Reglament DORA: reforçant la ciberseguretat de les pimes del sector financer
17 de desembre de 2024
El Reglament DORA, que serà obligatori el 2025, estableix mesures clau per protegir la ciberseguretat de les entitats financeres, incloent-hi les pimes. Aquest marc regula la gestió de riscos TIC, les proves de resiliència i els protocols per a la notificació d'incidents.
Continua llegint per conèixer la seva importància per a les pimes del sector financer!
Cada dia és més rellevant la ciberseguretat al món financer, ciberatacs, bretxes de seguretat o la integritat de les comunicacions digitals són amenaces constants per a entitats financeres de qualsevol mida.
Les pimes sovint no tenen els recursos de les seves contraparts més grans per protegir tant les seves operacions com la integritat de les dades dels seus clients. Ja sigui un atac específic a la vostra empresa oa una eina digital que utilitzin en el vostre negoci.
El Reglament DORA (Digital Operational Resilience Act) sorgeix com una resposta a aquesta necessitat, proporcionant un marc robust per protegir les entitats financeres de les amenaces cibernètiques.
Què és DORA?
La Llei de Resiliència d'Operacions Digitals (DORA) és una regulació europea dissenyada per enfortir la seguretat de les xarxes i sistemes d'informació de les entitats financeres.
L'objectiu principal és garantir que aquestes entitats puguin resistir, respondre i recuperar-se de qualsevol tipus d'interrupció operativa, especialment les causades per ciberatacs.
Va entrar en vigor el 16 de gener de 2023, però es va establir una pròrroga de dos anys que conclou el proper gener de 2025. A partir de llavors les entitats financeres afectades han de complir amb la normativa i començaran les activitats de supervisió que poden anar des de sol·licituds d'informació fins a simulacions de ciberatacs.
Quines entitats financeres estan afectades per aquesta regla?
DORA afecta una àmplia gamma d'entitats financeres, incloent-hi bancs, asseguradores, empreses d'inversió, proveïdors de serveis de pagament i, per descomptat, les pimes del sector financer com assessories o cases de canvi.
La normativa s'aplica tant a les entitats tradicionals com a les tecnològiques financeres, assegurant que totes les organitzacions que operen a l'àmbit financer compleixin els mateixos estàndards de ciberseguretat.
Quins són els requisits de DORA?
El Reglament DORA estableix diversos requisits clau per a les entitats financeres, dissenyats per assegurar una sòlida resiliència operativa digital:
- Gestió de riscos de TIC: les entitats han de desenvolupar i implementar polítiques i procediments específics per gestionar els riscos relacionats amb les TIC. Això inclou la identificació, l'avaluació i la mitigació de riscos potencials que puguin afectar l'operativa diària.
Per això, les parts interessades hauran de:
- Identificar i classificar-ne els actius crítics..
- Desenvolupar marcs integrals que garanteixin la gestió del risc i la seguretat del negoci.
- Desenvolupar plans de contingència davant de possibles riscos.
- Mantenir una avaluació continuada del risc.
- Notificació d'incidents relacionats amb les TIC: S'establirà un canal simplificat per reportar incidents relacionats amb les TIC, unificant els requisits d'informes actuals. Es reduiran els esdeveniments que obliguen a notificar i s'harmonitzaran les plantilles, avançant cap a un únic centre d'informes a la UE, en comptes de tenir múltiples autoritats nacionals.
- Establir sistemes de monitorització, gestió i registre d'incidents.
- Informar les autoritats i parts interessades.
- Presentar informes inicials, intermedis i finals.
En aquest cas, les institucions hauran de:
- Proves de Resiliència Operativa: És obligatori fer proves periòdiques de resiliència operativa, simulant diferents escenaris de ciberatacs i altres interrupcions operatives. Els resultats s'han de recollir en un Programa de Prova de Resistència Digital, aquest estarà compost pels següents apartats:
- Metodologies de prova
- Procediments i eines de prova
- Freqüència de les proves de resiliència
- Estratègia de priorització per a polítiques de prova
- Intercanvi d'amenaces: DORA fomentarà l'intercanvi d'informació entre entitats financeres de confiança per augmentar la consciència sobre noves amenaces, solucions de protecció de dades i tàctiques de resiliència.
- Gestió de riscos de tercers: DORA exigeix a les entitats gestionar activament els riscos de TIC dels proveïdors externs, mitjançant auditories, diligència deguda i contractes que incloguin seguretat, notificació d'incidents i plans de sortida. Els proveïdors de serveis classificats com a "crítics" estaran subjectes a supervisió directa.
Aquests requisits estan dissenyats per crear un entorn més segur i resilient, protegint tant les entitats financeres com els seus clients de les creixents amenaces cibernètiques. Complir amb el Reglament DORA no és només una obligació legal, sinó també una estratègia essencial per mantenir la confiança i l'estabilitat en el sector financer.
Com i quan les pimes financeres poden notificar un incident?
Les pimes financeres han de notificar qualsevol incident significatiu de ciberseguretat a les autoritats competents immediatament, i no després de 24 hores després de detectar-se l'incident.
La notificació ha d'incloure detalls sobre la naturalesa de l'incident, les mesures preses per mitigar-ne els efectes i qualsevol impacte potencial en els clients i les operacions de l'entitat.
Recorda que, a partir del 17 de gener del 2025 serà obligatori que les entitats financeres compleixin el reglament DORA.
Si comptes amb una pime que pertany al sector financer i detectes una possible amenaça, aquests són els passos que has de seguir per notificar-la.
- Identificació del problema mitjançant els procediments interns destinats a detectar i avaluar incidents.
- Avaluació de la gravetat seguint alguns valors de referència com ara el nombre de clients afectats o la durada de la interrupció.
- Notificació a lautoritat competent i en el termini indicat pel reglament. Aquesta notificació haurà d'incloure els apartats següents:
- Natura de l'incident.
- Impacte esperat.
- Mesures per adoptar.
- Un altre tipus dinformació sol·licitada per lautoritat competent.
En resum, la ciberseguretat és essencial per a les pimes del sector financer, i el Reglament DORA aporta un marc de protecció davant de les creixents amenaces digitals. Complir amb els seus lineaments garanteix que les empreses puguin resistir i recuperar-se davant de qualsevol incident, reforçant la confiança de clients.