DORA (Digital Resilience Operational Act)
DORA
El sector TIC ya es consciente del cambio de paradigma impulsado por la UE con la nueva regulación DORA, pero… ¿Qué implicaciones tiene?, ¿A quiénes afecta?, y lo más importante: ¿Qué se debe hacer para cumplirla?
La UE publicó el pasado mes de diciembre la versión final de DORA (Regulation EU 2022/2554), y que entró en vigor el pasado 17 de enero de 2023, aunque será aplicable a partir del 17 de enero de 2025. Sus implicaciones, aunque extensas, van muy alineadas con estándares conocidos, como la ISO 27001, tratando a lo largo de sus artículos conceptos que manejamos ampliamente, tales como la Gestión de Riesgos, Tratamiento de Amenazas o Respuesta ante Incidentes, entre otros. Sin embargo, durante los cinco años de consolidación del texto, hay ciertas claves que se están convirtiendo en una firme declaración de intenciones por parte de los reguladores europeos. Veámoslas a continuación:
¿Es esto otro estándar más sobre Seguridad de la Información?
En absoluto. Para entender apropiadamente las implicaciones de DORA, cabe recordar que la UE cuenta con diferentes tipos de legislación atendiendo a su carácter de obligatoriedad (Regulaciones, Directivas, Decisiones, Recomendaciones, etc.). Pues bien, DORA tiene carácter de Regulación, y por tanto es de obligada aplicación a lo largo y ancho de todos los países de la UE, sin necesidad de su trasposición a regulaciones nacionales, como por ejemplo en el caso de las directivas.
Su obligado cumplimiento por parte de todos los implicados en el texto es inapelable a partir del 17 de enero de 2023, aunque se ha facilitado un periodo de transición, o en este caso, de implantación, de 2 años, siendo la fecha límite de aplicabilidad el 17 de enero de 2025.
¿Y en qué consiste DORA y a quiénes va dirigida?
El objetivo primordial de DORA es asegurar el apropiado y estandarizado tratamiento de los riesgos TIC en los servicios financieros en la UE para así garantizar los derechos fundamentales de los ciudadanos en el consumo de los mismos. Para ello se dirige a entidades financieras y sus proveedores TIC, basándose en regular la gestión de cuatro bases fundamentales: riesgos, incidentes, resiliencia y terceras partes.
¿Cómo saber si una empresa debe cumplir DORA?
Las diferentes evoluciones del borrador de DORA orbitan entorno a un concepto básico: La cadena de suministro. Por supuesto, el foco fundamental de DORA son las entidades financieras, sembargo, no debe olvidarse que esta nueva legislación trata a terceras partes y proveedores de servicios/productos TIC como objetivo de cumplimiento.
Por tanto, si una organización provee servicios TIC a entidades financieras (cuya consideración es bastante amplia), y dichos servicios pueden ser considerados críticos en la resiliencia de la misma (cuya delimitación es bastante difícil de materializar), entonces también estaría obligada al cumplimiento de DORA en su totalidad.
¿Cómo puedo acreditar el cumplimiento de DORA en mi organización?
La concreción de los preceptos técnicos con los que evidenciar el cumplimiento de DORA está todavía pendiente de publicaciones que realizarán próximamente ESAs y ENISA, entre otros. En cualquier caso, habrá dos factores de influencia que serán transcendentales en el éxito de las empresas para adaptarse a DORA: La observación de estándares de seguridad de la información y gestión de riesgos manejados en el sector financiero, y por supuesto, el acompañamiento de empresas de consultoría y profesionales GRC-TIC especializados en el sector.
En conclusión…
El sector financiero/bancario es bastante conservador y maduro en cuanto al tratamiento de riesgos y cumplimiento se refiere. Sus consejos de administración y comités de dirección no son en absoluto propensos a especular con el cumplimiento de regulaciones. Es por esto que, a la hora de seleccionar a sus proveedores, y ante la duda o ambigüedad en las definiciones de la regulación, no dudarán en discriminar su contratación en base al cumplimiento de DORA: Independientemente de que la regulación lo exija, será el propio mercado quien impondrá a los proveedores TIC la evidencia de cumplimiento de DORA.
Como tantas otras veces ha ocurrido respecto del cumplimiento en el sector TIC, muchos percibirán a la nueva regulación DORA como un nuevo inconveniente. Los mayores beneficiados, además de los ciudadanos europeos, serán aquellos que la aprecien como una oportunidad.
Noelia Berenguer Aracil
Consultor Senior GRC