Contenidos
Qué es el reglamento DORA
Pero ¿qué es este reglamento? ¿En qué consiste? ¿Cuáles son sus objetivos? ¿Por qué es tan importante? En todo esto vamos a profundizar hoy, porque es una iniciativa de la Unión Europea que resulta bastante interesante.
Este reglamento DORA busca crear un marco normativo que permita garantizar la resiliencia de las infraestructuras digitales dentro del entorno europeo. Es decir, lo que busca es regular la manera que tienen las entidades financieras de gestionar ese riesgo que corren a nivel digital al hacer uso de las TIC. Lo que se pretende es reforzar el ámbito legislativo, así como homogeneizarlo.
El objetivo principal es tener un enfoque único en lo que respecta a la ciberseguridad y a la gestión de las TIC, para así permitir que todas las entidades financieras, así como los diferentes proveedores de servicios TIC, sigan las mismas pautas. De esta manera, ante cualquier incidente o fallo de los servicios digitales, podrían continuar funcionando. Es, básicamente, una forma de cubrir la integridad de su infraestructura tecnológica. Así, se intenta garantizar la continuidad de todos estos servicios mediante la implementación de medidas específicas, además de fortalecer la seguridad y reducir riesgos de interrupciones.
Como dato extra, debes saber que este reglamento entró en vigor hace relativamente poco, el 16 de enero de 2023. No obstante, tanto las entidades financieras como aquellos que sean proveedores de servicios digitales podrán implementar los cambios pertinentes para cumplir los requisitos hasta el año 2025.
Principales medidas establecidas por este reglamento
Este reglamento señala una serie de medidas que son clave a la hora de garantizar esta resiliencia operativa digital dentro de la Unión Europea:
- Evaluación de riesgos: todas aquellas organizaciones que estén cubiertas por DORA tendrán que llevar evaluaciones de riesgos de forma periódica. De esta manera, podrán identificar y mitigar las posibles amenazas digitales que pudieran hallar. Esta supervisión activa de los riesgos implica identificarlos, evaluarlos y, posteriormente, tomar medidas de seguridad adecuadas.
- Normas de ciberseguridad que se deben seguir: DORA cuenta con normas que hay que seguir sí o sí, y que las organizaciones deben tener en cuenta. Por ejemplo, aquellas que guardan relación con la implementación de medidas de seguridad a nivel técnico, o la gestión de posibles incidentes de ciberseguridad. Y, por supuesto, las del ámbito de la violación de datos.
- Pruebas continuas de resiliencia: es importante que las organizaciones realicen de forma recurrente pruebas para evaluar cuál es su verdadera capacidad a la hora de mantener sus operaciones digitales. Por ejemplo, hacer simulacros de ciberseguridad.
- Reporte de incidentes: se deben notificar todos los incidentes de ciberseguridad a las autoridades, y también a las personas afectadas. De esta manera, se garantiza que la respuesta sea la adecuada.
- Supervisión y control de la resiliencia operativa digital: Todas las organizaciones deben cooperar con las autoridades reguladoras, para permitirles supervisar y controlar su resiliencia real.
- Sanciones: en caso de que no se cumpla con el reglamento, habrá sanciones para fomentar cambios y buscar la mejoría de la seguridad de las TIC.
¿A quién afecta el reglamento DORA?
Llegamos al último punto, quizá uno de los más importantes: a quién afecta realmente este Reglamento de Resiliencia Operativa Digital.
En primer lugar, a los proveedores de infraestructura crítica digital: sistemas de pago, servicios de salud digital, comunicaciones, transportes y energía. Pero, además, también a los proveedores de servicios digitales, todas esas empresas que ofrecen sus servicios en línea. Y esto incluye a redes sociales, comercio electrónico, cualquier motor de búsqueda, plataformas que se encuentren en la nube… Es decir, que estamos hablando de un reglamento de interés generalizado y público.
No solo eso, sino que también los proveedores de servicios de alojamiento web, o de mantenimiento de sistemas, deben regirse por este DORA. Y, cómo no, las autoridades reguladoras, cuyo papel es crucial.
Es un reglamento cuyo objetivo es velar por nuestra ciberseguridad, y por garantizar la resistencia de nuestras comunicaciones digitales, incluso ante posibles ataques. Sin duda, es crucial no solo tenerlo en cuenta, sino también cumplir con todos los requisitos que establece, porque es buscar nuestra propia seguridad.
