Forrester logo

|

The Forrester Wave™: Supplier Value Management Platforms, Q3 2024    See Report

Ivalua
Ivalua - Banner

Introducción a la ley de Resiliencia Operativa Digital (DORA)

Por  Arnaud Malardé

  |  

  |  

En una era en la que las amenazas cibernéticas y las interrupciones operativas son cada vez más comunes, la Unión Europea ha dado un paso significativo para proteger su sector financiero mediante la introducción de DORA.

El Reglamento de Resiliencia Operativa Digital (DORA) es una normativa diseñada para mejorar la seguridad de IT y la resiliencia operativa de las instituciones financieras y los proveedores de servicios ICT en la UE, como bancos, compañías de seguros y empresas de inversión. La normativa se aplicará a más de 22,000 entidades financieras y proveedores de servicios ICT que operan dentro de la UE.

Aunque pueda parecer que está dirigida a los departamentos de IT, DORA involucra significativamente a los departamentos de Compras y Finanzas. IT se encarga de la arquitectura tecnológica y las operaciones, pero mantener relaciones conformes con terceros recae en los líderes de Compras y Finanzas.

En este artículo, exploraremos DORA, sus objetivos, componentes clave y el cronograma de implementación. También discutiremos cómo los profesionales de Compras y Finanzas pueden prepararse para las normativas de DORA y cómo Ivalua apoya el cumplimiento.

¿Qué es DORA?

El Reglamento de Resiliencia Operativa Digital (DORA) es una normativa emblemática introducida por la Unión Europea para mejorar la resiliencia operativa digital y cibernética del sector financiero. DORA entró oficialmente en vigor el 16 de enero de 2023 y será aplicable a partir del 17 de enero de 2025.

Esta normativa tiene como objetivo establecer un marco armonizado y completo que refuerce la capacidad de las instituciones financieras para resistir y responder a riesgos e interrupciones digitales. Al hacerlo, DORA busca garantizar la estabilidad y seguridad del sector financiero de la UE ante el creciente número de amenazas digitales.

DORA refuerza el papel de las Autoridades Europeas de Supervisión (ESAS), que incluyen la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA) y la Autoridad Europea de Valores y Mercados (ESMA), todas las cuales supervisan su implementación y cumplimiento para proteger al sector financiero de amenazas digitales.

Su amplio alcance cubre a todas las instituciones de servicios financieros (FSIs) en la UE, incluyendo bancos, aseguradoras, fondos de pensiones, bolsas de valores y proveedores de sistemas ICT. El reglamento se desarrolló a través de un exhaustivo proceso legislativo que involucró consultas con las partes interesadas para asegurar que sea integral y adaptable al panorama digital en constante evolución.

Objetivos clave de DORA

El Reglamento de Resiliencia Operativa Digital (DORA) establece requisitos fundamentales para que las instituciones financieras garanticen la seguridad y estabilidad de sus operaciones digitales. A continuación, se presentan las principales áreas que DORA aborda:

  • Fortalecer la seguridad de IT: DORA exige que las instituciones financieras implementen medidas estrictas de seguridad de IT para protegerse contra amenazas cibernéticas y asegurar la integridad de sus sistemas digitales.
  • Promover la resiliencia operativa: La normativa subraya la importancia de la resiliencia operativa, requiriendo que las instituciones desarrollen y mantengan marcos sólidos para responder a interrupciones digitales.
  • Mejorar la gestión de riesgos: DORA establece altos estándares para la gestión de riesgos, asegurando que las instituciones financieras cuenten con estrategias integrales para identificar, evaluar y mitigar riesgos digitales.
  • Facilitar la supervisión y coordinación: La normativa amplía los poderes de supervisión de las autoridades competentes, permitiéndoles monitorizar y hacer cumplir el cumplimiento de los requisitos de DORA. Además, promueve la coordinación y el intercambio de información entre las autoridades para abordar riesgos transfronterizos y garantizar una implementación coherente en toda la UE.

¿Cuáles son los cinco componentes clave de DORA?

El Reglamento de Resiliencia Operativa Digital (DORA) abarca cinco componentes clave que, en conjunto, refuerzan la resiliencia operativa y cibernética de los sistemas financieros en los mercados europeos:

  1. Estrategia de gestión de riesgos ICT: DORA requiere que las instituciones financieras desarrollen estrategias para identificar, evaluar y mitigar los riesgos relacionados con las ICT. Esto incluye evaluaciones de riesgos regulares, la implementación de controles de seguridad y el establecimiento de protocolos de respuesta a amenazas para mantener la integridad, disponibilidad y confidencialidad de los sistemas de información.
  2. Reporte de incidentes relacionados con ICT: DORA exige la notificación rápida de incidentes cibernéticos significativos a las autoridades competentes para facilitar una respuesta coordinada a las amenazas. Esto ayuda a mitigar los impactos potenciales y a mejorar los esfuerzos generales de ciberseguridad en el sector al identificar tendencias y patrones en los ciberataques.
  3. Pruebas de resiliencia operativa digital: Las instituciones financieras deben realizar pruebas regulares de resiliencia, incluyendo pruebas basadas en escenarios y pruebas de penetración, para evaluar la efectividad de sus sistemas ICT. Estas pruebas identifican vulnerabilidades y aseguran la preparación ante amenazas cibernéticas reales.
  4. Gestión de riesgos de terceros proveedores de ICT: DORA hace hincapié en la gestión de los riesgos asociados con los proveedores externos de servicios ICT. Las instituciones deben llevar a cabo una diligencia debida exhaustiva y una vigilancia continua para asegurar el cumplimiento de los estándares de ciberseguridad por parte de los terceros, mitigando así los riesgos derivados de las asociaciones externas.
  5. Acuerdos de compartición de información con compañeros de instituciones financieras: DORA fomenta que las instituciones financieras compartan conocimientos, inteligencia sobre amenazas y mejores prácticas con sus pares. Esta colaboración mejora la resiliencia colectiva de ciberseguridad, permitiendo a las instituciones mantenerse a la vanguardia de las amenazas emergentes y responder eficazmente a los incidentes cibernéticos.

Cronograma de DORA: Fases clave e implementación

DORA se caracteriza por varias fases clave, cada una contribuyendo al desarrollo y la implementación de un marco integral destinado a mejorar la resiliencia digital del sector financiero de la UE:

Conceptualización y redacción inicial (2019-2020)

El proceso de DORA comenzó con el reconocimiento de las crecientes amenazas digitales para el sector financiero. La UE buscó un enfoque armonizado para la resiliencia digital, lo que llevó a la redacción inicial de DORA, estableciendo principios fundamentales para proteger a las instituciones financieras de los riesgos relacionados con las TIC.

Fase de consulta (2020-2021)

Durante esta fase, se llevó a cabo una amplia consulta con las partes interesadas para perfeccionar las regulaciones propuestas. Instituciones financieras, expertos de la industria y organismos reguladores proporcionaron ideas y comentarios, asegurando que DORA aborde desafíos y necesidades prácticas, y sentando las bases para un marco efectivo.

Estación 1 (Lote 1) – Propuesta formal y adopción inicial (Enero 2021 – Enero 2022)

En enero de 2021, la Comisión Europea propuso formalmente DORA. La propuesta fue revisada y debatida por el Parlamento Europeo y el Consejo, lo que llevó a su adopción a principios de 2022, marcando el inicio del proceso de implementación.

Estación 2 (Lote 2) – Preparación e implementación inicial (Enero 2022 – Enero 2023)

Las instituciones financieras y los organismos reguladores se prepararon para la implementación de DORA, enfocándose en comprender los requisitos e iniciar los cambios organizacionales necesarios. La capacitación, las evaluaciones y las estrategias de cumplimiento fueron actividades clave, respaldadas por la orientación regulatoria.

Implementación final (Enero 2023 – Enero 2025)

DORA entró oficialmente en vigor el 16 de enero de 2023. Durante los dos años siguientes, las instituciones financieras ajustaron sus procesos, sistemas y controles a los requisitos de DORA, realizando pruebas rigurosas, reportando incidentes de ciberseguridad, gestionando riesgos de terceros y estableciendo mecanismos de intercambio de información.

Cumplimiento de DORA (Desde Enero 2025 en Adelante)

A partir del 17 de enero de 2025, el cumplimiento de DORA será obligatorio. Las instituciones financieras en toda la UE deberán integrar los requisitos de DORA en sus operaciones, con las Autoridades Europeas de Supervisión (ESAS) asegurando la adherencia y manteniendo altos niveles de resiliencia digital. A medida que evolucionan las amenazas digitales, DORA se someterá a ajustes adicionales. Las instituciones financieras deberán mantener una postura proactiva, actualizando las estrategias de resiliencia y las medidas de cumplimiento.

Cómo deberían prepararse los profesionales de Compras y Finanzas para la regulación DORA

DORA introduce cambios significativos en las actividades de compras dentro de las instituciones financieras al enfatizar la importancia de la resiliencia digital y la ciberseguridad.

En este video, Thomas Meyer de KPMG aborda los objetivos, el alcance y el enfoque de las regulaciones de DORA:

Mira los aspectos más destacados del seminario web para aprender más de Arnaud Malardé y Simone Smits de Ivalua mientras comparten estrategias invaluables y una guía paso a paso para empoderar a los profesionales de compras en la adaptación al panorama regulatorio en evolución.

Mira el seminario web completo: Cómo deben prepararse Compras y Finanzas para la regulación DORA.

¿Qué procesos de compras deberían revisar las empresas para cumplir con DORA?

Las regulaciones de DORA afectan varias etapas de los procesos de compras, desde Source-to-Pay (S2P) hasta Procure-to-Pay (P2P), así como la gestión del cambio y la gobernanza de procesos en general.

Primero, las organizaciones deben actualizar sus políticas de adquisiciones para reflejar los requisitos de DORA, estableciendo directrices claras para incorporar consideraciones de ciberseguridad y resiliencia digital en las actividades de adquisición.

Estrategia de abastecimiento y riesgo de concentración

Desarrollar una estrategia de abastecimiento robusta y gestionar el riesgo de concentración son esenciales para el cumplimiento de DORA. Se requieren procesos de debida diligencia mejorados para evaluar todos los riesgos relacionados con los proveedores, especialmente el riesgo de concentración.

Las organizaciones deben realizar evaluaciones de riesgos exhaustivas y asegurarse de que los proveedores cuenten con medidas sólidas de seguridad informática y resiliencia. Una estrategia de abastecimiento bien definida garantiza la selección cuidadosa de proveedores que cumplan con estrictos estándares de ciberseguridad mediante una debida diligencia exhaustiva.

Además, gestionar el riesgo de concentración implica diversificar la base de proveedores para evitar la dependencia excesiva de unos pocos proveedores. Al repartir el riesgo entre múltiples proveedores, las organizaciones pueden mantener una prestación continua de servicios, a pesar de las interrupciones en la cadena de suministro.

Gestión del ciclo de vida de los contratos

La gestión del ciclo de vida de los contratos (CLM) es crucial para el cumplimiento de DORA, ya que integra estrictos estándares de ciberseguridad y resiliencia a lo largo de todo el proceso contractual. Los contratos con proveedores deben incluir cláusulas que aborden el cumplimiento de DORA para garantizar que los proveedores están obligados contractualmente a adherirse a estándares y protocolos específicos de ciberseguridad y resiliencia digital.

Al incorporar cláusulas específicas de DORA en la creación y negociación de contratos, las instituciones financieras aseguran que los proveedores cumplan con altos estándares de seguridad. Una CLM efectiva gestiona las relaciones con los proveedores con un enfoque en una ciberseguridad robusta, alineándose con el objetivo de DORA de mejorar la resiliencia operativa digital en el sector financiero.

Gestión de proveedores

La gestión de proveedores implica la implementación de una debida diligencia exhaustiva, evaluaciones de riesgos regulares, monitoreo continuo y auditorías de desempeño para asegurar que los proveedores cumplan con los requisitos de DORA.

Las organizaciones deben incorporar criterios de ciberseguridad y resiliencia digital en su proceso de selección de proveedores, evaluando a los proveedores potenciales en función de su capacidad para cumplir con los requisitos de resiliencia digital de DORA. La comunicación transparente y las obligaciones contractuales claras refuerzan aún más el cumplimiento.

Procure-to-Pay (P2P)

El proceso P2P abarca los pasos desde la compra de bienes y servicios hasta la realización de pagos. DORA impacta el proceso P2P al requerir controles y mecanismos de monitoreo más rigurosos:

  1. Órdenes de compra y aprobaciones: Las instituciones financieras deben implementar flujos de trabajo seguros y conformes para la generación y aprobación de órdenes de compra, asegurando que todas las adquisiciones se evalúen en función de riesgos de ciberseguridad.
  2. Procesamiento de facturas: El procesamiento de facturas debe realizarse de manera segura, con sistemas en su lugar para detectar y prevenir actividades fraudulentas. Las organizaciones deben verificar la autenticidad de las facturas y su conformidad con los estándares de DORA.
  3. Seguridad de los pagos: Los procesos de pago deben estar reforzados con medidas de seguridad mejoradas mediante el uso de pasarelas de pago seguras y tecnologías de cifrado.

Gestión y reporte de riesgos e incidentes

La gestión y el reporte de riesgos e incidentes ayudan a las instituciones financieras a identificar, evaluar y abordar proactivamente vulnerabilidades e incidentes. La gestión detallada de incidentes permite a los equipos detectar y resolver problemas rápidamente para minimizar las interrupciones, mientras que los procedimientos de reporte integrales brindan transparencia y responsabilidad, y ayudan a mantener informadas a las autoridades regulatorias y a los interesados.

Registro de información

Un registro de información es un registro detallado de todos los datos críticos, activos, sistemas, procesos y actividades dentro de la infraestructura de IT de una organización. Incluye inventarios de hardware y software, flujos de datos, configuraciones de red, políticas de seguridad, informes de incidentes y estados de cumplimiento.

Mantener un registro actualizado asegura que las instituciones financieras tengan una visión integral de su entorno digital, lo cual es esencial para una gestión efectiva y el cumplimiento regulatorio.

Cómo Ivalua apoya el cumplimiento de DORA

Aunque Ivalua no está directamente supervisado por las Autoridades Europeas de Supervisión (ESA), estamos comprometidos en ayudar a nuestros clientes a cumplir con sus requisitos regulatorios. La plataforma de Ivalua ofrece características clave para apoyar el cumplimiento de DORA, actuando como el repositorio digital esencial para las instituciones financieras sujetas a esta normativa.

Este repositorio no es solo una base de datos de contratos; está definido en los estándares técnicos reglamentarios (RTS) de DORA como una colección de 14 bases de datos interconectadas vinculadas por cinco identificadores distintos, para asegurar una comunicación fluida entre ellas.

Además, la plataforma permite el monitoreo de la cadena de suministro de servicios con visibilidad sobre los subcontratistas de Nivel N, garantizando el cumplimiento de los requisitos de transparencia y supervisión en la cadena de suministro. Este enfoque integral apoya un cumplimiento robusto y mejora la resiliencia operativa.

Mientras que muchos proveedores de S2P tienen dificultades para extender su modelo de datos al grado requerido, Ivalua admite todos los nuevos y específicos puntos de datos. Manejar requisitos complejos con múltiples tablas de datos e identificadores es particularmente desafiante con una arquitectura “multi-tenant”.

Para cumplir con la regulación DORA, los clientes necesitan al menos varios módulos clave:

Mira una demostración de la plataforma Source-to-Pay de Ivalua que cumple con todos los requisitos de DORA.

Conclusión

Lograr el cumplimiento de DORA es vital para las instituciones financieras para asegurar una resiliencia operativa digital robusta y protegerse contra las crecientes amenazas cibernéticas. Comenzar el camino hacia el cumplimiento lo antes posible es imperativo, ya que las complejidades de DORA requieren una preparación exhaustiva e integración de soluciones completas.

Ivalua está diseñada para cumplir con DORA, proporcionando una manera fluida y eficiente de gestionar los requisitos regulatorios necesarios.

Obtenga consejos prácticos sobre cómo navegar el cumplimiento de DORA: Navegando los requisitos de DORA para líderes de compras y finanzas.

Arnaud Malardé

Gerente de Marketing de Productos Sénior

Arnaud Malardé, Senior Product Marketing Manager, joined Ivalua with over 10 years of experience in several procurement positions. An accomplished industry and procurement expert, Arnaud has worked alongside prestigious international Financial Services, Retail, IT and Media organizations. A product thought leader, blog contributor, and webinar host, Arnaud offers valuable and innovative insight into advanced digital procurement solutions. He holds a Master in Finance from ESCP Europe, one of the top French business schools, and a European Master of Science in Management from London’s City University.

Ready to Realize the Possibilities?

Solicite demostración