Las autoridades de control europeas han publicado un segundo conjunto de productos de gestión de políticas en virtud de la Ley de Resiliencia Operativa Digital (DORA) de la UE. Estas últimas directrices están diseñadas para ayudar a las organizaciones a la hora de cumplir los requisitos del marco antes de que la ley entre en vigor en enero de 2025.

En su anuncio, las autoridades de control europeas describieron de esta forma el nuevo conjunto de reglas: «este lote consta de cuatro borradores finales de normas técnicas de regulación, un conjunto de normas técnicas de implementación y dos directrices, todas ellas destinadas a mejorar la resiliencia operativa digital del sector financiero de la UE».

El borrador final de las normas técnicas incluye:

• Normas técnicas de regulación y de implementación sobre el contenido, el formato, las plantillas y los plazos a la hora de informar sobre incidentes importantes que estén relacionados con las TIC y las amenazas cibernéticas significativas.

• Normas técnicas de regulación sobre la armonización de condiciones que permitan que se puedan efectuar las actividades de supervisión.

• Normas técnicas de regulación que especifiquen los criterios para determinar la composición del equipo conjunto de examinadores.

• Normas técnicas de regulación para pruebas de penetración dirigidas por amenazas.

Ahora, observemos más de cerca los objetivos de la DORA, los últimos requisitos que establecerá esta ley y cómo las organizaciones pueden comenzar a prepararse en la actualidad a la hora de cumplir con los requisitos del marco antes del próximo año. 

¿Qué es la DORA y quién debe cumplir con esta ley?

La Ley de Resiliencia Operativa Digital (DORA), puesta en marcha por la Comisión Europea en septiembre de 2020, es el primer reglamento que supervisa las funciones de seguridad de las entidades financieras en toda la Unión Europea. Además, presenta un marco unificado que armoniza la gestión del riesgo de las TIC a lo largo de 21 tipos distintos de entidades financieras dentro de su ámbito.

Este reglamento provocará un cambio significativo, que afectará a las entidades financieras de la UE, así como de otros lugares, además de a cualquier otro proveedor de servicios externo dentro de la amplitud de tus redes. Las organizaciones que estuvieran exentas con anterioridad con respecto a las normas de las TIC, incluidos los proveedores de servicios externos para la información de cuentas, criptoactivos y creación de informes de datos, deberán cumplir con estos requisitos.

¿Cuáles son los siguientes pasos en lo que respecta a la DORA?

Las entidades financieras deberán incorporar las últimas actualizaciones de la normativa a lo largo de su camino hacia el cumplimiento de la DORA. Sin embargo, es importante tener en cuenta que las directrices sobre la subcontratación de servicios TIC siguen en camino.

Según el comunicado de las autoridades de control europeas, «el borrador final de las normas técnicas se ha presentado a la Comisión Europea, que ahora comenzará a trabajar en su revisión con objeto de adoptar estos productos de gestión de políticas en los próximos meses. Las normas técnicas restantes en materia de regulación sobre subcontratación se publicarán a su debido tiempo».

Cómo navegar el cumplimiento normativo de la DORA

A medida que se acerca el plazo para el cumplimiento de la DORA, las entidades financieras priorizan de forma activa su resiliencia operativa digital con objeto de cumplir con los requisitos del marco. OneTrust ofrece funciones sólidas que ayudan a navegar por las complejidades del riesgo y la resiliencia, lo que permite que las organizaciones puedan poner en práctica el cumplimiento normativo con un énfasis sustantivo en la gestión del riesgo de las TIC y de terceros a escala.

Reserva una demostración para ver cómo OneTrust puede ayudarte a hacer efectivo el cumplimiento normativo con la DORA.