DORA – Reforzar y armonizar la resiliencia operativa en toda la UE. 

Vea el artículo completo en https://cjcit.com/insight/dora-navigating-the-eus-operative-resilience-landscape/

El DORA de la UE es inevitable y tendrá efectos en cadena más allá de la unión. Reemplaza las pautas anteriores de resiliencia operativa específicas de la industria y supera las disparidades nacionales, armonizando las pautas para áreas de enfoque clave en todo el sistema financiero.
cadena de valor de la industria para establecer un marco común en toda la unión. Esta información explora los impactos macro de DORA y resume secciones clave del texto completo de DORA para definir:

1. ¿Qué es DORA y sus 5 áreas de enfoque?
2. ¿Por qué es importante DORA?
3. ¿A quién se aplica DORA?
4. Cumplimiento de DORA versus incumplimiento.

Las tecnologías digitales son fundamentales para que las empresas de los mercados financieros y de capitales globales respalden sistemas complejos y son fundamentales para la realización de funciones comerciales típicas y actividades generadoras de ingresos. La digitalización y la interconectividad resultante
permitir una mayor eficiencia y ahorro de costos, pero también amplificar los riesgos de las tecnologías de la información y la comunicación (TIC) y aumentar la vulnerabilidad del sistema financiero a las amenazas o perturbaciones cibernéticas.

A pesar de las iniciativas políticas y legislativas específicas a nivel nacional, la Unión Europea (UE) reconoce la necesidad crítica de armonizar y reforzar la resiliencia operativa en todos sus estados miembros para proteger la integridad y la eficiencia del sistema interno.
mercado, particularmente considerando las crecientes amenazas cibernéticas1 e interrupción
incidentes2. Una opinión de la que se hizo eco recientemente Liquidnet3:

"La industria es tan fuerte como su eslabón más débil [...] 2024 no sólo representará un mayor escrutinio regulatorio del cumplimiento, los riesgos y los controles, así como la interoperabilidad tecnológica, sino también la responsabilidad individual para hacer que el ecosistema funcione de manera óptima".

Para abordar los actuales desafíos de resiliencia, la UE introdujo la Ley de Resiliencia Operacional Digital (DORA) para fortalecer la seguridad de las TIC y la solidez operativa de las entidades financieras.

¿Qué es DORA y sus 5 áreas de enfoque?

DORA fue adoptada por el Parlamento Europeo y el Consejo el 14 de diciembre de 2022, y su cumplimiento será obligatorio antes del 17 de enero de 2025. El reglamento tiene como objetivo consolidar y mejorar la resiliencia operativa digital en todo el panorama financiero que tiene,
hasta el momento, se han abordado por separado en diversos actos jurídicos de la Unión a través de un marco común4 para la resiliencia operativa digital
de las entidades financieras para resistir y recuperarse mejor de infracciones e incidentes TIC.

Las 5 áreas de enfoque de DORA:

1. Gestión de Riesgos TIC.
2. Gestión, clasificación y notificación de incidentes relacionados con las TIC.
3. Pruebas de resiliencia operativa digital.
4. Gestión de Riesgos TIC de Terceros.
5. Acuerdos para el intercambio de información.

¿Por qué es importante DORA?

DORA se basa y reemplaza pautas anteriores específicas de la industria para superar las disparidades y consolida consistentemente pautas para áreas clave en toda la cadena de valor. Es único porque introduce un marco de supervisión común a nivel sindical sobre
Proveedores externos de TIC críticos, según lo designado por las Autoridades Europeas de Supervisión (AES)5.

Dado que el sector financiero depende de los sistemas digitales de TIC y a medida que crece la interconectividad, los riesgos y vulnerabilidades de las TIC tendrán un impacto transfronterizo cada vez más perturbador en toda la Unión, lo que amplifica el efecto de las interrupciones operativas y la ciberseguridad.
amenazas a las empresas financieras. DORA reconoce que la digitalización ahora abarca funciones financieras críticas6 como
pagos, compensación de valores, negociación algorítmica y operaciones administrativas. Su objetivo es reforzar la resiliencia operativa de estas funciones para mantener la estabilidad financiera general y proteger la confianza de los consumidores dentro de los mercados internos. DORA tiene como objetivo preservar
confianza del mercado al garantizar la prestación fluida de servicios financieros incluso en escenarios desafiantes.

¿A quién se aplica DORA?

DORA se aplica a todas las instituciones financieras de la UE y a los proveedores externos de servicios de TIC que les prestan servicios de apoyo. Una idea reciente10 dirigido
este. El reglamento DORA de la UE introduce requisitos específicos y prescriptivos para todos los participantes en los mercados financieros.

DORA – Entidades Financieras

Para cumplir con DORA, las entidades financieras deben mejorar las prácticas de gestión de riesgos relacionados con las TIC, que incluyen la identificación, evaluación y mitigación de los riesgos asociados con las operaciones digitales. DORA también introduce obligaciones de notificación rápida de incidentes de TIC a la
autoridades pertinentes en caso de interrupciones de funciones críticas. Además, las instituciones deben simular periódicamente diversas interrupciones para probar la resiliencia operativa y las capacidades de recuperación.

En particular, DORA enfatiza que las entidades financieras deben evaluar y gestionar el riesgo de TIC de terceros de sus proveedores de servicios y garantizar que los acuerdos contractuales aborden la resiliencia operativa. Esto se refiere a la concentración del riesgo (DORA Artículo 2911)
y sigue incidentes como la interrupción de OPRA12y delitos cibernéticos dirigidos a proveedores críticos
en la cadena de suministro financiero como el hackeo de Ion Group el año pasado13 or
proveedores de computación en la nube14, donde un
Un solo incidente potencialmente afecta a múltiples entidades financieras.

Cabe señalar que el impacto de los cortes no se limita a las empresas y los usuarios finales, y las repercusiones pueden repercutir en las finanzas personales, como lo demuestra el banco DBS.15 más temprano
este año.

DORA – Dependencias de terceros y resiliencia operativa

Las entidades financieras han dependido cada vez más de proveedores externos para entregar partes críticas de sus operaciones y servicios; posteriormente, DORA también afecta significativamente las dependencias de terceros. Estos terceros incluyen proveedores de servicios en la nube,
proveedores de datos, desarrolladores de software y otros socios tecnológicos. La subcontratación de ciertas funciones puede mejorar la eficiencia y reducir costos, pero como vimos con Ion, también introduce nuevos riesgos. Las autoridades ahora deben mirar más allá de la resiliencia de los individuos regulados.
empresas y evaluar la resiliencia operativa más amplia del sector.

DORA enfatiza la importancia de prácticas sólidas de gestión de riesgos para dependencias de terceros con el objetivo de reforzar la resiliencia general del sector financiero en la era digital. Éstas incluyen:

1. Amplio alcance del riesgo de terceros en las TIC: para mejorar la resiliencia operativa en todo el sector de servicios financieros, DORA lanza una amplia red para definir el riesgo de terceros en las TIC. Por ejemplo, DORA Artículo 3 (18)16 define
   Riesgo de terceros en materia de TIC como cualquier riesgo de TIC – Artículo 3 (5)17 – que pueda surgir para una entidad financiera derivada del uso de los servicios TIC prestados
   por un proveedor de servicios externo, subcontratistas o acuerdos de subcontratación.
2. Prácticas de gestión de riesgos para proveedores externos: DORA exige prácticas adecuadas de gestión de riesgos para proveedores externos para reducir los riesgos operativos asociados con las relaciones con terceros y garantizar la resiliencia. También pretende implementar un sistema armonizado
   marco regulatorio para la gestión de riesgos de proveedores externos en toda la UE (artículo 1518).
3. Proveedores externos de TIC críticos: DORA reconoce el papel fundamental de los proveedores de servicios de TIC en los servicios financieros. Si un tercero se considera crítico, como CJC en algunos casos, debe cumplir con los requisitos de DORA. En particular, terceros críticos
   fuera de la UE están obligados a establecer una filial dentro de la UE – Artículo 31 (12)19 – aunque preámbulo (82)20 reconoce
   el requisito “no debería impedir que el tercero proveedor de servicios de TIC críticos suministre servicios de TIC y soporte técnico relacionado desde instalaciones e infraestructuras ubicadas fuera de la Unión”.

Hablando sobre la resiliencia operativa y el cumplimiento de DORA, Gina Wee, directora de información de CJC, dijo: “Desde la implementación de un cifrado sólido y un control de acceso estricto hasta la realización de auditorías periódicas, CJC mantiene altos niveles de cumplimiento para garantizar que los datos
seguridad. Combinado con una planificación proactiva, procedimientos adaptativos y una cultura de mejora continua, garantizamos servicios ininterrumpidos a nuestros clientes. Esperamos que nuestro compromiso con la seguridad de la información, la resiliencia operativa y la responsabilidad brinde nuestra
tranquilidad y confianza de nuestros clientes en nuestros servicios gestionados”.

Cumplimiento de DORA versus incumplimiento

El riesgo de incumplimiento

El incumplimiento de DORA puede provocar daños a la reputación, pérdidas financieras y sanciones regulatorias. Las empresas que no cumplen con los requisitos de DORA corren el riesgo de sufrir interrupciones operativas, insatisfacción del cliente y posibles consecuencias legales.

Cumplimiento de DORA: 3 consideraciones y mejores prácticas

Para cumplir con DORA, las instituciones financieras deben mapear de manera integral las dependencias de terceros existentes e involucrar la comprensión de los servicios de las funciones subcontratadas para identificar dependencias críticas. El paso 2 evalúa la resiliencia de las dependencias mapeadas
para evaluar las capacidades operativas, las medidas de seguridad y los planes de recuperación ante desastres de su proveedor de servicios. Por último, los acuerdos contractuales con terceros deben abordar específicamente los requisitos de resiliencia operativa. Esto incluye provisiones para incidentes.
objetivos de generación de informes, continuidad del negocio y tiempo de recuperación.

Para seguir cumpliendo, las instituciones financieras pueden tomar varias medidas para implementar las mejores prácticas para garantizar el cumplimiento continuo de DORA. Éstas incluyen:

1. Debida diligencia: al seleccionar proveedores externos, lleve a cabo una debida diligencia exhaustiva teniendo en cuenta su historial de logros, estabilidad financiera y resiliencia operativa.
2. Pruebas de escenarios: simule varios escenarios con terceros para probar la efectividad de los planes de recuperación. Esto debería incluir ciberataques, fallas del sistema y desastres naturales.
3. Monitoreo continuo: supervise el desempeño y el cumplimiento de terceros con regularidad y esté preparado para adaptarse en caso de que cambien las posturas de resiliencia.

Ultimas palabras:

DORA no es sólo un reglamento; es una oportunidad estratégica para mejorar su resiliencia operativa y generar confianza en la era digital. Como proveedor líder de servicios y consultoría de tecnología de datos para los mercados financieros globales, CJC trata su posición
como proveedor externo crítico de servicios gestionados de datos de mercado para la comunidad del mercado de capitales. No importa el nivel de servicio, los estándares de cumplimiento de DORA y la transparencia están listos para usar en CJC, que brinda consultoría galardonada con múltiples premios.
servicios gestionados, soluciones en la nube, observabilidad y servicios profesionales de gestión comercial para sistemas de datos de mercado de misión crítica. CJC es independiente del proveedor y cuenta con la certificación ISO 27001, lo que permite a los socios de CJC la libertad de centrarse en su negocio principal.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.finextra.com/blogposting/26024/dora–navigating-the-eus-operational-resilience-landscape?utm_medium=rssfinextra&utm_source=finextrablogs