Tras la publicación de la Directiva NIS 2 y la Directiva de Ciberresiliencia, el Diario Oficial de la Unión Europea ha publicado también, el 27 de diciembre, el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativo a la resiliencia operativa digital del sector financiero. Esta nueva normativa, conocida como DORA, modifica los Reglamentos (CE) 1060/2009, (UE) 648/2012, (UE) 600/2014, (UE) 909/2014 y (UE) 2016/1011.
En concreto, esta nueva legislación establece un código normativo único para mitigar los incidentes relacionados con las TIC en la industria financiera europea. La Directiva DORA también tiene como objetivo reforzar la resiliencia operativa dentro de la industria financiera para garantizar la continuidad del negocio, incluso cuando las TIC de una organización están sufriendo interrupciones, como durante un ciberataque. Además, obliga a los proveedores de TIC críticos a ajustarse a los estándares regulatorios y establece un marco de supervisión para ellos.
Aspectos principales del Reglamento DORA
Esta normativa contiene algunos aspectos principales sobre los que profundiza:
- Gestión de riesgos de TIC. Las entidades financieras deben crear y seguir un marco de gestión de riesgos de TIC que respalde una estrategia de continuidad comercial, políticas de recuperación y estrategias de comunicación.
- Clasificación y notificación de incidentes relacionados con las TIC. Se crea un canal de informes simplificado que conduce a un único centro de la UE en lugar de múltiples autoridades nacionales competentes.
- Pruebas de resiliencia operativa digital. Para garantizar la confiabilidad de las defensas de TIC establecidas, las entidades financieras deberán someterse a pruebas periódicas de resiliencia de las operaciones digitales realizadas por terceras partes independientes internas o externas.
- Supervisión para los proveedores de servicios críticos de TIC. Los proveedores de servicios se verán obligados a cumplir con la regulación que marca esta normativa si se clasifican como críticos.
- Reglas para el intercambio de información. Se permite y fomenta el intercambio de información sobre amenazas cibernéticas entre entidades dentro de comunidades financieras confiables.
El Reglamento DORA entra en vigor 20 días después de su publicación. Además, será obligatoria en todos sus elementos y directamente aplicable en cada Estado miembro a partir del 17 de enero de 2025.
Accede al Reglamento DORA de forma completa.
Archivado en:
