27.09.2024
DORA: El nuevo paradigma en la notificación de incidentes TIC para entidades financieras
Por
Cobo Aragoneses, José Luis El Reglamento sobre la Resiliencia Operativa Digital (DORA, por sus siglas en inglés) está transformando el panorama de la gestión de riesgos tecnológicos en el sector financiero europeo. En este artículo, analizaremos cómo DORA establece un nuevo estándar para la notificación de incidentes relacionados con las Tecnologías de la Información y la Comunicación (TIC) y qué implica esto para las entidades financieras españolas.
La importancia de una gestión integral del riesgo TIC
DORA reconoce que, en el actual entorno digital, las entidades financieras necesitan capacidades globales para gestionar eficazmente los riesgos relacionados con las TIC. Esto incluye:
- Mecanismos y políticas específicos para gestionar todos los incidentes TIC.
- Procedimientos para notificar incidentes graves.
- Políticas para realizar pruebas de sistemas, controles y procesos TIC.
- Estrategias para gestionar el riesgo TIC derivado de terceros.
El objetivo es elevar el nivel de resiliencia operativa digital en todo el sector, aplicando los requisitos de manera proporcionada según el tamaño y perfil de riesgo de cada entidad.
Un enfoque proporcionado para los fondos de pensiones de empleo
DORA introduce un enfoque flexible para los fondos de pensiones de empleo, reconociendo la necesidad de reducir las cargas administrativas. Las autoridades competentes deberán considerar:
- El tamaño y perfil de riesgo general de la entidad.
- La naturaleza, escala y complejidad de sus servicios y operaciones.
Este enfoque permite una supervisión más eficiente, centrándose en los riesgos graves asociados a la gestión TIC de cada entidad específica.
Hacia una armonización en la notificación de incidentes
Uno de los desafíos actuales es la divergencia en los umbrales de notificación y las taxonomías de incidentes TIC entre los Estados miembros. DORA busca establecer una base común, apoyándose en el trabajo de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y el Grupo de Cooperación.
Esta armonización es crucial para:
- Simplificar el cumplimiento para entidades que operan en múltiples países.
- Facilitar la creación de mecanismos uniformes de notificación a nivel de la UE.
- Mejorar el intercambio de información entre autoridades competentes, especialmente en caso de ataques a gran escala.
Si te ha interesado este artículo no dudes en leer:
DORA: Cumplimiento y gestión de riesgos para proveedores de servicios de criptoactivos
Simplificación de las obligaciones de notificación
Para evitar duplicidades, DORA modifica las obligaciones de notificación existentes. A partir de su aplicación:
- Los proveedores de servicios de pago notificarán todos los incidentes operativos o de seguridad relacionados con pagos bajo DORA, independientemente de si están relacionados con las TIC.
- Esto afecta a entidades de crédito, entidades de dinero electrónico, entidades de pago y proveedores de servicios de información sobre cuentas.
Conclusión
DORA representa un paso significativo hacia un marco unificado y robusto para la gestión y notificación de incidentes TIC en el sector financiero europeo. Las entidades financieras españolas deben prepararse para adaptar sus sistemas y procesos a estos nuevos requisitos, que prometen mejorar la resiliencia del sector en su conjunto frente a las amenazas digitales.
La implementación efectiva de DORA requerirá una colaboración estrecha entre las entidades financieras, los reguladores y los expertos en ciberseguridad. Solo así podremos garantizar un sistema financiero más seguro y resistente en la era digital.
Contacta con Athenea, nuestra asistente de IA 
Si te ha gustado este artículo, también puede resultarte interesante la lectura del siguiente:
DORA: El nuevo régimen regulatorio para los mercados de criptoactivos
