El Reglamento DORA entró en vigor el pasado 16 de enero y será de obligado cumplimiento a partir del 17 de enero de 2025. Tiene como objetivo que el sector financiero y proveedores TIC puedan seguir funcionando de forma resiliente en el caso de que sufran una grave perturbación operativa.
El número de ciberataques no deja de crecer desde hace años. Sin embargo, el principal de los problemas no se encuentra en la cantidad, sino, sobre todo, en la sofisticación de estos. Los ciberdelincuentes tienen en el punto de mira tanto a usuarios como a organizaciones. En este sentido, las compañías que conforman el sector financiero en las que se incluyen bancos, aseguradoras, brokers de seguros fondos de inversión o los proveedores de servicios digitales que trabajan con ellos, son unas de las predilectas para recibir ciberataques, bien sea para obtener recursos económicos o datos comprometidos.
Ante esta situación, el Consejo Europeo puso en marcha el pasado mes de noviembre el denominado Reglamento sobre la resiliencia operativa digital, también conocido como Reglamento DORA, que tiene como objetivo que el sector financiero y los proveedores TIC puedan seguir funcionando de forma resiliente en el caso de que sufran una grave perturbación operativa.
Europa es consciente de que el sector financiero es uno de los que más invierten en ciberseguridad, pero también es uno de los más sensibles para el funcionamiento global de la economía en el caso de que un ciberataque tenga éxito. Por este motivo, el Reglamento DORA proporciona una serie de requisitos uniformes con el fin de fortalecer la seguridad de las redes y de los sistemas de las organizaciones del sector, además de aquellas empresas que les presten servicios tecnológicos. De esta forma, a partir del 17 de enero de 2025, todas ellas deben certificar que son capaces de resistir y responder a cualquier tipo de ciberataque y recuperarse en el caso de que éste tenga éxito. Es decir, DORA pretende prevenir y mitigar las amenazas que puedan sufrir las empresas del sector financiero, mejorando la normativa existente hasta el momento y, lo que es más importante, haciendo que el modelo de notificación de incidentes sea más estandarizado.
A pesar de la inquietud de tener que incorporar un nuevo reglamento a la operativa de una organización, en este caso se trata de una normativa que es sencilla de implementar. Y es que, como afirma Antonio Quevedo, CEO de GlobalSuite Solutions, “cumplir con la disposición DORA no debería suponer ningún problema para las empresas del sector financiero si ya emplean el marco de las tres líneas de defensa. Se trata de un enfoque que ya es utilizado de forma amplia por una gran parte de las organizaciones del sector y se basa en la división de responsabilidades y funciones entre diferentes áreas de la compañía”.
DORA afecta a una totalidad de 20 tipologías de empresas que conforman el sector financiero. Entre otras entidades de pago y de préstamo, compañías que ofrezcan servicios de inversión, sociedades de gestión, aseguradoras, agencias de calificación crediticia y también aquellas organizaciones que provean servicios de criptoactivos. Asimismo, DORA también afecta a empresas del sector TIC como proveedores cloud, proveedores de soluciones de medios de pago o empresas que ofrezcan servicios de datos. Todas ellas tendrán que implementar DORA antes de enero de 2025, no siendo necesario que pase por ningún trámite parlamentario al ser DORA un reglamento.
Para la mayoría de ellas, DORA no supondrá un importante impacto, debido al hecho de que ya emplean protocolos de seguridad para mejorar la gestión de los riesgos a los que están expuestas. No obstante, tendrán que realizar nuevas pruebas de resiliencia con un incremento en el número de evaluaciones que efectúan, perfeccionar las metodologías e incorporar buenas prácticas en materia de control y monitorización de los sistemas.
Y es que DORA exige que se realicen pruebas de resiliencia operativa, para que la capacidad de recuperación de las entidades afectadas esté asegurada y las deficiencias puedan ser subsanadas a tiempo. En el caso de no subsanarse, las empresas que incurran en el incumplimiento se verán expuestas a sanciones similares a las de no cumplir con el GDPR: se les multará con un porcentaje de la facturación.
Por otro lado, las empresas tendrán que empezar a incorporar en su organigrama una nueva figura ya que DORA va más allá de la labor que realizan CIOs, CISOs, responsables de tecnología o CDOs. Se trata del Chief Technology Risk Officer (CTRO), que será la persona de vigilar del cumplimiento de los riesgos tecnológicos a los que se enfrenta una organización. Esta nueva figura puede ser un empleado interno o una empresa externa