Consideraciones para las entidades financieras de la UE: Las entidades financieras deben establecer un marco de trabajo interno de administración y control para la administración de riesgos de la TIC, y participar en la supervisión continua de los riesgos de la TIC. Estos requisitos de administración y supervisión de riesgos de la TIC se extienden al uso de los servicios de la TIC que ofrecen los proveedores externos.

Consideraciones para proveedores de la TIC: Los proveedores de la TIC deben admitir la administración y la supervisión de riesgos de la TIC de los clientes, incluido el lugar en el que los sistemas y procesos relevantes son administrados por el proveedor. Además, en el caso de los proveedores de la TIC esenciales, el nuevo supervisor de clientes potenciales evaluará los propios procesos de administración de riesgos del proveedor, incluidas las políticas administrativas de riesgos de la TIC, la política de continuidad del negocio de la TIC, la respuesta de la TIC y los planes de recuperación y respuesta. 

Asistencia de Google Cloud: Incluso antes de comenzar a usar Google Cloud, puedes usar nuestra solución de evaluación de riesgos y descubrimiento de recursos esenciales para evaluar el riesgo actual de TI de tu organización, identificar dónde residen tus recursos esenciales y recibir recomendaciones para mejorar tu postura de seguridad y resiliencia. También publicamos orientación sobre la administración del riesgo con controles y la administración de tus recursos. 

Una vez que estés en Google Cloud, puedes aprovechar varias herramientas para asignar y administrar tus recursos en la nube de forma continua, como Google Cloud Operations, Resource Manager, Cloud Deployment Manager y el Administrador de riesgos. La información sobre el enfoque de Google en la administración de riesgos está disponible en los informes de auditoría y las certificaciones de Google. 

Si deseas obtener asistencia adicional, Mandiant (ahora parte de Google Cloud) ofrece servicios de administración de riesgos, incluidos el servicio de operaciones de administración de riesgos cibernéticos, el Servicio de seguridad de modelado de amenazas, el Servicio de diligencia debida de seguridad cibernética y la evaluación del programa de seguridad cibernética. Consulta también nuestra Guía para clientes sobre la administración de riesgos de la TCI para obtener orientación adicional.

Consideraciones para entidades financieras de la UE: La DORA consolida los requisitos de informes de incidentes del sector financiero en un marco de trabajo simple. Esto significa que las entidades financieras que operan en varios sectores o Estados miembros de la UE ya no deberían tener que superar los regímenes de informes superpuestos durante una situación urgente. 

La DORA también tiene como objetivo abordar los regímenes de informes de incidentes paralelos como NIS2. En conjunto, estos cambios ayudan a que los organismos reguladores obtengan la información necesaria y, al mismo tiempo, permiten que las entidades financieras se centren en otros aspectos fundamentales de la respuesta ante incidentes. Las entidades financieras deben informar los incidentes de acuerdo con umbrales definidos en plantillas y cronogramas específicos. Estos se deben definir por completo, así como implementar procedimientos para documentar las causas raíz y las mejoras después de los incidentes. 

Consideraciones para proveedores de la TIC: Los proveedores de la TIC deben ser capaces de cumplir con los requisitos de los informes de incidentes de los clientes Además, en el caso de los proveedores fundamentales de la TIC, el nuevo supervisor de clientes potenciales evaluará directamente los procesos del proveedor para la identificación, supervisión y generación de informes de los incidentes relacionados con la TIC ante entidades financieras. 

Asistencia de Google Cloud: A partir del 2025, Google notificará a los clientes con las condiciones actualizadas del contrato de la DORA sobre los incidentes relacionados con la TIC que afectan su uso de Google Cloud. Proporcionaremos estas notificaciones sin costo adicional a través de nuestros canales de notificaciones existentes (incluido el correo electrónico, el Personalized Service Health (PSH), el Panel de Service Health y Google Cloud Support Center). 

Si bien estos requisitos aún están en evolución, nos comprometemos a notificar dentro de los plazos y con la información que las entidades financieras necesitan para facilitar su propia evaluación y generación de informes en función de los requisitos finales.

Consideraciones para entidades financieras de la UE:  A partir de las iniciativas existentes de la UE, como TIBER-EU, la DORA establece un nuevo enfoque para probar la resiliencia operativa digital en toda la UE. Para ciertas entidades financieras, esto incluye pruebas avanzadas de penetración basadas en amenazas (TLPT) cada tres años. Con la aclaración de la metodología de pruebas y la presentación del reconocimiento mutuo de resultados de las pruebas, la DORA ayudará a las entidades financieras a seguir desarrollando y escalando sus capacidades de prueba de una manera que funcione en toda la UE.  

Consideraciones para proveedores de la TIC: La DORA aborda directamente el rol del proveedor de la TIC en las TLPT que realizan las entidades financieras. En particular, la DORA permite realizar pruebas agrupadas para administrar el impacto de las pruebas en los servicios multiusuario, como las nubes públicas. Además, en el caso de los proveedores fundamentales de las TIC, el nuevo supervisor de clientes potenciales evaluará directamente las propias pruebas de los sistemas, la infraestructura y los controles de la TIC. 

Asistencia de Google Cloud: A partir del 2025, Google participará en la TLPT facilitando pruebas agrupadas por parte de un verificador externo, como se describe en el Artículo 26(4) de la DORA. Estamos seguros de que las pruebas agrupadas son la mejor manera de probar de manera eficaz la resiliencia operativa digital de Google Cloud y, al mismo tiempo, administrar los riesgos inherentes a las pruebas de otros clientes en un entorno multiusuario.

Consideraciones para entidades financieras de la UE: La DORA se fundamenta en la sólida base establecida por los respectivos lineamientos de tercerización de las autoridades supervisoras europeas a través de una mayor coordinación de la administración de riesgos de terceros de la TIC en todos los sectores, incluidos los requisitos para implementar un marco de trabajo de administración de riesgos de terceros y en contratos con proveedores de la TIC. Para garantizar que se aborden de manera similar los riesgos similares en todos los sectores y Estados miembros de la UE, la DORA permitirá que las entidades financieras consoliden y mejoren sus programas de administración de riesgos de TIC de terceros.

Consideraciones para proveedores de la TIC: Los proveedores de la TIC deben poder cumplir con los requisitos de administración de riesgos de terceros de los clientes. Además, la DORA permitirá que el nuevo supervisor de clientes potenciales supervise directamente a los proveedores fundamentales de la TIC. Este mecanismo creará un canal de comunicación directo entre los reguladores y los proveedores de la TIC designados a través de compromisos anuales, incluidos los planes de supervisión, las inspecciones y las recomendaciones. 

Asistencia de Google Cloud: Google ofrece a las entidades financieras condiciones contractuales actualizadas para Google Cloud y Google Workspace para abordar las disposiciones contractuales clave del Artículo 30. Si necesitas las condiciones contractuales de la DORA, comunícate con tu representante de Google Cloud para obtener más detalles. También creamos asignaciones del Artículo 30 para Google Cloud y Google Workspace para ayudarte a comprender el modo en que nuestros contratos, controles y procesos pueden ayudarte a cumplir con los requisitos de la DORA.

Consideraciones para las entidades financieras de la UE: La DORA describe las consideraciones que deben tener las entidades financieras para compartir de forma voluntaria la información y la inteligencia cibernéticas con otras entidades financieras y organismos reguladores. 

Consideraciones para proveedores de TIC: La DORA contempla la participación de la TIC en acuerdos de uso compartido de información que protejan información potencialmente sensible. Sin embargo, estos arreglos todavía no se definieron.  

Asistencia de Google Cloud: Google Cloud ofrece productos y servicios para ayudar a los clientes a protegerse de forma proactiva contra las amenazas cibernéticas según los requisitos de la DORA. Publicamos un informe trimestral de Threat Horizons para proporcionar información estratégica sobre las amenazas a nuestros clientes. Los clientes también pueden aprovechar la respuesta ante incidentes, los servicios de administración de riesgos cibernéticos y los servicios de garantía técnica de Mandiant para protegerse y prepararse para los incidentes cibernéticos.

La DORA es una nueva reglamentación de la UE. Se aplicará a todo el sector de servicios financieros en todos los Estados miembros de la UE. La DORA actualiza las reglas existentes y establece un conjunto mejorado de requisitos comunes para mitigar los riesgos de TIC y aumentar la resiliencia digital en el sistema financiero europeo. Es importante destacar que la DORA también presenta un nuevo marco de trabajo para la supervisión directa de los proveedores fundamentales de TIC por parte de los reguladores financieros de la UE.

La DORA establece un conjunto mejorado de requisitos comunes para las entidades financieras de la UE para mitigar los riesgos de TIC y aumentar la resiliencia digital en el sistema financiero europeo. En particular:

1. La DORA contiene los requisitos detallados para las entidades financieras sobre la administración de riesgos de TIC.

2. La DORA consolida los requisitos de los informes de incidentes del sector financiero en un único marco de trabajo optimizado.

3. La DORA, que se basa en iniciativas existentes de la UE, como TIBER-EU, establece un nuevo enfoque en toda la UE para probar la resiliencia operativa digital, incluidas las pruebas de penetración basadas en amenazas.

4. La DORA se basa en la sólida base establecida por los lineamientos respectivos de subcontratación de las autoridades supervisoras europeas a través de la coordinación adicional de los requisitos de administración de riesgos de terceros de TIC en todos los sectores, incluidos los requisitos para contratos con proveedores de TIC.

La DORA también permitirá que los reguladores financieros supervisen directamente a los proveedores fundamentales de TIC. Este mecanismo creará un canal de comunicación directo entre los reguladores y los proveedores de la TIC designados a través de compromisos anuales, incluidos los planes de supervisión, las inspecciones y las recomendaciones.

La DORA se aplica principalmente a las entidades financieras de la UE. Sin embargo, parte de la DORA se aplica directamente a los proveedores de TIC (incluidos los proveedores de servicios en la nube) que los reguladores financieros de la UE designan como “fundamentales” después de un proceso oficial. La designación se basará en una serie de factores, como el impacto sistémico de la falla de los servicios del proveedor de TIC y la importancia sistémica de las entidades financieras que dependen de esos servicios.

La DORA entrará en vigencia el 17 de enero de 2025 (2 años y 20 días después de su publicación en el Diario Oficial de la UE). 

La DORA solo aplica directamente a los proveedores de ICT fundamentales después de que los reguladores financieros de la UE los designan como “fundamentales”. Por lo tanto, el plazo para el cumplimiento de los proveedores esenciales de ICT depende del plazo de la designación. Aunque la DORA no se aplicará directamente a Google Cloud hasta que se obtenga una designación oficial, ya nos estamos preparando para abordar los posibles requisitos directos.

Estuvimos interactuando con los legisladores en la propuesta de la DORA desde que se presentó en septiembre de 2020. Al mismo tiempo, configuramos un programa de preparación para analizar las expectativas de los clientes potenciales y nuestras propias responsabilidades a medida que la DORA evolucionaba durante el proceso legislativo. 

Ahora que se finalizó el texto de la DORA, un equipo multidisciplinario de Google Cloud (que incluye expertos en la materia de riesgos y cumplimiento, seguridad, asuntos legales, asuntos gubernamentales y productos) revisa los detalles, y prepara e implementa planes de cumplimiento según sea necesario. Estos planes se basan en nuestras sólidas bases en áreas como la seguridad, la resiliencia y la administración de riesgos de terceros, que ya les permiten a nuestros clientes cumplir con las rigurosas expectativas de los Lineamientos sobre subcontratación de la ABE, lasDirectrices sobre la externalización a proveedores de servicios en la nube de la AESPJ y los Lineamientos de subcontratación de proveedores de servicios en la nube de la ESMA.

Tenemos la intención de usar el período de implementación para mejorar aún más nuestras capacidades en cada una de las áreas de enfoque de la DORA. Nuestro objetivo es hacer de Google Cloud el mejor servicio posible para lograr una transformación digital sustentable para las organizaciones europeas, según sus condiciones.

El marco de supervisión para proveedores fundamentales de ICT de la DORA crea una oportunidad genuina para mejorar la comprensión, la transparencia y la confianza entre los proveedores de ICT, las entidades financieras y los reguladores financieros, y, en última instancia, estimular la innovación en el financiero en Europa. La DORA creará un canal de comunicación directo entre los reguladores y los proveedores de ICT designados a través de compromisos anuales, incluidos planes de supervisión, inspecciones y recomendaciones. Estamos seguros de que este diálogo estructurado ayudará a mejorar la administración de riesgos y la resiliencia en todo el sector.

Google Cloud se compromete a permitir que los reguladores supervisen de manera eficaz el uso de nuestros servicios por parte de las entidades financieras. Otorgamos derechos de acceso, auditoría e información a entidades financieras, así como a sus reguladores y personas designadas, y brindamos asistencia a nuestros clientes cuando ellos o sus reguladores deciden ejercerlos. Abordaremos una relación con un supervisor principal o con el mismo compromiso con la transparencia, la colaboración y la garantía permanentes. 

Estamos muy enfocados en planificar los requisitos de supervisión directa y nos comprometemos a garantizar que nuestra función de supervisión directa apoye de manera eficaz la comunicación con el regulador, las auditorías eficientes y los planes de corrección dentro de los plazos.

Ofrecemos a las entidades financieras las condiciones del contrato actualizadas de Google Cloud y Google Workspace para abordar las disposiciones contractuales clave del Artículo 30. Si necesitas las condiciones contractuales de la DORA, comunícate con tu representante de Google Cloud para obtener más detalles. 

También creamos asignaciones del Artículo 30 para Google Cloud y Google Workspace para ayudarte a comprender el modo en que nuestros contratos, controles y procesos pueden ayudarte a cumplir con los requisitos de la DORA.

Sabemos que el borrador de la RTS sobre la subcontratación contiene requisitos contractuales adicionales. Google Cloud supervisa el progreso de la RTS y ofrecerá condiciones contractuales actualizadas para abordarla según sea necesario después de que la Comisión Europea adopte la versión final. Puedes encontrar una lista de leyes delegadas y de implementación de DORA que adoptó la Comisión Europea aquí.

Cuando usas Google Cloud para proporcionar tus propios servicios de TCI a entidades financieras de la UE, reconocemos que necesitas las condiciones contractuales adecuadas con Google. Para ayudar, en esta situación, ofrecemos a los clientes y socios condiciones contractuales equivalentes para abordar las disposiciones contractuales clave del Artículo 30. Si necesitas las condiciones contractuales de la DORA, comunícate con tu representante de Google Cloud para obtener más detalles. 

También comparamos el Artículo 30 con respecto a lo que ofrece Google Cloud para ayudarte a comprender el modo en que nuestros contratos, controles y procesos pueden ayudarte a cumplir con los requisitos de la DORA.

Colaboramos en el desarrollo de políticas del sector de servicios financieros que tienen un impacto significativo en Google Cloud y el uso que hacen nuestros clientes de nuestros servicios a nivel mundial. 

Cuando los legisladores consideran un enfoque similar a la DORA, a menudo primero consideran cómo se adapta ese enfoque al marco regulatorio local existente, incluidas las áreas de mejora que se perciben. La Comisión Europea consultó este problema en 2020 antes de proponer el borrador inicial de la DORA. 

Cuando los legisladores confirmaron la necesidad de un enfoque regulatorio diferente (y potencialmente directo), nos involucramos para compartir nuestra experiencia tecnológica frente a los servicios en la nube y defender sistemáticamente lo siguiente:

unificación y anulación de duplicación de requisitos (tanto dentro como entre países)

requisitos que son proporcionados y personalizados para cada propósito

un enfoque neutro de la tecnología que fomenta la innovación

- un enfoque que respete la seguridad y la integridad de nuestros servicios para todos los clientes

El Reino Unido es un ejemplo de otro país que actualmente considera implementar un marco regulatorio directo para proveedores externos fundamentales en el sector financiero. Utilizamos el informe de asesoramiento según los principios mencionados anteriormente. 

Es importante tener en cuenta que la DORA no es la única reglamentación que se aplicaría a los proveedores de servicios en la nube de Europa. La Directiva NISD2 también introducirá la supervisión independiente del sector para terceros fundamentales. Además, existen muchos requisitos nacionales que se aplican a los servicios en la nube en sectores regulados. 

La adopción de la nube en los servicios financieros sigue siendo una novedad, y la próxima reglamentación deben estimular este tipo de innovación. Los diferentes países adoptarán enfoques distintos para garantizar la seguridad y la resiliencia operativa del ecosistema de servicios financieros, y la reglamentación o supervisión directas no es la única solución que se adapta a diferentes mercados. Entendemos que los reguladores de otras jurisdicciones se enfocan por igual en los estándares, las reglas horizontales y las prácticas autorregulatorias. Sin importar el enfoque que adopten los legisladores, es importante garantizar la coherencia reglamentaria y la unificación de los principios aplicados a nivel general, ya que afectan a los actores de tecnología globales y al ecosistema de finanzas digitales transfronterizo.