Compartir a través de

¿Qué es DORA?

  • Artículo

A partir del 17 de enero de 2025, las entidades financieras de la Unión Europea (UE) y los proveedores de servicios de terceros de las TIC designados como "críticos" por las Autoridades Europeas de Supervisión deben estar preparados para cumplir la Ley de resistencia operativa digital (Reglamento (UE) 2022/2554 - "DORA"). DORA estandariza la forma en que las entidades financieras notifican incidentes de ciberseguridad, prueban su resistencia operativa digital y administran el riesgo de terceros en el sector de los servicios financieros y en los estados miembros de la UE.

Además de establecer expectativas claras sobre el papel de los proveedores de TIC, DORA proporciona a las Autoridades Europeas de Supervisión (AES) competencias de supervisión directa sobre los proveedores de TIC críticos designados. Microsoft se prepara para ser designado como "proveedor de servicios críticos de terceros de TIC" y cumplirá con las disposiciones aplicables en virtud de DORA, y ayudará a las instituciones financieras reguladas a cumplir sus propios requisitos.

Marco normativo

DORA tiene como objetivo proporcionar un enfoque armonizado para lograr "un alto nivel de resistencia operativa digital" de la industria de servicios financieros (FSI), asegurándose de que las empresas puedan soportar y adaptarse a una amplia gama de amenazas e interrupciones, incluidos ciberataques, fallos de TI y otros riesgos operativos. DORA se aplica a una amplia gama de entidades de I FSI, incluidos bancos, instituciones de seguros, bolsas de valores y plataformas comerciales. También, por primera vez, designará "proveedores de servicios de terceros de TIC críticos" o CTPP considerados críticos para el sistema financiero mediante la prestación de servicios críticos a las entidades del FSI, lo que dará lugar a la supervisión normativa directa de dichas empresas designadas.

Puntos clave

  1. Propósito de DORA: DORA busca mejorar la resistencia y la estabilidad del sector de FSI asegurándose de que las entidades de FSI han implementado medidas eficaces para administrar y mitigar los riesgos operativos, incluidos los ciberrriestos. Su objetivo es proteger a los consumidores, los inversores y el sistema de I FSI más amplio frente a las consecuencias potencialmente graves de importantes interrupciones o fallas en el sector.
  2. Alcance: DORA se aplica a las entidades de FSI que operan en la Unión Europea y a sus proveedores de terceros de TIC que prestan servicios en la UE, independientemente del lugar desde el que operan estos últimos. También se aplica a los proveedores de terceros críticos (CTPP) designados por las AES, que se confían a la supervisión diaria de uno de los tres AES, es decir, EBA, EIOPA o ESMA.
  3. Disposiciones clave: DORA incluye principalmente tres requisitos: (i) requisitos aplicables a las entidades de FSI (incluidos en las áreas de gestión de riesgos de las TIC, notificación de incidentes principales de TIC y pruebas de resistencia operativas (a saber, pruebas de penetración dirigidas por amenazas)), (ii) requisitos en relación con los acuerdos contractuales celebrados entre proveedores de servicios de terceros de TIC designados y entidades de FSI, y (iii) normas para el establecimiento y la ejecución del Marco de Supervisión para Proveedores críticos de terceros de TIC (CTPP) al proporcionar servicios a entidades de FSI.
  4. Cumplimiento: Microsoft cumplirá con todas las leyes y regulaciones que le sean aplicables en la prestación de sus servicios, sujeto a los requisitos que se le apliquen como CTPP. Las entidades de FSI que hayan implementado acuerdos contractuales para el uso de Microsoft servicios en línea para ejecutar sus funciones críticas o importantes seguirán siendo responsables del cumplimiento de todas las obligaciones derivadas de DORA y de los requisitos normativos de los servicios financieros aplicables. Microsoft admitirá a las entidades de FSI para habilitar sus obligaciones de cumplimiento y cumplir con los requisitos aplicables a ella.
  5. Servicios y proveedores en la nube: DORA es neutral para la tecnología y los requisitos de DORA se aplican no solo a las entidades de FSI, sino también a proveedores externos de servicios de TIC designados como CTTP. Es probable que determinados servicios en la nube de Microsoft Azure (por ejemplo, IAAS) y determinados servicios de Microsoft 365, como Exchange y Teams, estén cubiertos por DORA, pero aún no se ha determinado.
  6. Compromisos contractuales: DORA exige ciertos requisitos contractuales entre los proveedores de servicios externos de TIC y las entidades de FSI. Microsoft garantizará que sus disposiciones contractuales se ajusten a los requisitos de DORA, según corresponda. Además, Microsoft ya se alinea con los requisitos emitidos en el marco de las directrices de EBA, ESMA y EIOPA, y esa orientación en sí misma sirve como marco de referencia para los requisitos de DORA.
  7. Supervisión: DORA no alivia a las entidades de FSI de la supervisión de los proveedores de tecnología, incluidas las auditorías. Microsoft tiene una experiencia sustancial que respalda a los clientes en la ejecución de auditorías y en proporcionar un nivel de transparencia y garantía para la supervisión y supervisión continuas de sus servicios en la nube.

DORA tiene como objetivo fortalecer la resistencia operativa del sector de la inteligencia artificial y busca reforzar la gestión de riesgos para que las empresas puedan soportar y adaptarse a una amplia gama de amenazas e interrupciones. Microsoft cumplirá con todas las leyes y regulaciones que le sean aplicables al proporcionar sus servicios en la nube, sujeto a los requisitos que se le apliquen como CTTP. Las entidades de FSI que hayan implementado acuerdos contractuales para el uso de servicios de terceros de TIC seguirán siendo responsables del cumplimiento de todas las obligaciones establecidas en DORA y de los requisitos normativos de los servicios financieros aplicables, a los que Microsoft apoyará según sea necesario.

Áreas principales para la consideración del cliente en DORA

Marco de gestión de riesgos de TIC

La Ley de Resistencia Operativa Digital (DORA) establece un mecanismo de gestión integral de los riesgos de las TIC con el que las entidades financieras deberán cumplir, incluida la identificación, protección y prevención, detección, respuesta y recuperación de dichos riesgos en el ámbito. Las entidades financieras deben establecer un marco interno de gobernanza y control para la gestión de riesgos de las TIC y participar en la supervisión continua de los riesgos de las TIC. Estos requisitos de gestión y supervisión de riesgos de las TIC se extienden al uso de los servicios de TIC proporcionados por proveedores externos.

Los elementos de este marco de gestión de riesgos de las TIC abarcan ampliamente:

  • Marco interno de gobernanza y control para la gestión de riesgos de las TIC: las entidades financieras deben tener un marco interno de gobernanza y control que garantice una gestión eficaz y prudente del riesgo de las TIC.
  • Componentes y requisitos del marco de gestión de riesgos de TIC: el marco de gestión de riesgos de las TIC debe incluir estrategias, políticas, procedimientos, protocolos de TIC y herramientas necesarias para proteger y garantizar la resistencia, la continuidad y la disponibilidad de los sistemas de TIC, los recursos de información y los datos.
  • Especificaciones de sistemas, protocolos y herramientas de TIC: las entidades financieras deben utilizar y mantener actualizados sistemas, protocolos y herramientas de TIC adecuados, confiables, resistentes y capaces de procesar los datos necesarios para sus actividades y servicios. También deben implementar políticas, procedimientos, protocolos y herramientas de seguridad de las TIC que tengan como objetivo garantizar la seguridad de las redes y los datos y evitar incidentes relacionados con las TIC.
  • Identificación de fuentes y dependencias de riesgo de TIC: las entidades financieras deben identificar, clasificar y documentar todas las funciones empresariales compatibles con las TIC, los activos de información y los activos de TIC, así como sus roles y dependencias en relación con el riesgo de las TIC. También deben identificar todas las fuentes de riesgo de las TIC, las ciberamenazas y las vulnerabilidades de las TIC, y evaluar el posible impacto de las interrupciones de las TIC.
  • Detección de incidentes y anomalías relacionados con las TIC: las entidades financieras deben tener mecanismos para detectar rápidamente actividades anómalas, problemas de rendimiento de la red de TIC e incidentes relacionados con las TIC, e identificar posibles puntos únicos de error. También deben definir umbrales y criterios de alerta para desencadenar e iniciar procesos de respuesta a incidentes relacionados con las TIC.
  • Respuesta y recuperación de incidentes relacionados con las TIC: las entidades financieras deben tener una política completa de continuidad empresarial de las TIC y planes de respuesta y recuperación de TIC asociados que tengan como objetivo garantizar la continuidad de funciones críticas o importantes, resolver rápida y eficazmente incidentes relacionados con las TIC y minimizar los daños y pérdidas. También deben probar, revisar y actualizar sus planes y medidas periódicamente, e informar a las autoridades competentes según sea necesario.

Cómo ayuda Microsoft con la administración de riesgos

Microsoft ya proporciona un amplio conjunto de funcionalidades integradas de administración de riesgos de TIC en nuestros servicios en la actualidad. Esto incluye, por ejemplo: Microsoft Defender for Cloud, Microsoft 365 Service Health Dashboard, Microsoft Secure Score, Azure Service Health, Microsoft Purview y Microsoft Purview Compliance Manager.

TIC: administración, clasificación e informes de incidentes relacionados

Se exige una serie de requisitos para las entidades financieras de la UE en materia de gestión, clasificación e informes de incidentes de TIC, incluidos los siguientes:

  • Proceso de administración de incidentes relacionados con las TIC: las entidades financieras deben tener un proceso para detectar, administrar y notificar incidentes relacionados con las TIC y registrarlos según su prioridad y gravedad.
  • Clasificación de incidentes relacionados con las TIC y ciberamenazas: las entidades financieras deben clasificar los incidentes relacionados con las TIC y las ciberamenazas en función de criterios como el número de clientes afectados, la duración, la propagación geográfica, las pérdidas de datos, la importancia crítica de los servicios y el impacto económico.
  • Informes de incidentes importantes relacionados con las TIC y notificación voluntaria de ciberamenazas significativas: las entidades financieras deben informar de incidentes importantes relacionados con las TIC a la autoridad competente pertinente mediante formularios y plantillas estándar e informar a sus clientes sobre el incidente y las medidas de mitigación. Las entidades financieras también pueden notificar amenazas cibernéticas significativas a la autoridad competente pertinente de forma voluntaria.
  • Armonización del contenido y las plantillas de los informes: las AES, a través del Comité Conjunto y en consulta con ENISA y el BCE, elaborarán proyectos comunes de reglamentación y aplicación de normas técnicas para especificar el contenido, los plazos y el formato de los informes y notificaciones de incidentes relacionados con las TIC y ciberamenazas.
  • Centralización de la presentación de informes de incidentes importantes relacionados con las TIC: las AES, a través del Comité Conjunto y en consulta con el BCE y la ENISA, prepararán un informe conjunto que evalúe la viabilidad de centralizar aún más la notificación de incidentes mediante el establecimiento de un único centro de conectividad de la UE para la notificación de incidentes importantes relacionados con las TIC por parte de las entidades financieras.

Pruebas de resistencia operativa digital

DORA presenta pruebas operativas digitales que deben realizarse en sistemas y aplicaciones de TIC críticos de forma anual a trienal a través de pruebas de penetración dirigidas por amenazas (TLPT). Este nuevo enfoque de pruebas refuerza las capacidades de prueba de las entidades financieras, lo que fomenta la recuperación oportuna y la continuidad empresarial. Microsoft ya permite a los clientes hacerlo a través de nuestro programa de pruebas de penetración. Obtenga más información sobre las reglas de compromiso de pruebas de penetración en la nube de Microsoft y nuestros programas de recompensas por errores . Microsoft seguirá trabajando y admitirá los requisitos de pruebas para cumplir los requisitos de este régimen de pruebas, según sea necesario en DORA, coherentes con los principios de garantizar la seguridad, integridad, seguridad y resistencia operativa de Microsoft Cloud.

Cómo Microsoft ayuda con las pruebas de resistencia operativas

Microsoft realiza rutinariamente pruebas de penetración internas y de terceros para identificar posibles vulnerabilidades en los sistemas que proporcionan nuestro servicios en línea. Los informes de pruebas de penetración de terceros para los servicios en línea de Microsoft aplicables están disponibles para su descarga en el Portal de confianza de servicios.

Además de las pruebas de vulnerabilidades, Microsoft prueba la resistencia de sus Servicios en línea al menos una vez al año. Microsoft proporciona informes de validación de planes de continuidad empresarial y recuperación ante desastres en el Portal de confianza del servicio que describen la validación y el mantenimiento de los planes BCDR para los servicios en línea seleccionados.

Principios clave para una gestión sólida del riesgo de terceros en TIC

Se espera que las entidades financieras administren el riesgo de terceros de TIC como parte de su marco de gestión de riesgos de TIC, adopten una estrategia y una política sobre el uso de servicios de TIC que apoyen funciones críticas o importantes, y mantengan un registro de información sobre todos los acuerdos contractuales con proveedores de servicios de terceros de TIC.

  • Evaluación preliminar antes de celebrar contratos: las entidades financieras deben evaluar los riesgos de contratación con proveedores de servicios de terceros de TIC clave.
  • Disposiciones contractuales clave: las entidades financieras deben asegurarse de que las disposiciones contractuales incluyan, entre otras cosas, una descripción de las funciones y servicios, las ubicaciones de procesamiento y almacenamiento de datos, la administración y supervisión de los subcontratistas clave que sustentan la prestación de servicios críticos, las medidas de protección y seguridad de datos, las descripciones de nivel de servicio y los objetivos de rendimiento, los derechos de terminación y las estrategias de salida, y los derechos de acceso, inspección y auditoría de la entidad financiera y las autoridades competentes.

Cómo Ayuda Microsoft con la administración de riesgos de terceros

Microsoft ya proporciona compromisos contractuales sustanciales que están en consonancia con la orientación de las AES respectivas y coherentes con las disposiciones del artículo 30 de la DORA. Los complementos de protección de datos de productos y servicios de Microsoft, los términos del producto y la enmienda de servicios financieros cubren estos elementos clave. Trabajaremos con los clientes para seguir abordando las necesidades de los clientes en el futuro.

Compromiso de Microsoft para habilitar el cumplimiento en DORA

Microsoft se prepara para cumplir los requisitos de DORA, según corresponda, y los servicios clave que proporciona a las entidades financieras que usan sus servicios en la nube para funciones críticas o importantes. Microsoft ha invertido durante más de una década significativamente en ayudar a las instituciones financieras a cumplir sus obligaciones normativas al usar los servicios en la nube de Microsoft: desde los contratos comerciales que ponemos a disposición de acuerdo con las directrices de las AES sobre subcontratación, hasta la transparencia y garantía de nuestros servicios en la nube a través del Portal de confianza de servicios y otros recursos, hasta la infinidad de características de seguridad integradas en nuestros servicios en la nube. Junto con la amplitud de funcionalidades que ofrecemos para ayudar a los clientes a administrar los riesgos y supervisar el uso de nuestros servicios en la nube de forma continua, los elementos de DORA son un paso adelante natural para mantener la resistencia operativa y usar los servicios en la nube de Microsoft con confianza. También estamos trabajando con otros reguladores en jurisdicciones como el Reino Unido que están implementando medidas similares como DORA y se están preparando para cumplir esos requisitos también.