A medida que nuestra sociedad se adentra cada vez más en la digitalización, la importancia de la ciberseguridad y de contar con sistemas resilientes es cada vez más importante. Las autoridades europeas son conscientes de ello, por eso han desarrollado el Reglamento de Resiliencia Operativa Digital, también conocida como DORA, orientada a fortalecer la infraestructura digital de los sectores más críticos.
Este post trataremos las obligaciones centrales impuestas por esta normativa y cuáles son las entidades afectadas.
¿Quiénes son los sujetos obligados del Reglamento DORA?
DORA se aplica a diferentes operadores y entidades dentro de la Unión Europea, enfocándose principalmente en dos categorías: entidades del sector financiero y proveedores de servicios digitales críticos.
Entidades del sector financiero
Esta categoría incluye bancos, compañías de seguros, gestores de activos, y otras entidades financieras que son fundamentales para la estabilidad económica de la UE. La inclusión de estas entidades es motivada por el papel que juegan en la economía y la importancia de protegerlas contra cualquier tipo de ciberataque.
Proveedores de Servicios Digitales Críticos
La segunda categoría se extiende a proveedores de servicios digitales que son esenciales para la operación de las entidades financieras. Esto incluye proveedores de servicios en la nube, centros de datos, y plataformas de computación, entre otras.
¿Cuáles son las obligaciones principales de DORA?
Esta normativa establece un conjunto de obligaciones para asegurar que los sistemas digitales y las redes de información sean seguros y resilientes. Entre estas obligaciones se encuentran, entre otras, las siguientes:
Gestión de riesgos cibernéticos
Las entidades deben implementar políticas sólidas de gestión de riesgos para identificar, prevenir y mitigar cualquier tipo de ciberriesgo. Esto abarca desde amenazas internas hasta vulnerabilidades externas, incluyendo ataques de ransomware y phishing.
Incidentes y gestión de crisis
Además, se exige la creación de planes de respuesta ante incidentes y de gestión de crisis, los cuales deben ser actualizados y probados regularmente para garantizar su efectividad en un escenario de ataque cibernético real.
Pruebas de resiliencia
Las entidades deben realizar pruebas de resiliencia de sus sistemas de manera periódica, incluyendo pruebas de penetración y simulaciones de escenarios de crisis, para evaluar su capacidad de resistir y recuperarse de ataques cibernéticos.
Información y compartir inteligencia sobre amenazas
La ley promueve la colaboración entre los sujetos obligados y las autoridades nacionales mediante el intercambio de información sobre amenazas cibernéticas y vulnerabilidades.
Supervisión y cumplimiento
Las entidades deben someterse a la supervisión de las autoridades competentes, cumpliendo con los requisitos de informes. Además deben superar inspecciones y evaluaciones de cumplimiento de manera periódica.
DORA marca un paso adelante en la creación de un ecosistema digital más seguro y resiliente dentro de la Unión Europea. Su enfoque en la gestión de riesgos y la colaboración intersectorial establece un marco sólido para la protección contra amenazas cibernéticas. Para las entidades afectadas, comprender estas obligaciones y ajustarse a ellas no solo es un requisito legal, sino también una inversión en su propia sostenibilidad y en la confianza de sus clientes.