DORA, la Ley de Resiliencia Operacional Digital, es un proyecto de ley diseñado para mejorar la ciberseguridad y la resiliencia operativa del sector de servicios financieros. Complementa las leyes existentes, como la Directiva roja y de seguridad de la información (NISD) y el Reglamento general de protección de datos (GDPR). Si bien DORA todavía está trabajando en el proceso legislativo, se espera que sea aprobado en 2022.
La Ley de Resiliencia Operacional Digital define umbrales de criticidad para los servicios prestados a las instituciones financieras. Si una organización es un proveedor de servicios directos a una institución financiera y sus servicios cumplen con estos umbrales, entonces la compañía está sujeta a DORA. Esto significa que la organización será supervisada directamente por el regulador financiero correspondiente.
Para las organizaciones cuyos servicios no cumplen con los umbrales de DORA, la regulación aún se aplica, pero no se requiere supervisión directa. En cambio, los clientes de la organización deberán exigir ciertos términos contractuales para lograr el cumplimiento de los requisitos de DORA.
Por ejemplo, la Ley de Resiliencia Operacional Digital (DORA) requiere que las instituciones financieras reporten las violaciones de datos a los reguladores dentro de una cierta ventana de descubrimiento. Las instituciones financieras deberán imponer los mismos requisitos de notificación de incumplimiento a sus proveedores y proveedores de servicios, así como parte de sus obligaciones contractuales. Si una organización no está dispuesta a aceptar estos términos, DORA prohíbe a la institución financiera hacer negocios con ellos.
La Ley de Resiliencia Operacional Digital dicta los términos que las instituciones financieras exigirán a sus proveedores y los controles de seguridad que estos proveedores deben tener implementados. Dado que DORA está orientada a mejorar la resiliencia de toda la industria financiera, es probable que estas obligaciones y requisitos se transmitan a toda la cadena de suministro.
El objetivo principal de DORA es asegurar la resiliencia operativa del sector financiero. Como parte de esto, las organizaciones cubiertas por la Ley de Resiliencia Operacional Digital deben implementar procesos de gestión de riesgos que ayuden a identificar vulnerabilidades potenciales a amenazas cibernéticas plausibles e implementar políticas y controles de seguridad para protegerse contra estos riesgos.
DORA crea un marco de reglas que las instituciones financieras y sus proveedores deben seguir para lograr resiliencia operativa. Algunos de los objetivos y requisitos clave incluyen:
Se desconocen los requisitos exactos de la Ley de Resiliencia Operacional Digital, ya que todavía se encuentra en estado de borrador. Sin embargo, iniciar el proceso para cumplir con estos requisitos hoy simplificará el cumplimiento una vez que se apruebe la ley.
DORA aún no se ha aprobado, pero se espera que se convierta en ley en 2022. Esto significa que las organizaciones que puedan verse afectadas por DORA deberían comenzar a trabajar para lograr el cumplimiento hoy mismo.
Para prepararse para la Ley de Resiliencia Operacional Digital, uno de los pasos más importantes que puede tomar una organización es simplificar y agilizar su arquitectura de seguridad. DORA requiere un rápido reporting de incidentes de ciberseguridad, visibilidad de las dependencias de terceros de una organización y la capacidad de responder a las solicitudes de auditoría de los reguladores o clientes.
Check Point Harmony Suite brinda protección consolidada en toda la infraestructura de TI de una organización, incluido el soporte para terminales, dispositivos móviles, la nube y el correo electrónico. Al simplificar y optimizar la infraestructura de seguridad de una organización, Harmony Suite facilita la protección contra amenazas cibernéticas y cumple con los requisitos de informes de DORA. Para obtener más información sobre cómo las soluciones de Check Point pueden ayudar con el cumplimiento y otras regulaciones, contáctenos.