En la Unión Europea, la ciberseguridad y la protección de datos siempre están en el punto de mira. Desde el Reglamento General de Protección de Datos (RGPD) hasta la Directiva NIS y su actualización NIS2, la UE lidera el camino. El marco regulatorio más reciente es la Ley de Resiliencia Operativa Digital, conocida como DORA.
¿Qué es el Reglamento DORA?
El Reglamento DORA (Digital Operational Resilience Act) busca garantizar que las instituciones financieras sean resilientes frente a ciberataques y otras amenazas. Aunque fue adoptada en noviembre de 2022, entrará en vigor el 17 de enero de 2025. Para entonces, todas las empresas del sector financiero en la UE y sus proveedores de TIC deberán cumplir con esta normativa. Y sí, esto también incluye a terceros fuera de la UE que proporcionen servicios TIC a empresas europeas.
¿Está tu empresa lista para el plazo de DORA en enero de 2025?
Aquí tienes los 5 pasos clave para asegurarte de cumplir con esta legislación.
Paso 1: Verifica el estado de los "servicios críticos" de tu empresa
El primer paso para cumplir con DORA es determinar si tu empresa proporciona "servicios críticos o importantes". Según DORA, estas empresas están sujetas a requisitos más estrictos. Para verificar si tu empresa entra en esta categoría, revisa detenidamente el texto de la legislación de DORA y busca asesoría legal.
Si determinas que tu empresa cumple con los criterios de servicios críticos, necesitarás seguir estándares más altos para la continuidad del negocio, la planificación de amenazas cibernéticas y otras medidas de resiliencia operativa.
Paso 2: Implementa controles de riesgo cibernético y gestión de cumplimiento
DORA pone un fuerte énfasis en la gestión del riesgo TIC y de terceros. Para cumplir con la normativa, tu empresa debe tener un conjunto bien documentado de controles de riesgo cibernético y un marco de gestión de cumplimiento interno.
Una buena práctica es crear o adaptar tus políticas en torno a estándares de ciberseguridad probados, como ISO 27001. Una vez implementados, audita tu empresa según estos estándares, ya que las auditorías de DORA probablemente seguirán un enfoque similar.
Paso 3: Practica la gestión de riesgos de terceros
En el corazón de DORA está la fortificación de las instituciones financieras frente al riesgo TIC de terceros. Si tu empresa no tiene una política de gestión de riesgos de terceros para evaluar a los proveedores de servicios y vendedores externos, ahora es el momento de desarrollarla.
Consulta los requisitos y directrices listados en DORA para ayudarte a elaborar tus procedimientos de gestión de riesgos de terceros. Si tu empresa ya utiliza software de gestión de riesgos, estarás en una buena posición para cumplir con DORA. Solo asegúrate de que los informes de los sistemas sean valiosos y estén actualizados, ya que proporcionarán una fuerte evidencia en una auditoría de DORA.
Paso 4: Refuerza tu gestión de incidentes
DORA añade varios requisitos de informes de incidentes para las empresas financieras y los proveedores de servicios TIC. DORA exige que presentes informes de ciberataques con información detallada sobre las causas raíz, la respuesta de tu empresa, el tiempo de inactividad y más. Si tu empresa está sujeta a los requisitos de DORA, es probable que presentes informes de incidentes con más frecuencia que antes.
Las empresas con herramientas automatizadas de gestión de incidentes tendrán una ventaja en este aspecto de la normativa, ya que es menos probable que se vean agobiadas por el papeleo. Si puedes implementar un sistema de este tipo antes de enero de 2025, también ayudará a ahorrar tiempo a tu equipo con la presentación de informes de incidentes.
Paso 5: Elige plataformas que ayuden con la continuidad del negocio
Uno de los objetivos principales de DORA es mejorar la continuidad del negocio frente a ciberataques. Las modernas plataformas "as-a-service" en la nube ofrecen garantías de tiempo de actividad y planes detallados de continuidad del negocio. Opta por estas plataformas para recuperarte rápidamente después de un ataque y cumplir con DORA.
Conclusiones
El plazo para cumplir con el reglamento DORA se acerca rápidamente. Tienes hasta enero de 2025 para analizar la situación actual de tu empresa y tomar las medidas necesarias que te permitan satisfacer las exigencias de la UE en ciberseguridad y protección de datos. Siguiendo estos pasos, podrás cumplir con el reglamento y evitar sanciones.
Para lograrlo, necesitarás el apoyo de expertos y herramientas que faciliten la gestión proactiva de riesgos. HYCU R-Cloud es la primera y única plataforma de Protección de Datos SaaS que reduce el tiempo de inactividad por incidentes de ciberseguridad a solo minutos. Obtén más información sobre HYCU e inicia tu prueba gratuita haciendo clic aquí.
Inicia tu prueba gratuita hoy mismo y prepárate para cumplir con DORA EU. Con el apoyo adecuado y las herramientas correctas, estarás listo para enfrentar cualquier desafío.