Orientación para apoyar a las entidades financieras en la UE afectadas por la Ley de Resiliencia Operacional Digital (DORA).
La Ley de Resiliencia Operacional Digital (Reglamento (UE) 2022/2554) (“DORA” o la “Ley”) es un reglamento de la Unión Europea destinado a garantizar la resiliencia digital de las entidades financieras 1 en la UE frente a las Tecnologías de la Información y las Comunicaciones (TIC) – incidentes relacionados e interrupciones operativas. La Comisión Europea completó DORA el 16 de enero de 2023. Sus requisitos entrarán en vigor y se aplicarán el 17 de enero de 2025.
Alcance de DORA
DORA se aplica a todas las “entidades financieras” de la UE, incluidos bancos, empresas de inversión, instituciones de crédito, compañías de seguros, plataformas de financiación colectiva, así como a terceros críticos que ofrecen servicios relacionados con las TIC a instituciones financieras, como proveedores de software, proveedores de servicios en la nube y centros de datos. , proveedores de análisis de datos y más. El artículo 2 de (UE) 2022/2554 identifica las siguientes entidades financieras cubiertas por la Ley. 2
Lista de entidades financieras cubiertas por el reglamento:
- Entidades de crédito
- Instituciones de pago
- Proveedores de servicios de información de cuentas
- Entidades de dinero electrónico
- Empresas de inversión
- Proveedores de servicios de criptoactivos y emisores de tokens referenciados a activos
- Depositarios centrales de valores
- Contrapartes centrales
- Lugares de negociación
- Registros comerciales
- Sociedades gestoras
- Gestores de fondos de inversión alternativos
- Proveedores de servicios de informes de datos
- Empresas de seguros y reaseguros
- Intermediarios de seguros, intermediarios de reaseguros e intermediarios de seguros auxiliares
- Instituciones de previsión para la jubilación ocupacional
- Agencias de calificación crediticia
- Administradores de benchmarks críticos
- Proveedores de servicios de financiación colectiva
¿Por qué DORA?
DORA “reconoce que los incidentes de TIC y la falta de resiliencia operativa tienen la posibilidad de poner en peligro la solidez de todo el sistema financiero, incluso si hay capital “adecuado” para las categorías de riesgo tradicionales”. 3 El marco regulatorio DORA establece requisitos que abordan la seguridad de las redes y sistemas de información de las entidades financieras para mejorar la ciberseguridad en todo el sector financiero de la UE. Esto ayuda a las entidades financieras a reducir el impacto potencial de las amenazas digitales en la continuidad de su negocio, su responsabilidad legal y sus pérdidas financieras y de reputación.
Requisitos de DORA
Para lograr un alto nivel común de resiliencia operativa digital, el presente Reglamento establece requisitos uniformes en materia de seguridad de las redes y los sistemas de información que respaldan los procesos comerciales de las entidades financieras 4 como sigue:
- Gestión de riesgos de TIC: Las entidades financieras deberán contar con un marco de gestión de riesgos de TIC sólido, integral y bien documentado como parte de su sistema general de gestión de riesgos, que les permita abordar los riesgos de TIC de manera rápida, eficiente e integral y garantizar un alto nivel de operaciones digitales. resiliencia. 5
- Proceso de Gestión de Incidentes Relacionados con las TIC: Las entidades financieras deberán registrar todos los incidentes relacionados con las TIC y las amenazas cibernéticas significativas. Las entidades financieras establecerán procedimientos y procesos apropiados para asegurar un monitoreo, manejo y seguimiento consistente e integrado de los incidentes relacionados con las TIC, para asegurar que las causas fundamentales sean identificadas, documentadas y abordadas para prevenir la ocurrencia de tales incidentes. 6
- Pruebas de resiliencia operativa digital: para garantizar que las entidades financieras estén preparadas para abordar incidentes relacionados con las TIC, DORA define estándares comunes con un enfoque en las pruebas de resiliencia por parte de estas entidades, “como evaluaciones y escaneos de vulnerabilidad, análisis de código abierto, evaluaciones de seguridad de la red, brechas análisis, revisiones de seguridad física, cuestionarios y soluciones de software de escaneo, revisiones de código fuente cuando sea posible, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento, pruebas de extremo a extremo y pruebas de penetración”. 7
- Gestión de riesgos de terceros de TIC (TPRM): Reconociendo la creciente importancia de los proveedores de servicios de TIC de terceros, DORA requiere que las entidades financieras “gestionen el riesgo de terceros de TIC como un componente integral del riesgo de TIC dentro de su marco de gestión de riesgos de TIC” 8 a través de acuerdos contractuales como accesibilidad, disponibilidad, integridad, seguridad y protección de datos personales; derechos de rescisión claros; y más.
- Intercambio de información e inteligencia: con el objetivo de aumentar la capacidad colectiva de las instituciones financieras para identificar y combatir los riesgos de las TIC, DORA las alienta a "intercambiar entre ellas información e inteligencia sobre amenazas cibernéticas, incluidos indicadores de compromiso, tácticas, técnicas y procedimientos, alertas de seguridad y herramientas de configuración, en la medida en que dicha información e inteligencia compartida:
- tiene como objetivo mejorar la resiliencia operativa digital de las entidades financieras, en particular mediante la sensibilización en relación con las ciberamenazas, limitando o impidiendo la capacidad de propagación de las ciberamenazas, apoyando las capacidades de defensa, las técnicas de detección de amenazas, las estrategias de mitigación o las etapas de respuesta y recuperación;
- tiene lugar dentro de comunidades confiables de entidades financieras;
- se implementa a través de acuerdos de intercambio de información que protegen la naturaleza potencialmente sensible de la información compartida y que se rigen por normas de conducta que respetan plenamente la confidencialidad empresarial, la protección de datos personales de conformidad con el Reglamento (UE) 2016/679 y las directrices sobre la política de competencia." 9
- Marco de supervisión de terceros proveedores críticos de TIC: El Comité Mixto, de conformidad con el artículo 57, apartado 1, de los Reglamentos (UE) n.º 1093/2010, (UE) n.º 1094/2010 y (UE) n.º 1095/2010, establecerá el Foro de Supervisión como subcomité con el fin de apoyar el trabajo del Comité Conjunto y del supervisor principal a que se refiere el artículo 31, apartado 1, letra b), en el ámbito del riesgo de terceros en las TIC en todos los sectores financieros . El Foro de Supervisión preparará los proyectos de posiciones conjuntas y los proyectos de actos comunes del Comité Mixto en ese ámbito.
El Foro de Supervisión debatirá periódicamente los avances pertinentes en materia de riesgos y vulnerabilidades de las TIC y promoverá un enfoque coherente en el seguimiento del riesgo de terceros de las TIC a nivel de la Unión. 10
dora y nis 2
DORA y NIS 2 son dos piezas fundamentales de la legislación de ciberseguridad de la UE. La Directiva NIS 2 (Directiva (UE) 2022/2555) es un acto legislativo que tiene como objetivo lograr un alto nivel común de ciberseguridad en toda la Unión Europea. 11
La relación entre DORA y NIS 2 es que NIS 2 tiene como objetivo mejorar la ciberseguridad y proteger la infraestructura crítica en la UE, mientras que DORA aborda la creciente dependencia del sector financiero de la UE de las tecnologías digitales y tiene como objetivo garantizar que el sistema financiero siga siendo funcional incluso en caso de un ciberataque.
Lo que es importante señalar es que NIS 2 es una directiva europea. A más tardar el 17 de octubre de 2024, los Estados miembros deben adoptar y publicar las medidas necesarias para cumplir con la Directiva NIS 2 11 . DORA es un reglamento europeo 12 que será de aplicación tal y como está en todos los países de la UE a partir del 17 de enero de 2025.
El artículo 1, apartado 2, de DORA establece que, en relación con las entidades financieras cubiertas por la Directiva NIS 2 y sus correspondientes normas nacionales de transposición, DORA se considerará un acto jurídico sectorial de la Unión a efectos del artículo 4 de la Directiva NIS 2. . 12 DORA es “lex specialis” para NIS 2 13,14 para el sector financiero, un principio que establece que una ley específica tiene prioridad sobre una general. Por lo tanto, para las entidades financieras cubiertas por DORA, este texto prevalece sobre NIS 2. Sin embargo, esto no significa que las obligaciones de NIS 2 ya no sean aplicables a las entidades afectadas por ambos textos.
Sanciones por incumplimiento de DORA
Las sanciones potenciales asociadas con DORA pueden ser significativas y, a diferencia del GDPR y/o NIS 2, alientan a la empresa a cumplir imponiendo multas diariamente. Aquellas organizaciones consideradas incumplidoras por el órgano de supervisión correspondiente podrán verse sujetas a una multa coercitiva del 1% del volumen de negocios global diario promedio del año anterior, durante un máximo de seis meses, hasta que logren el cumplimiento. El órgano de control también podrá emitir órdenes de cese y desistimiento, avisos de terminación, medidas pecuniarias adicionales y avisos públicos 16 .
Cronogramas de DORA
DORA fue propuesta por primera vez por la Comisión Europea en septiembre de 2020. Entró en vigor el 16 de enero de 2023. Las entidades financieras y los proveedores externos de servicios de TIC tienen hasta el 17 de enero de 2025 para prepararse para DORA e implementarlo. El Lote 1 de las Normas Técnicas Regulatorias, o NTR, y las Normas Técnicas de Implementación (ITS), fueron publicados el 17 de enero de 2024. El Lote 2 de estas normas se encuentra en consulta.
1 El énfasis en “entidades financieras” en lugar de “instituciones financieras” demuestra el enfoque de la UE para abordar la resiliencia operativa digital del sector financiero de manera holística, reconociendo la naturaleza interconectada y digital de los sistemas financieros actuales. Este enfoque garantiza que el marco regulatorio pueda adaptarse al panorama cambiante de los servicios financieros, donde los límites tradicionales entre diferentes tipos de actividades financieras se han vuelto cada vez más borrosos.
2 Por el contrario, el apartado 3 de la sección 2 también identifica entidades a las que no se aplica DORA, incluidos gestores de fondos de inversión alternativos, empresas de seguros y reaseguros, instituciones de jubilación profesional que gestionan planes de pensiones, personas jurídicas exentas por otras leyes de la UE, seguros y reaseguros. e intermediarios de seguros auxiliares e instituciones de giro postal.
4 https://www.digital-operative-resilience-act.com/Article_1.html
5 https://www.digital-operative-resilience-act.com/Article_6.html
6 https://www.digital-operative-resilience-act.com/Article_17.html
7 https://www.digital-operative-resilience-act.com/Article_25.html
8 https://www.digital-operative-resilience-act.com/Article_28.html
9 https://www.digital-operative-resilience-act.com/Article_45.html
10 https://www.digital-operative-resilience-act.com/Article_32.html
11 https://www.nis-2-directive.com/
12 https://www.digital-operative-resilience-act.com/
13 https://www.dora-info.eu/dora/recital-16/
14https://www.ebf.eu/wp-content/uploads/2021/06/EBF-key-messages-on-NIS2-proposal.pdf
15https://www.orrick.com/en/Insights/2023/01/5-Cosas-que-necesitas-saber-sobre-DORA
Este documento no constituye asesoramiento legal ni refleja las opiniones de Sophos o sus empleados. Las empresas deben consultar a sus propios abogados para obtener orientación legal sobre las leyes y reglamentos.
Fuente: news.sophos.com
No hay comentarios.:
Publicar un comentario