El rápido avance de las nuevas tecnologías, hace que, prácticamente a la misma velocidad, aumente también el riesgo de ciberataques. En este sentido, se antoja de vital importancia reforzar la seguridad de las TIC, las Tecnologías de la Información y la Comunicación.
Una tarea en la que está implicada de lleno la Unión Europea, tocando diferentes ámbitos que se pueden ver afectados con problemas de ciberseguridad. Por ello, son varias las leyes y normativas que se están creando o actualizando para poder regular consecuentemente este tipo de operativas.
Y precisamente, nuestro contenido destacado del mes, Ley DORA. El Reglamento de Resiliencia Operativa Digital, es una de ellas. ¿Quieres saber de qué se trata y cómo debes implementarla en tu empresa? Sigue leyendo que te lo contamos.
¿Qué es la Ley DORA?
Como te hemos adelantado, ante el riesgo cada vez mayor de ciberataques, la UE está reforzando la seguridad de las TIC de los bancos, compañías de seguros y empresas de servicios de inversión. Por ello, dentro de esas medidas, se ha aprobado el Reglamento de Resiliencia Operativa Digital (DORA), que incide en los requerimientos establecidos en las Guías supervisoras del Banco de España sobre TIC y Outsourcing, añadiendo nuevos requisitos o reforzando algunos de los ya existentes.
En resumen, DORA es un reglamento que crea un marco vinculante y exhaustivo para la gestión de los riesgos de las tecnologías de la información y la comunicación en el sector financiero de la UE, estableciendo las normas técnicas que las entidades financieras y sus proveedores de servicios tecnológicos deben implantar en sus sistemas TIC antes del 17 de enero de 2025.
Objetivos
El objetivo de esta normativa es garantizar que el sector financiero en Europa sea capaz de responder sólidamente ante una disrupción operativa severa, creando un marco sobre resiliencia digital mediante el que todas las entidades puedan afrontar, responder y recuperarse de todo tipo de perturbaciones y amenazas relacionadas con las TIC.
Con DORA, la UE pretende establecer un marco universal para gestionar y mitigar el riesgo de las TIC en el sector financiero. Al armonizar las normas de gestión de riesgos en toda la UE, se eliminarán eliminar las lagunas, solapamientos y conflictos que podrían surgir entre normativas dispares de los distintos países.
Aplicación
DORA se aplica a todas las instituciones financieras de la UE. Es decir, entidades financieras tradicionales, como bancos, empresas de inversión e instituciones de crédito, y entidades no tradicionales, como proveedores de servicios criptoactivos y plataformas de financiación colectiva.
Además, también afecta a proveedores de servicios externos como los proveedores de servicios en la nube y los centros de datos. El reglamento también afecta a las empresas que prestan servicios esenciales de información, como los servicios de calificación crediticia y los proveedores de análisis de datos.
Su aplicación será responsabilidad de las autoridades competentes de cada estado miembro de la UE, que pueden solicitar que las entidades financieras adopten medidas de seguridad específicas y corrijan las vulnerabilidades. También podrán imponer sanciones administrativas y, en algunos casos, penales, a las entidades que no las cumplan.
Los proveedores TIC serán supervisados directamente por supervisores principales, que podrán exigir medidas de seguridad y reparación y sancionar a los proveedores que no las cumplan. Los proveedores pueden ser multados diariamente durante un máximo de seis meses hasta que cumplan la normativa.
Requisitos
Este nuevo reglamento, establece requisitos técnicos para entidades financieras y proveedores de TIC en cuatro dominios:
- Gestión de riesgos y gobernanza de las TIC
- Respuesta a incidentes e informes
- Pruebas de resiliencia operativa digital
- Gestión de riesgos de terceros
Los requisitos se aplicarán de forma proporcional, lo que significa que las entidades más pequeñas no estarán sujetas a las mismas normas que las grandes instituciones financieras.
En definitiva, las entidades financieras deben establecer procesos para aprender de los incidentes relacionados con las TIC. De esta manera, el DORA alienta a las entidades a participar en acuerdos voluntarios de intercambio de inteligencia sobre amenazas. Eso sí, cualquier información que se comparta debe seguir estando protegida por las directrices pertinentes.
El contenido que necesitas para formar en la Ley DORA
Como ves, una Ley de suma importancia para garantizar la seguridad en el plano financiero y más hoy día, donde prácticamente cualquier transacción o movimiento bancario se realiza a través de internet.
Por ello, hemos lanzado un nuevo contenido para dar a conocer e implementar las implicaciones del Reglamento DORA en el desarrollo de la actividad financiera. DORA, el Reglamento de Resiliencia Operativa Digital. ADGN25
Un contenido que, además, permitirá también explorar en profundidad la aplicación de la nueva tecnología digital a las actividades financieras, examinando la evolución y la transformación del sector bancario a nivel global y su impacto en la rentabilidad y generación de ingresos de las instituciones financieras.
Si el contenido resulta de utilidad y te gustaría incorporarlo al catálogo de tu centro de formación, no dudes en contactar con nosotros a través de este formulario y nos ponemos manos a la obra para implementarlo y ayudarte en cualquier necesidad que te pueda surgir.
Deja tu comentario