¿Qué es el reglamento de Resiliencia Operativa Digital?
El Reglamento sobre Resiliencia Operativa Digital (DORA) armoniza las normativas relativas a la resiliencia operativa para el sector financiero que afectan a 20 tipos diferentes de entidades financieras y proveedores de servicios de TIC a terceros, abarcando aproximadamente a 22 000 organizaciones en toda la Unión Europea.
El DORA tiene por objeto reforzar la seguridad informática de entidades financieras como los bancos, las entidades aseguradoras y las firmas de inversión para garantizar la resiliencia del sector financiero en Europa ante el creciente volumen y gravedad de los ciberataques. El nuevo reglamento exige a las entidades financieras, y a sus proveedores de TIC críticas, que implementen medidas contractuales, organizativas y técnicas para mejorar el nivel de resiliencia operativa digital del sector.
El DORA entró en vigor el 16 de enero de 2023 y se aplica a los 27 Estados miembros de la UE desde el 17 de enero de 2025.
Reglamento | En vigor
El DORA está estructurado en torno a cinco pilares clave. Cada uno de ellos está diseñado para abordar distintos aspectos de la resiliencia operativa digital de los servicios financieros.
- Gestión y gobernanza del riesgo en las TIC: el DORA hace que la dirección y los miembros del consejo sean responsables de definir, implantar y mantener un marco de gestión del riesgo en TIC que permita lograr una mayor resiliencia operativa digital de manera eficaz. El DORA exige que las entidades financieras dispongan de un marco interno de gobernanza y control que garantice una gestión eficaz y prudente del riesgo en las TIC.
- Notificación de incidentes: las organizaciones de servicios financieros deben establecer sistemas para supervisar, gestionar, registrar, clasificar y notificar los incidentes relacionados con las TIC con el fin de evaluar los ataques, mitigar el impacto en los clientes y las operaciones, y reportarlos a las autoridades.
- Pruebas de resiliencia operativa digital: las entidades financieras deben implantar y ejecutar anualmente un programa integral de pruebas de resiliencia operativa digital. El DORA también establece que las entidades financieras deben garantizar, cuando proceda, la participación de los proveedores externos de TIC en sus pruebas de resiliencia operativa digital.
- El riesgo de terceros en las TIC: uno de los aspectos clave del DORA es el riesgo de terceros en las TIC y su papel en la mitigación de riesgos. Las entidades financieras dependen en gran medida de proveedores externos de TIC que pueden encontrarse fuera de la UE, como ocurre con varios proveedores de servicios en la nube. En consecuencia, las entidades financieras deben incluir el riesgo de terceros en las TIC como un componente integral de su marco de gestión del riesgo en TIC.
- Intercambio de información: el DORA también fomenta el intercambio voluntario de información e inteligencia sobre ciberamenazas para reforzar la resiliencia operativa digital del sector.
El DORA se aplica a una amplia gama de proveedores de servicios financieros, incluidos los bancos, las entidades de crédito, las entidades de pago, las entidades de moneda electrónica, las firmas de inversión y los proveedores de servicios de criptoactivos, entre otros. Es importante destacar que el DORA define los servicios críticos de TIC que se prestan a las instituciones financieras. Si una organización presta servicios críticos de TIC a una institución financiera, estará sujeta a una supervisión reglamentaria directa en el marco del DORA. Aquí se incluyen, por ejemplo, las plataformas en la nube y los servicios de análisis de datos, incluso si tienen su sede fuera de la UE.
El DORA es un reglamento de la UE, lo que significa que será de obligado cumplimiento en la UE a partir del 17 de enero de 2025. A diferencia de una Directiva de la UE, el DORA no tiene que incorporarse a la legislación nacional de cada Estado miembro de la UE. El incumplimiento del DORA conlleva sanciones estrictas:
- Las entidades financieras que infrinjan el DORA pueden hacer frente a multas de hasta el 2% de su volumen de facturación anual total en todo el mundo o, en el caso de un particular, a una multa máxima de 1 000 000 €. La cuantía de la multa dependerá de la gravedad de la infracción y la cooperación de la entidad financiera con las autoridades.
- Los proveedores de servicios de TIC a terceros designados como «críticos» por las Autoridades Europeas de Supervisión pueden tener que hacer frente a multas de hasta 5 000 000 € o, en el caso de un particular, a una multa máxima de 500 000 € por incumplimiento del DORA. Corresponde a las Autoridades Europeas de Supervisión imponer estas sanciones.
Informe técnico
Ley de Resiliencia Operativa Digital (DORA)
Explore las soluciones para el cumplimiento del DORA en el sector financiero. Abarcan la gestión de riesgos de las tecnologías de la información y la comunicación (TIC), la notificación de incidentes, entre otros aspectos.
Cómo Thales puede ayudar a cumplir el reglamento DORA
Las soluciones de Thales pueden ayudar a las entidades financieras y a los proveedores externos de TIC a cumplir el DORA. Al simplificar el cumplimiento y automatizar la seguridad con visibilidad y control, reducen la carga de los equipos de seguridad y cumplimiento normativo. Ayudamos a abordar los requisitos esenciales de gestión de riesgos de ciberseguridad establecidos en los artículos 8, 9, 10, 11, 19 y 28 del reglamento, que abarcan la gestión y la gobernanza de los riesgos de las TIC, la notificación de incidentes y la gestión de riesgos de terceros TIC.
Ofrecemos soluciones integrales de ciberseguridad en tres áreas clave de la ciberseguridad: seguridad de las aplicaciones, seguridad de los datos y gestión de identidades y accesos.
Soluciones para el cumplimiento de la directiva NIS2
Seguridad de las aplicaciones
Proteja las aplicaciones y las API a escala en la nube, en entornos locales o en un modelo híbrido. Nuestra gama de productos líder en el mercado incluye un cortafuegos para aplicaciones web (WAF), protección contra ataques de denegación de servicio distribuido (DDoS) y contra ataques de bots maliciosos, seguridad para API, una red de distribución de contenidos (CDN) segura y autoprotección de aplicaciones en tiempo de ejecución (RASP).
Gestor de seguridad
Descubrir y clasificar los datos sensibles en entornos de TI híbridos y protegerlos automáticamente en cualquier lugar —ya sea en reposo, en tránsito o en uso— mediante cifrado, tokenización y gestión de claves. Las soluciones de Thales también identifican, evalúan y priorizan los riesgos potenciales para una evaluación del riesgo precisa, además de identificar comportamientos anómalos y supervisar la actividad para verificar el cumplimiento normativo, lo que permite a las organizaciones priorizar en qué concentrar sus esfuerzos.
Gestión de identidades y accesos
Proporcione un acceso fluido, seguro y de confianza a las aplicaciones y servicios digitales para clientes, empleados y socios. Nuestras soluciones limitan el acceso de usuarios internos y externos basándose en sus funciones y en el contexto, mediante políticas de acceso granulares y autenticación multifactor, lo que ayuda a garantizar que el usuario adecuado acceda al recurso adecuado en el momento adecuado.
Informe técnico
Garantizar la resiliencia operativa digital con Data Protection on Demand (DPoD) de Thales
Guía integral para aprovechar la gestión de claves, el cifrado y los HSM para cumplir el Reglamento DORA con Data Protection on Demand (DPoD).
Cumplir los requisitos clave del DORA
Cómo puede ayudar Thales:
- Descubrir y clasificar los riesgos potenciales de todas las API públicas, privadas y ocultas.
- Identificar los datos sensibles estructurados y no estructurados que estén en riesgo, tanto en entornos locales como en la nube.
- Identificar el estado actual respecto al cumplimiento normativo, documentar las carencias y proponer un plan para alcanzar el cumplimiento normativo total.
Soluciones:
Seguridad de las aplicaciones
Seguridad de los datos
Descubrimiento y clasificación de datos
Cómo puede ayudar Thales:
- Cifrar los datos en reposo en entornos locales, en múltiples nubes y en entornos de big data o contenedores.
- Seudonimizar la información sensible en las bases de datos.
- Proteger los datos en tránsito mediante cifrado de alta velocidad.
- Ofrecer una visibilidad completa de la actividad sobre los datos sensibles que permita controlar quién tiene acceso, auditar sus acciones y mantener la debida documentación.
Cómo puede ayudar Thales:
- Detectar y prevenir las ciberamenazas con un cortafuegos para aplicaciones web, garantizando la continuidad operativa y una mayor tranquilidad.
- Proteger los activos críticos de la red frente a ataques DDoS y bots maliciosos, sin interrumpir el tráfico legítimo.
- Supervisar la actividad de los datos estructurados y no estructurados en la nube y en los sistemas locales.
Soluciones:
Seguridad de las aplicaciones
Cortafuegos para aplicaciones web
Protección contra ataques DDoS
Seguridad de los datos
Cómo puede ayudar Thales:
- Limitar el acceso de usuarios internos y externos a los sistemas y a los datos según las funciones asignadas y el contexto, aplicando políticas definidas.
- Aplicar medidas de seguridad contextuales basadas en la puntuación de riesgos.
- Aprovechar las tarjetas inteligentes para implementar el acceso físico a instalaciones sensibles.
Cómo puede ayudar Thales:
- Habilitar la autenticación multifactor (MFA) con la gama más amplia de métodos y factores de forma de hardware y software.
- Construir e implantar políticas de autenticación adaptables basadas en la sensibilidad de los datos o la aplicación.
Cómo puede ayudar Thales:
- Proteger las claves criptográficas en un entorno conforme a FIPS 140-2 de nivel 3.
- Agilizar la gestión de claves en entornos locales y en la nube.
Cómo puede ayudar Thales:
- Conciliación automática de los cambios de producción.
- Evaluación de la vulnerabilidad y mitigación de riesgos.
- Detección de cambios en los esquemas de la capa de datos.
- Proceso de aprobación de los cambios a nivel de producción.
Soluciones:
Seguridad de los datos
Orquestación, flujos de trabajo y libros de procedimientos (playbooks)
Cómo puede ayudar Thales:
- Detectar y prevenir las ciberamenazas con un cortafuegos para aplicaciones web, garantizando la continuidad operativa y una mayor tranquilidad.
- Proteger el rendimiento y la integridad de la red TIC frente a ataques DDoS y bots maliciosos, sin interrumpir el tráfico legítimo.
Soluciones:
Seguridad de las aplicaciones
Cortafuegos para aplicaciones web
Cómo puede ayudar Thales:
- Supervisar la actividad de los datos estructurados y no estructurados en los sistemas locales y en la nube.
- Generar registros de auditoría e informes de todos los eventos de acceso a todos los sistemas, y transmitir los registros a sistemas SIEM externos.
Soluciones:
Seguridad de los datos
Supervisión de la actividad de los datos
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Mitigar los ataques DDoS en tan solo tres segundos.
- Implementar medidas preventivas para predecir y evitar situaciones de crisis.
Cómo puede ayudar Thales:
- Los registros conservados durante un año pueden consultarse al instante para realizar búsquedas e investigaciones detalladas. Los datos de auditoría se archivan automáticamente, pero se puede acceder a ellos en cuestión de segundos para efectuar consultas y elaborar informes.
Cómo puede ayudar Thales:
- Reducir el riesgo ante terceros manteniendo el control en los entornos locales sobre las claves de cifrado que protegen los datos alojados en la nube.
- Garantizar una separación completa de funciones entre los administradores del proveedor de la nube y su empresa, y restringir el acceso a los datos sensibles.
- Supervisar y alertar de anomalías para detectar y evitar que actividades no deseadas perturben las actividades de la cadena de suministro.
- Habilitar la gestión de las relaciones con proveedores, socios o cualquier usuario externo, con una delegación clara de los derechos de acceso.
- Minimizar los privilegios mediante el uso de autorización de acceso granular basada en relaciones.
Soluciones:
Seguridad de los datos
Administración de claves en la nube
Supervisión de la actividad de los datos
Gestión de derechos de usuario
Descubrimiento y clasificación
Gestión de identidades y accesos
Recursos relacionados
Otras normativas clave en materia de protección de datos y seguridad
PCI HSM
MANDATO | EN VIGOR
La especificación PCI HSM define un conjunto de estándares de cumplimiento de seguridad lógica y física para los HSM, específicamente orientados al sector de los pagos. La certificación de cumplimiento PCI HSM depende del cumplimiento de dichos estándares.
DORA
REGLAMENTO | EN VIGOR
DORA tiene como objetivo reforzar la seguridad informática de las entidades financieras para garantizar que el sector financiero en Europa sea resiliente frente al creciente volumen y gravedad de los ciberataques.
Leyes de notificación de brechas de datos
REGLAMENTO | EN VIGOR
Los requisitos de notificación de brechas de datos tras la pérdida de información personal han sido promulgados por países de todo el mundo. Varían según la jurisdicción, pero casi universalmente incluyen una cláusula de «puerto seguro».
GLBA
REGLAMENTO | EN VIGOR
La Ley Gramm-Leach-Bliley (GLBA), también conocida como la Ley de Modernización de los Servicios Financieros de 1999, exige que las instituciones financieras expliquen a sus clientes sus prácticas de intercambio de información y protejan los datos sensibles.