Reglamento de Resiliencia Operativa Digital (DORA) — Curso de Capacitación
¿Qué es la Resiliencia Operativa Digital?
La resiliencia operativa digital se refiere a la capacidad de una entidad financiera para construir, asegurar y revisar su integridad y fiabilidad operativas asegurando, directa o indirectamente mediante el uso de servicios prestados por proveedores terceros de servicios de TIC, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la seguridad de las redes y los sistemas de información que utiliza una entidad financiera y que sustentan la prestación continuada de servicios financieros y su calidad, incluso en caso de perturbaciones.1
Dado que el sector financiero depende en gran medida de las tecnologías digitales, siguen surgiendo nuevas amenazas cibernéticas. En respuesta, la Unión Europea ha desarrollado El Reglamento de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) para mejorar la resiliencia operativa digital en el sector financiero.
¿Qué es DORA?
DORA (Digital Operational Resilience Act), es un reglamento que requiere que las entidades del sector financiero garanticen que pueden resistir, responder y recuperarse de todo tipo de incidentes, riesgos y amenazas relacionados con las TIC (Tecnologías de la Información y la Comunicación). Fue promulgado por el Parlamento Europeo y el Consejo de la Unión Europea el 14 de diciembre de 2022, Reglamento (UE) 2022-2554, y pretende armonizar y racionalizar la normativa relacionada con la gestión del riesgo de las TIC, garantizando la coherencia y consistencia en toda la UE. DORA requiere que las entidades financieras que respeten el principio de proporcionalidad, que tiene en cuenta el tamaño, el perfil de riesgo y la complejidad de sus operaciones.
DORA establece los requisitos clave para las entidades financieras en cinco áreas principales:
- Gestión del riesgo relacionado con las TIC: Las entidades financieras deben establecer y mantener un marco eficaz de gestión de riesgos relacionados con las TIC para identificar, clasificar y reducir eficazmente los riesgos del TIC.
- Gestión de incidentes: Las entidades financieras deben establecer una gestión eficaz de los incidentes y un marco armonizado para notificar a los organismos reguladores los principales incidentes relacionados con las TIC, facilitando una mejor comprensión de las amenazas emergentes y permitiendo respuestas coordinadas.
- Pruebas de resiliencia operativa digital: Las entidades financieras deben llevar a cabo pruebas periódicas para evaluar su capacidad de resistencia a interrupciones de las TIC. Esto incluye evaluaciones de vulnerabilidad y pruebas de penetración, con requisitos adecuados al tamaño y perfil de riesgo de la entidad.
- Gestión del riesgo derivado de terceros: Reconociendo la creciente dependencia de proveedores de servicios terceros, incluidos los servicios en la nube, el DORA establece reglas para gestionar los riesgos relacionados con las TIC en la cadena de suministro, garantizando que las entidades financieras supervisen la resiliencia de sus proveedores críticos terceros.
- Intercambio de información e inteligencia: DORA insta a las entidades financieras a compartir inteligencia sobre amenazas cibernéticas y otra información pertinente para mejorar la comprensión colectiva y los mecanismos de defensa contra las amenazas de las TIC.
¿Por qué es importante DORA?
A partir del 17 de enero de 2025, las entidades financieras deberán garantizar el cumplimiento de los requisitos de DORA. El incumplimiento del DORA puede implicar sanciones importantes, lo que refleja la seriedad con que la UE considera la resiliencia operativa digital. Si bien, las sanciones específicas pueden variar según la naturaleza y gravedad del incumplimiento, están diseñadas para ser disuasivas y proporcionadas.
Las organizaciones deben adaptar y actualizar sus estrategias de resiliencia operativa digital para mantenerse al día con la evolución de las tecnologías y las amenazas. Este proceso continuo implica la colaboración a todos los niveles de la organización, desde la dirección ejecutiva al personal operativo, así como con socios externos y reguladores.
¿Cómo puedo empezar?
El curso de capacitación de PECB Gerente Líder Certificado en DORA le ayudará a adquirir los conocimientos y avanzar en las habilidades para establecer, implementar y gestionar un marco de gestión del riesgo de TIC basado en los requisitos del DORA. Los expertos de PECB están dispuestos a guiarle y apoyarle durante todo el proceso de certificación para ofrecerle una experiencia valiosa.