Cinco meses para que entre en vigor Dora ¿Por dónde empezamos?

Enero de 2025. Quedan apenas cinco meses para que el del Reglamento (UE) 2022/2554 de resiliencia digital operativa, más conocido como reglamento DORA sea aplicable. Si eres un proveedor de servicios de cloud, una entidad de pagos, una compañía de seguros, una entidad de dinero electrónico, o un gestor de fondos de inversión alternativo (entre otros sujetos obligados), este artículo te interesa.
¿Qué es DORA?
DORA es un reglamento (es decir, no necesita transposición, es de aplicabilidad directa), cuya finalidad es crear unos requisitos que permitan a los sujetos obligados de la misma, construir, asegurar y revisar su integridad y fiabilidad operativa asegurando, directa o indirectamente, mediante el uso de servicios prestados por proveedores terceros de servicios de tecnologías de la información, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la seguridad de las redes y los sistemas de información.
 
¿Cómo cumplir con DORA?
DORA es una normativa compleja que requiere la involucración de varios equipos de una compañía. Aunque os recomiendo firmemente que contéis con un equipo legal para la adaptación de la compañía, os dejamos una guía de los pasos a seguir para cumplir con todos los requisitos que exige:
 
1. Clasificar la compañía
Es importante conocer la compañía - ¿qué actividad desempeña? ¿Cuál es su facturación? ¿Grado de dependencia tecnología con terceros proveedores? ¿número de empleados?
Esto se debe a que DORA propone un marco simplificado para empresas que cumplan determinados requisitos.

Asimismo, la base de DORA es el principio de proporcionalidad, y establece una exigencia gradual según el tipo de empresa que tenga que cumplir con DORA, ya que no tiene la misma implicación para un proveedor de hosting mundial que para una compañía de seguros local.

 
2. Inventario de proveedores y activos
En segundo lugar, es fundamental hacer un inventario de los proveedores de servicios de TIC que prestan funciones a la compañía. Asimismo, es importante saber qué funciones son, que activos involucra y a qué funciones de la entidad afecta.
Una vez realizado ese inventario y localizada dicha información, podremos clasificar los proveedores en críticos y no críticos.
Este paso es fundamental, ya que las obligaciones varían dependiendo de la clasificación del proveedor.

 
3. Gestión del riesgo de las TIC
Una obligación esencial de DORA es la creación de un marco de gestión de riesgo, que, como su propio nombre indica, tiene como finalidad mitigar los riesgos y gestionarlos.
Entre otros requisitos, debe incluir los siguientes puntos:
  • Se debe gestionar el riesgo conforme a criterios de proporcionalidad, naturaleza, escala e importancia.
  • Establecer roles, la gobernanza y organización de la compañía en este ámbito.
  • Establecer un protocolo de gestión de incidentes que permitan la identificación, protección, prevención, detección, respuesta y notificación de incidentes conforme a los requisitos de DORA.
  • Definición de una estrategia global multiproveedor que muestre las dependencias clave de los proveedores y los motivos subyacentes a la contratación.
  • Contar con una política de uso de servicios de TIC que sustente funciones esenciales o importantes (en este punto, la EBA emitió unas normas técnicas en enero de 2024 con el fin de orientar a los sujetos obligados a cumplir con dicha política).
  • Disponer de un registro de todos los contratos celebrados con proveedores de TIC (los cuales se clasificarán en esenciales y no esenciales, y se comunicarán una vez al año a las autoridades competentes). Respecto a este punto, también se han emitido normas técnicas orientativas.
  • Contar con un proceso de homologación de proveedores.
  • Asegurar que sólo pueden celebrarse contratos que cumplan estándares estrictos y actualizado en materia de seguridad.
 
4. Pruebas de resiliencia
DORA exige llevar a cabo un programa de pruebas para asegurar la continuidad de las funciones esenciales en caso de fallo o brecha de seguridad.
Dichas pruebas se pueden clasificar en básicas (las cuales serán obligatorias para todos los sujetos obligados), como llevar a cabo análisis de vulnerabilidades, revisión del código fuente, o bien, pruebas avanzadas, que sólo serán obligatorias para entidades financieras de importancia sistémica.

 
5. Gestión del riesgo de las TIC frente a terceros
En este punto de cumplimiento, se exige a las entidades financieras llevar a cabo una gestión del riesgo de las TIC no sólo internamente, sino frente a terceros.
En este sentido, DORA impone requisitos en torno a los siguientes puntos, entre otros:
  • Disposiciones contractuales: todos los contratos con terceros proveedores deberán ser renegociados, incluyendo un clausulado reforzado en caso de que el tercer proveedor sustente una función esencial.
  • Llevar a cabo inspecciones y auditorías para garantizar los niveles de seguridad.
  • Disponer de estrategias de salida con terceros proveedores.
Estos son, en esencia, las obligaciones fundamentales que exige el Reglamento DORA, todas ellas destinadas a lograr un nivel mínimo común de resiliencia operativa digital en el territorio de la UE.