Información Reglamento DORA (DGSFP)
Reglamento de Resiliencia Operativa Digital (DORA)
El Reglamento de la UE entró en vigor el 16 de enero de 2023 y se aplicará a partir del 17 de enero de 2025.
Su objetivo es reforzar la seguridad informática de entidades financieras como bancos, compañías de seguros y empresas de inversión y garantizar que el sector financiero en Europa pueda mantener su resiliencia en caso de perturbaciones operativas graves. Armoniza las normas relativas a la resiliencia operativa del sector financiero aplicables a veinte tipos diferentes de entidades financieras y proveedores terceros de servicios de TIC.
Las tres Autoridades Europeas de Supervisión (la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ) y la Autoridad Europea de Valores y Mercados (AEVM)) están preparando un conjunto de productos estratégicos para permitir la aplicación del DORA.
¿Por qué se necesita DORA?
El sector financiero depende cada vez más de la tecnología y de las empresas tecnológicas para prestar servicios financieros. Esto hace que las entidades financieras sean vulnerables a ciberataques o incidentes.
Cuando no se gestionan adecuadamente, los riesgos relacionados con las TIC pueden dar lugar a perturbaciones de los servicios financieros que se ofrecen a través de las fronteras. Esto, a su vez, puede tener un impacto en otras empresas, sectores e incluso en el resto de la economía, lo que subraya la importancia de la resiliencia operativa digital del sector financiero.
¿Qué cubre?
| Gestión del riesgo relacionado con las TIC | Gestión de riesgos de terceros relacionados con las TIC | Pruebas de resiliencia operativa digital |
| Principios y requisitos sobre el marco de gestión del riesgo relacionado con las TIC | Monitoreo de proveedores de riesgo de terceros Disposiciones contractuales clave |
Pruebas básicas y avanzadas |
| Incidentes relacionados con las TIC | Intercambio de información | Supervisión de proveedores terceros críticos |
| Requisitos generales Notificación de incidentes graves relacionados con las TIC a las autoridades competentes |
Intercambio de información e inteligencia sobre ciberamenazas | Marco de supervisión para proveedores terceros esenciales de TIC |
Enlaces de Interés
REGLAMENTO DORA (BOE)
https://www.boe.es/buscar/doc.php?id=DOUE-L-2022-81962
Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ) – Información del reglamento DORA
https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en
Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ) – Publicaciones del reglamento DORA
https://www.eiopa.europa.eu/publications_en?f%5B0%5D=oe_publication_title%3ADORA
Estado de implementación del Reglamento DORA
https://tools.eba.europa.eu/interactive-tools/2024/powerbi/dora_visualisation.html
Desarrollo del Reglamento DORA (RTS Regulatory Technical Standards e ITS Implementing Technical Standards)
- Regulatory Technical Standards on ICT risk management framework and on simplified ICT risk management framework
- Regulatory Technical Standards on criteria for the classification of ICT-related incidents
- Implementing Technical Standards to establish the templates for the register of information
- Regulatory Technical Standards on the policy on ICT services supporting critical or important functions provided by ICT third-party service providers
- Joint Regulatory Technical Standards on the harmonisation of conditions enabling the conduct of the oversight activities
- Joint Regulatory Technical Standards on subcontracting ICT services supporting critical or important functions
- Joint Technical Standards on major incident reporting
- Joint Regulatory Technical Standards specifying elements related to threat led penetration tests
- Discussion paper on two delegated acts specifying further criteria for critical ICT third-party service providers (CTPPs) and determining oversight fees levied on such providers
- ESAs Report on the landscape of ICT third-party providers in the EU
28/10/2024®Fuente: GestyFor
