Cómo determinar si a una empresa le aplica el Reglamento DORA

¿Qué ha ocurrido?

Se puso en contacto con la Línea de Ayuda en Ciberseguridad, a través del teléfono gratuito y confidencial 017, una empresa preocupada y confusa ante la nueva normativa DORA.

Nos contaron que su operativa pertenece al sector tecnológico y de continuidad de negocio para aseguradoras y entidades de crédito, y se encontraba en un estado de incertidumbre sobre su cumplimiento con la normativa. Querían asegurarse de que cumplían con las medidas de ciberseguridad necesarias, tanto desde un punto de vista legal como para evitar posibles sanciones.

Decidieron ponerse en contacto con nosotros para recibir asesoramiento legal para determinar si les aplica el Reglamento DORA.

¿Qué pautas le hemos dado?

En primer lugar, analizamos su caso en detalle y exploramos los requisitos del Reglamento DORA para ayudarles a despejar sus dudas y garantizar su conformidad con la normativa.

Les explicamos los criterios necesarios para poder determinar si la empresa entraba dentro del ámbito de aplicación de DORA, para ello, les facilitamos los siguientes puntos clave:

• Tipo de entidad: DORA se aplica principalmente a entidades financieras que operen en la Unión Europea, las cuales se detallan en el artículo 2.1. de la norma, como bancos, aseguradoras, empresas de inversión y proveedores de servicios de terceros TIC. Es fundamental evaluar si la empresa realiza actividades que la sitúan dentro del ámbito de aplicación de DORA. Esto incluye la prestación de servicios críticos a entidades financieras o la gestión de infraestructuras tecnológicas esenciales.
• Tamaño de la entidad: A pesar de su amplio alcance, DORA establece un principio de proporcionalidad, es decir, las entidades financieras incluidas en el alcance deberán cumplir con DORA teniendo en cuenta su tamaño y perfil de riesgo, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones, entre otras variables, pudiendo aplicar también a PYMES, a diferencia de NIS2, que, con carácter general, aplica a medianas y grandes empresas.
• Prevalencia de DORA sobre NIS2: En caso de que la empresa, debido a su tamaño y sector de actividad, se encuentre dentro del ámbito de aplicación de NIS2, prevalecerá el Reglamento DORA por ser lex specialis. Esto significa que DORA, al ser una normativa específica para la resiliencia operativa digital en el sector financiero, tendrá prioridad sobre NIS2 en todos los aspectos que regulen el mismo asunto, garantizando así una aplicación más precisa y adecuada a las particularidades del sector.
• Proveedores de servicios críticos: Las empresas que proporcionan servicios de TIC a entidades financieras son consideradas proveedores terceros críticos bajo DORA. Esto significa que deben cumplir con los mismos estándares de resiliencia operativa que las entidades financieras a las que sirven.
• Resiliencia operativa: Las empresas deben demostrar que tienen la capacidad de resistir y recuperarse de perturbaciones graves, como ciberataques. DORA requiere que las entidades financieras realicen pruebas regulares de sus sistemas y procesos para garantizar su capacidad de resistir y recuperarse de incidentes disruptivos. Los proveedores de servicios de DRP y continuidad de negocio juegan un papel crucial en estas pruebas.
• Notificación de incidentes: Las entidades financieras deben notificar a las autoridades competentes sobre incidentes graves relacionados con las TIC. Los proveedores de servicios deben estar preparados para apoyar a sus clientes en este proceso, asegurando que se cumplan los requisitos de notificación y respuesta.
• Responsabilidad de cumplimiento: Aunque la entidad financiera debe asegurarse de que sus proveedores cumplan con la norma, los propios proveedores tienen la responsabilidad de conocer y cumplir de manera proactiva.
• Por otra parte, le facilitamos también la información de la sección de ¿Qué es el Reglamento DORA? Del blog de empresas de INCIBE-CERT.

Por último, le recordamos que ante cualquier duda que le pueda surgir, puede volver a contactar con el servicio de Tu Ayuda en Ciberseguridad de INCIBE todos los días del año de 08:00 am a 23:00 pm.