. Un informe intermedio para comunicar los avances para la resolución del incidente
3. Un informe final en el que se analicen las causas del incidente y cómo se resolvieron

3. Prueba de resiliencia operativa digital

La DORA establece algunos requisitos básicos relacionados con las pruebas de resiliencia. La realización de pruebas permite a las organizaciones evaluar la preparación ante incidentes relacionados con las ICT, detectar vulnerabilidades y aplicar medidas correctoras.

Según el Artículo 21, las entidades deben:

• Establecer un programa de pruebas que se ajuste al tamaño, el negocio y el perfil de riesgo.
• Incluir una serie de evaluaciones, pruebas, metodologías y herramientas.
• Seguir un enfoque basado en los riesgos que tenga en cuenta la evolución del panorama de los riesgos de las ICT.
• Garantizar que las pruebas sean realizadas por partes independientes.
• Priorizar, clasificar y remediar completamente todos los problemas y las vulnerabilidades descubiertos.
• Probar todos los sistemas y las aplicaciones de ICT críticas al menos una vez al año.

Además, el Artículo 23 establece que las entidades financieras también deben llevar a cabo pruebas de penetración basadas en amenazas al menos cada tres años. Su objetivo es abordar los niveles más elevados de exposición al riesgo, como los procesos de ICT subyacentes que admiten funciones y servicios críticos (incluidos los subcontratados a un proveedor de servicios).

4. Gestión de riesgos de terceros

La DORA espera que las empresas financieras gestionen activamente su panorama de riesgos de terceros y tengan presente la resistencia operativa a la hora de negociar acuerdos contractuales. En concreto, la DORA establece las siguientes normas relativas a la gestión de riesgos de terceros:

• Las entidades financieras deben mantener un registro de la información relativo a los acuerdos contractuales con terceros proveedores de servicios de ICT.
• Las empresas deben informar a las autoridades competentes, al menos una vez al año, el número de nuevos contratos que han firmado con proveedores de ICT.
• Las entidades deben practicar la diligencia debida cuando evalúan los contratos, identificando todos los riesgos pertinentes y los posibles conflictos de intereses. También deben negociar estipulaciones relativas a estrategias de salida, auditorías y objetivos de rendimiento en materia de accesibilidad y seguridad.
• Los derechos y las obligaciones de la entidad financiera y el proveedor de servicios de ICT a terceros deben asignarse y establecerse por escrito, de forma accesible para ambas partes. 
• Los proveedores de ICT críticas están sujetos a la supervisión directa de una autoridad de control pertinente.

Según el reglamento, se prohíbe a las entidades contratar a empresas de ICT que no cumplan las normas técnicas adecuadas. Las autoridades competentes pueden incluso suspender o rescindir los acuerdos que no se ajusten a la normativa.

5. Intercambio de información

Aunque no se aplica estrictamente, la DORA también fomenta la colaboración entre entidades financieras de confianza, con la esperanza de:

• Sensibilizar sobre los riesgos relacionados con las ICT.
• Minimizar la propagación de los vectores de amenaza de las ICT.
• Compartir técnicas defensivas, estrategias de mitigación e información sobre amenazas.

La DORA es una de las varias directivas de la UE relacionadas con la ciberresiliencia y la seguridad digital. La normativa revisada sobre redes y sistemas de información (NIS 2) se solapa en gran medida con el cumplimiento de la DORA, lo que puede hacer que algunos se pregunten qué directrices tienen que seguir.

En septiembre de 2023, la Comisión Europea aclaró la relación entre ambas legislaciones. Fundamentalmente, la DORA es específica del sector y afecta sobre todo a las organizaciones de servicios financieros. NIS 2, en cambio, es un marco normativo más amplio que abarca infraestructuras críticas, como la energía y el transporte.

Según los apartados (1) y (2) del Artículo 4 de la directiva NIS, se aplicarán las disposiciones de la DORA en lugar de las de NIS 2. Esto significa que la DORA tiene prioridad para las entidades financieras, al menos en lo que respecta a la gestión de riesgos de las ICT, la notificación de incidentes y las pruebas de resistencia.

La DORA pone el listón muy alto para la gestión de riesgos, lo que significa que cumplir sus requisitos no será fácil. Afortunadamente, hay un camino claro que puede seguir para empezar:

1. Análisis de las deficiencias: Un análisis inicial de las deficiencias implica evaluar el perfil completo de la empresa de arriba abajo, definir su estado de madurez cibernética y comprender su marco de gestión de riesgos existente. Este ejercicio le ayudará a determinar en qué medida deben actualizarse sus procesos y procedimientos actuales.
2. Mandato de capacitación en ICT: Lo mejor es crear un programa de capacitación continua para todos los empleados, incluidos los directivos. Los líderes son responsables del incumplimiento de la DORA, así que asegúrese de que todos se mantengan informados y estén atentos a las últimas amenazas contra la seguridad de las ICT.
3. Auditoría de contratos con terceros: Profundizar en los acuerdos contractuales puede ayudar a comprender las dependencias de los proveedores de ICT. A su vez, puede identificar y priorizar las medidas de seguridad para proteger estas conexiones. Realice un inventario de todos los contratos, incluidos los proveedores de servicios en la nube, los proveedores de software y otros sistemas de ICT. A continuación, asegúrese de que contengan disposiciones acordes con los requisitos de la DORA.

Refuerzo de la ciberresiliencia con Entrust

No deje el cumplimiento de la DORA al azar. Tanto si es una entidad financiera como un proveedor de ICT, la cartera de Entrust tiene todo lo que necesita para reforzar sus defensas y proteger las infraestructuras críticas.

Nuestras soluciones incluyen las siguientes:

• Módulos de seguridad de hardware (HSM): Los HSM nShield ayudan a proporcionar un entorno seguro para generar, gestionar y proteger claves criptográficas, que son cruciales para el cifrado de datos y las comunicaciones seguras.
• Administración de la postura de seguridad en la nube: La plataforma de seguridad CloudControl de Entrust ayuda a proteger sus entornos de nube híbrida facilitando la identificación, corrección y elaboración de informes sobre la configuración y el cumplimiento en un solo panel.
• Gestión de claves: La gestión de claves es esencial para garantizar la confidencialidad e integridad de los datos y las transacciones financieras. KeyControl de Entrust ayuda a gestionar los activos criptográficos a lo largo del ciclo de vida, impidiendo el acceso no autorizado a los sistemas de ICT.
• Gestión de identidad y acceso: Identity as a Service de Entrust es una plataforma inteligente que agiliza la autenticación, la autorización y el control de acceso de los usuarios. Conecte con sus consumidores a través de portales seguros, comprobación de identidad y mucho más.
• Infraestructura de clave pública (PKI): La PKI de Entrust ayuda a proporcionar un marco para la autenticación y las comunicaciones seguras, utilizando certificados digitales para verificar entidades y cifrar datos.