martes, octubre 14, 2025
Lo último:
COBERTURA #87Internacionales

Marco de cumplimiento de la DORA

Valeria Díaz Zettelmann

El Parlamento Europeo ha promulgado la Ley de Resiliencia Operativa Digital (DORA por sus siglas en inglés) en 2022, para dar impulso a los proveedores de servicios financieros en la aplicabilidad de procedimientos operativos, de políticas, de capacidades de ciberseguridad y de controles sólidos para la garantía de continuidad de funcionamiento del mundo financiero, incluso ante ciberataques u otras interrupciones significativas. Conlleva nuevas obligaciones de gran alcance en materia de gestión de contratos,de respuesta a incidentes y de presentación de informes,  diligencia debida y de planificación de la continuidad de las actividades.

A partir del 17 de enero de 2025, los proveedores de servicios financieros con operaciones o clientes en la Unión Europea, deberán cumplir los requisitos de la DORA, en caso de alcanzar umbrales específicos: EUR120.000 millones  (unos US$130.000 millones) en operaciones de pago para las entidades de dinero electrónico (o EUR40.000 millones en valor total del importe del dinero electrónico en circulación); EUR500 millones de  (US$540 millones) en primas brutas para las entidades de seguros y de  reaseguros; o bien deberán contar con la mayor cuota de mercado nacional o con el 5% a nivel europeo para las plataformas de negociación.

Cada Estado miembro de la UE determinará sus propias sanciones por incumplimiento de la DORA, si bien las económicas podrían llegar al 1% de los ingresos medios diarios globales de una empresa. Asimismo, podrían incluirse sanciones penales.

Si bien la lista de entidades a las que afecta la DORA abarca a bancos, a empresas de tarjetas de crédito y a plataformas de crowdfunding, no se detiene en las organizaciones financieras. La DORA también pretende el refuerzo de los agentes de apoyo, como los proveedores externos de tecnologías de la información y de la comunicación (TIC), y las prestadoras de servicios a las organizaciones de servicios financieros.

Requisitos para cumplir con la DORA

Según la DORA, las organizaciones financieras deben disponer de un «marco de gestión de riesgos TIC sólido, completo y bien documentado» para la rápida localización y mitigación de los riesgos digitales. Asimismo, existen seis áreas clave que deberán ser cumplimentadas por las empresas en los próximos meses, respecto de la reducción del riesgo de terceros:

  • Diligencia debida: se deberán establecer procedimientos para la evaluación cuidadosa de la resiliencia operativa, de las prácticas de seguridad y del cumplimiento normativo, tanto pasado como presente, de todos los proveedores. Esta diligencia debida deberá realizarse previamente a la firma de los contratos con nuevos proveedores, debiendo, asimismo, continuar a través de la supervisión y de las revisiones rutinarias para la garantía del mantenimiento de los estándares designados para la resiliencia operativa de los proveedores.
  • Gestión de contratos: la DORA estipula funciones y responsabilidades definidas, expectativas de notificación de incidentes, derechos de auditoría definidos y formación obligatoria sobre resiliencia operativa en los contratos con proveedores de TIC. Asimismo,  deben estipular la subcontratación permitida para la garantía de la operatoria resiliente del proveedor .
  • Registros de proveedores: Como parte de los requisitos de información de la ley, las empresas financieras deberán mantener un registro actualizado de todos los proveedores bajo contrato, detallando el tamaño de las obligaciones contractuales, entre otras características pertinentes. Las empresas deberán entregar estos registros a los reguladores en caso de necesidad. 
  • Notificación de incidentes: Las organizaciones deberán informar, sin demora, a las autoridades pertinentes ante cualquier incidente perturbador significativo en el que estén implicados terceros proveedores. Adicionalmente, se deberá exigir a estos proveedores su colaboración  en cualquier investigación reguladora derivada de un incidente de este tipo. Esta es una de las razones por las que los derechos de auditoría son una parte importante de la gestión de contratos, al momento de cumplimentar la DORA, al igual que las disposiciones que obligan a los vendedores a informar cualquier incidente que pudiera comprometer los datos de los clientes.
  • Pruebas: Las empresas deberán realizar pruebas frecuentes en los procedimientos de gestión de riesgos de terceros en virtud de la DORA. Los simulacros que presentan escenarios de catástrofe o de interrupciones más rutinarias son importantes para la determinación de la eficacia de los controles y de los  procesos internos para el mantenimiento de una organización de servicios financieros resiliente. Asimismo, auditorías formales de los programas de riesgo podrán ser exigidas. 
  • Planificación de la continuidad del negocio: En caso del fallo de un proveedor, la DORA exigirá a las empresas tener a disposición  un plan de continuidad de las operaciones, que incluiría proveedores alternativos ya evaluados o  bajo contrato en caso que se deba sustituir a un proveedor que haya sufrido una interrupción o que se encuentre comprometido. 

Pasos para el cumplimiento de los requisitos de la DORA

Ante la reducción del plazo para la aplicación de las disposiciones de cumplimiento de la DORA por parte de las organizaciones de servicios financieros, las empresas deberán abordar los siguientes pasos clave:

  • Determinación de la persona a cargo del cumplimiento de la DORA: La centralización en la ciberseguridad y en otros tipos de gestión de riesgos de la DORA, obligaría a las empresas a reunir un equipo pequeño y variado para el abordaje del cumplimiento de esta ley. Los ejecutivos que abarcan múltiples disciplinas, incluida la seguridad de TI, las adquisiciones, el riesgo de terceros, la privacidad de los datos y la seguridad de la información, probablemente deberán aportar sus puntos de vista al equipo, con la supervisión de una persona para la garabntía de cumplimioento de todas las obligaciones por parte de la organización.  
  • Información sin silos:Los datos de ciberseguridad, los datos contractuales, la información sobre proveedores y mucho más, forman parte de la diligencia debida requerida, y cualquier plan eficaz de resiliencia operativa requiere de la disponibilidad conjunta de los datos. Las capacidades de mapeo de datos serán necesarias para la localización de la información crítica. Asimismo, lo será la capacidad de consolidación de dichos datos para su análisis y documentación con fines informativos.
  • Adoptar pruebas de estrés: La DORA estipula el establecimiento de un marco específico para la realización de pruebas de estrés de los sistemas informáticos centrales, conocidas como pruebas de penetración dirigidas por amenazas. Dichas pruebas deben demostrar los conocimientos técnicos y organizativos necesarios para la resiliencia ante ciberataques a gran escala. Asimismo, la DORA exige una realización de estas pruebas  al menos una vez cada tres años, debiendo ser llevadas a cabo por un proveedor externo. Los evaluadores internos deberán ser aprobados por las autoridades reguladoras.
  • Desarrollar sistemas listos para la auditoría: Las empresas financieras deberán brindar pruebas de su cumplimento de la DORA a  los reguladores, lo que exigirá la disponibilidad de capacidades similares por parte de los proveedores.  Los proveedores deberán brindar pistas de auditoría y de acceso rápido a los datos pertinentes, siempre que la empresa los solicite, con fines informativos y/o revisionales de los incidentes. Lo ideal sería que estos datos estuvieran en un único repositorio de fácil acceso.
  • Anticipar la necesidad de auditorías: Es esencial la recopilación de información específica de los proveedores para la elaboración de informes rutinarios o para el uso relacionado con incidentes, por lo que las instituciones financieras deberán realizar una revisión cuidadosa de sus contratos actuales. Las cláusulas sobre el derecho de auditoría deberán formar parte de todos los contratos nuevos y, aquellos que no cuenten con  dicha cláusula deberán ser rápidamente modificados. Asimismo, podrá ser útil la inclusión de una cláusula que obligue a los proveedores a alertar a la organización sobre cualquier incidente que pudiera poner en peligro los datos de los clientes , en un plazo determinado.

FUENTE: www.rmmagazine.com

También te puede gustar

Tribunal holandés podría afectar a las aseguradoras por las emisiones de carbono

admin

Avanza la nueva Ley de Alquileres, con el seguro de caución como opción

admin

Cigarrillos que se apagan solos. Un ingenioso invento que es ley en Europa.

admin