¿Qué es el reglamento DORA?

El reglamento DORA (Digital Operational Resilience Act) es una regulación de la Unión Europea que tiene como objetivo mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, específicamente en relación con los riesgos relacionados con las tecnologías de la información y la comunicación (TIC).

Con la implementación de DORA, las entidades financieras deben establecer requisitos para la gestión de incidentes de ciberseguridad con el fin de proteger, detectar, contener, recuperar y reparar incidentes relacionados con las TIC.

DORA establece unos requisitos y obligaciones específicos para la gestión del riesgo de las TIC, la notificación de incidentes, la realización de pruebas de resiliencia operativa, el establecimiento de acuerdos de intercambio de ciberamenazas y la monitorización del riesgo de la cadena de suministro de las entidades financieras.

Este reglamento reconoce que los incidentes de ciberseguridad y la falta de resiliencia operativa tienen la posibilidad de poner en peligro la solidez de todo el sistema financiero.

¿Qué requisitos establece DORA para las entidades financieras?

DORA establece requisitos específicos en cuatro dominios principales:

  • Gestión y gobernanza del riesgo de TIC: las entidades financieras deben desarrollar marcos integrales de gestión del riesgo de las TIC, identificando y clasificando activos críticos, realizando evaluaciones continuas de riesgos y estableciendo medidas de ciberseguridad adecuadas. El órgano de dirección de las entidades financieras será el responsable de definir las estrategias de gestión del riesgo y podrá ser responsable personalmente por el incumplimiento de la regulación.
  • Notificación de incidentes: las entidades financieras deben establecer sistemas para monitorear, administrar, registrar, clasificar e informar incidentes relacionados con las TIC. Deben presentar informes a las autoridades competentes y a los clientes y socios afectados sobre incidentes graves, proporcionando informes iniciales, intermedios y finales, y, con carácter voluntario, incidentes importantes.
  • Pruebas de resiliencia operativa digital, e intercambio de amenazas: las instituciones financieras deben probar regularmente sus sistemas de TIC para evaluar su fortaleza y detectar vulnerabilidades. Las pruebas incluyen evaluaciones de vulnerabilidades y pruebas basadas en escenarios, así como pruebas de penetración con amenazas especificas dirigías a entidades financieras. Igualmente, se deben establecer acuerdos de intercambio de información e inteligencia en relación con las ciberamenazas y las vulnerabilidades de ciberseguridad entre las entidades financieras.
  • Gestión de riesgos de terceros: las instituciones financieras deben asumir un papel activo en la gestión del riesgo de terceros de TIC, estableciendo acuerdos contractuales específicos y mapeando dependencias de la cadena de suministro. Los proveedores de servicios de TIC críticos también estarán sujetos a supervisión directa y deberán cumplir con los requisitos de DORA.

Texto completo via Revista Transformación Digital

Alf

Propietario de www.faq-mac.com.

Deja una respuesta