Logra fácilmente el cumplimiento de DORA con Compl.AI.

Compl.AI automatiza el proceso de revisión de contratos, ayudándote a ahorrar tiempo, reducir costos y minimizar riesgos de cumplimiento. La herramienta analiza automáticamente los contratos para verificar su cumplimiento con DORA, monitoriza continuamente los cambios y mantiene a tu organización actualizada. Esto te permite concentrarte en tu negocio principal mientras aseguras la seguridad de tu infraestructura de TIC.

Pero, ¿qué es DORA?

La Ley de Resiliencia Operativa Digital (DORA) es una regulación de la UE que entró en vigor el 16 de enero de 2023 y será totalmente aplicable a partir del 17 de enero de 2025.

DORA tiene como objetivo mejorar la seguridad informática de las entidades financieras, como bancos, compañías de seguros y firmas de inversión, asegurando que el sector financiero en Europa pueda mantenerse resistente durante interrupciones operativas graves. Estandariza las normas para la resiliencia operativa en todo el sector financiero, abarcando 21 tipos diferentes de entidades financieras y proveedores de servicios TIC de terceros.

Para lograr esto, las entidades financieras necesitan sistemas TIC robustos, procesos bien diseñados y acuerdos claros con los proveedores de servicios.

En palabras de Tobias Dieter, Consultor Principal en la Línea de Negocios de Seguridad de la Información en adesso SE: "La regulación DORA establece un marco uniforme sobre cómo aumentar la resiliencia informática para las entidades financieras y sus proveedores de servicios de TI dentro de la UE. Esta regulación no solo ayuda a minimizar los riesgos de ciberataques y interrupciones técnicas, sino que también aumenta la confianza de los consumidores e inversores en el sector financiero en su conjunto."

¿A quién se aplica DORA?

Esta regulación se aplica a las siguientes entidades:

• Instituciones de crédito
• Instituciones de pago
• Proveedores de servicios de información de cuentas
• Instituciones de dinero electrónico
• Firmas de inversión
• Proveedores de servicios de criptoactivos
• Depositarios centrales de valores
• Contrapartes centrales
• Centros de negociación
• Registros de operaciones
• Gestores de fondos de inversión alternativa
• Compañías de gestión
• Proveedores de servicios de informes de datos
• Empresas de seguros y reaseguros
• Intermediarios de seguros y reaseguros
• Instituciones de pensiones de jubilación ocupacional
• Agencias de calificación crediticia
• Administradores de índices de referencia críticos
• Proveedores de servicios de crowdfunding
• Registros de titulización
• Proveedores de servicios TIC de terceros

Existen dos grupos de entidades financieras:

1. Entidades que cumplen con estrictos requisitos de BaFin

• Estas incluyen bancos, compañías de seguros, proveedores de servicios de pago y compañías de gestión de capital. Están familiarizadas con los "requisitos de TI regulatorios" emitidos por BaFin (xAIT) que les son aplicables. Estas empresas suelen tener sistemas de gestión efectivos para la seguridad de la información, la gestión de riesgos, la respuesta a emergencias y la gestión de proveedores de servicios. También operan un sistema de gestión de servicios de TI adaptado a sus necesidades. DORA introduce aspectos adicionales a estos temas existentes. El desafío radica en evaluar los nuevos requisitos e implementarlos correctamente dentro de los sistemas de gestión existentes. Adesso realiza una comparación de objetivos/rendimiento contigo y te apoya durante la evaluación e implementación de medidas para gestionar incidentes.

2. Entidades que aseguran un nivel básico de protección

• DORA define umbrales de proporcionalidad para mantener el esfuerzo razonable para las entidades financieras, diferenciando entre empresas según su tamaño e ingresos.

Se requiere que las entidades financieras desarrollen y realicen regularmente capacitación obligatoria en seguridad TIC y resiliencia operativa digital para todos los empleados y, cuando sea apropiado, también para los proveedores de servicios TIC de terceros. Esta capacitación debe tener un nivel de complejidad "proporcional al alcance de sus funciones" (Art. 13(6) DORA).

Proveedores de servicios TIC de terceros

Además de las entidades financieras cubiertas por la regulación, DORA también exige que sus proveedores de servicios aseguren una prestación de servicio estable. Un "proveedor de servicios TIC de terceros" se define bajo el Art. 3 No. 19 de DORA como "una empresa que proporciona servicios de TIC".

"Servicios de TIC" significa "servicios digitales y de datos proporcionados a través de sistemas TIC a uno o más usuarios internos o externos de manera continua, incluidos hardware como servicio y servicios de hardware, lo que incluye la provisión de soporte técnico a través de actualizaciones de software o firmware por parte del proveedor de hardware, excluyendo los servicios telefónicos analógicos tradicionales." (Art. 3 No. 21 DORA)

5 Temas Clave Abordados por la Regulación:

Gestión de Riesgos de TIC

El marco de gestión de riesgos de TIC mejora la gestión de riesgos de información y seguridad en las entidades financieras. Cubre el diseño y la operación de sistemas y procesos de TIC robustos que pueden funcionar de manera efectiva durante interrupciones o emergencias. Esto implica un monitoreo constante de los riesgos de TIC y el establecimiento de salvaguardias. Las pruebas regulares aseguran que las directrices, planes y medidas mantengan de manera consistente operaciones comerciales estables.

Pruebas de Resiliencia

Las empresas están obligadas a planificar y llevar a cabo pruebas de resiliencia en los componentes de TIC, identificando, evaluando y abordando vulnerabilidades. Esto incluye realizar pruebas de penetración lideradas por amenazas (TLPT) en los servicios de TIC para funciones críticas, involucrando directamente a los proveedores de servicios TIC de terceros.

Gestión de Incidentes de TIC

Las entidades financieras deben desarrollar procedimientos confiables para manejar incidentes de TIC. Esto incluye la introducción de un proceso estandarizado para monitorear, clasificar e informar incidentes de TIC a las autoridades supervisoras.

Gestión de Terceros

La gestión de riesgos de TIC ahora incluye requisitos más estrictos para la gestión de riesgos de terceros y cuartos. Las entidades financieras deben identificar y abordar los riesgos que plantean los proveedores de servicios TIC de terceros. También están obligadas a preparar e informar sobre una lista de actividades subcontratadas y garantizar que los contratos con proveedores de servicios TIC cumplan con requisitos mínimos de contenido específicos.

Intercambio de Información

El intercambio regular de información e inteligencia sobre amenazas cibernéticas entre las entidades financieras y los reguladores es crucial para una comunicación transparente.

¿Cuáles son las implicaciones para el Reino Unido?

La Ley de Resiliencia Operativa Digital es una regulación de la UE, pero también impacta a las empresas del Reino Unido. DORA se aplicará a cualquier empresa financiera del Reino Unido que trabaje con clientes de la UE o realice negocios con empresas financieras de la UE.

¿Cuánto tiempo tengo para cumplir con DORA?

No mucho. DORA entrará en plena vigencia el 17 de enero de 2025. Nos quedan exactamente seis meses desde el día en que se redactó y publicó este artículo, y aún menos si excluimos el receso de verano y las festividades de fin de año.

¿Qué temas cubre DORA?

A partir de enero de 2024, la autoridad de supervisión bancaria europea ha puesto a disposición estándares regulatorios técnicos que cubren, entre otros, los siguientes temas:

• Seguridad de la red
• Salvaguardias contra intrusiones y uso indebido de datos
• Controles para la gestión de derechos de acceso
• Detección de actividades anormales y monitoreo de comportamientos anormales y procesos de respuesta
• Planificación de continuidad del negocio de TIC
• Revisión del marco de gestión de riesgos de TIC
• Clasificación de incidentes relacionados con TIC y amenazas cibernéticas
• Informe de incidentes graves relacionados con TIC
• Pruebas avanzadas de herramientas, sistemas y procesos de TIC basadas en TLPT (Pruebas de Penetración Lideradas por Amenazas)
• Principios clave para una gestión sólida de riesgos de terceros en TIC
• Armonización de los requisitos para llevar a cabo actividades de monitoreo

¿El problema? DORA es costosa en términos de tiempo y recursos

Las organizaciones financieras a menudo carecen del personal necesario para cumplir de manera consistente con todos estos desafíos. Contratar auditores externos suele ser muy costoso. DORA permite a los supervisores principales multar a los proveedores de TIC hasta un 1% de su facturación diaria mundial promedio del año comercial anterior. Los proveedores pueden ser multados diariamente durante un máximo de seis meses hasta que cumplan. Esto puede restringir severamente su acceso al mercado de la UE y dañar su reputación empresarial.

¿La solución? DORA Compl.AI, un sistema de análisis de contratos respaldado por IA para evaluar los requisitos de DORA

Compl.AI es una herramienta de análisis innovadora desarrollada por adesso, basada en tecnologías de GenAI y en cooperación con nuestros expertos en DORA. La herramienta permite el análisis inicial y continuo de todos los contratos existentes con proveedores de servicios de TIC y los documentos asociados según los criterios de DORA.

Asegura que tu organización cumpla con los requisitos de DORA, mientras ahorra capacidad y costos.

¿Qué valor añadido aporta Compl.AI?

Compl.AI ofrece una serie de beneficios que mejoran significativamente tus procesos de trabajo. Los análisis manuales son lentos y propensos a errores humanos, lo que puede llevar a inconsistencias y violaciones de cumplimiento. Compl.AI elimina estos problemas mediante análisis automatizados y precisos. La herramienta monitorea y actualiza continuamente todos los contratos para cumplir con los requisitos regulatorios en constante cambio, minimizando el riesgo de incumplimientos y aumentando la resiliencia operativa de tu organización.

Al eliminar los análisis manuales, ahorras tiempo y recursos valiosos. Compl.AI asegura una calidad constante en los análisis, independientemente del número y la complejidad de los contratos. La herramienta proporciona documentación de origen y resúmenes, lo que facilita enormemente los informes. Además, Compl.AI permite revisiones regulares de los cambios en los contratos, manteniéndote informado sobre los estándares de cumplimiento actuales.

“Muchas empresas financieras aún no están preparadas de manera óptima para DORA. No tienen los recursos técnicos y humanos para revisar exhaustivamente contratos extensos”, explica Mark Lohweber, CEO de adesso y experto en servicios financieros. “Compl.AI reduce significativamente la carga de trabajo involucrada y no solo ahorra tiempo y costos, sino que también previene errores humanos que pueden ocurrir con análisis manuales y llevar a inconsistencias o violaciones de cumplimiento.”

¿Con o Sin Compl.AI?

La respuesta a esta pregunta es evidente. Al automatizar estos procesos, Compl.AI permite que tu equipo se enfoque en actividades clave del negocio en lugar de verse atrapado en tareas de cumplimiento tediosas y complejas.

En adesso estamos listos para ayudar a tu empresa lograr el cumplimiento de DORA.

En adesso tenemos una amplia experiencia en apoyar a entidades de servicios financieros y empresas en España y la UE para innovar, construir resiliencia y navegar por los desafíos de cumplimiento, incluidos los que plantea DORA.

¿Estás listo para llevar tu empresa al siguiente nivel de cumplimiento con DORA? ¡Ponte en contacto con nosotros y exploremos juntos las soluciones adecuadas para ti!