Ley de Resiliencia Operativa Digital (DORA): Medidas vinculantes para enero de 2025.
Es bien sabido que el sector financiero es el que más apetece a la ciberdelincuencia y es especialmente vulnerable a los ataques.
Un riesgo que ha crecido exponencialmente como consecuencia de los cambios en el sector bancario, las nuevas iniciativas digitales y las monedas digitales que ahora se compensan en muchas transacciones.
Por ello, las propias instituciones consideraron necesario regular con medidas adecuadas un tema cada vez más complejo y arriesgado.
A la vanguardia en este frente se encuentra, una vez más, el Unión Europea que emitió el DORA (Ley de resiliencia operativa digital), con el objetivo de abordar plenamente Gestión de riesgos de las TIC en el sector de los servicios financieros y armonizar la normativa existente sobre gestión de riesgos de las TIC en los distintos Estados miembros de la UE.
Con el reglamento DORA, la UE pretende establecer un marco universal para la gestión y mitigación de los riesgos de las TIC en el sector financiero.
El objetivo es eliminar las lagunas, solapamientos y conflictos que puedan surgir entre las diferentes normativas de los distintos países de la UE, armonizando las normas de gestión de riesgos en toda Europa.
De hecho, un conjunto compartido de normas puede facilitar el cumplimiento de las entidades financieras y, al mismo tiempo, mejorar la resistencia de todo el sistema financiero europeo al garantizar que todos los agentes se adhieren a las mismas normas.
Una medida propuesta por primera vez en septiembre de 2020 por la Comisión Europea, y que forma parte de un paquete más amplio sobre financiación digital que también incluye iniciativas para regular las criptomonedas y mejorar la estrategia general de financiación digital de la UE.
El Consejo de la Unión Europea y el Parlamento Europeo adoptaron formalmente el DORA en noviembre de 2022, el 27 de diciembre de 2022 se publicó en el Diario Oficial y el 16 de enero de 2023 entró en vigor.
Las entidades financieras y los terceros proveedores de servicios TIC tienen de plazo hasta el 17 de enero de 2025 para cumplir los requisitos, fecha en la que el reglamento será vinculante.
El reglamento DORA se aplica a todas las instituciones financieras de la UE, incluidas las entidades financieras tradicionales, como bancos, empresas de inversión, entidades de crédito, así como entidades no tradicionales, como proveedores de servicios de criptomoneda y plataformas de crowdfunding, proveedores de servicios en la nube y centros de datos.
Las empresas que prestan servicios críticos de información a terceros, como servicios de calificación y análisis de datos, también se ven afectadas por el Reglamento.
Después de la fecha límite de enero de 2025, serán las autoridades reguladoras designadas en cada Estado miembro las que gestionen su aplicación. Estas autoridades competentes pueden exigir a las entidades financieras que adopten medidas de seguridad específicas y que corrijan cualquier vulnerabilidad. También pueden imponer sanciones administrativas y, en algunos casos, penales a las entidades incumplidoras. Las sanciones serán decididas por cada Estado miembro y podrán ascender al 1% del volumen de negocios mundial medio diario registrado el año anterior por la parte sancionada.
Pueden imponerse multas diarias durante un máximo de seis meses hasta que el proveedor logre el pleno cumplimiento.
Los 6 pilares del Reglamento
Las medidas del DORA se dividen en 6 áreas principales que deben ser puntos indispensables para que las empresas y organizaciones mejoren o apliquen:
- Gobernanza de las TIC.
El objetivo es fomentar una mejor alineación de las estrategias de gestión del riesgo de las TIC por parte de las entidades financieras. El Órgano de Gestión desempeñará un papel clave a la hora de asignar responsabilidades y papeles para todas las funciones de las TIC, controlar y supervisar la gestión de riesgos de las TIC y, por último, asignar adecuadamente las inversiones y la formación en TIC; - Gestión de riesgos de las TIC.
En este contexto, el objetivo es mejorar y armonizar las normas de gestión del riesgo de las TIC. Las entidades financieras tendrán que establecer y mantener herramientas y sistemas TIC resistentes mediante la identificación de los riesgos de las TIC, la adopción de medidas de protección y prevención, la detección de amenazas, la gestión de incidentes y la aplicación de estrategias de continuidad de la actividad y planes de recuperación en caso de catástrofe; - Gestión de incidentes.
Establece obligaciones específicas de gestión de incidentes de TIC. Las organizaciones del sector tendrán que implantar un sistema de mapeo, en el que se clasifiquen los distintos incidentes en función de los criterios descritos en el Reglamento y definidos además por las AES (Autoridades Europeas de Supervisión) para especificar los umbrales de materialidad; - Prueba de resiliencia.
Esta es la mayor novedad, porque se especifica que las entidades financieras tendrán que someterse a pruebas periódicas para conocer su grado de madurez, identificar debilidades y definir posibles medidas correctoras. Una medida que subraya el objetivo del regulador de adoptar un enfoque proactivo que no se limite a medidas correctoras de «reacción». En esta fase, las Pruebas de Penetración y, más en general, las actividadesde Red-Teaming sólo deben ser realizadas por partes autorizadas y debidamente certificadas. A este respecto, el Marco proporcionado por la Comunidad Europea, es decir, el TIBER UE, transpuesto en Italia como TIBER IT, también adoptado por el Banco de Italia, el Consob y el IVASS, puede utilizarse para realizar estas Pruebas. - Riesgos de terceros.
En este ámbito, el regulador especifica que las distintas entidades deberán garantizar el cumplimiento de las normas aplicables al control de los riesgos TIC derivados de terceros y armonizar los elementos esenciales del servicio en todas las fases del contrato: celebración, ejecución, resolución y fase postcontractual; - Compartir información.
Aquí se trata de compensar la falta de comunicación entre las distintas entidades de la Comunidad Europea. De hecho, se permite a las organizaciones financieras celebrar acuerdos para intercambiar información y datos sobre ciberamenazas con el fin de reforzar la cooperación entre los Estados miembros.
Por tanto, después de la fecha del 17 de enero de 2025, todas las partes interesadas tendrán que adoptar determinadas medidas técnicas y organizativas.
En concreto, se pide a las entidades financieras implicadas que adopten, en primer lugar, un proceso de gestión de riesgos de las TIC, con el objetivo de identificar los ciberriesgos de forma preventiva y minimizar el impacto de los ciberincidentes.
Esta carga recae sobre el órgano de dirección de la empresa, al que se pide que asuma «la responsabilidad plena y última» de:
- Gestión de riesgos de las TIC;
- la definición y aprobación de la estrategia de resiliencia operativa digital;
- la revisión y aprobación de la política de la empresa sobre la contratación de terceros proveedores de servicios TIC.
Por tanto, todos los agentes cubiertos por el Reglamento DORA deben prepararse para aplicarlo antes de enero de 2025, desarrollando o actualizando sus procedimientos de notificación de incidentes de acuerdo con las nuevas medidas. Se trata de una serie de tareas que las entidades financieras están obligadas a realizar para garantizar un alto nivel de resistencia operativa digital y representan un campo adicional de conocimientos que deben adquirirse y gestionarse.
Entre ellas, se da gran importancia a la formación y sensibilización que las distintas entidades financieras deberán poner en marcha de forma sistémica.
Según el punto 6 del artículo 13 fundamental del Reglamento, deben proporcionarse módulos obligatorios de formación en seguridad de las TIC para el personal.
Estos programas de formación deben ser aplicables a todos los empleados y al personal directivo, y tendrán un nivel de complejidad acorde con el mandato de sus funciones. Cuando sea necesario, las entidades financieras también deben incluir a terceros proveedores de servicios TIC en sus programas de formación.
Por tanto, la formación es un pilar de esta nueva legislación, necesaria no sólo para que los implicados sean inatacables en el frente de la seguridad informática, sino también en el frente legal y para evitar sanciones desagradables.
