Recta final para el reglamento DORA: esta es la hoja de ruta que deben seguir las entidades

Las entidades financieras de la Unión Europea se enfrentan a la urgente necesidad de cumplir con los requisitos del Reglamento (UE) 2022/2554, más conocido como reglamento DORA. Esta norma, cuyo objetivo es mejorar la resiliencia operativa y la ciberseguridad en las esas entidades, recoge las medidas que las entidades han de implantar para gestionar los riesgos relacionados con las tecnologías de la información y las comunicaciones (TIC).

El 17 de enero de 2025 es la fecha desde la que los supervisores exigirán a las entidades que cumplan con esas obligaciones.

Desde 2023, muchas compañías han estado trabajando en la adaptación a esta norma. Sin embargo, otras lo pospusieron o están empezando. Con el objetivo de ayudar a las entidades que están en ello, les propongo una pequeña hoja de ruta que las puede guiar en sus proyectos de adaptación.

El primer paso para la adecuación al reglamento DORA es clasificar a la entidad financiera según su actividad, número de empleados, volumen de negocios, infraestructura tecnológica y dependencia de proveedores tecnológicos. Este análisis inicial permite calificar a la entidad como microempresa, pequeña, mediana o gran empresa, definir el conjunto de obligaciones basadas en el principio de proporcionalidad y determinar si se aplica el «marco simplificado».

A continuación, hay que identificar los activos de información y de las TIC que sustentan las funciones de la entidad, así como los componentes e infraestructuras técnicas y físicas pertinentes, como locales y centros de datos. Este inventario de activos, junto con los procesos y los proveedores de servicios de TIC involucrados, permite construir un marco de gestión del riesgo relacionado con las TIC.

Una vez identificados los activos, se debe elaborar un marco de gestión de riesgos de las TIC que proporcione mecanismos y medidas para una gestión rápida, efectiva y global de estos riesgos. Esto incluye la protección de las infraestructuras y componentes físicos necesarios, así como la supervisión continua de la seguridad y el funcionamiento de los sistemas de TIC. En este marco se definirán los niveles de tolerancia al riesgo y las estrategias de mitigación. Además, será necesario contar con un informe de revisión de este marco, que puede exigir el supervisor financiero con periodicidad anual o distinta según el tipo de entidad.

El siguiente componente es el modelo de gobernanza y control internos, que debe asegurar una gestión eficaz y prudente del riesgo de las TIC mediante la identificación clara de roles y responsabilidades. Este modelo se complementa con un sólido marco de seguridad de la información, que incluirá políticas y procedimientos para la seguridad, intrusiones, accesos, gestión de proyectos y cambios, contraseñas, seguridad física y cifrados, entre otros aspectos.

Para asegurar la resiliencia operativa, cada entidad debe desarrollar un programa de pruebas personalizado, incluyendo la ejecución de auditorías técnicas previstas en el plan. Esto se acompaña de un plan de continuidad de las actividades de TIC, que diferencie las acciones que aseguran la continuidad de las funciones esenciales o importantes, y valide la eficacia de las medidas de seguridad mediante pruebas regulares.

En cuanto a la gestión de incidentes, se debe implantar un procedimiento que cumpla con los requerimientos del reglamento DORA y las normas secundarias, que abarque la clasificación, detección, registro, seguimiento, notificación, respuesta, recuperación y lecciones aprendidas de las ciberamenazas. Este procedimiento es esencial para una respuesta rápida y efectiva ante cualquier incidente.

La relación con los proveedores de TIC también es importante y la que más problemas está generando en los proyectos de adaptación de la norma. Es necesario elaborar un registro de información contractual, notificarlo a la autoridad competente, definir un procedimiento de homologación de proveedores, definir políticas sobre el uso de recursos tecnológicos en servicios esenciales y revisar regularmente a estos proveedores. Además, se deben modificar los contratos con los proveedores de servicios tecnológicos para cumplir con los requerimientos del reglamento, sin que se disponga de un período transitorio, como ocurrió con el reglamento general de protección de datos.

Finalmente, es indispensable contar con un plan de auditoría interna desarrollado por auditores con conocimientos en riesgos de las TIC, alineado con el plan de auditoría de las entidades financieras, y desarrollar un plan de formación en resiliencia operativa digital para el personal y la dirección, junto con programas de sensibilización sobre la seguridad de las TIC, adaptados ambos a las necesidades y al perfil de riesgo de las tecnologías utilizadas.

El objetivo del reglamento DORA, en suma, es lograr que las entidades financieras alcancen un nivel común de resiliencia operativa digital. Para ello, se exige implantar las medidas relacionadas, dentro de las estrategias de las entidades para proteger sus redes y sistemas de información y asegurar la continuidad de sus procesos empresariales, incluso ante situaciones de perturbación.