¿Qué es DORA?

A partir del 17 de enero de 2025, las entidades financieras de la Unión Europea (UE) y, tan pronto como se designan, los proveedores de servicios de terceros de TIC designados como "críticos" por las Autoridades Europeas de Supervisión deben estar preparados para cumplir la Ley de resistencia operativa digital (Reglamento (UE) 2022/2554 - "DORA"). DORA estandariza la forma en que las entidades financieras notifican incidentes de ciberseguridad, prueban su resistencia operativa digital y administran el riesgo de terceros en el sector de los servicios financieros y en los estados miembros de la UE.

Además de establecer expectativas claras sobre el papel de los proveedores de TIC, DORA proporciona a las Autoridades Europeas de Supervisión (AES) competencias de supervisión directa sobre los proveedores de TIC críticos designados. Microsoft está preparado para ser designado como un "proveedor de servicios críticos de terceros de TIC" que cumpla con las disposiciones aplicables en virtud de DORA, y ayudará a las instituciones financieras reguladas a cumplir sus propios requisitos.

DORA tiene como objetivo proporcionar un enfoque armonizado para lograr "un alto nivel de resistencia operativa digital" de la industria de servicios financieros (FSI), asegurándose de que las empresas puedan soportar y adaptarse a una amplia gama de amenazas e interrupciones, incluidos ciberataques, fallos de TI y otros riesgos operativos. DORA se aplica a una amplia gama de entidades de I FSI, incluidos bancos, instituciones de seguros, bolsas de valores y plataformas comerciales.

Puntos clave

1. Propósito de DORA: DORA busca mejorar la resistencia y la estabilidad del sector de FSI asegurándose de que las entidades de FSI han implementado medidas eficaces para administrar y mitigar los riesgos operativos, incluidos los ciberrriestos. Su objetivo es proteger a los consumidores, los inversores y el sistema de I FSI más amplio de las consecuencias potencialmente graves de importantes interrupciones o fallas en el sector.
2. Alcance: DORA se aplica a las entidades de FSI que operan en la Unión Europea y a sus proveedores de terceros de TIC que prestan servicios en la UE, independientemente del lugar desde el que opera este último. También se aplica a los proveedores de terceros críticos (CTPP) designados por las AES, que se confían a la supervisión diaria de uno de los tres AES, es decir, EBA, EIOPA o ESMA.
3. Disposiciones clave: DORA incluye principalmente tres requisitos:
   1. Requisitos aplicables a las entidades de FSI, incluidos en las áreas de administración de riesgos de TIC, notificación de incidentes de TIC importantes y pruebas de resistencia operativas, como las pruebas de penetración dirigidas por amenazas.
   2. Requisitos en relación con los acuerdos contractuales celebrados entre proveedores de servicios terceros designados de TIC y entidades de FSI
   3. Normas para el establecimiento y la ejecución del marco de supervisión para proveedores críticos de terceros (CTPP) de TIC al proporcionar servicios a entidades de FSI.
4. Cumplimiento: Microsoft cumple con todas las leyes y regulaciones aplicables a ella en la prestación de sus servicios, sujeto a los requisitos que se le aplican como CTPP, así como a los requisitos de DORA que se espera que Microsoft cumpla al atender a las entidades de FSI con un servicio de TIC normal y también crítico. Las entidades de FSI que hayan implementado acuerdos contractuales para el uso de Microsoft servicios en línea para ejecutar sus funciones críticas o importantes seguirán siendo responsables del cumplimiento de todas las obligaciones derivadas de DORA y de los requisitos normativos de los servicios financieros aplicables. Microsoft admite entidades de FSI para habilitar sus obligaciones de cumplimiento y cumplir con los requisitos que se le aplican.
5. Servicios y proveedores en la nube: DORA está diseñado para ser neutral en la tecnología y los requisitos de DORA se aplican no solo a las entidades de FSI, sino también a proveedores externos de servicios de TIC.
6. Compromisos contractuales: DORA exige ciertos requisitos contractuales entre los proveedores de servicios externos de TIC y las entidades de FSI. Microsoft garantiza que sus disposiciones contractuales se ajusten a los requisitos de DORA, según corresponda. Además, Microsoft ya se alinea con los requisitos emitidos en virtud de las directrices de EBA, ESMA y EIOPA, y esa orientación en sí misma sirve como marco de referencia para los requisitos de DORA.
7. Supervisión: DORA no alivia a las entidades de FSI de la supervisión de los proveedores de tecnología, incluidas las auditorías si se consideran un requisito. Microsoft proporciona una gran cantidad de información de garantía a los clientes, como atestaciones de terceros, datos de rendimiento, información sobre incidentes, informes anuales y trimestrales que pueden ayudar a evaluar Microsoft como proveedor de tecnología. El Programa de cumplimiento de Microsoft Cloud (CPMC) es un servicio de soporte técnico premium que puede ayudar a abordar escenarios más específicos y complicados a los que pueden enfrentarse los miembros. Si es necesario, Microsoft tiene una experiencia sustancial que respalda a los clientes en la ejecución de auditorías y en proporcionar un nivel de transparencia y garantía para la supervisión y supervisión continuas de sus servicios en la nube.

DORA tiene como objetivo fortalecer la resistencia operativa del sector de la inteligencia artificial y busca reforzar la gestión de riesgos para que las empresas puedan soportar y adaptarse a una amplia gama de amenazas e interrupciones. Microsoft cumple con todas las leyes y regulaciones aplicables a él que proporcionan sus servicios en la nube, sujetos a los requisitos que se le aplican como CTPP. Las entidades de FSI que hayan implementado acuerdos contractuales para el uso de servicios de terceros de TIC seguirán siendo responsables del cumplimiento de todas las obligaciones establecidas en DORA y de los requisitos normativos de los servicios financieros aplicables, a los que Microsoft apoyará según sea necesario.

Áreas principales para la consideración del cliente en DORA

Marco de gestión de riesgos de TIC

La Ley de Resistencia Operativa Digital (DORA) establece un mecanismo de gestión integral de los riesgos de las TIC con el que las entidades financieras deberán cumplir, incluida la identificación, protección y prevención, detección, respuesta y recuperación de dichos riesgos en el ámbito. Las entidades financieras deben establecer un marco interno de gobernanza y control para la gestión de riesgos de las TIC y participar en la supervisión continua de los riesgos de las TIC. Estos requisitos de gestión y supervisión de riesgos de las TIC se extienden al uso de los servicios de TIC proporcionados por proveedores externos.

Los elementos de este marco de gestión de riesgos de las TIC abarcan ampliamente:

• Marco interno de gobernanza y control para la gestión de riesgos de las TIC: las entidades financieras deben tener un marco interno de gobernanza y control que garantice una gestión eficaz y prudente del riesgo de las TIC.
• Componentes y requisitos del marco de gestión de riesgos de TIC: el marco de gestión de riesgos de TIC debe incluir estrategias, políticas, procedimientos, protocolos de TIC y herramientas necesarias para proteger y garantizar la resistencia, continuidad y disponibilidad de los sistemas de TIC, los recursos de información y los datos.
• Especificaciones de sistemas, protocolos y herramientas de TIC: las entidades financieras deben utilizar y mantener actualizados sistemas, protocolos y herramientas de TIC adecuados, confiables, resistentes y capaces de procesar los datos necesarios para sus actividades y servicios. También deben implementar políticas, procedimientos, protocolos y herramientas de seguridad de las TIC que tengan como objetivo garantizar la seguridad de las redes y los datos y evitar incidentes relacionados con las TIC.
• Identificación de fuentes y dependencias de riesgo de TIC: las entidades financieras deben identificar, clasificar y documentar todas las funciones empresariales compatibles con las TIC, los activos de información y los activos de TIC, así como sus roles y dependencias en relación con el riesgo de las TIC. También deben identificar todas las fuentes de riesgo de las TIC, las ciberamenazas y las vulnerabilidades de las TIC, y evaluar el posible impacto de las interrupciones de las TIC.
• Detección de incidentes y anomalías relacionados con las TIC: las entidades financieras deben tener mecanismos para detectar rápidamente actividades anómalas, problemas de rendimiento de la red de TIC e incidentes relacionados con las TIC, e identificar posibles puntos únicos de error. También deben definir umbrales y criterios de alerta para desencadenar e iniciar procesos de respuesta a incidentes relacionados con las TIC.
• Respuesta y recuperación de incidentes relacionados con las TIC: las entidades financieras deben tener una política completa de continuidad empresarial de las TIC y planes de respuesta y recuperación de TIC asociados que tengan como objetivo garantizar la continuidad de funciones críticas o importantes, resolver rápida y eficazmente incidentes relacionados con las TIC y minimizar los daños y pérdidas. También deben probar, revisar y actualizar sus planes y medidas periódicamente, e informar a las autoridades competentes según sea necesario.

Cómo ayuda Microsoft con la administración de riesgos

Microsoft ya proporciona un amplio conjunto de funcionalidades integradas de administración de riesgos de TIC en nuestros servicios en la actualidad, entre las que se incluyen:

• Microsoft Defender for Cloud
• Panel de estado del servicio de Microsoft 365
• Puntuación de seguridad de Microsoft
• Azure Service Health
• Microsoft Purview
• Administrador de cumplimiento de Microsoft Purview

CPMC también proporciona soporte técnico sobre las evaluaciones de riesgos, lo que ayuda a los miembros a asignar sus marcos de control y requisitos a las implementaciones de Microsoft.

Microsoft proporciona soluciones adicionales a las entidades financieras para ayudar con la administración de riesgos de forma más amplia, entre las que se incluyen:

• Microsoft Entra proporciona administración integrada de identidades, acceso y autorización con funcionalidades de protección mejoradas y respalda los servicios de Microsoft Cloud. Asegúrese de consultar nuestra guía detallada de DORA para Microsoft Entra.
• Microsoft Defender proporciona detección, protección y respuesta de amenazas entre dominios integradas en varias nubes, correo electrónico, plataformas de colaboración, identidad y puntos de conexión.
• Microsoft 365 Purview ofrece un conjunto completo de soluciones de seguridad y cumplimiento de datos, como prevención de pérdida de datos, Information Protection, barreras de información, administración de riesgos internos, cumplimiento de comunicaciones, exhibición de documentos electrónicos, ciclo de vida de datos y administración de registros.
• Microsoft Intune administra y protege los puntos de conexión conectados a la nube en sistemas operativos Windows, Android, macOS, iOS y Linux.
• Microsoft Copilot for Security aprovecha la asistencia generativa con tecnología de inteligencia artificial para proteger y responder a amenazas a escala y a velocidad de IA.
• Microsoft Purview y Azure Arc le ayudan a gobernar, proteger y administrar el patrimonio de datos en entornos locales, de Azure y de varias nubes. Además, amplía aún más la gobernanza de datos sin problemas a SaaS de Microsoft 365.
• Azure Backup, Azure Site Recovery y Centro de continuidad de Azure empresarial proporcionan soluciones específicas para la continuidad empresarial y la recuperación en los recursos de Azure implementados. Copia de seguridad Microsoft 365 es la copia de seguridad de datos no estructurados.

Principios clave para una gestión sólida del riesgo de terceros en TIC

Se espera que las entidades financieras administren el riesgo de terceros de TIC como parte de su marco de gestión de riesgos de TIC, adopten una estrategia y una política sobre el uso de servicios de TIC que apoyen funciones críticas o importantes, y mantengan un registro de información sobre todos los acuerdos contractuales con proveedores de servicios de terceros de TIC.

• Evaluación preliminar antes de celebrar contratos: las entidades financieras deben evaluar los riesgos de contratación con proveedores de servicios de terceros de TIC clave.
• Disposiciones contractuales clave: las entidades financieras deben asegurarse de que las disposiciones contractuales incluyan, entre otras cosas, una descripción de las funciones y servicios, las ubicaciones de procesamiento y almacenamiento de datos, la administración y supervisión de los subcontratistas clave que sustentan la prestación de servicios críticos, las medidas de protección y seguridad de datos, las descripciones de nivel de servicio y los objetivos de rendimiento, los derechos de terminación y las estrategias de salida, y los derechos de acceso, inspección y auditoría de la entidad financiera y las autoridades competentes.

Microsoft, al ser un proveedor de servicios de terceros de TIC para el sector, admite a los clientes para abordar estos requisitos.

Cómo Ayuda Microsoft con la administración de riesgos de terceros

Microsoft proporciona compromisos contractuales sustanciales que se ajustan a la orientación de las AES y son coherentes con las disposiciones de la DORA, incluido el artículo 30. Su contrato contractual con nosotros, que puede incluir nuestros Contratos Enterprise, el Complemento de Protección de Datos de Productos y Servicios de Microsoft (DPA), las secciones aplicables de nuestros Términos de producto y, para las entidades financieras reguladas, nuestra Enmienda de Servicios Financieros, cubre los elementos clave necesarios en DORA. Se han realizado ajustes para ayudar a los clientes a cumplir los requisitos de DORA. Nuestro documento de asignación de DORA, disponible a petición a través de su contacto de Microsoft, aclara cómo se alinean nuestros compromisos contractuales con DORA. Seguiremos trabajando con los clientes para abordar sus necesidades para garantizar el cumplimiento continuo.

La gestión de riesgos de terceros de DORA se extiende más allá de Microsoft y también abarca a otros terceros desde la perspectiva de la entidad financiera. Hay algunas soluciones que ofrecemos que ayudan a abordar el riesgo de terceros de forma más amplia, entre las que se incluyen:

• Microsoft Defender for Cloud Apps ofrece funcionalidades completas de visibilidad, control y evaluación para aplicaciones y servicios de terceros, mitigando los riesgos asociados con proveedores de TIC externos. La detección de aplicaciones en la nube puede detectar aplicaciones de terceros en uso (shadow IT) y proporciona informes de evaluación de riesgos.
• Microsoft Purview ayuda con la gobernanza unificada de datos más allá de las soluciones en la nube de Microsoft. También puede gobernar, proteger y administrar el patrimonio de datos en nubes de terceros.
• El Administrador de cumplimiento de Microsoft Purview ayuda en evaluaciones de riesgos de terceros y administración del cumplimiento de proveedores con más de 300 estándares, directrices y regulaciones, ofreciendo información y acciones para identificar brechas y mitigar los riesgos para la nube de Microsoft, así como para entornos híbridos y multinube. También incluye plantillas de evaluación para otros proveedores de nube.

Microsoft también pone listas de comprobación disponibles en el Portal de confianza de servicios para clientes del sector de servicios financieros que buscan instrucciones regionales y específicas del país.

TIC: administración, clasificación e informes de incidentes relacionados

Se exige una serie de requisitos para las entidades financieras de la UE en materia de gestión, clasificación e informes de incidentes de TIC, incluidos los siguientes:

• Proceso de administración de incidentes relacionados con las TIC: las entidades financieras deben tener un proceso para detectar, administrar y notificar incidentes relacionados con las TIC y registrarlos según su prioridad y gravedad.
• Clasificación de incidentes relacionados con las TIC y ciberamenazas: las entidades financieras deben clasificar los incidentes relacionados con las TIC y las ciberamenazas en función de criterios como el número de clientes afectados, la duración, la propagación geográfica, las pérdidas de datos, la importancia crítica de los servicios y el impacto económico.
• Informes de incidentes importantes relacionados con las TIC y notificación voluntaria de ciberamenazas significativas: las entidades financieras deben informar de incidentes importantes relacionados con las TIC a la autoridad competente pertinente mediante formularios y plantillas estándar e informar a sus clientes sobre el incidente y las medidas de mitigación. Las entidades financieras también pueden notificar amenazas cibernéticas significativas a la autoridad competente pertinente de forma voluntaria.
• Armonización del contenido y las plantillas de los informes: las AES, a través del Comité Conjunto y en consulta con ENISA y el BCE, elaborarán proyectos comunes de reglamentación y aplicación de normas técnicas para especificar el contenido, los plazos y el formato de los informes y notificaciones de incidentes relacionados con las TIC y ciberamenazas.
• Centralización de la presentación de informes de incidentes importantes relacionados con las TIC: las AES, a través del Comité Conjunto y en consulta con el BCE y la ENISA, prepararán un informe conjunto que evalúe la viabilidad de centralizar aún más la notificación de incidentes mediante el establecimiento de un único centro de conectividad de la UE para la notificación de incidentes importantes relacionados con las TIC por parte de las entidades financieras.

Microsoft puede ayudar a establecer un marco completo de administración de riesgos de TIC para identificar, proteger, detectar, responder y recuperarse de interrupciones relacionadas con las TIC:

• Microsoft Sentinel es un sistema SIEM nativo de la nube que permite el análisis, la detección y la respuesta en tiempo real a las amenazas de seguridad, facilitando el cumplimiento de los requisitos de informes de incidentes.
• Microsoft Defender XDR ayuda a priorizar, administrar y responder a incidentes.
• Administración de riesgos internos de Microsoft Purview proporciona una plataforma de un extremo a otro para cubrir los riesgos internos con directivas, desencadenadores y alertas sobre el comportamiento de riesgo de los usuarios.

En el caso de los Servicios en línea de Microsoft, puede supervisar el estado y configurar las notificaciones si se produce una interrupción directamente en el servicio:

• Panel de estado del servicio de Microsoft 365: puede ver el estado de los servicios de Microsoft, incluidos Office en la Web, Microsoft Teams, Exchange Online y Microsoft Dynamics 365 en la página Estado del servicio de la Centro de administración de Microsoft 365.
• Azure Service Health: Azure ofrece un conjunto de experiencias para mantenerle informado sobre el estado de los recursos en la nube. Esta información incluye problemas actuales y próximos, como eventos que afectan al servicio, mantenimiento planeado y otros cambios que pueden afectar a su disponibilidad.

Pruebas de resistencia operativa digital

DORA presenta pruebas operativas digitales que deben realizarse en sistemas y aplicaciones de TIC críticos de forma anual a trienal a través de pruebas de penetración dirigidas por amenazas (TLPT). Este nuevo enfoque de pruebas refuerza las capacidades de prueba de las entidades financieras, lo que fomenta la recuperación oportuna y la continuidad empresarial. Microsoft ya permite a los clientes hacerlo a través de nuestro programa de pruebas de penetración. Obtenga más información sobre las reglas de compromiso de pruebas de penetración en la nube de Microsoft y nuestros programas de recompensas por errores . Microsoft seguirá trabajando y admitirá los requisitos de pruebas para cumplir los requisitos de este régimen de pruebas, según sea necesario en DORA, coherentes con los principios de garantizar la seguridad, integridad, seguridad y resistencia operativa de Microsoft Cloud.

Cómo Microsoft ayuda con las pruebas de resistencia operativas

Microsoft realiza rutinariamente pruebas de penetración internas y de terceros para identificar posibles vulnerabilidades en los sistemas que proporcionan nuestro servicios en línea. Los informes de pruebas de penetración de terceros para los servicios en línea de Microsoft aplicables están disponibles para su descarga en el Portal de confianza de servicios.

Además de las pruebas de vulnerabilidades, Microsoft prueba la resistencia de sus Servicios en línea al menos una vez al año. Microsoft proporciona informes de validación de planes de continuidad empresarial y recuperación ante desastres en el Portal de confianza del servicio que describen la validación y el mantenimiento de los planes BCDR para los servicios en línea seleccionados.

Compromiso de Microsoft para habilitar el cumplimiento en DORA

Microsoft se prepara para cumplir los requisitos de DORA, según corresponda, y los servicios clave que proporciona a las entidades financieras que usan sus servicios en la nube para funciones críticas o importantes. Microsoft ha invertido durante más de una década significativamente en ayudar a las instituciones financieras a cumplir sus obligaciones normativas al usar los servicios en la nube de Microsoft: desde los contratos comerciales que ponemos a disposición de acuerdo con las directrices de las AES sobre subcontratación, hasta la transparencia y garantía de nuestros servicios en la nube a través del Portal de confianza de servicios y otros recursos, hasta la infinidad de características de seguridad integradas en nuestros servicios en la nube. Junto con la amplitud de funcionalidades que ofrecemos para ayudar a los clientes a administrar los riesgos y supervisar el uso de nuestros servicios en la nube de forma continua, los elementos de DORA son un paso adelante natural para mantener la resistencia operativa y usar los servicios en la nube de Microsoft con confianza. También estamos trabajando con otros reguladores en jurisdicciones como el Reino Unido que están implementando medidas similares como DORA y se están preparando para cumplir esos requisitos también.

El fortalecimiento de la resistencia operativa es un tema amplio que va más allá de simplemente garantizar el cumplimiento de DORA, o abordar los riesgos de proveedor y concentración, y requiere una estrategia y una visión que vincule la administración de riesgos con una visión sobre cómo implementar tecnología y optimizar los procesos teniendo en cuenta la resistencia. Creemos que la tecnología en la nube y las innovaciones como la inteligencia artificial tienen un papel importante que desempeñar en esto, ya que es clave para ayudar a fortalecer las protecciones contra interrupciones inesperadas, aumentar la confiabilidad general de los servicios y las operaciones y fortalecer la ciberseguridad. Como paso siguiente, considere la posibilidad de revisar el libro electrónico de la Ley de resistencia operativa digital (DORA) de Microsoft, que describe seis pasos que puede seguir para crear resistencia operativa.