Guía de Sophos sobre la Ley de Resiliencia Operativa Digital (DORA)

La Ley de Resiliencia Operativa Digital (Reglamento (UE) 2022/2554) (“DORA”) es un reglamento de la Unión Europea destinado a garantizar la resiliencia digital de las entidades financieras¹ de la UE frente a incidentes relacionados con las Tecnologías de la Información y la Comunicación (TIC) e interrupciones operativas. La Comisión Europea completó DORA el 16 de enero de 2023. Sus requisitos entrarán en vigor y se aplicarán el 17 de enero de 2025.

Ámbito de aplicación de DORA

DORA se aplica a todas las “entidades financieras” de la UE, incluidos bancos, empresas de inversión, entidades de crédito, compañías de seguros, plataformas de crowdfunding, así como a terceros que ofrecen servicios relacionados con las TIC a las entidades financieras, como proveedores de software, proveedores de servicios en la nube y centros de datos, proveedores de análisis de datos, etc. El artículo 2 de (UE) 2022/2554 identifica las siguientes entidades financieras cubiertas por la Ley².

Lista de entidades financieras afectadas por la normativa:

• Entidades de crédito
• Entidades de pago
• Proveedores de servicios de información sobre cuentas
• Entidades de dinero electrónico
• Empresas de inversión
• Proveedores de servicios de criptoactivos y emisores de tokens referenciados a activos
• Depositarios centrales de valores
• Contrapartes centrales
• Centros de negociación
• Registros de operaciones
• Sociedades gestoras
• Gestoras de fondos de inversión alternativos
• Proveedores de servicios de transmisión de datos
• Empresas de seguros y reaseguros
• Mediadores de seguros, mediadores de reaseguros y mediadores de seguros complementarios
• Organismos de previsión para la jubilación
• Agencias de calificación crediticia
• Administradores de índices de referencia críticos
• Proveedores de servicios de crowdfunding

¿Por qué DORA?

DORA “reconoce que los incidentes relacionados con las TIC y la falta de resiliencia operativa pueden poner en peligro la solidez de todo el sistema financiero, aunque exista un capital ‘adecuado’ para las categorías de riesgo tradicionales”³. El marco regulador de DORA establece requisitos que abordan la seguridad de las redes y los sistemas de información de las entidades financieras para mejorar la ciberseguridad en todo el sector financiero de la UE. Esto ayuda a las entidades financieras a reducir el impacto potencial de las amenazas digitales en la continuidad de su negocio, la responsabilidad legal y las pérdidas financieras y de reputación.

Requisitos de DORA

Para lograr un alto nivel común de resiliencia operativa digital, este Reglamento establece requisitos uniformes relativos a la seguridad de los sistemas de red y de información que soportan los procesos empresariales de las entidades financieras⁴, como se indica a continuación:

1. Gestión de riesgos de las TIC: las entidades financieras dispondrán de un marco de gestión de riesgos de las TIC sólido, completo y bien documentado como parte de su sistema general de gestión de riesgos, que les permita hacer frente a los mismos de forma rápida, eficiente y exhaustiva y garantizar un alto nivel de resiliencia operativa digital⁵.
2. Proceso de gestión de incidentes relacionados con las TIC: las entidades financieras registrarán todos los incidentes relacionados con las TIC y las ciberamenazas significativas. Las entidades financieras establecerán procedimientos y procesos adecuados para garantizar una supervisión, una gestión y un seguimiento coherentes e integrados de los incidentes relacionados con las TIC, a fin de garantizar que se identifican, documentan y abordan las causas fundamentales para evitar que se produzcan dichos incidentes⁶.
3. Pruebas de resiliencia operativa digital: para garantizar que las entidades financieras están preparadas para hacer frente a los incidentes relacionados con las TIC, DORA define normas comunes centradas en las pruebas de resiliencia de estas entidades, “como evaluaciones y escaneos de vulnerabilidades, análisis de fuentes abiertas, evaluaciones de la seguridad de la red, análisis de deficiencias, revisiones de la seguridad física, cuestionarios y soluciones de software de escaneado, revisiones del código fuente cuando sea factible, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento, pruebas de extremo a extremo y pruebas de penetración”⁷.
4. Gestión del Riesgo de Terceros en las TIC (TPRM): reconociendo la creciente importancia de los proveedores de servicios de TIC, DORA exige a las entidades financieras que “gestionen el riesgo de terceros de TIC como un componente integral del riesgo de TIC dentro de su marco de gestión del riesgo de TIC “⁸ mediante acuerdos contractuales como la accesibilidad, disponibilidad, integridad, seguridad y protección de los datos personales; derechos claros de rescisión y más.
5. Intercambio de información e inteligencia: con el objetivo de impulsar la capacidad colectiva de las instituciones financieras para identificar y combatir los riesgos de las TIC, DORA las anima a “intercambiar entre ellas información e inteligencia sobre ciberamenazas, incluidos indicadores de compromiso, tácticas, técnicas y procedimientos, alertas de ciberseguridad y herramientas de configuración, en la medida en que dicho intercambio de información e inteligencia:

• • tenga por objeto mejorar la resiliencia operativa digital de las entidades financieras, en particular mediante la sensibilización en relación con las ciberamenazas, limitando o impidiendo la capacidad de propagación de las mismas, apoyando las capacidades de defensa, las técnicas de detección de amenazas, las estrategias de mitigación o las fases de respuesta y recuperación;
  • tiene lugar dentro de comunidades de confianza de entidades financieras;
  • se lleva a cabo mediante acuerdos de intercambio de información que protegen la naturaleza potencialmente sensible de la información compartida, y que se rigen por normas de conducta que respetan plenamente la confidencialidad empresarial, la protección de los datos personales de conformidad con el Reglamento (UE) 2016/679 y las directrices sobre política de competencia”⁹.

6. Marco de supervisión de terceros proveedores de TIC críticas: el Comité Mixto, de conformidad con el artículo 57, apartado 1, de los Reglamentos (UE) nº 1093/2010, (UE) nº 1094/2010 y (UE) nº 1095/2010, creará el Foro de Supervisión como subcomité con el fin de apoyar la labor del Comité Mixto y del Supervisor Principal a que se refiere el artículo 31, apartado 1, letra b, en el ámbito del riesgo de terceros en materia de TIC en todos los sectores financieros. El Foro de Supervisión preparará los proyectos de posiciones comunes y los proyectos de actos comunes del Comité Mixto en ese ámbito.

El Foro de Supervisión debatirá periódicamente las novedades pertinentes en materia de riesgos y vulnerabilidades de las TIC y fomentará un enfoque coherente en la supervisión de los riesgos de las TIC frente a terceros a escala de la Unión¹⁰.

DORA y NIS 2

DORA y NIS 2 son dos piezas fundamentales de la legislación de la UE en materia de ciberseguridad. La Directiva NIS 2 (Directiva (UE) 2022/2555) es un acto legislativo que pretende lograr un alto nivel común de ciberseguridad en toda la Unión Europea¹¹.

La relación entre DORA y NIS 2 es que NIS 2 pretende mejorar la ciberseguridad y proteger las infraestructuras críticas de la UE, mientras que la DORA aborda la creciente dependencia del sector financiero de la UE de las tecnologías digitales y pretende garantizar que el sistema financiero siga funcionando incluso en caso de ciberataque.

Es importante señalar que la NIS 2 es una directiva europea. Antes del 17 de octubre de 2024, los Estados miembros deben adoptar y publicar las medidas necesarias para cumplir la Directiva NIS 2¹¹. DORA es un reglamento europeo¹² que será aplicable tal cual en todos los países de la UE a partir del 17 de enero de 2025.

El artículo 1, apartado 2, de DORA establece que, en relación con las entidades financieras cubiertas por la Directiva NIS 2 y sus correspondientes normas nacionales de transposición, el DORA se considerará un acto jurídico sectorial específico de la Unión a efectos del artículo 4 de la Directiva NIS 2.12 El DORA es “lex specialis” de la NIS 2^13,14 para el sector financiero, un principio que establece que una ley específica prevalece sobre una general. Así pues, para las entidades financieras cubiertas por DORA, este texto prevalece sobre la NIS 2. Sin embargo, esto no significa que las obligaciones de la NIS 2 dejen de ser aplicables a las entidades afectadas por ambos textos.

Sanciones por incumplimiento de DORA

Las sanciones potenciales asociadas a DORA pueden ser significativas y, a diferencia del GDPR o el NIS 2, animan a la empresa a cumplir mediante la imposición de multas diarias. Las organizaciones consideradas incumplidoras por el organismo supervisor pertinente pueden verse sujetas a una multa coercitiva del 1% de la facturación media diaria global del año anterior, durante un máximo de seis meses, hasta que se logre el cumplimiento. El organismo supervisor también puede emitir órdenes de cese y desistimiento, avisos de rescisión, medidas pecuniarias adicionales y avisos públicos16.

Plazos de DORA

DORA fue propuesta por primera vez por la Comisión Europea en septiembre de 2020. Entró en vigor el 16 de enero de 2023. Las entidades financieras y los terceros proveedores de servicios TIC tienen hasta el 17 de enero de 2025 para prepararse para DORA y aplicarla. El Lote 1 de las Normas Técnicas Reglamentarias, o NTR, y las Normas Técnicas de Ejecución (NTE) se publicaron el 17 de enero de 2024. El Lote 2 de estas normas está en fase de consulta.

¹ El énfasis en las “entidades financieras” en lugar de en las “instituciones financieras” demuestra el enfoque de la UE para abordar la resiliencia operativa digital del sector financiero de una manera holística, reconociendo la naturaleza interconectada y digital de los sistemas financieros actuales. Este planteamiento garantiza que el marco regulador pueda adaptarse al panorama cambiante de los servicios financieros, en el que las fronteras tradicionales entre los distintos tipos de actividades financieras se han difuminado cada vez más.

² Por el contrario, el apartado 3 de la Sección 2 también identifica las entidades a las que no se aplica DORA, incluidos los gestores de fondos de inversión alternativos, las empresas de seguros y reaseguros, los organismos de previsión para la jubilación que gestionan planes de pensiones, las personas jurídicas exentas en virtud de otros actos de la UE, los intermediarios de seguros y reaseguros y los intermediarios de seguros complementarios, y las instituciones de giro postal.

³ https://www.digital-operational-resilience-act.com/#:~:text=DORA%20establece%20requisitos%20uniformes%20para,plataformas%20o%20servicios%20analíticos%20de%20datos.

⁴ https://www.digital-operational-resilience-act.com/Article_1.html

⁵ https://www.digital-operational-resilience-act.com/Article_6.html

⁶ https://www.digital-operational-resilience-act.com/Article_17.html

⁷ https://www.digital-operational-resilience-act.com/Article_25.html

⁸ https://www.digital-operational-resilience-act.com/Article_28.html

⁹ https://www.digital-operational-resilience-act.com/Article_45.html

¹⁰ https://www.digital-operational-resilience-act.com/Article_32.html

¹¹ https://www.nis-2-directive.com/

¹² https://www.digital-operational-resilience-act.com/

¹³ https://www.dora-info.eu/dora/recital-16/

¹⁴ https://www.ebf.eu/wp-content/uploads/2021/06/EBF-key-messages-on-NIS2-proposal.pdf

¹⁶ https://www.orrick.com/en/Insights/2023/01/5-Things-You-Need-to-Know-About-DORA

Este documento no constituye asesoramiento jurídico ni refleja las opiniones de Sophos ni de sus empleados. Las empresas deben consultar a sus propios asesores para obtener orientación legal sobre cualquier ley o normativa.