¿Qué es DORA (Ley de resiliencia operativa digital)?

DORA es un reglamento de la UE que afecta al sector de los servicios financieros. El reglamento DORA está relacionado de forma explícita con los servicios financieros de la UE y se centra en el mantenimiento de la resiliencia de la ciberseguridad.

DORA entró en vigor el 16 de enero de 2023 y se aplica a partir del 17 de enero de 2025.

Fabio Panetta, de la Unión Europea (UE), ha descrito el panorama de las ciberamenazas del siguiente modo: “Las amenazas son cada vez más complejas. Los ataques recientes exigen una vigilancia constante a nivel operativo y la reevaluación continua de los marcos regulatorios y de supervisión para ver si es necesario actualizarlos". El reglamento DORA se ha diseñado de modo que armonice con las directrices de ciberseguridad del sector financiero y tenga en cuenta el panorama de amenazas en continuo cambio.

Al igual que el RGPD, que armoniza con la normativa sobre la privacidad de datos, DORA consolida y actualiza la gestión de riesgos relacionados con la tecnología de la información y las comunicaciones (TIC) y la gestión de riesgos cibernéticos en los servicios financieros.

DORA tiene como objetivo mitigar los riesgos derivados de la transformación digital del sector y promover la resiliencia cibernética en el ecosistema de los servicios financieros, ayudando a la banca, al sector financiero y a los sistemas financieros a prevenir, responder y recuperarse de un incidente de ciberseguridad. Para ello, DORA establece requisitos uniformes en materia de seguridad de las redes y los sistemas de información que apoyan los procesos empresariales de las entidades financieras. Los requisitos incluyen la gestión de riesgos de TIC, la notificación de incidentes importantes relacionados con la TIC, la realización de pruebas digitales de resiliencia operativa, el intercambio de información, y las medidas y los requisitos relacionados con el uso de servicios de terceros de TIC.

DORA es una medida legislativa que se aplica a las organizaciones financieras que realizan actividades financieras en la UE en las 21 categorías incluidas. Entre las organizaciones que operan en los sectores financieros afectados por DORA se incluyen, entre otras:

• Entidades de crédito
• Instituciones de pago
• Instituciones de dinero electrónico 
• Empresas de inversión
• Proveedores de servicios de criptoactivos 
• Fondos de inversión alternativos
• Gestores de seguros 
• Proveedores de servicios de TIC de terceros

El elemento Zero Trust de la plataforma de Akamai proporciona una visibilidad profunda de los activos, los controles de acceso y los flujos de red, con una aplicación granular de la política de seguridad. La visibilidad que ofrece Akamai de sus activos, accesos y flujos de red es la primera piedra de su estrategia de seguridad Zero Trust que se extiende a la gestión del riesgo de terceros de TIC. Además, nuestro equipo de búsqueda de amenazas puede ayudarle a detectar las amenazas más evasivas y a limitar el movimiento lateral en caso de filtración.

La plataforma global de Akamai puede ayudar a una organización a detectar y prevenir las amenazas existentes y emergentes, así como a adaptarse al cambiante panorama de la seguridad.

Los requisitos de DORA se centran en la ciberresiliencia de los sistemas de TIC. Los criterios de DORA son:

• Las partes independientes deben llevar a cabo pruebas anuales de resiliencia y vulnerabilidad. También es necesario realizar pruebas periódicas de penetración basadas en amenazas.
• DORA requiere medidas de protección que estén basadas en el riesgo y sean integrales. Las medidas de seguridad de DORA incluyen: adoptar un enfoque basado en el riesgo para la gestión de redes e infraestructuras; implementar políticas adecuadas y completas para vulnerabilidades como parches y actualizaciones; usar mecanismos de autenticación sólidos; y limitar el acceso físico y virtual a los recursos y datos del sistema de TIC.
• Se requieren procedimientos que "detecten, gestionen y notifiquen los incidentes relacionados con TIC y que establezcan indicadores de alerta temprana como alertas".
• La notificación de incidentes de ciberseguridad se facilita mediante procesos para supervisar, describir y notificar incidentes significativos basados en TIC a las autoridades de DORA.
• Los requisitos de DORA sobre gestión y responsabilidad de seguridad abarcan la gestión y respuesta esenciales de la ciberseguridad para el intercambio de información.

DORA y servicios financieros

El Fondo Monetario Internacional (FMI) ha exigido que se utilicen medidas de salvaguardia urgentes en el sector financiero después de que un boletín del FMI mostrara que el sector estaba en riesgo debido a la debilidad de las defensas. El Banco de Inglaterra está de acuerdo, hallando en la encuesta de riesgo sistémico H2 del banco que el 74 % de los encuestados considera que los ciberataques son el mayor riesgo para el sector financiero.

Los marcos y la orientación como DORA son vitales para ayudar a las instituciones financieras y a sus proveedores asociados, como los proveedores de TIC, a entender cómo gestionar el riesgo. La investigación del informe de 2022 de investigación sobre filtración de datos de Verizon (DBIR) registró las ciberamenazas más importantes del sector financiero, como filtraciones de datos, DDoS y ransomware. El informe señala que el robo de credenciales es fundamental para el éxito de la mayoría de los ciberataques del sector. La Comisión de negociación de futuros sobre materias primas señaló recientemente que una encuesta realizada en 2022 a 130 instituciones financieras globales reveló que el 74 % había sufrido al menos un ataque de ransomware el año anterior.

DORA y proveedores de TIC

Un aspecto clave de DORA es la gestión de riesgos de terceros. Según el Verizon 2022 DBIR, el sector financiero fue el segundo objetivo más popular de los ataques a la cadena de suministro. El departamento de cumplimiento de DORA se propone cambiar esta situación y evitar ciberataques a proveedores e instituciones financieras. La Agencia de la Unión Europea para la Seguridad Cibernética (ENISA) informó de una mayor sofisticación y volumen de ataques a la cadena de suministro, con atacantes dirigidos a la cadena de suministro para robar datos y activos financieros. DORA coordina los requisitos utilizando los marcos existentes, como las directrices de externalización de la Autoridad Bancaria Europea (EBA).

Cualquier proveedor de TIC designado como "crítico" por una Autoridad Europea de Supervisión estará sujeto a un marco de supervisión con normas estrictas bajo la supervisión directa de un supervisor principal designado.

Las soluciones Zero Trust proporcionan visibilidad en toda la red ampliada de proveedores, incluidos los proveedores de TIC. La aplicación de medidas de seguridad, como los privilegios mínimos y el control proactivo de áreas y datos confidenciales, evita las filtraciones de datos y la infección por ransomware.

Akamai proporciona una completa familia de soluciones que cubre determinados requisitos que pueden ayudar a alcanzar la resiliencia operativa en el sector financiero. Las soluciones de seguridad líderes de Akamai son reconocidas como las mejores de su clase por nuestros clientes que utilizan Akamai para proteger los activos críticos. Nuestra cartera de productos de seguridad ha pasado de ser una colección de soluciones puntuales a una plataforma Zero Trust completa y potente. Las soluciones de talla mundial de Akamai proporcionan los controles necesarios para cumplir los requisitos más estrictos, incluida la gestión del riesgo de los proveedores de TIC y la protección de los activos críticos. La seguridad Zero Trust de Akamai ofrece el tipo de cobertura completa necesaria para cubrir todos los tipos de entornos de TI, independientemente del tipo de activo, el tipo de tráfico (norte-sur, este-oeste) o los dispositivos heredados. Akamai proporciona una amplia visibilidad del entorno de TI, los activos críticos, los requisitos de acceso y los flujos de red de su infraestructura completa.

El reglamento DORA está basado en trabajos anteriores de la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA), la Autoridad Bancaria Europea y la Autoridad Europea de Valores y Mercados (que constituyen las Autoridades Europeas de Supervisión, o AES). DORA es importante debido a la transformación digital en toda la cadena de valor financiera y de seguros. Los requisitos normativos de DORA son necesarios para gestionar estos riesgos nuevos y emergentes y para tener el tipo adecuado de medidas y salvaguardias para prevenir los ciberataques.

La notificación de incidentes de ciberseguridad por parte de entidades cubiertas es un aspecto importante de DORA. Las entidades cubiertas deben contar con procesos para supervisar, describir y notificar a las autoridades de DORA incidentes significativos basados en TIC.

Además, las reglas de notificación para los proveedores de TIC críticos son estrictas e incluyen la realización de una notificación inicial a las autoridades, seguida de un informe intermedio sobre el progreso de la resolución del incidente y un informe final una vez que se ha realizado el análisis de la causa raíz. En la actualidad, las AES están elaborando directrices sobre la clasificación de incidentes, la notificación obligatoria de incidentes y los plazos de presentación de informes.

DORA se aplicará a partir del 17 de enero de 2025, por lo que, durante este período, las entidades financieras y los proveedores de servicios críticos de TIC de terceros deben realizar la transición para la puesta en práctica del cumplimiento de la legislación. Con objeto de preparar su organización para el cumplimiento de la legislación de DORA, las entidades cubiertas deben llevar a cabo un análisis de brechas para comprobar si las medidas desplegadas existentes cumplen con algunos o todos los requisitos aplicables.