Europa "se ha puesto las pilas" en materia de regulación del ecosistema digital. Desde hace unos años, el organismo se encuentra inmerso en una carrera por legislar alrededor de los nuevos desafíos tecnológicos presentes en todos los sectores con el objetivo de mitigar los posibles daños derivados. 

En este camino, destacan normativas como el Reglamento de Resiliencia Operativa Digital (conocido como DORA por sus siglas en inglés, Digital Operational Resilience Act).

Esta propuesta es la apuesta de la Comisión Europea para asegurar que el sector financiero de la región siga funcionando "de forma resiliente" en caso de "grave perturbación operativa", tal y como precisan desde la CE.

En un contexto en el que cada vez hay más ciberataques, DORA establece requisitos uniformes para la seguridad de las redes y sistemas de información de las empresas y organizaciones que operan en dicha industria, así como de terceros esenciales que les presten servicios relacionados con las TIC. 

Entre ellos, intermediarios de seguros, entidades de dinero electrónico, plataformas en la nube, servicios de análisis de datos, auditores legales, sociedades de gestión o agencias de calificación. 

[Europa sienta las bases legislativas para el futuro Reglamento de IA en busca de un entorno "fiable y seguro"]

En resumen, según Zbyněk Stanjura, ministro de Hacienda de Chequia, la finalidad de esta ley es complementar a los planes de seguridad informática con los que cuentan los bancos y las compañías que prestan servicios financieros en Europa para garantizar que esta industria funcione en todo momento. "Si se lanza un ataque a gran escala contra el sector financiero europeo, estaremos preparados para ello", precisa. 

Así, esta legislación crea un marco regulador homogéneo para todos los Estados miembros de la UE conforme al cual todas las empresas deben asegurarse que pueden resistir y responder ante cualquier amenaza relacionada con las TIC y recuperarse de ellas. 

Innovación y resiliencia como "socios complementarios"

En declaraciones a D+I, Richard Harmon, vicepresidente global de Financial Services Industry de Red Hat, explica que la creciente adopción de plataformas y servicios en la nube ha hecho que las cadenas de suministro de tecnología aumenten su complejidad, a lo que se suma un aumento de las amenazas digitales, cada vez más sofisticadas. 

"El resultado para las instituciones es una superficie más amplia y potencialmente más vulnerable para los ataques, así como un mayor peligro de fallos o interrupciones del sistema en cascada", precisa. 

Harmon señala que, a raíz de todo esto, un enfoque clave para la legislación "es mitigar el riesgo de concentración de la nube", es decir, los riesgos sistémicos asociados con la subcontratación de funciones críticas de negocios comunes, como los pagos o la compensación, a un solo facilitador de cloud. 

"Si se produce una perturbación o una vulnerabilidad en un proveedor de este tipo, el impacto colateral podría ser importante si varias instituciones financieras dependen de ese servicio y no tienen otras alternativas", apunta. 

Asimismo, el directivo de Red Hat afirma que se necesita "un enfoque más comunitario", ya que los sistemas no funcionan de forma aislada, por lo que la resiliencia y la seguridad "deben ser un esfuerzo intersectorial". 

[NIS2: la directiva europea de ciberseguridad "prudente y de transición" antes de que llegue un reglamento definitivo]

"La solución de single pane of glass para la seguridad, en la que las organizaciones derriban sus muros de secretismo y permiten a los equipos colaborar utilizando la misma visión de los datos compartidos, debe convertirse en la ambición del sector de los servicios financieros en su conjunto", señala. 

Así, precisa, esto debería conducir a estrategias sectoriales como la selección, adquisición y despliegue colectivos de soluciones compartidas y procesos coordinados de prevención y reparación de ataques.

"El sector debe considerar la resiliencia y la innovación como socios complementarios, en lugar de fuerzas opuestas", insiste. "Las organizaciones que adoptan un enfoque holístico en el que la seguridad está integrada en el ADN del ecosistema, en lugar de añadirse a posteriori, son capaces de prepararse mejor para lo que pueda venir en el futuro".

Un reglamento positivo para la sociedad 

Por otro lado, fuentes de BBVA explican a D+I que, desde su entidad, llevan años estableciendo la fiabilidad que persigue DORA en sus servicios digitales como una de sus prioridades. Por tanto, señalan, la entrada del reglamento reforzará su estrategia, a la par que armonizará los requerimientos de toda la industria y grandes players tecnológicos que prestan servicio.

Según apuntan, la importancia de la resiliencia operativa no es nueva para el sector financiero, "ha sido esencial" desde hace años, especialmente con el inicio hacia la transformación digital, lo que ha variado ha sido la complejidad del ecosistema debido, en parte, a la predominancia del canal móvil en la interacción con los clientes. 

Desde su experiencia, explican que hay determinadas claves que deben seguirse para garantizar la resiliencia operativa. Por un lado, a nivel de organización, señalan que "es vital" el compromiso de toda la entidad, desde las esferas más altas, y la construcción de una cultura organizativa que integre este concepto en el diseño de soluciones y en la priorización de iniciativas. 

También, identificar procesos de negocio críticos o desarrollar un marco de pruebas completo para comprobar la resiliencia en los distintos escenarios.

"La entrada en vigor del reglamento va a suponer requerimientos más exigentes en cuanto a resiliencia operativa, lo que implica un mayor esfuerzo que va a contribuir a garantizar la estabilidad y seguridad de los servicios a los clientes", avanzan. "En este sentido, apreciamos únicamente efectos positivos no sólo los clientes de BBVA, sino para la sociedad en general". 

Próximos pasos 

DORA fue presentada hace más de dos años, el 24 de septiembre de 2020, dentro de un paquete de finanzas digitales, cuyo objetivo era fomentar el desarrollo tecnológico y garantizar la estabilidad financiera que constaba también de una normativa relativa a los mercados de criptoactivos y otra sobre la tecnología de registro descentralizado. 

Según el organismo impulsor, el objeto de estas medidas es apoyar la innovación y la adopción de nuevas tecnologías financieras, proporcionando "un nivel adecuado de protección de los consumidores y los inversores". 

Unos meses después de la presentación de la propuesta, el 25 de enero de 2022, empezaron los diálogos tripartitos entre los colegisladores, que terminaron con un acuerdo provisional alcanzado el 10 de mayo de 2022. Finalmente, el pasado 28 de noviembre de 2022, el Consejo Europeo adoptó el Reglamento, terminando su proceso legislativo. 

[Carme Artigas: "España no quiere ser testigo, sino protagonista de los grandes cambios digitales"]

Ahora, entre los siguientes pasos entra que los aspectos que requieren una transposición nacional sean convertidos en ley por cada Estado miembro de la Unión Europea y, al mismo tiempo, que las Autoridades Europeas de Supervisión (AES) pertinentes, elaboren normas técnicas que deberán cumplir todas las entidades de servicios financieros.

Una vez completado este camino, las autoridades nacionales competentes supervisarán el cumplimiento y la aplicación del Reglamento cuando sea necesario.

Según los expertos de Oesía, una multinacional dedicada a la innovación tecnológica, se espera que la aplicación efectiva se produzca a partir de los 12 meses de su entrada en vigor de modo general y a los 36 meses para las pruebas de resiliencia avanzada.