A medida que las empresas e instituciones financieras dependen cada vez más de la tecnología digital, aumenta el potencial de los ciberataques.
Y en respuesta a esta creciente amenaza, la Unión Europea ha publicado, en septiembre del 2020, un borrador del nuevo reglamento para mejorar la protección de sus operaciones digitales.
¿Cuál es la finalidad de este reglamento, a quiénes afecta y cuáles son sus requisitos? En este artículo analizaremos cada una de estas preguntas a fondo.
Lo primero: ¿Qué es DORA?
El reglamento de resiliencia operativa digital, también conocido por sus siglas como DORA, es una nueva ley de la Unión Europea que regula la gestión del riesgo digital por parte de las empresas financieras.
¿Cuál es su finalidad?
Se ha hablado mucho de los objetivos de esta norma tanto en la misma propuesta, como en exposiciones posteriores. Sin embargo, sus objetivos se pueden resumir de la siguiente manera:
- Establecer una norma en común: Esta norma pretende contar con todas las disposiciones relacionadas con el riesgo del TIC (Tecnologías de información y comunicaciones) incluyendo la externalización de estos servicios.
- Crear un entorno más seguro: DORA contribuirá a crear un entorno más seguro para las transacciones financieras. En otras palabras, esta norma dificultará que los delincuentes aprovechen las vulnerabilidades digitales para cometer delitos financieros.
¿A quiénes afecta?
La norma DORA aplica única y exclusivamente en el sector financiero de la Unión Europea. Por esa razón, se incluyen las entidades de crédito, las empresas de inversión, las entidades de dinero electrónico, los proveedores de servicios de pago y otros proveedores de servicios auxiliares.
Los requisitos requeridos según el borrador de la norma
El reglamento tiene varios requisitos propuestos dirigidos a las empresas financieras. Los más relevantes se pueden resumir en los siguientes:
Gestión de riesgos
Cada empresa debe contar con un sistema de gestión de riesgos completo y eficaz para identificar, evaluar, supervisar y controlar los riesgos asociados a sus operaciones digitales.
Notificación de incidentes
Las empresas deben disponer de procedimientos para garantizar que cualquier incidente que pueda afectar a sus operaciones digitales se comunique rápidamente a las autoridades competentes.
Pruebas de ciber-resiliencia
Las empresas financieras deben realizar pruebas periódicas de sus operaciones digitales para asegurarse de que son resistentes a los ataques y de que estas puedan recuperarse rápidamente en caso de incidente.
Riesgo de terceros en materia de TIC:
Las empresas financieras deben tener en cuenta los riesgos que supone su dependencia de terceros proveedores de TIC a la hora de evaluar y gestionar los riesgos de sus operaciones digitales.
Intercambio de inteligencia:
Las empresas financieras podrán cooperar entre sí y con las autoridades competentes para compartir información sobre incidentes y tendencias de los riesgos digitales.
¿Desde cuándo entrará en vigencia?
Como se sabe, la Comisión Europea presentó este proyecto en el 2020, sin embargo, todavía se encuentra en un proceso de mejora constante mediante los diálogos pertinentes.
Y si bien la primera fecha para su aprobación había sido especulada para el 2022, ahora es más probable que el reglamento entre en vigor en 2024.
Si quieres mas información sobre este tema no te pierdas el webinar que tenemos programado para el día 23 de junio https://gestyfor.es/ponencia/334/
Es posible que te interese nuestra oferta formativa. Siendo el conocimiento el combustible del cerebro, GestyFor es el espacio para fomentar el intercambio de conocimientos, echa un vistazo aquí
