La nueva ley de resiliencia operativa digital (DORA) para el sector financiero en Europa. A continuación, se resumen los puntos clave:

Objetivo de DORA:

• Mitigar los riesgos de la transformación digital en el sector financiero.

• Establecer reglas comunes de resiliencia operativa digital en toda Europa.

• Beneficiar al sector financiero, los ciudadanos y los usuarios de servicios financieros.

Alcance de DORA:

• Afecta a todas las entidades financieras, proveedores de servicios y supervisores.

• Entra en vigor el 17 de enero de 2025, con un año de transición en 2024.

• Es la regulación más amplia en cuanto a gestión de resiliencia operativa, notificación de incidentes y pruebas de resiliencia.

Puntos clave de la ley:

• Gestión del riesgo relacionado con las TIC:

  • El órgano de dirección de la entidad financiera es el responsable final.

  • Se basa en el marco de ciberseguridad NIST, con enfoque en identificar, proteger, detectar, responder, recuperar, aprender y evolucionar.

• Gestión y notificación de incidentes:

  • Procedimiento obligatorio para identificar, clasificar y notificar incidentes relacionados con las TIC.

  • Notificación única a la autoridad competente nacional.

  • Posible centro único de recepción de incidentes en el futuro.

• Pruebas de resiliencia operacional:

  • Obligatorias para todas las entidades financieras, con proporcionalidad según el tamaño y la criticidad.

  • Pruebas básicas anuales para sistemas y aplicaciones críticos.

  • Pruebas avanzadas con enfoque orientado a amenazas para entidades designadas.

• Gestión de riesgos relacionados con terceros:

  • Inspirado en las directrices de la EBA sobre externalización.

  • Se exige una política, estrategia, registro de acuerdos, notificación previa a las autoridades, diligencia debida, cláusulas de terminación y estrategias de salida.

  • Requisitos específicos para contratos con terceros, especialmente para funciones críticas o esenciales.

  • Derechos ilimitados de acceso, inspección y auditoría para la entidad financiera y la autoridad competente.

• Supervisión de proveedores TIC críticos:

  • Nuevo marco de supervisión directa por parte de las autoridades.

  • Designación anual de proveedores críticos.

  • Supervisor principal para cada proveedor.

  • Foro de supervisión con seguimiento continuo y equipos de desarrollo.

  • Procedimiento sancionador y riesgo reputacional para proveedores con carencias.

Próximos pasos:

• Publicación del primer conjunto de estándares técnicos e implementación.

• Finalización del segundo conjunto de estándares para el 17 de junio de 2024.

Conclusión:

DORA representa un cambio significativo en la gestión de la resiliencia operativa digital en el sector financiero europeo. Las entidades financieras y los proveedores de servicios deben prepararse para cumplir con los nuevos requisitos y colaborar para fortalecer la resiliencia del sector en su conjunto.