La Ley de Resiliencia Operativa Digital -DORA- marca el último capítulo del impulso de los reguladores a la resiliencia operativa. La normativa, que introduce una serie de requisitos adaptados a las empresas financieras que operan en un mundo digital, fue adoptada oficialmente por la UE en enero de 2023, y las organizaciones afectadas tienen hasta 2025 para cumplirla.

Aunque las empresas de servicios financieros del Reino Unido y de algunos países de la UE han tenido que cumplir los requisitos de resistencia operativa durante algún tiempo, la aprobación del DORA es la primera vez que esta normativa se extiende a los proveedores de servicios de tecnología de la información y la comunicación (TIC) que apoyan las funciones críticas para los servicios empresariales importantes de una empresa. Las entidades financieras -como bancos, aseguradoras, entidades de crédito, empresas de inversión y proveedores de servicios de criptoactivos- tendrán ahora que asegurarse de que las políticas y procesos de sus proveedores de TIC cumplen los nuevos requisitos. Los proveedores de servicios, a su vez, deberán responder ante los reguladores de que se ajustan a las mismas normas que las empresas financieras.

La buena noticia es que muchos de los requisitos del DORA reflejan fielmente otras normativas sobre resiliencia operativa y las mejores prácticas del sector. Sin embargo, el calendario de aplicación es agresivo, y hay que tener en cuenta una serie de nuevos requisitos digitales y específicos de las TIC. Este es el momento de comprender qué se exige y qué acciones son necesarias para alinear tu gobernanza y tus prácticas con la Ley de Resiliencia Operativa Digital.

Los cinco pilares de DORA

La Ley de Resiliencia Operativa Digital se centra en cinco pilares relacionados con la resiliencia digital y cibernética. Estos pilares formalizan y normalizan los requisitos de terceros para las entidades financieras con el objetivo de construir un sistema financiero más resistente.

Gestión de riesgos de las TIC. Las empresas deben responsabilizarse plenamente de la gestión de los riesgos de las TIC instituyendo un marco de gobernanza y control de la resiliencia operativa digital. El marco debe incluir estrategias detalladas basadas en la tolerancia al riesgo que tengan en cuenta la identificación, prevención y detección del riesgo. Las empresas también deben demostrar que pueden responder y recuperarse de las perturbaciones y aprender y evolucionar a partir de los incidentes.

Notificación y clasificación de incidentes. El DORA establece una metodología estándar de clasificación de incidentes con criterios de duración, impacto y criticidad de los servicios afectados. Los incidentes significativos deben notificarse oportunamente a los reguladores. Este pilar pretende racionalizar una serie de obligaciones de notificación de incidentes existentes en la UE para las empresas de servicios financieros; sin embargo, muchas empresas tendrán que ampliar la forma en que evalúan el impacto cuantitativo y analizan las causas profundas para cumplir el DORA.

Pruebas de resiliencia operativa digital. Las empresas deben realizar pruebas exhaustivas de escenarios de seguridad y resistencia y abordar plenamente cualquier vulnerabilidad identificada por las pruebas. Las empresas más importantes también deben hacer que un probador independiente realice pruebas de penetración avanzadas a gran escala cada tres años en funciones críticas y proveedores de TIC.

Intercambio de información entre entidades financieras. Las directrices fomentan la colaboración entre las entidades financieras para concienciar sobre los riesgos de las TIC, minimizar la capacidad de propagación de la ciberdelincuencia y apoyar las estrategias de mitigación.

Riesgo de las TIC frente a terceros. Para ayudar a evitar una perturbación económica sistémica, las empresas deben supervisar el riesgo de los proveedores de tecnología a lo largo de toda la relación, utilizando prácticas sólidas de gestión del riesgo de terceros.

Cómo prepararse ahora para el DORA

Aunque gran parte del DORA se basa deliberadamente en la normativa existente, en un esfuerzo por armonizar las normas, su cumplimiento exigirá un esfuerzo considerable, y en un plazo breve. He aquí tres pasos para empezar:

  1. Realiza un análisis de carencias. ¿Qué disposiciones de la normativa sigues ya, y qué más hay que hacer para cumplirla? Muchos requisitos se centran en la gobernanza, el riesgo y el cumplimiento en torno a las funciones de las TIC, la recogida y notificación de incidentes y las pruebas de escenarios.
    .
    Identifica dónde están tus carencias y crea un plan con tareas específicas para subsanarlas.
  1. Coordínate con otras partes interesadas. Cualquiera que trabaje en el cumplimiento de la DORA querrá colaborar con los esfuerzos que se solapan en toda la organización, incluyendo:
    • Continuidad empresarial. El DORA exige una política integral de continuidad de la actividad de las TIC. La idea es basarse en las mejores prácticas existentes teniendo muy en cuenta los planes de continuidad de negocio y de recuperación de desastres informáticos, sobre todo en respuesta a un ciberataque. Adaptar los escenarios de pérdida de tecnología utilizados para la planificación, considerando simultáneamente cómo un ciberataque podría alterar la respuesta y la recuperación, puede ayudarte a prepararte de forma más holística para un ciberacontecimiento.
    • Resiliencia operativa. Las actividades de resiliencia operativa que identifican las funciones y procesos que respaldan los servicios empresariales críticos pueden ayudar a priorizar esas funciones en el marco del DORA. Las actividades de mapeo de extremo a extremo pueden proporcionar una ventana a los recursos vulnerables, incluidos los riesgos que podrían afectar a la disponibilidad de la tecnología y los sistemas TIC. Los tipos de pruebas exigidos por el DORA también pueden realizarse junto con las pruebas de escenarios exigidas por la resiliencia operativa. Las pruebas específicas de la tecnología podrían superponerse a los planes de pruebas de escenarios de resiliencia y utilizarse para corroborar que se está dentro de las tolerancias de impacto establecidas.
    • Gestión de riesgos de terceros. El DORA describe los pasos específicos que deben dar las organizaciones antes de entablar una relación con un tercero de TIC, como determinar si el proveedor prestará apoyo a funciones críticas/importantes y si el tercero podría agravar el riesgo de concentración. Esta es una oportunidad para colaborar con los equipos de continuidad, resiliencia y gestión de riesgos de terceros y aprovechar los resultados de un análisis de impacto empresarial o un mapeo de extremo a extremo para determinar la posible criticidad de un tercero. También hay requisitos en torno a la salida de contratos en determinadas circunstancias, lo que presiona a los proveedores de TIC para que mantengan el mismo nivel de seguridad que las instituciones financieras. Estos requisitos beneficiarán a los profesionales del riesgo, que a menudo tienen la poco envidiable tarea de identificar a un tercero o un riesgo de concentración, pero carecen de autoridad para impedir que la empresa entre en la relación.
    • Tecnología de la información. Las entidades financieras y sus proveedores de TIC deben mantener al menos un centro de procesamiento secundario con una dotación de recursos acorde con las necesidades de la empresa. El sitio secundario debe estar separado geográficamente, ser capaz de continuar con los servicios críticos y ser accesible al personal.
  1. Traza tu plan de comunicación de crisis. El DORA esboza disposiciones específicas en torno a las comunicaciones de crisis en torno a una interrupción significativa. Los planes de comunicación deben tener en cuenta tanto al personal técnico como al no técnico e identificar a los portavoces públicos. También se exige a las empresas que dispongan de una función de gestión de crisis para coordinar las actividades. Esto codifica las mejores prácticas que muchas organizaciones ya siguen para mantener una estructura de mando y control durante una interrupción que no esté compuesta únicamente por personal técnico.

Aunque el DORA pueda parecer otra normativa cibernética más, en realidad es un punto de inflexión que obligará a las organizaciones a considerar el riesgo tecnológico de nuevas formas y a aprovechar la fuerza de otras disciplinas de riesgo, como la continuidad empresarial, la resistencia operativa y la gestión del riesgo de terceros. Adoptar un enfoque global y holístico ayudará a mejorar la resistencia general de tu organización, así como del sector financiero en su conjunto.

Cumplir la Ley de Resiliencia Operativa Digital es tu oportunidad para acelerar el cambio estratégico en la forma de gestionar el riesgo digital. Y no te demores: enero de 2025 llegará enseguida.

Para saber más sobre la resistencia, descárgate nuestro libro blanco, Resistencia operativa: Navegar por el panorama normativo mundial, y echa un vistazo al software Riskonnect de Continuidad de Negocio y Resiliencia.