Regulación DORA: qué es y qué requisitos solicita la Ley de Resiliencia Operativa Digital

El Reglamento sobre Resiliencia Operativa Digital o Regulación DORA (por sus siglas en inglés) se publicó en diciembre de 2022. Su objetivo es aumentar los niveles de ciberseguridad en las organizaciones del sector financiero que operan en la Unión Europea.

Enero de 2025 es la fecha de aplicabilidad total de la Regulación DORA. Por ello, es un buen momento para hablar de lo que es exactamente, qué solicita, cuál es su estructura y cómo contribuye a la resiliencia operativa digital y a la confianza digital de un buen número de empresas en la UE.

Qué es la Regulación DORA

Lo más importante que hay que conocer sobre la Regulación DORA es que se trata de un reglamento, no de una directiva, al igual que la reciente Ley de Ciberresiliencia de la UE.

Esto significa que, tras la fecha estipulada de su entrada en vigor, tiene alcance directo e inmediato sobre todas las entidades financieras de la Unión Europea. No tienen que mediar para ello leyes, decretos regulatorios o cualquier otro tipo de reglamento en cada país o en alguna región en particular.

La Regulación DORA entrega requisitos, de obligatorio cumplimiento, para garantizar la ciberseguridad y la resiliencia operativa digital en las organizaciones del sector financiero europeo. Por su carácter de reglamento, modifica otros de su mismo nivel jurídico con objetivos similares o relacionados, como CE 1060/2009, UE 648/2012, UE 600/2014, UE, 909/2014 y UE 2016/1011.

Cuál es la importancia de la Regulación DORA

El Fondo Monetario Internacional, en su boletín anual de 2019, clasificó el riesgo de ciberataque como el más lesivo y el de más alta recurrencia en organizaciones del sector financiero. Como consecuencia, el FMI solicita a los Estados miembros crear y utilizar las medidas de salvaguardia necesarias para minimizar o eliminar el riesgo, entendiendo que la vulnerabilidad del sector financiero es un riesgo de seguridad nacional.

Es la razón por la que la Unión Europea inició el trabajo de creación de un reglamento que provee marcos y orientaciones para que las empresas del sector puedan tratar con efectividad el riesgo de ciberataque. Así, la Regulación Dora estandariza el nivel de ciberseguridad y resiliencia operativa digital en todos los países de la UE.

Se aplica a todas las organizaciones del sector financiero. Más allá de bancos, también incluye compañías de seguros, proveedores de tecnología para las empresas del sector, agencias de calificación crediticia, instituciones de dinero electrónico, empresas de inversión y otras varias que no son bancos, pero que operan en el sector financiero.

Cuál es la línea de tiempo de la Regulación DORA

DORA ha seguido una línea de tiempo desde su concepción hasta su entrada en pleno vigor. La línea de tiempo se resume así:

Estructura de la Regulación DORA

La estructura de DORA está conformada por 64 artículos que se distribuyen en nueve capítulos de la siguiente manera:

• I – Disposiciones generales.
• II – Gestión de riesgos TIC
• III – Gestión, clasificación y notificación de incidentes relacionados con las TIC.
• IV – Pruebas de resiliencia operacional digital.
• V – Gestión de terceros en las TIC.
• VI – Acuerdos de intercambio de información.
• VII – Autoridades competentes.
• VIII – Actos delegados.
• IX – Disposiciones transitorias y finales.

Cómo se implementa la Regulación DORA

Existe cierta similitud en la implementación de la regulación con la tarea análoga que se desarrolla para adoptar algunos estándares de gestión o marcos de trabajo. En resumen, los pasos serían los siguientes:

1. Análisis de brechas.
2. Liderazgo y apoyo de la Alta Dirección.
3. Configuración de la gestión de proyectos.
4. Formación y capacitación.
5. Creación de esquema de gobernanza.
6. Diseño e implementación de un marco de gestión de riesgos de las TIC.
7. Identificación de activos, evaluación de riesgos y diseño de opciones de tratamiento.
8. Redacción y aprobación de estrategia de resiliencia Operativa digital.
9. Implementación de medidas de ciberseguridad.
10. Implementación de medidas de resiliencia.
11. Establecimiento de gestión de riesgos de terceros de TIC.
12. Diseño de programa de formación periódica en ciberseguridad.
13. Configuración de la clasificación y los informes de incidentes y amenazas.
14. Establecimiento de pruebas periódicas de resiliencia operativa digital.
15. Configuración de la medición, seguimiento y revisiones.
16. Realización de auditorías internas.
17. Realización de revisiones periódicas de gestión.
18. Ejecución de acciones de seguimiento y de acciones correctivas.

Qué relación existe entre la Regulación DORA, ISO 27001 e ISO 22301

Aunque la Regulación DORA no menciona, solicita o establece relación alguna con la norma ISO 27001 o ISO 22301, es evidente que los objetivos de estos dos estándares serán de gran utilidad para las organizaciones que necesiten cumplir con DORA.

Los objetivos de ISO 27001 (seguridad de la información) y de ISO 22301 (continuidad del negocio), sin duda, podrán apoyar el cumplimiento de lo solicitado en el capítulo II y en la Norma Técnica CDR 2024-1774.

El artículo 28 de DORA exige que las entidades financieras solo pueden celebrar acuerdos contractuales con proveedores de servicios de TIC que cumplan con estándares de seguridad de la información reconocidos, certificados y aprobados. De ahí que puedan encontrar en la certificación ISO 27001 de las organizaciones con las que planean contratar un documento suficiente para el cumplimiento de la exigencia.

Se espera que la entrada en pleno vigor de DORA, el 17 de enero de 2025, venga acompañada de una explosión de solicitudes para certificar ISO 27001, en primera instancia, y de ISO 22301, más adelante.

Software ISO 27001

El Reglamento DORA puede ser un primer paso en la generación y publicación de regulaciones que busquen objetivos similares en otros sectores de la economía. Como se anticipa, el número de certificaciones ISO 27001 crecerá de forma exponencial en los siguientes dos años.

El Software ISO 27001 es un desarrollo tecnológico avanzado que integra Inteligencia Artificial y Big Data, para entregar soluciones efectivas que automatizan un Sistema de Gestión de Seguridad de la Información basado en la norma ISO.

Se trata de un producto diseñado para ayudar a las organizaciones a alcanzar el cumplimiento, asegurar la certificación e impulsar el logro de objetivos de la gestión. Para conocer en profundidad las funcionalidades y características del software solo tienes que contactar sin compromiso con nuestros asesores.