El DORA afecta al sector de los servicios financieros de la UE, y esta legislación está a punto de causar estragos en la industria financiera. A continuación, se exponen algunas de las obligaciones del DORA que deben cumplir las entidades financieras.
El sector de los servicios financieros ha sido durante mucho tiempo un innovador de la tecnología y un pionero. Los avances en la banca y las finanzas han hecho que la transformación digital en el sector se haya adelantado. Pero las nuevas tecnologías y las nuevas formas de trabajar atraen a los ciberdelincuentes. El resultado es que los ataques contra el sector financiero se están disparando.
En 2021, la banca experimentó unaumento del1.318% en los ataques de ransomware, y el 65% de las grandes organizaciones financieras sufrieron un ciberataque en 2020. La gravedad de los ciberataques, cada vez más complejos y dañinos, dentro del sector financiero ha hecho que una nueva legislación entre en el léxico de la regulación de los servicios financieros, y su nombre es DORA (Digital Operational Resilience Act).
Conceptos básicos de DORA
El primer proyecto de DORA se publicó el 24 de septiembre de 2020, y el 10 de septiembre de 2022 el Parlamento Europeo lo aprobó. La legislación desempeñará un papel central en el "paquete de finanzas digitales", utilizado para permitir la innovación y la competencia en las finanzas digitales, al tiempo que se mitigan los riesgos derivados de la digitalización del sector.
El artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE) se utiliza como base jurídica del DORA; la legislación se centra en la armonización de las directrices de ciberseguridad en todo el sector.
A la UE le gusta utilizar medios normativos para consolidar y armonizar las mejores prácticas; el RGPD es un ejemplo de reglamento armonizado sobre la privacidad de los datos; el DORA es el intento de la UE de consolidar y mejorar la gestión de los riesgos de las TIC en todo el sector financiero, y el DORA afecta a las empresas de servicios financieros de la UE y a sus proveedores de TIC (críticos).
El DORA exigirá a las empresas del sector financiero que apliquen medidas que las protejan contra los riesgos relacionados con las TIC: como tal, el DORA amplía los requisitos para incluir a terceros, como los proveedores de la nube.
¿Qué obligaciones exige el DORA al sector financiero?
El objetivo es crear un entorno resistente en todo el ecosistema de servicios financieros. El marco subyacente del DORA se basa en un conjunto de normas diseñadas para ayudar a las instituciones financieras a desarrollar procesos sólidos de gestión de riesgos. Algunos de los requisitos básicos y la cobertura del DORA son los siguientes:
Alcance del DORA
Casi todos los tipos de entidades financieras entrarán en el ámbito del DORA. Entre las entidades cubiertas se encuentran las entidades de crédito, las entidades de pago, las entidades de dinero electrónico, las empresas de inversión, los proveedores de servicios de criptoactivos, los fondos de inversión alternativos, los gestores de seguros, etc. La excepción son los auditores, que actualmente no están sujetos a las normas del DORA, pero es probable que esto cambie en futuras versiones de la Ley. Para una lista completa de las entidades cubiertas, véase el artículo 2 del DORA.
Los proveedores de TIC que prestan servicios a las entidades cubiertas por la DORA también deben adherirse a la Ley. Los proveedores de TIC se consideran fundamentales para el sector financiero y, como tales, están sujetos a normas estrictas en virtud de la DORA. Los proveedores de servicios TIC con sede en países no pertenecientes a la UE que prestan servicios a entidades financieras en la UE deben establecer una filial en la UE.
Proveedores de TIC y DORA
La gestión de riesgos de terceros es una parte fundamental del DORA. La atención a los proveedores de TIC es una reacción al aumento de los ataques a la cadena de suministro, como la actualización del software SolarWinds Orion. La Agencia de Ciberseguridad de la Unión Europea (ENISA) informó del aumento de la sofisticación y el volumen de los ataques a la cadena de suministro, con atacantes dirigidos a la cadena de suministro para robar datos y activos financieros. El DORA coordina los requisitos utilizando los marcos existentes, como las directrices de subcontratación de la Autoridad Bancaria Europea (ABE). (Véase también el artículo 14 del DORA)
En virtud del DORA, las empresas financieras pueden definir a algunos proveedores de TIC como "críticos". Como tal, un proveedor de TIC crítico que preste servicios a una entidad cubierta por el DORA estará sometido a normas estrictas que se aplicarán a través de un compromiso directo con las autoridades de servicios financieros de la UE.
Principales medidas de ciberseguridad
Los valores fundamentales de la legislación del DORA consisten en mantener sistemas de TIC resistentes. Para lograrlo, se han establecido las siguientes directrices:
Gestión de riesgos y resiliencia
El núcleo del DORA son las directrices de gestión de riesgos para ayudar al sector de los servicios financieros a construir infraestructuras más resistentes. Los programas y evaluaciones de gestión de riesgos resultantes se utilizan como base para las pruebas de resistencia. Además, la legislación prevé que se lleven a cabo análisis de impacto empresarial basados en escenarios de "interrupción grave del negocio".
Se espera que las pruebas de resistencia y vulnerabilidad sean llevadas a cabo por expertos independientes e incluyan pruebas de penetración periódicas dirigidas a las amenazas. Es importante que todos los sistemas críticos de TIC se prueben anualmente.
Medidas de protección (véase también el artículo 8)
Algunos ejemplos de medidas de protección necesarias son:
- Utilizar políticas adecuadas y completas para los parches y las actualizaciones.
- Implantar políticas y protocolos para mecanismos de autentificación fuertes
- Seguir un enfoque basado en el riesgo para establecer una gestión sólida de la red y la infraestructura
- Aplicar políticas que limiten el acceso físico y virtual a los recursos y datos del sistema TIC
- Evitar la fuga de información
Gestión de incidentes de las TIC
El artículo 15 contiene detalles sobre los requisitos para gestionar y controlar los incidentes de seguridad, incluidos los procedimientos para "detectar, gestionar y notificar los incidentes relacionados con las TIC y establecerá indicadores de alerta temprana como alertas".
Notificación de incidentes de ciberseguridad
Las entidades cubiertas deben proporcionar un medio para supervisar, describir y notificar cualquier incidente significativo basado en las TIC a las autoridades pertinentes. Las normas de notificación son estrictas para los proveedores de TIC críticas. Incluyen la realización de una notificación inicial a más tardar al final del día hábil, o si el incidente significativo se produjo más tarde de 2 horas antes del final del día hábil, a más tardar 4 horas desde el comienzo del siguiente día hábil.
A partir de ahí, se requiere un informe intermedio a más tardar una semana después de la notificación inicial; a éste le sigue un informe final cuando se ha completado el análisis de la causa raíz a más tardar un mes después de enviar el informe inicial.
Responsabilidad en materia de gestión y seguridad
El DORA sitúa la responsabilidad de los riesgos de las TIC y las ciberamenazas en la puerta del grupo directivo de los servicios financieros. Impartir una formación de concienciación sobre la seguridad ayudará a garantizar que el nivel C y toda la empresa se centren en la seguridad.
El DORA también cubre aspectos esenciales de la gestión de la ciberseguridad y la respuesta, como el intercambio de información (véase el artículo 40).
¿Qué sigue para DORA?
El reglamento tiene un periodo de aplicación de 24 meses para las entidades financieras y sus proveedores de servicios críticos a partir de la entrada en vigor de la legislación. Por lo tanto, se aconseja a las entidades cubiertas que utilicen los 24 meses entre la fecha de entrada en vigor de la legislación y la aplicación de las medidas de cumplimiento para realizar un análisis de las deficiencias: de lo contrario, medidas como las pruebas de penetración dirigidas a las amenazas y las normas estrictas de notificación podrían quedar fuera de ese plazo.