DORA establece los principios y procedimientos que deben seguir las organizaciones financieras para proteger sus redes y sistemas de información.
El Reglamento (UE) 2022/2554, aprobado por el Parlamento Europeo y el Consejo el 14 de diciembre de 2022, introduce un marco normativo integral destinado a mejorar la resiliencia operativa digital de las entidades financieras en la Unión Europea. Este reglamento, conocido por sus siglas en inglés como DORA (Digital Operational Resilience Act), establece los principios y procedimientos que deben seguir las organizaciones financieras para proteger sus redes y sistemas de información. Su promulgación responde a la necesidad de mitigar los riesgos que la dependencia digital impone al sector financiero, una lección aprendida tras la crisis económica de 2008.
Uno de los puntos más relevantes que aborda el reglamento en sus primeros considerandos es la necesidad de asegurar que la infraestructura europea siga siendo accesible y se gestione eficientemente, promoviendo al mismo tiempo la interoperabilidad entre distintos sistemas y organizaciones. Además, el marco de DORA subraya la importancia de la investigación y la innovación para consolidar la competitividad económica de la Unión Europea, haciendo énfasis en la cooperación entre los Estados miembros para promover un entorno financiero más robusto y equitativo.
Un aspecto clave de la normativa es la obligación de involucrar a todas las partes interesadas, tanto públicas como privadas, en la creación y aplicación de políticas, garantizando que las decisiones tomadas reflejen las necesidades de todas las organizaciones participantes en este ecosistema financiero.
El Reglamento DORA está organizado en nueve capítulos que abordan cinco áreas temáticas principales. Estas áreas incluyen desde la gestión de riesgos relacionados con las tecnologías de la información y comunicación (TIC), hasta la notificación de incidentes, pruebas de resistencia operativa, y la supervisión de los riesgos asociados a la dependencia de proveedores externos.
DORA tiene como objetivo unificar y actualizar los requisitos relativos a la gestión del riesgo TIC, que hasta ahora habían sido tratados de manera separada en diferentes normativas de la Unión Europea. Con este reglamento, se busca establecer un enfoque coherente y unificado que integre todas las disposiciones normativas relacionadas con el riesgo digital en una única pieza legislativa.
Entre sus finalidades, DORA pretende subsanar las deficiencias y lagunas que existían en legislaciones previas, armonizando la terminología y estableciendo normas específicas para mejorar la gestión del riesgo TIC, la notificación y seguimiento de incidentes y la realización de pruebas de resiliencia operativa. De esta forma, el reglamento no solo incrementa la consciencia sobre la importancia del riesgo digital, sino que también refuerza la estabilidad de las entidades financieras, reconociendo que la falta de resiliencia digital puede comprometer la viabilidad de todo el sistema financiero.
Este reglamento tiene un alcance amplio, cubriendo diversas entidades del sector financiero dentro de la Unión Europea. Entre ellas se incluyen:
DORA introduce un conjunto de normas diseñadas para asegurar que las entidades financieras sean capaces de resistir y recuperarse ante posibles incidentes que afecten su infraestructura digital. Para apoyar a las organizaciones en este proceso de adecuación, ofrecemos un servicio especializado de Análisis de Brechas/Gap y elaboración de un Plan de Acción personalizado. Este proceso detallado ayudará a las empresas a identificar las áreas de mejora y a implementar las medidas necesarias para cumplir con los requerimientos del reglamento.
Nuestro servicio está pensado para ajustarse a las necesidades específicas de cada organización, lo que garantiza un enfoque adaptado a la realidad particular de cada cliente.
Fase I: Análisis Gap
El primer paso es una reunión de lanzamiento del proyecto en la que se establecerán los aspectos logísticos del proyecto y se resolverán cualquier duda que pueda surgir. Posteriormente, se llevará a cabo un análisis detallado del nivel de cumplimiento de la organización con los requisitos establecidos por DORA.
El Análisis Gap se centrará en revisar aspectos clave, como la gestión de riesgos TIC, auditorías internas y planes de continuidad operativa. Durante esta fase, se evaluará la documentación existente y se identificarán las posibles brechas que deban ser corregidas para cumplir con el reglamento.
Fase II: Plan de Acción
Con base en los hallazgos del análisis Gap, elaboraremos un informe detallado que incluirá un Plan de Acción correctivo. Este informe no solo identificará las áreas donde la organización no cumple con DORA, sino que también proporcionará recomendaciones específicas para abordar las deficiencias encontradas. La implementación del plan será monitoreada para garantizar el cumplimiento efectivo antes del plazo final.
Documentación entregada
Durante el desarrollo del proyecto, entregaremos la siguiente documentación:
- Fase I: Presentación de lanzamiento del proyecto y Evaluación de la aplicabilidad de DORA.
- Fase II: Informe de análisis y Plan de Acción, incluyendo detalles sobre los requisitos, evidencias documentales, interlocutores y el estado de cumplimiento.
Reunión de Cierre
Al finalizar el proyecto, organizaremos una reunión de cierre en la que se discutirán los resultados y se resolverán las dudas finales que puedan surgir. Este cierre formal marcará el cumplimiento total de las obligaciones contractuales y garantizará que la organización esté preparada para enfrentar los desafíos de la resiliencia operativa digital.