Banderas de la Unión Europea.
DORA, la normativa sobre resiliencia más exigente del mundo: "Va mucho más allá del sector financiero"
Casi un año después desde la entrada en vigor de su obligado cumplimiento, DISRUPTORES testa las oportunidades, retos y madurez de un reglamento que pone al sector bancario en el epicentro de la ciberseguridad europea.
Más información: Ciberseguridad en tiempos de inteligencia artificial: perímetro ampliado, nuevas amenazas y estrategias por definir
El pasado mes de enero tornaba en obligatorio el cumplimiento de la normativa europea que atiende a la ciberseguridad del sector financiero, DORA (Reglamento de Resiliencia Operativa Digital). Con sanciones que incluyen hasta 10 millones de euros o el 5% de la facturación anual, este tipo de entidades han tenido hasta dos años para adaptar su actividad a unos requisitos basados en la administración de riesgos e incidentes, así como en el intercambio de inteligencia, pruebas de madurez entre las empresas y gestión de la cadena de suministro.
Su redacción llama la atención porque pone a esta industria, que ya presumía de estar aventajada en su posición de ciberseguridad frente a otros sectores, en el epicentro de la estrategia continental al respecto, haciendo gala, a su vez, de la criticidad de bancos, aseguradoras, gestoras de fondos y proveedores tecnológicos para con la economía del Viejo Continente.
Para muchos expertos, y en un tablero de juego hiperregulado digitalmente como es el de la Unión Europea (UE), se trata de la ley “más exigente del mundo” en cuanto a defensa informática.
Pero de su severidad se extraen prácticas y aprendizajes más que optimistas para el devenir de la carrera entre ‘buenos’ y cibercriminales.
Y es que, vivimos en un mundo totalmente ‘amenazado’ en clave tecnológica: la llamada economía del ciberataque ha movido hasta 10 billones de dólares en este año en todo el mundo, y se prevé que llegará a los 15 billones para 2029.
Así, cita Rafael Vergara, gerente de estrategia y gobierno de soluciones TIC y ciberseguridad de AENOR, una de las principales ventajas que han experimentado estas organizaciones reside en que “buena parte de la responsabilidad de la ciberseguridad se traslada a los órganos de dirección”. Es algo vital, prosigue, “porque las futuras inversiones que hagan en el terreno se alinearán mucho a las necesidades del negocio”.
En términos similares habla David Ferrete, gerente del área de privacidad, ciberseguridad y cumplimiento de Ecix Group, quien, además, pone el acento en el objetivo de “homogeneizar la madurez” en el sector. “Un incidente puede suponer la pérdida de continuidad del negocio para una de estas empresas”.
La cadena de suministro, en el foco
Pero la clave principal no está sólo en proteger a estas grandes corporaciones. “DORA va mucho más allá del sistema financiero”, asegura Ferrete. Y no solo porque hay una brecha de capacidades entre, por ejemplo, una fuerte entidad bancaria y una startup de criptodivisas, sino porque implica a cualquier proveedor de estas.
“Aquí es donde se encuentra la verdadera revolución de la norma”, dice. “Dedica buena parte de su contenido a establecer cómo deben ser los controles de la cadena de suministro en la fase de entrada u homologación. También a las auditorías durante la fase de vida del contrato y cierre de la relación o servicio”.
"Dora dedica buena parte de su contenido a establecer cómo deben ser los controles de la cadena de suministro"
“Ahora, todo el que quiera trabajar con una de estas entidades va a tener que demostrar evidencias de ciertos aspectos de ciberseguridad”, añade Vergara. Así que, “las que más están sufriendo este cambio son las empresas más pequeñas”. Es decir, las que contaban con menos presupuestos, personal y herramientas para la ocasión.
Examen a la madurez
Por otra parte, y aunque los principales bancos hayan tenido muchas herramientas para adaptarse a DORA durante los dos últimos años, es en este punto, insiste Ferrete, en el de las compañías adyacentes, en el que se tienen que poner más recursos tanto económicos como personales, para que las organizaciones terminen de acomodarse a la norma, “a pesar de que hace ya casi un año que entró en vigor”.
“Lo ideal hubiese sido haber llegado más preparadas”, incide Vergara, y eso que desde la firma certificadora han comprobado que la ciberseguridad se ha convertido en un imperativo y una preocupación principal desde hace ya varios años: “Está más interiorizada, con muchas más medidas y muchos más proveedores. Pero los retos se siguen sumando”.
"Todo el que quiera trabajar con entidades financieras va a tener que mejorar su ciberseguridad"
Un 'tsunami' regulatorio en Europa
Uno de los principales responde al tsunami regulatorio de la propia UE, que desde que lanzase en 2018 el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas), no ha parado de lanzar documentos referentes a la seguridad.
Más allá de DORA, nos encontramos con NIS2, Cybersecurity Act o el Reglamento de Ciberresiliencia. Ahora, Bruselas quiere homogeneizar esas normativas “para avanzar a una regulación digital más simple y coherente” y no socavar la innovación.
Leyes que para Vergara cuentan con muchos requisitos en común, que han dotado de madurez al sector y que responden a la preocupación de las nuevas tecnologías que van saliendo al mercado, como la inteligencia artificial.
Al final, dice, es el régimen sancionador de todas ellas lo que está generando esa madurez, aunque en el caso de DORA no haya habido todavía multas sonadas, al menos en España. “Lo que buscan es que no se vea nada grave aunque haya un cumplimiento muy cercano a la norma y no sea del todo completo. La labor debe ser inmiscuir a las organizaciones en una mejora continua y no se conformen con su postura actual”, concluye.
