¿Que es DORA y como cumplir con la regulacion?
DORA (Digital Operational Resilience Act) es la regulacion europea que establece requisitos uniformes de resiliencia digital para entidades financieras y sus proveedores criticos de servicios TIC. Entro en aplicacion el 17 de enero de 2025 y aplica a bancos, aseguradoras, gestoras de fondos, empresas de inversion, fintechs, proveedores de servicios de pago y proveedores tecnologicos criticos del sector.
DORA se estructura en cinco pilares: gestion de riesgos TIC (identificacion, proteccion, deteccion, respuesta y recuperacion), notificacion de incidentes (clasificacion y reporte a autoridades), pruebas de resiliencia (testeo regular de sistemas criticos), gestion de riesgos de terceros TIC (control sobre proveedores tecnologicos) y acuerdos de intercambio de informacion (compartir inteligencia sobre amenazas).
A diferencia de directivas anteriores como NIS2, DORA es un reglamento directamente aplicable: no necesita transposicion nacional. Sus requisitos son los mismos en todos los estados miembros de la UE, eliminando la fragmentacion regulatoria que existia en materia de resiliencia digital financiera.
Perché è importante?
El sector financiero depende criticamente de sus sistemas de informacion. Segun el BCE, el numero de ciberincidentes significativos en el sector financiero europeo se ha triplicado entre 2020 y 2024. Un fallo en los sistemas de un banco puede afectar a millones de clientes y generar riesgo sistemico. DORA responde a esta realidad exigiendo que las entidades demuestren capacidad para resistir, responder y recuperarse de disrupciones.
Las sanciones por incumplimiento pueden alcanzar el 1% de la facturacion diaria media global durante un maximo de 6 meses. Pero mas alla de las multas, el incumplimiento puede resultar en restricciones operativas impuestas por los supervisores. Para proveedores tecnologicos criticos, la Comision Europea puede solicitar cambios en sus practicas o incluso prohibir su uso por entidades supervisadas.
Come funziona in pratica?
DORA exige que las entidades financieras mantengan un inventario completo de sus activos de informacion y sistemas TIC, con documentacion de sus interdependencias. Deben identificar los datos y sistemas que soportan funciones criticas o importantes, evaluar los riesgos asociados y demostrar que pueden recuperarse ante interrupciones.
En la practica, esto requiere: un catalogo actualizado de activos de datos y sistemas, trazabilidad de datos a traves de sistemas (lineage), clasificacion de criticidad, politicas de retencion y calidad documentadas, y capacidad de reportar a las autoridades con detalle como fluyen los datos y que controles existen. Los proveedores tecnologicos criticos (cloud, datos, core banking) tambien deben cumplir requisitos especificos.
DORA y como cumplir con la regulacion in Linedat
Linedat cubre varios requisitos de DORA al proporcionar un inventario completo de activos de datos con sus interdependencias (lineage), clasificacion de sensibilidad y criticidad, politicas de calidad y retencion documentadas, y audit logs que demuestran los controles sobre los datos. Estas capacidades son directamente auditables y exportables para reportes a supervisores.
Termini correlati
El GDPR (RGPD en espanol) es la regulacion europea de proteccion de datos. Aprende sus principios clave y como implementar cumplimiento.
¿Que es Data Governance?Data Governance es el marco de politicas, procesos y roles que garantiza la calidad, seguridad y uso correcto de los datos en una organizacion.
¿Que es Data Quality (Calidad de Datos)?Data Quality mide si los datos son precisos, completos, consistentes y actualizados. Aprende a implementar reglas de calidad efectivas.
¿Que es el Analisis de Impacto en Datos?El analisis de impacto evalua que se rompe antes de hacer cambios en datos, tablas o columnas. Previene incidentes downstream.