Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

¿Qué es el reglamento DORA?

Fecha de publicación 02/04/2024
Autor
Juan Delfín Peláez Álvarez (INCIBE)
Reglamento DORA

El reglamento DORA (Digital Operational Resilience Act) es una regulación de la Unión Europea que tiene como objetivo mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, específicamente en relación con los riesgos relacionados con las tecnologías de la información y la comunicación (TIC).

Con la implementación de DORA, las entidades financieras deben establecer requisitos para la gestión de incidentes de ciberseguridad con el fin de proteger, detectar, contener, recuperar y reparar incidentes relacionados con las TIC.

DORA establece unos requisitos y obligaciones específicos para la gestión del riesgo de las TIC, la notificación de incidentes, la realización de pruebas de resiliencia operativa, el establecimiento de acuerdos de intercambio de ciberamenazas y la monitorización del riesgo de la cadena de suministro de las entidades financieras.

Este reglamento reconoce que los incidentes de ciberseguridad y la falta de resiliencia operativa tienen la posibilidad de poner en peligro la solidez de todo el sistema financiero.

¿Qué requisitos establece DORA para las entidades financieras?

DORA establece requisitos específicos en cuatro dominios principales:

  1. Gestión y gobernanza del riesgo de TIC: las entidades financieras deben desarrollar marcos integrales de gestión del riesgo de las TIC, identificando y clasificando activos críticos, realizando evaluaciones continuas de riesgos y estableciendo medidas de ciberseguridad adecuadas. El órgano de dirección de las entidades financieras será el responsable de definir las estrategias de gestión del riesgo y podrá ser responsable personalmente por el incumplimiento de la regulación.
  2. Notificación de incidentes: las entidades financieras deben establecer sistemas para monitorear, administrar, registrar, clasificar e informar incidentes relacionados con las TIC. Deben presentar informes a las autoridades competentes y a los clientes y socios afectados sobre incidentes graves, proporcionando informes iniciales, intermedios y finales, y, con carácter voluntario, incidentes importantes.
  3. Pruebas de resiliencia operativa digital, e intercambio de amenazas: las instituciones financieras deben probar regularmente sus sistemas de TIC para evaluar su fortaleza y detectar vulnerabilidades. Las pruebas incluyen evaluaciones de vulnerabilidades y pruebas basadas en escenarios, así como pruebas de penetración con amenazas especificas dirigías a entidades financieras. Igualmente, se deben establecer acuerdos de intercambio de información e inteligencia en relación con las ciberamenazas y las vulnerabilidades de ciberseguridad entre las entidades financieras.
  4. Gestión de riesgos de terceros: las instituciones financieras deben asumir un papel activo en la gestión del riesgo de terceros de TIC, estableciendo acuerdos contractuales específicos y mapeando dependencias de la cadena de suministro. Los proveedores de servicios de TIC críticos también estarán sujetos a supervisión directa y deberán cumplir con los requisitos de DORA.

¿Qué entidades financieras están afectadas por DORA?

DORA aplica a una amplia gama de entidades dentro del sector financiero de la Unión Europea. Algunas de las entidades afectadas incluyen:

  1. Bancos: tanto bancos comerciales como bancos de inversión.
  2. Compañías de seguros: compañías que ofrecen servicios de seguros de diferentes tipos.
  3. Gestores de fondos: entidades que administran y gestionan fondos de inversión.
  4. Sociedades de valores: empresas que ofrecen servicios de intermediación y negociación de valores.
  5. Plataformas de negociación: plataformas electrónicas que facilitan la compra y venta de instrumentos financieros.
  6. Proveedores de servicios de compensación y liquidación de valores: entidades encargadas de la compensación y liquidación de transacciones de valores.
  7. Agencias de calificación crediticia: entidades que emiten evaluaciones y calificaciones sobre la solvencia crediticia de entidades financieras y emisores de valores.

¿Cómo, cuándo y a quién deben de notificar un incidente las entidades afectadas por DORA?
 

Las entidades financieras deben seguir los siguientes pasos para notificar un incidente:

  1. Identificación del incidente: la entidad financiera debe tener procedimientos internos establecidos para identificar, rastrear, registrar, categorizar y clasificar todos los incidentes relacionados con las TIC. Es importante disponer de mecanismos adecuados para detectar y evaluar los incidentes de manera efectiva, así como realizar un seguimiento, tratamiento y respuesta coherentes. 
    Además, es fundamental documentar y abordar las causas subyacentes de los incidentes para prevenir su recurrencia.
  2. Evaluación de la gravedad: la entidad financiera debe realizar una evaluación de la gravedad o importancia del incidente para determinar si es necesario realizar la notificación. Los incidentes considerados graves deben ser comunicados a los altos directivos pertinentes y al órgano de dirección, explicando sus repercusiones, las medidas adoptadas como respuesta y los controles adicionales que se prevé implantar como resultado de estos incidentes graves relacionados con las TIC.
    Los criterios de evaluación pueden incluir umbrales para determinar el impacto en los servicios financieros, como el número de clientes afectados, transacciones involucradas, alcance geográfico, y duración de la interrupción de las operaciones. Además, se debe considerar la taxonomía del incidente, el riesgo para los clientes y el impacto en la seguridad de la información en relación a la confidencialidad, integridad o disponibilidad de los datos.
  3. Notificación a la Autoridad de Supervisión Competente (ASC): la entidad financiera está obligada a informar sobre el incidente a la autoridad de supervisión competente correspondiente dentro el plazo establecido por DORA. La autoridad competente puede variar dependiendo del tipo de entidad financiera y su ámbito de actividad. En España, el Banco de España actúa como autoridad supervisora de las entidades de crédito. Además, INCIBE-CERT es uno de los equipos de respuesta ante incidentes de referencia que se coordina con otros equipos nacionales e internacionales.
  4. Contenido de la notificación: se requerirá una notificación Inicial, un informe intermedio, cuando la situación del incidente haya cambiado significativamente y un informe final con las conclusiones del análisis de la causa subyacente.
    La notificación debe incluir información relevante sobre la naturaleza del incidente, su impacto esperado o actual, las medidas adoptadas o previstas, y cualquier otra información solicitada por la autoridad de supervisión competente.

¿Qué tipo de sanciones y qué importes se prevén en el caso de incumplimiento?


El Reglamento DORA establece que las sanciones por incumplimiento pueden variar en su gravedad y cuantía, y que deben ser efectivas, proporcionadas y disuasorias. Sin embargo, el reglamento no especifica de manera específica los tipos de sanciones ni los importes exactos de las multas o restricciones operativas.

¿Qué plazos tiene el reglamento DORA?

Cronología:

  1. 16 de enero de 2023
    Entrada en vigor de DORA.
  2. 17 de enero 2023 a 16 de enero 2025
    Las entidades financieras tienen un plazo de dos años para cumplir los requisitos establecidos en el reglamento DORA.
  3. 17 de enero 2025
    Las entidades financieras tienen que estar cumpliendo los requisitos establecidos en el reglamento DORA.
    Inicio de las actividades de supervisión por las autoridades competentes.

INCIBE-CERT apuesta firme por el sector financiero 

INCIBE, a través de su área específica de sectores estratégicos, y en concreto desde el área de sector financiero desde 2023, busca fortalecer la relación con este sector mediante convenios de colaboración con asociaciones y empresas del sector financiero.

Entre los servicios ofrecidos por INCIBE-CERT a las organizaciones financieras, destacan: la ayuda y el apoyo en la gestión y respuesta a incidentes, la vigilancia y monitorización de sus activos, el intercambio de información de inteligencia contra ciber amenazas, la participación en ciber ejercicios para el entrenamiento de sus capacidades de ciberseguridad y la medición y mejora de la ciberresiliencia.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Línea de ayuda en ciberseguridad 017