Un resumen del reglamento DORA
Una rápida explicación del DORA y de lo que esta normativa significa para las finanzas mundiales.
8 PREGUNTAS Y RESPUESTAS SOBRE LA LEY DE RESILIENCIA OPERATIVA DIGITAL
¿Puede hacernos un resumen de la normativa DORA? Esta es una pregunta que Bureau Veritas Cybersecurity recibe a menudo. Eva van Emmerik y Ben Brücker, ambos expertos de Bureau Veritas Cybersecurity, responden a las preguntas más frecuentes sobre el DORA.
DORA son las siglas en inglés de la Ley de Resiliencia operativa digital. El sector financiero europeo debe cumplir esta normativa europea de ciberseguridad a principios de 2025.
1. ¿Qué es DORA?
'DORA se centra en la protección de las redes y los sistemas de información. Es una directiva mundial que debe seguir todo el sector financiero de la UE", afirma Eva van Emmerik. Trabaja como Directora Financiera de Grupo en Bureau Veritas Cybersecurity y ayuda a las organizaciones del sector financiero con su seguridad digital. 'El objetivo de esta ley es hacer que el sector sea más resistente frente a los riesgos digitales'.
2. ¿CUÁNDO SE APLICARÁ DORA A MI ORGANIZACIÓN?
Van Emmerik: "El reglamento DORA entró en vigor el 16 de enero de 2023. A partir del 17 de enero de 2025, todas las financieras europeas deberán cumplirla. Los detalles del reglamento son cada vez más claros. El lote 1 de las Normas Técnicas de Reglamentación, o NTR, y las Normas Técnicas de Ejecución (NTE) se publicaron el 17 de enero de 2024. El lote 2 de estas normas se publicó el 17 de julio de 2024". Esto significa que dispone de un tiempo limitado para prepararse para el cumplimiento del DORA.
3. ¿POR QUÉ SE CREÓ DORA?
'Por supuesto que el mundo financiero ya está cubierto por todo tipo de leyes y reglamentos y la supervisión que conllevan estas leyes', dice Van Emmerik. 'Pero se centran principalmente en el aspecto financiero, como los riesgos crediticios o la lucha contra el fraude'.
En los últimos años se ha producido un aumento de los requisitos de ciberseguridad: 'En 2016 tuvimos la directiva NIS, destinada a asegurar los sistemas de red y de información. Pero DORA es la primera norma del mundo para el sector financiero que dice explícitamente: usted debe cartografiar sus riesgos digitales de TIC'.
Todas las organizaciones financieras tendrán que cumplir los mismos requisitos, más o menos, explica Van Emmerik: 'Esta normativa no sólo se aplica a los grandes bancos, que de todos modos suelen estar bien regulados y que realmente dan prioridad a la ciberseguridad'.
'La mayor ventaja del DORA es que todo el sector será más resistente a las amenazas', afirma Van Emmerik. 'Y esperamos que la cooperación internacional sea más fácil, porque todos estamos obligados a trabajar de la misma manera'.
Eva van Emmerik
Director financiero del grupo
Bureau Veritas Cybersecurity
La mayor ventaja del DORA es que todo el sector financiero de la UE será más resistente a las amenazas.
4. ¿A QUIÉN SE APLICA DORA?
DORA no sólo se aplica a los bancos e instituciones financieras, sino también a los proveedores críticos del sector financiero, explica Van Emmerik: 'Por ejemplo: la empresa que gestiona la red de un banco'.
'Si el banco es seguro, pero el proveedor de TIC no lo es, sigue existiendo un riesgo importante. Por eso estos proveedores también están cubiertos por el DORA' Sin embargo, los proveedores de servicios críticos tendrán unas normas ligeramente diferentes a las de los bancos o los gestores de activos.
Ben Brücker
Jefe de Red Teaming
Bureau Veritas Cybersecurity
Es importante ejecutar una prueba que tenga la profundidad suficiente para crear una imagen precisa de la ciberresiliencia de una empresa, pero de forma que la prueba resulte asequible.
5. ¿QUÉ SIGNIFICA DORA PARA MI ORGANIZACIÓN?
'No creo que DORA sea muy emocionante para los grandes bancos y fondos de pensiones que ya dedican mucho tiempo a la seguridad', dice Van Emmerik. Estas grandes empresas deberían hacer un análisis de carencias: ¿en qué áreas ya cumplimos y qué nos falta por hacer?
'Son las empresas más pequeñas las que se enfrentan a un reto. Puede que tengan que empezar a tomar medidas que antes no necesitaban'.
Los 5 elementos principales del DORA son:
- Una organización debe disponer de un Marco de Gestión de Riesgos de las TIC
- Una organización debe tener un Proceso de respuesta a incidentes
- Los security testing deben realizarse más a menudo y serán obligatorios
- Deben trazarse los riesgos de terceros, por ejemplo, los riesgos que corren sus proveedores
- Será obligatorio compartir la Inteligencia sobre amenazas
PROCESO DE INCIDENTES AMPLIADO
DORA significa un proceso ampliado de incident response, dice Van Emmerik: "Antes, este proceso era una parte estándar del marco de gestión de riesgos que una organización ya tenía. Pero DORA lo lleva un paso más allá. Hay que clasificar un incidente y, en ciertos casos, notificarlo correctamente'.
PRUEBAS MÁS FRECUENTES Y OBLIGATORIAS
La nueva legislación también significa: más pruebas y obligatorias, dice Ben Brücker, experto en Red Teaming de Bureau Veritas Cybersecurity. 'Las Instituciones financieras deben realizar una Prueba de Penetración Dirigida a Amenazas, o TLPT, una vez cada tres años. Estas pruebas también pueden incluir a los proveedores de servicios informáticos. Las pruebas aún no son obligatorias por el momento, por lo que suponen un cambio'.
El tipo de TLPT (Threat-Led Penetration Testing) que el DORA hará obligatorio será probablemente una variación de las normas Red Teaming existentes. Sin embargo, las normas técnicas reglamentarias sobre este tema aún no son definitivas.
6. ¿CUÁL ES LA RELACIÓN ENTRE NIS2 Y DORA?
DORA no es la única directiva importante sobre ciberseguridad que entrará en vigor en los próximos años. NIS2, aplicable a partir de octubre de 2024, también establece requisitos para la seguridad digital de empresas y organizaciones en Europa.
¿Qué relación guardan estas dos directivas entre sí? Van Emmerik: "Ambas tienen que ver con la seguridad informática. La diferencia es que DORA se centra exclusivamente en el sector financiero y NIS2 cubre todas las industrias críticas. DORA será líder para el sector financiero".
Otra diferencia es que NIS2 es una directiva que cada Estado miembro debe integrar en su legislación nacional. El DORA es una ley que se aplica a todos los Estados miembros.
7. ¿POR DÓNDE DEBE EMPEZAR MI ORGANIZACIÓN CON DORA?
01
PASO 1: PLANIFIQUE SU GESTIÓN DE RIESGOS
'La preparación para el DORA empieza por el lado de los procesos', aconseja Van Emmerik. 'Es una buena idea comprobar primero si dispone de un Marco de Gestión de Riesgos de las TIC. Esa es la base. Existen marcos estándar que puede utilizar si aún no dispone de uno'.
02
PASO 2: HACER UN GAP ASSESSMENT
Si ya dispone de un marco, compruebe si existen lagunas entre su marco y la nueva normativa. ¿Forman ya las security testing parte de su gestión de riesgos o no? ¿Y qué hay de sus proveedores?
03
PASO 3: COMPRUEBE SU PROCESO DE INCIDENCIAS
Piense en su proceso de incidentes. ¿Tiene capacidad para informar de los incidentes de forma adecuada?
04
PASO 4: CREE O MEJORE SU PLAN DE PRUEBAS
'¿Qué voy a probar? ¿Cuándo lo voy a probar? ¿Cómo voy a demostrar lo que he probado? Asegúrese de que dispone de un programa o plan de pruebas para los próximos años y encuentre un socio con capacidad para ayudarle a ejecutarlo'.
¿Tiene ya su organización una postura de seguridad madura? En ese caso, el consejo de Van Emmeriks es que realice un análisis de carencias para comprobar qué medidas adicionales necesita aplicar para el DORA.
8. ¿CUÁL ES EL MAYOR RETO EN LO QUE RESPECTA A DORA?
Aunque Van Emmerik y Brücker se muestran en general positivos respecto a DORA, prevén algunos problemas.
1. GRAN CARGA DE TRABAJO
'Si eres un CISO que trabaja en solitario en una organización que no ha dedicado muchos recursos a la ciberseguridad, DORA supondrá mucho trabajo extra', afirma Van Emmerik.
'Se avecina tanto trabajo para el sector debido a DORA y NIS2, que probablemente no habrá suficientes personas para completarlo todo en el tiempo de que disponemos. El personal de seguridad es escaso, así que ése es el primer reto'.
2. NOTIFICACIÓN DE INCIDENTES
'DORA le exigirá que informe de los incidentes de seguridad. Pero la pregunta es: ¿cómo se gestiona ese requisito?', se pregunta Van Emmerik. '¿Dónde irá a parar esa información? Puede incomodar a las organizaciones tener que informar de este tipo de incidentes'.
3. RIESGOS PARA TERCEROS
Un tercer reto en lo que respecta al DORA: obtener el control de los riesgos de terceros, dice Van Emmerik: '¿Qué pasa si su tercero es un pequeño proveedor de TI o un tercero extranjero sobre el que no tiene ningún control? ¿Cómo va a gestionar eso? Eso no está claro'.
Le invitamos
Únase a nuestro próximo seminario web en el que trataremos las últimas Normas Técnicas Reglamentarias (NTR) Lote 2 dentro de DORA. Descubra de forma interactiva y atractiva cómo interpretar y aplicar estas normas en su organización.
Este seminario web ofrece dos perspectivas esenciales: desde una perspectiva técnica y desde una perspectiva de procedimiento.
MÁS INFORMACIÓN
Descubra cómo Bureau Veritas Cybersecurity puede ayudarle a prepararse para el DORA. Rellene el formulario y nos pondremos en contacto con usted en el plazo de un día laborable.
