Ley de resiliencia operativa digital (DORA)

Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital para el sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011 (DORA).

El Reglamento (UE) 2022/2554, conocido como Ley de Resiliencia Operativa Digital (DORA), es un marco global destinado a garantizar que el sector financiero de la UE pueda resistir y recuperarse de las perturbaciones relacionadas con las TIC. Las secciones clave incluyen requisitos para las TIC riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) gestión, incidenteIncidente Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de información o accesibles a través de ellos". Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) la presentación de informes, las pruebas de resistencia operativa y la gestión de riesgos de terceros. El DORA también establece un marco reglamentario de supervisión de terceros críticos. Servicio TICServicio TIC Se entiende un servicio que consiste total o principalmente en la transmisión, el almacenamiento, la recuperación o el tratamiento de información por medio de redes y sistemas de información - Definición según el artículo 2, punto (13), Reglamento (UE) 2019/881 proveedores. Consolida y actualiza las normas sobre riesgos de las TIC en diversas normativas, fomentando la coherencia, la seguridad jurídica y la reducción de los costes de cumplimiento para las entidades financieras que operan a escala transfronteriza.

Estructura y secciones principales

  1. Disposiciones generales. Esta sección describe el ámbito de aplicación y los objetivos del DORA, que se aplica a una amplia gama de entidades financieras, incluidos bancos, empresas de inversión y entidades de pago. Define los términos clave y establece la base jurídica de la normativa, haciendo hincapié en la necesidad de un enfoque uniforme de la resiliencia digital en toda la UE.
  2. Gestión de riesgos de las TIC. Esta sección ordena que las entidades financieras implementen marcos integrales de gestión de riesgos de TIC. Estos marcos deben cubrir todos los aspectos del riesgo de las TIC, incluida la identificación, protección, detección, respuesta y recuperación. Las entidades deben revisar y actualizar periódicamente sus estrategias de gestión de riesgos para hacer frente a la evolución de las amenazas.
  3. Notificación de incidentes relacionados con las TIC. El DORA exige a las instituciones financieras que establezcan procedimientos claros para notificar incidentes significativos relacionados con las TIC. Esto incluye incidentes que tengan un impacto sustancial en el entidadEntidad Persona física o jurídica creada y reconocida como tal en virtud de la legislación nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)La información oportuna a las autoridades competentes es crucial para coordinar las respuestas a escala de la UE. La notificación oportuna a las autoridades competentes es crucial para coordinar las respuestas a escala de la UE.
  4. Pruebas de resistencia operativa digital
    Las entidades financieras deben realizar pruebas periódicas de resistencia operativa digital, incluidas pruebas de penetración dirigidas por amenazas (TLPT). El objetivo es evaluar la eficacia de su gestión del riesgo de las TIC y su preparación ante posibles ciberamenazas. Las entidades identificadas como críticas deben someterse a pruebas más estrictas bajo la supervisión de las autoridades competentes.
  5. Intercambio de información. El DORA fomenta el intercambio de información sobre ciberamenazas y vulnerabilidades entre las entidades financieras. Esta cooperación tiene como objetivo mejorar la resistencia colectiva al permitir a las entidades aprender de las experiencias de los demás y prepararse mejor para posibles amenazas.
  6. Gestión de riesgos de terceros. Esta sección regula el uso de terceros proveedores de servicios TIC, reconociendo los riesgos asociados a la externalización de funciones críticas. Se exige a las entidades financieras que supervisen y gestionen los riesgos derivados de los proveedores externos, garantizando que estos proveedores cumplan estrictas normas de resistencia. Los proveedores de TIC críticas también pueden estar sujetos a la supervisión directa de los reguladores de la UE.
  7. Medidas de supervisión y sanciones. El DORA otorga a las autoridades de supervisión la facultad de exigir su cumplimiento e imponer sanciones por incumplimiento de la normativa. Esta sección esboza el marco de supervisión, detallando las competencias de las autoridades nacionales y europeas para garantizar que las entidades financieras cumplan los requisitos. Las sanciones pueden ser importantes, lo que refleja la gravedad del incumplimiento.

El Reglamento pretende crear un planteamiento armonizado de la resistencia operativa digital, garantizando que los sistemas financieros de la UE sean sólidos, seguros y capaces de soportar perturbaciones relacionadas con las TIC.

Lista de control de riesgos de la cadena de suministro NIS 2

Descargue nuestra lista gratuita de comprobación de riesgos en la cadena de suministro NIS2 para asegurarse de que su organización cumple las últimas normativas. ciberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) "ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881; normas de cumplimiento sin esfuerzo.