La Ley de Resiliencia Operativa Digital (DORA) entrará en vigor el 17 de enero de 2025. Esta normativa de la UE tiene por objeto reforzar la seguridad informática de entidades financieras como bancos, compañías de seguros y empresas de inversión. Garantiza que el sector financiero en Europa siga siendo resistente en caso de fuertes perturbaciones operativas. Las entidades financieras que entran en el ámbito de aplicación de esta normativa deben reforzar su resistencia digital, y establecer una sólida estrategia de supervisión para mantener el cumplimiento.
La pregunta es: ¿cómo pueden prepararse las entidades afectadas para cumplir con DORA? En este artículo profundizamos en el alcance de la normativa y presentamos ejemplos prácticos de cómo la tecnología puede ayudar a los equipos jurídicos a allanar el camino.
Acerca de DORA
Desde hace años, los organismos europeos apoyan activamente la actuación del sector financiero frente a las amenazas de las Tecnologías de la Información y la Comunicación (TIC).
La Autoridad Bancaria Europea (EBA) ya ha abordado la cuestión y ha publicado líneas directrices sobre la gestión de riesgos de las TIC y la seguridad en 2019.
Al mismo tiempo, la Autoridad Europea de Valores y Mercados (ESMA) ha estado trabajando con las autoridades nacionales competentes sobre este tema y otros relacionados, como la mejora de la protección de los inversores, el orden de los mercados y la estabilidad financiera.
¿Qué hay de nuevo?
DORA amplía el alcance, la razón de ser y el enfoque de los textos y directivas existentes para garantizar una mayor resistencia frente a los riesgos crecientes.
- Alcance
El nuevo reglamento se aplica a una gama más amplia de entidades financieras y a sus terceros proveedores de servicios críticos (más allá de los proveedores de servicios TIC), abarcando 20 tipos de entidades financieras (FR) y una lista más completa de TIC.
- Razón
A diferencia de los esfuerzos, recomendaciones y directrices anteriores de la ABE y la AEVM, DORA es un reglamento jurídicamente vinculante con requisitos y plazos de cumplimiento claramente definidos, que obliga a las entidades financieras a actuar y mejorar su resistencia ante posibles riesgos de seguridad.
- Planteamiento
El planteamiento es más global y aborda todo el ciclo de vida de los servicios de TIC en relación con las entidades financieras.
¿Cuáles son los objetivos?
A medida que cambia el panorama financiero, también debe hacerlo la legislación. El objetivo del DORA es:
- Abordar la creciente dependencia del sector financiero de la tecnología y las empresas tecnológicas.
- Mitigar el riesgo de ciberataques e incidentes en el sector financiero, ya que el número y la gravedad de las amenazas aumentan constantemente.
- Garantizar servicios financieros estables y fiables en la economía en general.
¿A quién afecta?
El ámbito de las entidades financieras afectadas por la normativa DORA se ha ampliado con respecto a los textos y directrices anteriores. Incluye bancos, compañías de seguros y empresas de inversión de cierto tamaño. Los proveedores de servicios TIC a terceros también se ven afectados, aunque de forma diferente, ya que desempeñan un papel importante en la ciberseguridad.
Responsabilidades clave para que las entidades financieras cumplan la DORA
La Ley de Resiliencia Operativa Digital (DORA) establece varias responsabilidades clave para que las entidades financieras puedan resistir y salir rápidamente de las perturbaciones ocasionadas o relacionadas con las TIC. Estas son las principales responsabilidades:
Gestión de riesgos
Las entidades financieras deben establecer y mantener marcos sólidos de resiliencia operativa digital. Esto incluye políticas integrales para gestionar los riesgos de las TIC a lo largo del ciclo de vida de los sistemas de TIC, desde el desarrollo hasta el desmantelamiento.
Notificación de incidentes
Las entidades están obligadas a informar rápidamente de los incidentes cibernéticos significativos a sus autoridades reguladoras. Esto garantiza un flujo de información oportuno, crucial para gestionar los riesgos sistémicos y mejorar la resistencia general.
Pruebas de resistencia operativa digital
Es obligatorio realizar pruebas periódicas de la resistencia digital. Esto incluye evaluaciones de vulnerabilidad, pruebas de penetración y ejercicios basados en escenarios para evaluar la eficacia de las capacidades de prevención, detección, respuesta y recuperación.
Gestión de riesgos de terceros
Las entidades financieras deben gestionar los riesgos asociados a terceros proveedores de servicios de TIC. Esto implica una diligencia debida antes de firmar acuerdos y una supervisión continua del rendimiento y el cumplimiento de los proveedores de servicios.
Gobernanza
Las entidades deben implantar un marco de gobernanza sólido para supervisar las actividades de gestión de riesgos y resiliencia de las TIC. Esto incluye funciones y responsabilidades claras, revisiones periódicas y actualizaciones de las estrategias y políticas.
Cómo prepararse para DORA
El DORA se aplicará a partir del 17 de enero de 2025. Probablemente ya haya empezado, pero ahora es el momento de terminar.
Identifique sus dependencias TIC
El primer gran paso es crear una lista detallada de sus sistemas y proveedores de TIC e identificar a los que entran dentro de la normativa DORA. El Digital Operational Resilience Act incluye una lista de proveedores para guiarlo a identificar estas entidades. La lista de proveedores de TIC es definitiva y única; si ninguno de sus proveedores TIC concuerda con la descripción de DORA, significa que no entrar dentro la regulación.
¿Cómo? Puede utilizar una herramienta CLM para encontrar los contratos con los proveedores de TIC. Estos documentos pueden contener cláusulas que indiquen si un proveedor de TIC está sujeto a la normativa DORA. En cuestión de minutos, puede buscar las cláusulas aplicables y generar una lista de los proveedores de TIC potencialmente afectados. La IA puede ser extremadamente útil en este caso. Simplifica y acelera la búsqueda al tiempo que garantiza que ningún contratista quede excluido.
*El Anexo III del Proyecto de Normas Técnicas de Aplicación (ITS) de la Ley de Resiliencia Operativa Digital (DORA) contiene la lista completa de servicios TIC considerados.
Evaluar las funciones críticas o importantes
El DORA define una serie de funciones críticas o importantes que pueden repercutir en el rendimiento, la estabilidad, la continuidad de los servicios de las Entidades Financieras y obstaculizar su posibilidad de cumplir la normativa vigente de obligado cumplimiento.
Una vez identificadas sus TIC, debe evaluar las funciones críticas o importantes y poner en marcha un plan de pruebas para cumplir las obligaciones del reglamento.
¿Cómo? La herramienta CLM puede aprovecharse para buscar determinadas funciones o servicios ofrecidos por sus proveedores de TIC e identificar la necesidad y el alcance de las pruebas. Esta tarea puede ejecutarse rápidamente si utiliza una herramienta de CLM con potentes funciones de IA. Le permite buscar en sus contratos palabras clave relevantes y obtener respuestas en cuestión de segundos.
Establezca evaluaciones de riesgos de sus proveedores de servicios TIC
Para evaluar los riesgos potenciales, necesita un sistema de seguimiento sólido que le permita identificar incidentes pasados y cartografiarlos de forma detallada. También debe asegurarse de que existe una forma eficaz de crear y compartir informes de incidentes con su consejo de administración y los organismos reguladores. También debe realizar pruebas y un seguimiento continuos para mitigar futuros riesgos y amenazas.
¿Cómo? La evaluación de riesgos se divide en dos fases: evaluación de amenazas pasadas y cartografía detallada, y supervisión continua de amenazas potenciales y fallos de seguridad. Ambas requieren funciones eficaces de elaboración de informes y análisis para facilitar las auditorías y los controles de conformidad. Puede aprovechar su herramienta de entidad jurídica si ofrece capacidades de elaboración de informes. Disponer de un repositorio centralizado facilita la comunicación con los organismos reguladores. También se recomienda implantar
tecnologías de detección de amenazas en tiempo real.
Aplicar los cambios necesarios
Es posible que tenga que introducir cambios para cumplir la normativa DORA. Desde un punto de vista práctico, esto significa que necesita un equipo especializado y asignar los recursos necesarios. Asegúrese de que se han llevado a cabo auditorías externas y de que los procesos internos relativos a las pruebas, el seguimiento y la asignación están en marcha a principios de 2025.
Utilización de herramientas de gobierno corporativo para facilitar el cumplimiento del DORA
Las herramientas de LegalTech, como las soluciones de gestión del ciclo de vida de contratos (CLM) y de gestión jurídica de las entidades (ELM), ofrecen una supervisión centralizada. Estas soluciones permiten el seguimiento en tiempo real de las actividades de cumplimiento, una mejor gestión de los riesgos y la presentación de informes claros a las autoridades. Así, simplifican y agilizan los procesos de cumplimiento, lo cual es indispensables para las organizaciones que navegan por los requisitos del DORA. Por otro lado, no adoptar soluciones especializadas para el cumplimiento de DORA expone a las organizaciones financieras a riesgos e ineficiencias innecesarios.
A continuación, presentamos tres casos prácticos que demuestran cómo la tecnología jurídica puede cumplir los requisitos del DORA.
1. Mapa de proveedores de servicios TIC y funciones críticas o importantes
El primer paso hacia el cumplimiento de la DORA implica identificar a los proveedores de servicios TIC que desempeñan funciones críticas o importantes en su ecosistema. Una herramienta de gestión del ciclo de vida de los contratos (CLM) será valiosa para acelerar este proceso, especialmente si cuenta con funciones basadas en IA.
Cómo:
- Capacidades de búsqueda avanzada: Utilice el motor de búsqueda de la plataforma para identificar contratos con cláusulas específicas, como derechos de auditoría o acuerdos de subcontratación, que son esenciales en virtud de la DORA.
- Filtro de contratos: Crea filtros para aislar acuerdos relevantes, como licencias de software o contratos SaaS. Puedes refinar aún más las búsquedas añadiendo parámetros para localizar cláusulas relacionadas con subcontratistas.
- Extracción de cláusulas mediante IA: Incluso si las cláusulas no están pre-etiquetadas, la IA puede identificar términos relevantes. Por ejemplo aquellos vinculados a normativas específicas de cada país (como las cláusulas ACPR en Francia). Capture todos los datos requeridos por DORA, incluidas las fechas de descubrimiento, las instituciones afectadas y las categorizaciones de los incidentes (mayor o menor).
En cuestión de minutos, puede generar una lista de proveedores de TIC, analizar sus cláusulas de cumplimiento y exportar estos datos para su posterior revisión. Las bibliotecas de cláusulas habilitadas para IA también pueden almacenar todas las cláusulas contractuales relevantes para DORA, lo que garantiza la precisión y el fácil acceso cuando se trata de requisitos de terceros.
2. Elaboración de informes de incidentes y comunicación eficaz con las partes interesadas
DORA obliga a notificar puntualmente los incidentes relacionados con las TIC, sea cual sea su magnitud. Se recomienda notificar los incidentes graves en un plazo de cuatro horas -y a más tardar 24 horas- después de ser clasificados como críticos (fuente: Taylor Wessing). Los informes deben ser detallados y abarcar las causas fundamentales, sistemas afectados y las partes implicadas.
Una plataforma de gestión jurídica de entidades (ELM) simplifica el seguimiento de incidentes y garantiza una comunicación eficaz con las partes interesadas.
Cómo:
Tableros personalizables: Utilice tableros personalizados para rastrear, documentar y gestionar incidentes de TIC. Por ejemplo, si un proveedor de servicios Cloud sufre una brecha de datos, introduzca descripciones detalladas como los sistemas afectados, las causas y las partes implicadas.
Campos específicos para DORA: Capture todos los datos requeridos por DORA, incluidas las fechas de descubrimiento, las instituciones afectadas y las categorizaciones de los incidentes (mayor o menor).
Registro de actividad: Mantenga un registro de actividad en tiempo real para supervisar el progreso del incidente, documentar las acciones y agilizar las actualizaciones a las partes interesadas y los reguladores.
Informes integrados: Genere informes completos de incidentes fáciles de compartir con organismos reguladores o comités internos.
Una herramienta ELM garantiza la transparencia y facilita la comunicación, ofreciendo actualizaciones en tiempo real al tiempo que respalda el cumplimiento de la normativa.
3. Mantener procesos de gobernanza robustos
La gobernanza es un punto central del cumplimiento de la DORA. Esto requiere que las entidades financieras formalicen estructuras de supervisión y establezcan métodos de comunicación claros entre las partes necesarias. Los miembros del consejo de administración y los directores generales están muy implicados en este proceso. Por eso es esencial una comunicación eficaz entre ellos y un seguimiento claro de las tareas. Una sólida herramienta de gestión de consejos ayudará a realizar un seguimiento del estado de las actividades relacionadas con DORA (incidentes, actualizaciones contractuales pendientes) que las partes pertinentes han estado debatiendo y a mantener una pista de auditoría clara.
Cómo:
Herramienta de Gestión de Consejos: Cree comités específicos de DORA con plantillas predefinidas para órdenes del día, seguimiento de asistencia y registros de decisiones, que respondan específicamente a esos requisitos normativos.
Revisión de incidentes y seguimiento de decisiones: Presente actualizaciones de incidentes, revise informes clave y documente las decisiones tomadas por los comités.
Sincronización con la Junta Directiva: Garantizar la alineación entre los comités del DORA y los debates a nivel del consejo vinculando las decisiones y los órdenes del día.
Actas y planes de acción: Registre las actas de las reuniones, las decisiones y las tareas asignadas, almacenándolas para futuras consultas a fin de realizar un seguimiento de las acciones pendientes o los próximos cambios relacionados con DORA.
Una plataforma centralizada mejora la gobernanza al aumentar la transparencia, reducir las cargas administrativas y mantener a todas las partes interesadas comprometidas y responsables.
¿Listo?
El DORA introduce nuevos retos normativos para las entidades financieras y los proveedores de TIC, ambos acostumbrados a operar en entornos complejos. A medida que evolucionan las normativas, también lo hacen las tecnologías que respaldan los esfuerzos de cumplimiento. Para los equipos jurídicos y los ejecutivos de alto rango, aprovechar las herramientas adecuadas es esencial para alcanzar los requisitos de cumplimiento y ahorrar tiempo para centrar su energía en la estrategia y en alinear los esfuerzos internos con las partes externas.
DiliTrust Governance proporciona el apoyo que los equipos necesitan para cumplir eficazmente los requisitos de conformidad. Descubra cómo nuestra solución puede facilitar sus operaciones.
