Reglamento DORA

Reglamento DORA

El Reglamento DORA (Digital Operational Resilience Act) es aplicable a las entidades financieras y proveedores de servicios TIC de estas. Su finalidad es lograr un nivel común de resiliencia operativa digital, estableciendo requisitos uniformes de seguridad de las redes y los sistemas de información.

Afecta, entre otras, a: entidades de crédito, de pago, de dinero electrónico, servicios de inversión, servicios de criptoactivos, gestores de fondos de inversión alternativos, aseguradoras, agencias de calificación crediticia, etc.; así como a los proveedores TIC de estas.

Entre sus principales obligaciones se encuentran:

• Marco de gobernanza y gestión de riesgos: requiere de la implicación de la alta dirección en la toma de decisiones en el ámbito de la ciberseguridad y la ciberresiliencia; la determinación de estrategias, políticas y procedimientos en este ámbito, así como la supervisión de las auditorías periódicas correspondientes.
• Estrategia de resiliencia operativa digital: requiere del establecimiento de objetivos e indicadores, mecanismos de detección y respuesta de incidentes, así como de la realización de pruebas de resiliencia operativa digital.
• Implantación de medidas en todo el ciclo: requiere la implantación de medidas de ciberseguridad y ciberresiliencia en todas las fases: identificación de riesgos, implantación de controles, detección de actividades anómalas y gestión adecuada de ciberincidentes.
• Gestión de riesgo TIC derivado de terceros: requiere gestionar el riesgo asociado a los proveedores TIC relevantes de la organización, a la firma de contratos robustos con estos, así como determinadas obligaciones de comunicación frente a la autoridad de supervisión.

Además, hay que tener en cuenta que las sanciones en caso de incumplimiento del Reglamento DORA pueden ser de hasta 15 millones de euros o el 10% del volumen de negocio total anual, lo que sea de mayor cuantía.