Temas técnicos

¿Qué es la Ley de Resiliencia Operativa Digital (DORA)?

Visión general

La Ley de Resiliencia Operativa Digital (DORA) es una exhaustiva normativa de la Unión Europea diseñada para reforzar la resiliencia operativa digital del sector financiero. Promulgada en enero de 2023, la DORA establece un marco uniforme para que las entidades financieras gestionen los riesgos de las tecnologías de la información y la comunicación (TIC), la notificación de incidentes y las relaciones con terceros proveedores de servicios. Esta legislación histórica representa la respuesta de la UE a la creciente digitalización de los servicios financieros y a la necesidad de medidas sólidas de ciberseguridad.

Vea cómo sus soluciones de CMDB, gestión de servicios de TI (ITSM) y observabilidad pueden contribuir al cumplimiento de DORA.

Leer el libro blanco

Ley de resiliencia operativa digital

Comprender el alcance y la aplicación del DORA

El DORA se aplica a una amplia gama de entidades financieras que operan en la Unión Europea. Los bancos y las entidades de crédito, tanto tradicionales como digitales, constituyen el núcleo de las entidades reguladas. Pero el ámbito de aplicación del DORA es muy amplio, ya que va más allá de las entidades bancarias y de crédito tradicionales para incluirlas:

Entidades de pago, incluidas las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366.
Proveedores de servicios de información sobre cuentas
Entidades de dinero electrónico, incluidas las entidades de dinero electrónico exentas en virtud de la Directiva 2009/110/CE
Empresas de inversión
Proveedores de servicios de criptoactivos autorizados en virtud del Reglamento del Parlamento Europeo y del Consejo relativo a los mercados de criptoactivos y por el que se modifican los Reglamentos (UE) nº 1093/2010 y (UE) nº 1095/2010 y las Directivas 2013/36/UE y (UE) 2019/1937 ("Reglamento relativo a los mercados de criptoactivos") y emisores de tokens referenciados a activos.
Depositarios centrales de valores
Contrapartes centrales
Centros de negociación
Registros de operaciones
Gestores de fondos de inversión alternativos
Empresas de gestión
Proveedores de servicios de información
Empresas de seguros y reaseguros
Mediadores de seguros, mediadores de reaseguros y mediadores de seguros complementarios
Organismos de previsión para la jubilación
Agencias de calificación crediticia
Administradores de puntos de referencia críticos
Proveedores de servicios de crowdfunding
Depósitos de titulización
Proveedores de servicios TIC a terceros

¿Cuáles son los componentes básicos del cumplimiento del DORA?

Gestión de riesgos de las TIC

Las entidades financieras deben implantar marcos integrales de gestión de riesgos de las TIC que abarquen múltiples capas de seguridad y supervisión. Estos marcos requieren estrategias y políticas detalladas que aborden específicamente la resiliencia digital, incluidas medidas concretas de prevención y respuesta a las ciberamenazas. Las organizaciones deben llevar a cabo evaluaciones de riesgos periódicas que identifiquen las vulnerabilidades actuales y emergentes en toda su infraestructura digital.

Las medidas de seguridad deben incluir sofisticados controles de acceso que gestionen los privilegios de los usuarios y mantengan la integridad de los datos, junto con protocolos de cifrado de última generación para proteger la información financiera sensible. El marco exige sistemas de supervisión continua que proporcionen información en tiempo real sobre las posibles amenazas a la seguridad y el rendimiento del sistema. Deben establecerse estructuras de gobernanza claras, con funciones y responsabilidades específicas asignadas para garantizar la responsabilidad en los procedimientos de gestión de riesgos.

Gestión y notificación de incidentes

El DORA exige sofisticados procedimientos de gestión y notificación de incidentes que van más allá de los protocolos básicos de ciberseguridad. Las organizaciones deben desarrollar y mantener sistemas de detección robustos capaces de identificar tanto los incidentes obvios como los sutiles relacionados con las TIC. Este requisito incluye la implantación de sistemas de clasificación de varios niveles que evalúen con precisión la gravedad de los incidentes en función de criterios predefinidos y del impacto potencial en las operaciones financieras.

Deben mantenerse registros detallados de los incidentes con documentación exhaustiva de los procedimientos de respuesta, los pasos de resolución y los análisis de resultados. Los incidentes graves deben notificarse rápidamente a las autoridades pertinentes a través de los canales establecidos, con plazos específicos para la notificación inicial y los informes de seguimiento. Las organizaciones deben desarrollar y actualizar periódicamente planes de comunicación que se dirijan a los distintos grupos de partes interesadas, incluidos clientes, socios, organismos reguladores y medios de comunicación cuando sea necesario.

Pruebas de resistencia operativa digital

El DORA requiere la comprobación sistemática de la resistencia digital a través de múltiples enfoques. Deben realizarse periódicamente evaluaciones de vulnerabilidad utilizando herramientas y metodologías de prueba avanzadas para identificar posibles puntos débiles en los sistemas de TIC. Partes independientes deben realizar pruebas de penetración para garantizar una evaluación imparcial de las medidas de seguridad e identificar posibles puntos de violación. Las pruebas basadas en escenarios deben simular ciberamenazas del mundo real e interrupciones operativas para evaluar las capacidades de respuesta y la resistencia del sistema.

Las medidas de seguridad deben validarse periódicamente para garantizar su eficacia frente a las amenazas cambiantes. Todas las actividades de comprobación requieren una documentación detallada, que incluya las metodologías utilizadas, los resultados y las medidas correctivas adoptadas.

Gestión de riesgos de terceros

El DORA hace hincapié en la gestión integral de las relaciones con los proveedores de servicios de TIC mediante una supervisión y documentación estructuradas. Las organizaciones deben realizar evaluaciones de riesgo exhaustivas de los proveedores externos, evaluando sus capacidades técnicas, medidas de seguridad y planes de continuidad de negocio. Los acuerdos de servicio requieren revisiones periódicas para garantizar su adecuación a los requisitos normativos vigentes y a las necesidades operativas.

Las organizaciones deben mantener un registro detallado de proveedores que documente todos los acuerdos de servicios críticos y no críticos, incluidos los servicios específicos prestados, los niveles de acceso a los datos y las medidas de seguridad aplicadas. Los acuerdos de servicios críticos deben notificarse a las autoridades reguladoras, con actualizaciones en caso de cambios significativos. Las obligaciones contractuales deben abordar explícitamente los requisitos de cumplimiento, incluidas las medidas de seguridad, la notificación de incidentes y los derechos de auditoría.

¿Cómo ayudan las soluciones de operaciones de TI de OpenText al cumplimiento de la DORA?

OpenText Las soluciones de operaciones de TI ayudan a las instituciones financieras a lograr y mantener el cumplimiento de la DORA mediante plataformas tecnológicas que abordan los requisitos normativos clave.

OpenText™ Universal Discovery and CMDB sirve como elemento fundamental para el cumplimiento de la DORA al proporcionar una visibilidad profunda de la infraestructura TIC de una organización. Con capacidades de descubrimiento tanto sin agente como basadas en agente, esta solución crea una visión completa de los entornos de TI, incluidos los dispositivos conectados a través de VPN seguras o conexiones a Internet intermitentes. Realiza actualizaciones basadas en eventos de entornos multicloud, garantizando que las instituciones financieras mantengan una imagen precisa y en tiempo real de toda su infraestructura, tanto en las instalaciones como en la nube. Sus capacidades de mapeo de servicios permiten a las organizaciones predecir, antes de la implementación, cómo los cambios podrían afectar a los servicios financieros críticos, abordando directamente los requisitos de gestión de riesgos y resiliencia operativa de DORA.

OpenText™ Service Management integra funciones esenciales de ITSM y gestión de activos de TI para establecer una propiedad y gestión claras de los servicios, aplicaciones y equipos TIC de apoyo. La solución incluye plantillas de mejores prácticas certificadas por ITIL que cubren la gestión de incidentes, problemas, cambios, versiones y configuraciones, todos ellos elementos cruciales para el cumplimiento de la DORA. Estas plantillas ayudan a las organizaciones a establecer cadenas de respuesta automatizadas que minimizan las interrupciones del servicio y garantizan una gestión coherente de los incidentes relacionados con las TIC, cumpliendo los requisitos de DORA para la gestión de incidentes y la elaboración de informes.

OpenText™ Core Infrastructure Observability aborda los requisitos de supervisión de DORA proporcionando visibilidad de extremo a extremo de los recursos multicloud y locales. Las funciones de detección de anomalías basadas en IA permiten a las entidades financieras identificar posibles problemas antes de que afecten a la prestación de servicios. Las organizaciones también pueden establecer mecanismos para detectar rápidamente actividades anómalas -incluidos problemas de rendimiento de la red e incidentes relacionados con las TIC- e identificar posibles puntos únicos de fallo que podrían afectar a la resiliencia operativa.

OpenText™ Core Application Observability complementa la supervisión de la infraestructura centrándose en el rendimiento de las aplicaciones y la prestación de servicios. Esta solución ayuda a las organizaciones a garantizar que las aplicaciones críticas de servicios financieros mantengan un rendimiento y una disponibilidad óptimos. Permite el análisis exhaustivo de la causa raíz y la documentación de incidentes, apoyando los requisitos de DORA para la gestión y resolución de incidentes. Las funciones integradas de supervisión y seguimiento garantizan que las organizaciones mantengan una calidad de servicio constante al tiempo que cumplen los requisitos normativos de elaboración de informes.

Preparación para el DORA: Es hora de actuar

DORA representa un cambio significativo en la forma en que las instituciones financieras deben abordar las operaciones digitales y la gestión de riesgos. El cumplimiento satisfactorio del DORA requiere una estrategia integral que combine soluciones tecnológicas sólidas, procesos claros y un compromiso permanente con la resiliencia digital. Las organizaciones deben comenzar su viaje de cumplimiento mucho antes de la fecha límite de enero de 2025 para asegurarse de que cumplen todos los requisitos y mantener la resistencia operativa necesaria para la era digital. Con las soluciones de operaciones de TI deOpenText, las instituciones financieras pueden construir una base sólida para el cumplimiento de la DORA al tiempo que mejoran su eficiencia operativa general de TI y su postura de seguridad.

DestacadosDestacados

Analytics CloudAnalytics Cloud

Data Lakehouse & AnalyticsData Lakehouse & Analytics

BI, visualización e informesBI, visualización e informes

eDiscovery y soluciones jurídicaseDiscovery y soluciones jurídicas

OpenText™ Aviator Search

Business Network CloudBusiness Network Cloud

Automatización de la cadena de suministroAutomatización de la cadena de suministro

Integración B2BIntegración B2B

Colaboración seguraColaboración segura

Trazabilidad de la cadena de suministroTrazabilidad de la cadena de suministro

Información sobre la cadena de suministroInformación sobre la cadena de suministro

Aplicaciones y servicios industrialesAplicaciones y servicios industriales

OpenText™ Business Network Aviator

Content CloudContent Cloud

Gestión de documentosGestión de documentos

Gestión de contenidos AIGestión de contenidos AI

Capture y el tratamiento inteligente de documentosCapture y el tratamiento inteligente de documentos

Process AutomationProcess Automation

Integraciones empresarialesIntegraciones empresariales

Information ArchivingInformation Archiving

Soluciones sectorialesSoluciones sectoriales

Gobernanza de la informaciónGobernanza de la información

OpenText™ Content Aviator

Cybersecurity CloudCybersecurity Cloud

Seguridad de las aplicacionesSeguridad de las aplicaciones

Protección de datosProtección de datos

Threat Detección y respuestaThreat Detección y respuesta

Identity and Access ManagementIdentity and Access Management

Investigaciones y análisis forenses digitalesInvestigaciones y análisis forenses digitales

Threat IntelligenceThreat Intelligence

OpenText™ Cybersecurity Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

Functional TestingFunctional Testing

PPM y Gestión Estratégica PortfolioPPM y Gestión Estratégica Portfolio

Gestión de la calidadGestión de la calidad

Ingeniería de rendimientoIngeniería de rendimiento

OpenText™ DevOps Aviator

Experience CloudExperience Cloud

Experiencias web y móvilExperiencias web y móvil

Contact Center AnalyticsContact Center Analytics

Mensajería y FaxMensajería y Fax

Cliente CommunicationsCliente Communications

Gestión de activos digitalesGestión de activos digitales

Recorrido del cliente y datosRecorrido del cliente y datos

OpenText™ Experience Aviator

IT Operations CloudIT Operations Cloud

Service ManagementService Management

Descubrimiento y CMDBDescubrimiento y CMDB

AIOps y observabilidadAIOps y observabilidad

Gestión de redesGestión de redes

Cloud ManagementFinOps y GreenOpsCloud ManagementFinOps y GreenOps

AutomatizaciónAutomatización

OpenText™ IT Operations Aviator

OpenText™ ThrustOpenText™ Thrust

OpenText™ Thrust paqueteOpenText™ Thrust paquete

OpenText™ Aviator Thrust

PortfolioPortfolio

Soluciones empresariales de copia de seguridad de datos y recuperación en caso de catástrofeSoluciones empresariales de copia de seguridad de datos y recuperación en caso de catástrofe

Herramientas de gestión unificada de puntos finalesHerramientas de gestión unificada de puntos finales

Trabajo híbrido, correo electrónico y colaboración en equipo Trabajo híbrido, correo electrónico y colaboración en equipo

Archivo de correo electrónico, E-Discovery, Cumplimiento de archivado de datosArchivo de correo electrónico, E-Discovery, Cumplimiento de archivado de datos

Conectividad y gestión de documentosConectividad y gestión de documentos

La información reimaginadaLa información reimaginada

Artificial IntelligenceArtificial Intelligence

IndustriaIndustria

Aplicaciones empresarialesAplicaciones empresariales

Su viaje hacia el éxitoSu viaje hacia el éxito

Atención al clienteAtención al cliente

Servicios de éxito del clienteServicios de éxito del cliente

Servicios de consultoríaServicios de consultoría

Servicios NextGenServicios NextGen

Servicios de aprendizajeServicios de aprendizaje

Servicios gestionadosServicios gestionados

Encuentre un socio en OpenTextEncuentre un socio en OpenText

Buscar una solución asociadaBuscar una solución asociada

Crecer como socioCrecer como socio

Hágase socio

Biblioteca de activosBiblioteca de activos

Destacados

Analytics Cloud

Data Lakehouse & Analytics

BI, visualización e informes

eDiscovery y soluciones jurídicas

Business Network Cloud

Automatización de la cadena de suministro

Integración B2B

Colaboración segura

Trazabilidad de la cadena de suministro

Información sobre la cadena de suministro

Aplicaciones y servicios industriales

Content Cloud

Gestión de documentos

Gestión de contenidos AI

Capture y el tratamiento inteligente de documentos

Process Automation

Integraciones empresariales

Information Archiving

Soluciones sectoriales

Gobernanza de la información

Cybersecurity Cloud

Seguridad de las aplicaciones

Protección de datos

Threat Detección y respuesta

Identity and Access Management

Investigaciones y análisis forenses digitales

Threat Intelligence

DevOps Cloud

Plataforma DevOps

Functional Testing

PPM y Gestión Estratégica Portfolio

Gestión de la calidad

Ingeniería de rendimiento

Experience Cloud

Experiencias web y móvil

Contact Center Analytics

Mensajería y Fax

Cliente Communications

Gestión de activos digitales

Recorrido del cliente y datos

IT Operations Cloud

Service Management

Descubrimiento y CMDB

AIOps y observabilidad

Gestión de redes

Cloud ManagementFinOps y GreenOps

Automatización

OpenText™ Thrust

OpenText™ Thrust paquete

Portfolio

Soluciones empresariales de copia de seguridad de datos y recuperación en caso de catástrofe

Herramientas de gestión unificada de puntos finales

Trabajo híbrido, correo electrónico y colaboración en equipo

Archivo de correo electrónico, E-Discovery, Cumplimiento de archivado de datos

Conectividad y gestión de documentos

La información reimaginada

Artificial Intelligence

Industria

Aplicaciones empresariales

Su viaje hacia el éxito

Atención al cliente

Servicios de éxito del cliente

Servicios de consultoría

Servicios NextGen

Servicios de aprendizaje

Servicios gestionados

Encuentre un socio en OpenText

Buscar una solución asociada

Crecer como socio

Biblioteca de activos

Blogs

Eventos

Comunidades

Historias de clientes

OpenText Navegador

Mercado