DORA
¿Qué es DORA?
DORAReglamento UE 2022/2554 sobre Resiliencia Operativa Digital del sector financiero, aplicable desde el 17 de enero de 2025.
El Reglamento sobre Resiliencia Operativa Digital (DORA, Reglamento UE 2022/2554) es un reglamento europeo directamente aplicable que armoniza la gestion del riesgo TIC, la notificacion de incidentes, las pruebas de resiliencia y las obligaciones de riesgo de terceros para las entidades financieras. Adoptado en diciembre de 2022, DORA se aplica desde el 17 de enero de 2025 y cubre bancos, entidades de pago, aseguradoras, empresas de inversion, prestadores de servicios sobre criptoactivos y prestadores criticos de TIC. Exige un marco documentado de gestion del riesgo TIC, la clasificacion y notificacion de incidentes graves, pruebas de penetracion guiadas por amenazas (TLPT) para entidades significativas y salvaguardas contractuales para la externalizacion TIC. Las Autoridades Europeas de Supervision (EBA, EIOPA, ESMA) emiten normas tecnicas y supervisan a los prestadores criticos.
● Ejemplos
- 01
Un banco minorista europeo que realiza una prueba TLPT y notifica un incidente TIC grave dentro de los plazos regulatorios.
- 02
Un proveedor de nube designado como tercero critico TIC sujeto a la supervision directa de la UE.
● Preguntas frecuentes
¿Qué es DORA?
Reglamento UE 2022/2554 sobre Resiliencia Operativa Digital del sector financiero, aplicable desde el 17 de enero de 2025. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa DORA?
Reglamento UE 2022/2554 sobre Resiliencia Operativa Digital del sector financiero, aplicable desde el 17 de enero de 2025.
¿Cómo funciona DORA?
El Reglamento sobre Resiliencia Operativa Digital (DORA, Reglamento UE 2022/2554) es un reglamento europeo directamente aplicable que armoniza la gestion del riesgo TIC, la notificacion de incidentes, las pruebas de resiliencia y las obligaciones de riesgo de terceros para las entidades financieras. Adoptado en diciembre de 2022, DORA se aplica desde el 17 de enero de 2025 y cubre bancos, entidades de pago, aseguradoras, empresas de inversion, prestadores de servicios sobre criptoactivos y prestadores criticos de TIC. Exige un marco documentado de gestion del riesgo TIC, la clasificacion y notificacion de incidentes graves, pruebas de penetracion guiadas por amenazas (TLPT) para entidades significativas y salvaguardas contractuales para la externalizacion TIC. Las Autoridades Europeas de Supervision (EBA, EIOPA, ESMA) emiten normas tecnicas y supervisan a los prestadores criticos.
¿Cómo defenderse de DORA?
Las defensas contra DORA combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para DORA?
Nombres alternativos comunes: Ley de Resiliencia Operativa Digital, Reglamento (UE) 2022/2554.
● Términos relacionados
- compliance№ 730
Directiva NIS2
Directiva UE 2022/2555 que eleva los requisitos básicos de ciberseguridad y las obligaciones de notificación de incidentes para entidades esenciales e importantes en la Unión.
- compliance№ 1144
Gestión de riesgos de terceros (TPRM)
Disciplina integral de identificar, evaluar, contratar, monitorizar y desvincular terceros para que los riesgos ciber, operativos y de cumplimiento que aportan se mantengan dentro del apetito.
- forensics-ir№ 525
Plan de respuesta a incidentes
Manual documentado y aprobado que define cómo la organización se prepara, detecta, contiene, erradica, recupera y aprende de los incidentes cibernéticos.
- defense-ops№ 813
Pruebas de penetración
Ciberataque simulado y autorizado contra sistemas, aplicaciones o personas para identificar debilidades explotables antes de que lo hagan adversarios reales.
- compliance№ 440
RGPD
Reglamento General de Protección de Datos de la Unión Europea que regula el tratamiento de datos personales de personas en la UE y el EEE.