El Reglamento Europeo de Resiliencia Operativa Digital (DORA) entró en vigor el pasado 17 de enero de 2025, marcando un hito significativo en la regulación del sector financiero en materia de resiliencia operativa y seguridad de la información.
Este reglamento tiene como objetivo fortalecer la resiliencia operativa digital de las entidades financieras, asegurando que puedan resistir, responder y recuperarse de cualquier tipo de perturbación operativa, especialmente aquellas relacionadas con las tecnologías de la información y la comunicación (TIC).
Además, la responsabilidad por incumplimiento del Reglamento DORA puede acarrear severas consecuencias para las entidades financieras. Las sanciones pueden incluir multas significativas, restricciones operativas y daños reputacionales que afecten la confianza de los clientes y socios comerciales.
Resulta crucial que las organizaciones adopten un enfoque proactivo y riguroso para cumplir con todas las disposiciones del reglamento. Así, el proceso de adecuación al Reglamento DORA implica seis pilares fundamentales:
1. Identificación y evaluación de riesgos: identificar el alcance de aplicabilidad legal en cada una de las operaciones de la compañía y evaluar junto con los negocios los riesgos asociados con la resiliencia operativa digital. Esto incluye la realización de análisis de brechas (GAP analysis) para determinar el nivel de cumplimiento actual y las áreas que requieren mejoras.
2. Adecuación de políticas y procedimientos: desarrollar y actualizar políticas y procedimientos que aseguren el cumplimiento con los requisitos del Reglamento DORA. Esto incluye la creación de procedimientos de comunicación con las autoridades públicas en caso de incidentes operativos y ciberataques.
3. Formación y capacitación: es fundamental ofrecer formación continua a la alta dirección y a los empleados sobre los requisitos del Reglamento DORA y las mejores prácticas para la gestión de riesgos de ciberseguridad.
4. Supervisión y monitoreo: establecer mecanismos de supervisión y monitoreo continuo para asegurar que las medidas implementadas sean efectivas y se mantengan actualizadas. Esto incluye la creación de registros detallados de todas las interacciones y comunicaciones con las autoridades reguladoras.
5. Colaboración transversal: la estrecha colaboración entre los distintos departamentos, para asegurar una implementación coherente y efectiva del Reglamento DORA es esencial para abordar los desafíos técnicos y operativos que puedan surgir durante el proceso de adecuación. La alta dirección o cualquier persona que ejerza responsabilidades de dirección a nivel de director general o representante legal en dicha entidad esencial con funciones de dirección, tienen la responsabilidad de velar por el cumplimiento de esta directiva, fomentando una cultura organizacional más consciente y comprometida con la ciberseguridad. La seguridad de la información se convierte en una responsabilidad no solo del equipo de tecnología o de seguridad de la información, sino además, del equipo directivo, junto con el acompañamiento de legal y cumplimiento, trascendiendo al compromiso en toda la organización.
6. Auditorías y evaluaciones: realizar auditorías internas y evaluaciones periódicas para verificar el cumplimiento con el Reglamento DORA y identificar áreas de mejora continua. Esto también incluye la preparación de informes estratégicos que proporcionen una visión integral del estado de cumplimiento.
La ciberseguridad resulta uno de los focos de gestión de riesgos más importantes para la gobernanza e integridad de las empresas, sus empleados y sus clientes. La entrada en vigor del Reglamento DORA representa un desafío y una oportunidad para las entidades financieras y los proveedores de servicios TIC. Estos seis pilares aseguran que la organización no solo cumpla con los requisitos regulatorios, sino que también fortalezca su resiliencia operativa digital para enfrentar cualquier amenaza sobre los sistemas de información.
