ISGroup Consultoría de Ciberseguridad

DORA: régimen simplificado para entidades financieras menores

La Ley de Resiliencia Operativa Digital (DORA) introduce un marco simplificado para la gestión de riesgos de las TIC, dirigido a entidades financieras de menor tamaño o con una interconexión limitada. Este régimen tiene como objetivo garantizar un alto nivel de resiliencia operativa digital sin imponer cargas administrativas excesivas.

Quiénes pueden acogerse al art. 16

La aplicabilidad del régimen simplificado se limita a una lista exhaustiva de categorías definidas por el art. 16 de DORA. Estas categorías incluyen:

  • Empresas de servicios de inversión pequeñas y no interconectadas
  • Entidades de pago exentas según la Directiva (UE) 2015/2366
  • Entidades de dinero electrónico exentas según la Directiva 2009/110/CE
  • Pequeñas instituciones de jubilación profesional (IORP)

Las entidades que entran en estas categorías se caracterizan generalmente por una escala reducida de sus actividades y, a veces, por un número limitado de empleados.

Qué cambia realmente en términos de pruebas y gobernanza

La proporcionalidad de DORA se traduce en un marco menos granular que el general, según lo establecido en el Título III del Reglamento Delegado 2024/1774. Las principales diferencias incluyen:

  • Gobernanza y Organización: El mandato de las ESA para el marco simplificado es más amplio, ya que incluye la definición del marco completo y no solo elementos adicionales. Los requisitos, sin embargo, se adaptan a la complejidad de la entidad. El órgano de dirección mantiene la responsabilidad final, pero los procesos de toma de decisiones son más ágiles.
  • Continuidad del negocio: Los requisitos de continuidad operativa se mantienen, pero con un nivel de detalle inferior. No se requieren planes específicos de “Respuesta y Recuperación” ni escenarios de prueba extremadamente complejos previstos en el régimen ordinario.
  • Pruebas de seguridad: Las entidades deben adoptar un plan de pruebas basado en el riesgo, incluyendo escaneos de vulnerabilidades y evaluaciones para identificar debilidades. La frecuencia y profundidad de las pruebas se calibran según el perfil de riesgo.

Controles mínimos que no deben pasarse por alto

Aunque el marco sea simplificado, existen obligaciones ineludibles para las pequeñas entidades financieras bajo DORA:

  • Identificación y Clasificación: Obligación de identificar, clasificar y documentar todas las funciones críticas o importantes, los activos TIC relacionados y las interdependencias.
  • Seguridad de las operaciones TIC: Monitorización de los activos que soportan funciones críticas, gestión de activos obsoletos, registro de eventos (logging) e implementación de medidas para detectar amenazas y vulnerabilidades.
  • Control de accesos: Definición e implementación de procedimientos rigurosos para el control de accesos lógicos y físicos.

Cómo evitar el incumplimiento en nombre de la proporcionalidad

La proporcionalidad debe interpretarse como una aplicación proporcionada de los requisitos, no como una renuncia. Las entidades deben ser capaces de demostrar a las autoridades que el marco adoptado, aunque simplificado, es adecuado para la gestión de los riesgos TIC específicos. En caso de complejidades particulares, podría ser necesario reforzar los controles en determinadas áreas.

Ejemplos de plan mínimo eficaz

  • Inventario de activos TIC actualizado regularmente, con una clara cartografía de las dependencias de terceros
  • Procedimiento de gestión de vulnerabilidades que utilice escaneos automatizados para identificar vulnerabilidades en los sistemas críticos
  • Plan de pruebas de continuidad operativa probado al menos anualmente para verificar la capacidad de recuperación de las funciones esenciales
  • Revisión periódica del marco de gestión de riesgos TIC, documentada en un informe para presentar a la autoridad bajo petición

Preguntas frecuentes

  • ¿”Simplificado” significa menos responsabilidad?
  • No. El órgano de dirección de la entidad financiera mantiene la plena responsabilidad de la gestión de los riesgos TIC y del cumplimiento de los requisitos legales.
  • ¿Es necesario realizar evaluaciones de vulnerabilidad?
  • Sí. Las entidades deben realizar evaluaciones y análisis de vulnerabilidades DORA (escaneos) para identificar y abordar rápidamente los riesgos, en línea con su perfil de riesgo.
  • ¿Es necesario clasificar los activos y funciones críticas?
  • Sí, este es un prerrequisito fundamental. La identificación y clasificación de las funciones críticas o importantes y de los activos TIC que las soportan es obligatoria incluso en el régimen simplificado.

Asegura tu resiliencia: solicita hoy una verificación de elegibilidad y un alcance personalizado de tu marco simplificado para estar listo antes del 17 de enero de 2025.

In

, , ,