Aspectos a tener en cuenta para las entidades financieras de la UE: las entidades financieras deben establecer un marco interno de control y gobernanza para la gestión de riesgos de las TIC, así como monitorizar de forma continua los riesgos de las TIC. Estos requisitos de gestión y control de riesgos de las TIC se aplican también al uso de servicios de TIC proporcionados por proveedores externos.

Aspectos a tener en cuenta para proveedores de TIC: los proveedores de TIC deben poder gestionar y supervisar los riesgos de las TIC de los clientes, incluso en los casos en los que el proveedor gestione los sistemas y procesos pertinentes. Además, en el caso de los proveedores de TIC más importantes, el nuevo supervisor de oportunidades de venta evaluará los procesos de gestión de riesgos del proveedor, incluidas las políticas de gestión de riesgos de las TIC, la política de continuidad de la actividad empresarial de las TIC y los planes de respuesta y recuperación de las TIC. 

Asistencia de Google Cloud: incluso antes de utilizar Google Cloud, puedes usar nuestra solución de evaluación de riesgos y descubrimiento de recursos críticos para evaluar el rendimiento de tu empresa los riesgos de TI actuales, identificar dónde se encuentran tus recursos esenciales y recibir recomendaciones para mejorar tu posición de seguridad y resiliencia. También hemos publicado directrices sobre cómo gestionar los riesgos con controles y gestionar tus recursos. 

Una vez que estés en Google Cloud, podrás utilizar varias herramientas para mapear y gestionar tus recursos en la nube de forma continua, como Google Cloud Operations, Resource Manager, Cloud Deployment Manager y Risk Manager. Puedes consultar información sobre el enfoque de Google en lo que respecta a la gestión de riesgos en las certificaciones e informes de auditoría de Google. 

Si necesitas más ayuda, Mandiant (ahora parte de Google Cloud) ofrece servicios de gestión de riesgos, como el servicio de operaciones de gestión de ciberriesgos, el servicio de seguridad de modelado de amenazas, el servicio de diligencia debida de ciberseguridad y una evaluación del programa de ciberseguridad.

Aspectos a tener en cuenta para las entidades financieras de la UE: DORA consolida los requisitos de notificación de incidentes del sector financiero en un único marco simplificado. Por lo tanto, las entidades financieras que operen en varios sectores o en Estados miembros de la UE ya no deberían tener que navegar por regímenes de notificación paralelos y solapados durante una situación en la que el tiempo apremia. 

El Reglamento DORA también pretende abordar regímenes paralelos de notificación de incidentes como NIS2. Juntos, estos cambios ayudan a los organismos reguladores a obtener la información que necesitan y permiten a las entidades financieras centrarse en otros aspectos clave de la respuesta a incidentes. Las entidades financieras deben informar de los incidentes según los umbrales definidos en plantillas y cronologías específicas (deben estar totalmente definidos) y deben implementar procedimientos para documentar las causas principales y las mejoras después de que se produzcan. 

Aspectos a tener en cuenta para los proveedores de TIC: los proveedores de TIC deben poder atender los requisitos de notificación de incidentes de los clientes. Además, en el caso de los proveedores de TIC más importantes, el nuevo supervisor de oportunidades de venta evaluará directamente los procesos del proveedor para identificar, monitorizar y notificar rápidamente incidentes relacionados con las TIC a las entidades financieras. 

Asistencia de Google Cloud: a partir del 2025, Google proporcionará a los clientes los términos actualizados del contrato de DORA para incidentes relacionados con las TIC que afecten al uso que hagan de Google Cloud. Enviaremos estas notificaciones sin coste adicional a través de nuestros canales de notificaciones (como el correo electrónico, el panel de control de Service Health y Google Cloud Support Center). 

Aunque estos requisitos siguen evolucionando, nos comprometemos a notificarlo dentro de los plazos y con la información que las entidades financieras necesitan para facilitar su propia evaluación y elaboración de informes en función de los requisitos finales.

Aspectos a tener en cuenta para las entidades financieras de la UE:  DORA utiliza iniciativas de la UE como TIBER‐EU para establecer un nuevo enfoque a nivel de la UE para probar la resiliencia operativa digital. En el caso de determinadas entidades financieras, se incluyen las pruebas de penetración de amenazas avanzadas (TLPT) cada tres años. Al aclarar la metodología de las pruebas e incluir un reconocimiento mutuo de los resultados de las pruebas, DORA ayudará a las entidades financieras a seguir desarrollando y ampliando sus capacidades de prueba de forma que se puedan aplicar en toda la UE.  

Aspectos a tener en cuenta para proveedores de TIC: DORA aborda directamente el papel del proveedor de TIC en las TLPT realizadas por entidades financieras. En concreto, DORA permite hacer pruebas combinadas para gestionar el impacto de las pruebas en servicios con varios clientes, como las nubes públicas. Además, en el caso de los proveedores de TIC más importantes, el nuevo supervisor de oportunidades de venta evaluará directamente las pruebas propias del proveedor de los sistemas, la infraestructura y los controles de las TIC. 

Asistencia de Google Cloud: a partir del 2025, Google participará en TLPT facilitando pruebas combinadas por parte de un tester externo, tal como se describe en el artículo 26(4) de DORA. Confiamos en que las pruebas combinadas son la mejor manera de probar de manera eficaz la resiliencia operativa digital de Google Cloud, a la vez que gestionan los riesgos inherentes a otros clientes de las pruebas en entornos multicliente.

Aspectos a tener en cuenta para las entidades financieras de la UE: DORA se basa en las sólidas bases de las directrices de externalización de las autoridades de control europeas mediante una mayor coordinación de los requisitos de gestión de riesgos de terceros de TIC en todos los sectores, incluidos los requisitos para implementar un marco de gestión de riesgos de terceros de TIC y para los contratos con proveedores de TIC. Al ayudar a garantizar que los riesgos similares se aborden de forma coherente en todos los sectores y estados miembros de la UE, DORA permitirá que las entidades financieras consoliden y mejoren sus programas de gestión de riesgos de terceros de TIC.

Aspectos a tener en cuenta para los proveedores de TIC: los proveedores de TIC deben poder atender los requisitos de gestión de riesgos de terceros de los clientes. Además, DORA permitirá que el nuevo supervisor de oportunidades de venta supervise directamente a los proveedores de TIC más importantes. Este mecanismo creará un canal de comunicación directa entre los organismos reguladores y los proveedores de TIC designados mediante interacciones anuales, que incluyen planes de supervisión, inspecciones y recomendaciones. 

Asistencia de Google Cloud: a partir de febrero del 2024, Google ofrecerá a las entidades financieras los términos del contrato actualizados de Google Cloud y Google Workspace para abordar las disposiciones contractuales clave del artículo 30. Si necesitas los términos del contrato de DORA, ponte en contacto con tu representante de Google Cloud para obtener más información. También nos hemos aproximado al Artículo 30 tanto de Google Cloud como de Google Workspace para que entiendas cómo nuestro contratos, controles y procesos pueden ayudarte a cumplir los requisitos de DORA.

Aspectos a tener en cuenta para las entidades financieras de la UE: DORA expone las consideraciones que deben tener en cuenta las entidades financieras para compartir información y datos sobre las ciberamenazas con otras entidades financieras y organismos reguladores. 

Aspectos a tener en cuenta para proveedores de TIC: DORA contempla la posibilidad de que las TIC participen en acuerdos para compartir información que protejan la información potencialmente sensible. No obstante, los acuerdos aún no se han definido.  

Asistencia de Google Cloud: Google Cloud ofrece productos y servicios para ayudar a los clientes a protegerse proactivamente frente a las ciberamenazas, de acuerdo con los requisitos de DORA. Publicamos un informe de Threat Horizons trimestralmente para proporcionar información estratégica sobre las amenazas a nuestros clientes. Los clientes también pueden aprovechar las funciones de respuesta a incidentes, los servicios de gestión de riesgos informáticos y los servicios de garantía técnica de Mandiant para protegerse y prepararse frente a incidentes cibernéticos.

DORA es un nuevo reglamento de la UE. Se aplicará en el sector de los servicios financieros de todos los Estados miembros de la UE. DORA actualiza las normativas actuales y establece un conjunto mejorado de requisitos comunes para mitigar los riesgos de las TIC y mejorar la resiliencia digital en el sistema financiero europeo. Cabe destacar que DORA también presenta un nuevo marco para la supervisión directa de los principales proveedores de TIC por parte de los organismos reguladores financieros de la UE.

DORA establece un conjunto mejorado de requisitos comunes para que las entidades financieras de la UE mitiguen los riesgos de las TIC y mejoren la resiliencia digital en el sistema financiero europeo. En particular:

1. DORA incluye requisitos detallados para las entidades financieras sobre la gestión de riesgos de las TIC.

2. DORA unifica los requisitos de notificación de incidentes del sector financiero en un único marco optimizado.

3. Basándose en iniciativas de la UE, como TIBER-EU, DORA establece un nuevo enfoque para toda la UE con el que se comprueba la resiliencia operativa digital, como las pruebas de penetración impulsadas por las amenazas.

4. DORA se basa en los sólidos cimientos establecidos por las correspondientes directrices de subcontratación de las autoridades de control europeas coordinando en detalle los requisitos de gestión de riesgos de terceros de TIC en todos los sectores, incluidos los requisitos para los contratos con proveedores TIC.

DORA también permitirá a los organismos reguladores financieros supervisar directamente a los proveedores de TIC esenciales. Este mecanismo creará un canal de comunicación directa entre los organismos reguladores y los proveedores de TIC designados mediante interacciones anuales, que incluyen planes de supervisión, inspecciones y recomendaciones.

La ley DORA se aplica principalmente a entidades financieras de la UE. Sin embargo, parte de DORA se aplica directamente a los proveedores de TIC (incluidos los proveedores de servicios en la nube) que los organismos reguladores financieros de la UE consideran "esenciales" tras un proceso oficial. La designación se basará en diversos factores, como el impacto sistémico de un fallo en los servicios del proveedor de TIC y la importancia sistémica de las entidades financieras que dependen de esos servicios.

DORA entrará en vigor el 17 de enero del 2025 (2 años y 20 días después de su publicación en el Diario Oficial de la UE). 

DORA solo se aplica directamente a los proveedores de TIC esenciales si los organismos reguladores financieros los han designado como "esenciales". Por lo tanto, la fecha límite para cumplir los requisitos de los proveedores de TIC esenciales depende del momento de la designación. Aunque DORA no se aplicará directamente a Google Cloud hasta que no se designe de manera oficial, ya nos estamos preparando para abordar posibles requisitos directos.

Llevamos interactuando con los legisladores con respecto a la propuesta de DORA desde que se presentó en septiembre del 2020. Al mismo tiempo, configuramos un programa de preparación para analizar las expectativas de los clientes potenciales y nuestras propias responsabilidades a medida que DORA evolucionaba durante el proceso legislativo. 

Ahora que el texto de DORA está finalizado, es un equipo multifuncional de Google Cloud (que incluye a los expertos en cuestión de Riesgos y Cumplimiento, Seguridad, Legal, Relaciones Gubernamentales y Productos) está revisando los detalles y preparando e implementando planes de cumplimiento según las necesidades. Estos planes se basan en nuestra sólida base en ámbitos como la seguridad, la resiliencia y la gestión de riesgos de terceros, que ya permiten a nuestros clientes cumplir las rigurosas expectativas que exigen las Directrices de la EBA sobre externalización, las Directrices sobre la externalización de servicios en la nube de la AESPJ las Directrices sobre la externalización de servicios en la nube de la AEVM.

Queremos aprovechar el periodo de implementación para mejorar aún más nuestras capacidades en cada una de las áreas de interés de DORA. Nuestro objetivo es que Google Cloud sea el mejor servicio posible para la transformación digital y sostenible de las empresas europeas, según sus requisitos.

Aunque el texto de DORA se ha finalizado, hay algunos requisitos importantes que se deben seguir definiendo en la legislación secundaria conocida como los reglamentos de nivel 2 de DORA. Entre ellos se incluyen los estándares técnicos normativos o "RTS" en ámbitos clave como la notificación de incidentes, las pruebas de penetración orientadas a las amenazas y la subcontratación. 

Sabemos que se tendrán que abordar los reglamentos definitivos de nivel 2 cuando corresponda. Sin embargo, como los borradores de nivel 2 están sujetos a cambios, no es posible anticiparse. 

Para respaldar a los legisladores y a nuestros clientes, Google Cloud participa activamente en el debate sobre las políticas de la UE sobre los reglamentos DORA de nivel 2. Seguiremos participando en el diálogo sobre DORA de forma transparente y constructiva. En concreto, defendemos lo siguiente:

Coherencia entre cada uno de los reglamentosde Nivel 2 y con lo establecido en DORA.

Armonización con el enfoque meditado en el sector financiero mundial y otros regímenes paralelos de la UE (por ejemplo, en la notificación de incidentes).

Proporcionalidad, sobre todo si los enfoques normativos que pueden ser apropiados para algunos servicios de TIC pueden tener un impacto no deseado y negativo en la resiliencia del sector financiero si se aplica a los servicios de la nube pública.

El marco de supervisión para los proveedores de TIC esenciales en virtud de DORA crea una oportunidad genuina para mejorar la comprensión, la transparencia y la confianza entre los proveedores de TIC, las entidades financieras y los organismos reguladores financieros. Además, en última instancia, estimula la innovación en el sector financiero de Europa. DORA creará un canal de comunicación directa entre los organismos reguladores y los proveedores de TIC designados a través de compromisos anuales, que incluirán planes de supervisión, inspecciones y recomendaciones. Confiamos en que este diálogo estructurado nos ayudará a mejorar la gestión de riesgos y la resiliencia en todo el sector.

En Google Cloud nos comprometemos a permitir que los organismos reguladores supervisen de forma eficaz el uso que hacen de nuestros servicios las entidades financieras. Otorgamos derechos de información, de auditoría y de acceso a entidades financieras, a sus organismos reguladores y a las personas designadas, y respaldamos a nuestros clientes cuando ellos o sus organismos reguladores deciden ejercer esos derechos. Nos centraríamos en una relación con un supervisor de oportunidades de venta con el mismo compromiso de transparencia, colaboración y garantía continuas. 

Estamos trabajando para que nuestra función de supervisión directa respalde de forma eficaz la comunicación con los organismos reguladores, la eficiencia de las auditorías y el compromiso de solucionar los problemas en los plazos establecidos. Aunque nuestra prioridad es organizarnos para los requisitos directos, el funcionamiento de la supervisión reglamentaria en la práctica aún debe definirse en los estándares técnicos de supervisión reglamentaria.

A partir de febrero del 2024, pondremos a disposición de las entidades financieras los términos del contrato actualizados de Google Cloud y Google Workspace para que apliquen las disposiciones contractuales clave del artículo 30. Si necesitas los términos del contrato de DORA, ponte en contacto con tu representante de Google Cloud para obtener más información. 

También nos hemos aproximado al Artículo 30 tanto de Google Cloud como de Google Workspace para que entiendas cómo nuestro contratos, controles y procesos pueden ayudarte a cumplir los requisitos de DORA.

Desarrollamos políticas del sector de servicios financieros que afectan significativamente a Google Cloud y al uso que hacen nuestros clientes de nuestros servicios en todo el mundo. 

Cuando los legisladores se plantean adoptar un enfoque similar al de DORA, a menudo se fijan en cómo encaja este enfoque en el marco normativo local, incluidas las áreas de mejora que se perciben. La Comisión Europea consultó sobre este tema en el 2020 antes de proponer el borrador inicial de DORA. 

En los casos en que los legisladores han confirmado la necesidad de un enfoque normativo distinto (y potencialmente directo), nos comprometemos a compartir nuestra experiencia tecnológica en relación con los servicios en la nube y a promover con coherencia lo siguiente:

armonización y anulación de duplicados de requisitos (tanto dentro de un país como entre países)

requisitos que sean proporcionales y adecuados para su propósito

un enfoque neutral en cuanto a la tecnología que fomente la innovación

- un enfoque que respeta la seguridad y la integridad de nuestros servicios para todos nuestros clientes

El Reino Unido es un ejemplo de otro país que está considerando la posibilidad de establecer un marco normativo directo para los proveedores externos esenciales del sector financiero. Estamos trabajando en el documento de asesoramiento de acuerdo con los principios anteriores. 

Es importante tener en cuenta que DORA no es el único reglamento que se aplicaría a los proveedores de servicios en la nube en Europa. La Directiva NISD2 también introducirá una supervisión independiente del sector para terceros esenciales, así como numerosos requisitos nacionales que se aplican a los servicios en la nube de los sectores regulados. 

La adopción de la nube en los servicios financieros todavía es novedosa y las próximas normativas deben estimular este tipo de innovación. Cada país adoptará un enfoque diferente para garantizar la seguridad y la resiliencia operativa del ecosistema de servicios financieros, y las normativas o la supervisión directas no son la única solución adecuada para cada mercado. Sabemos que los organismos reguladores de otras jurisdicciones se centran en estándares, reglas horizontales y prácticas autorreguladas. Sea cual sea el enfoque que adopten los legisladores, es importante asegurar la coherencia normativa y la armonización de los principios aplicados a nivel global, ya que influyen en los actores de tecnología internacionales y en el ecosistema financiero digital transfronterizo.