El Reglamento DORA va a aportar un cambio profundo en todo el sistema financiero, poniendo la transparencia en la base de todos los procesos para poder predecir los riesgos y adelantarse a cualquier amenaza. Es un cambio sustancial que va a afectar al modelo de gobierno de estas entidades, con el objetivo de garantizar una oferta de servicios financieros más segura y eficiente para los consumidores.

Noelia Romanillos

El 16 de enero de 2023 entró en vigor el Reglamento de la Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés), que establece requisitos uniformes para la seguridad de las redes y sistemas de información de las organizaciones que operan en el sector financiero.

En un entorno cada vez más digitalizado, el objetivo es reforzar la seguridad informática de entidades como los bancos, las compañías de seguros y las empresas de inversión que prestan servicios financieros en Europa, así como a sus proveedores de servicios tecnológicos.

Este nuevo reglamento, que tendrá un carácter vinculante a partir del 17 de enero de 2025, amplía y mejora las normativas anteriores, ya que establece un marco regulador común para todos los Estados miembros sobre qué significa la resiliencia operacional. Además, define unos requisitos homogéneos para garantizar la seguridad de las redes y de los sistemas de información de todas las empresas del ecosistema financiero.

La tecnología asume un papel clave para la gestión de los procesos en el marco de DORA

En otras palabras, cambia la perspectiva de la resiliencia operativa digital, enfocándose más en el resultado que en los criterios para conseguirla. Abarca este concepto de manera más proactiva y dinámica, definiendo un conjunto de requisitos legislativos enfocados en la gestión del riesgo digital y de las TIC, centrados en la capacidad de prevenir, mitigar y responder de forma eficaz e inmediata a las ciberamenazas.

Un centro de mando

La digitalización ha brindado muchas ventajas, pero también ha abierto la puerta a riesgos muy sofisticados. Asimismo, la llegada de actores virtuales, como las criptomonedas o los criptoactivos, añade aún más riesgos a un sector ya de por sí complejo.

Las instituciones financieras son guardianes de datos altamente confidenciales y críticos, convirtiéndolas en objetivos muy atractivos. De hecho, solo en nuestro país, estas entidades suelen dedicar entre un 10 y un 15% de su presupuesto de TI a ciberseguridad.

En este contexto, DORA requiere una fuerte concienciación sobre los riesgos a los que se enfrentan las empresas de manera constante. La nueva regulación desplaza el eje de responsabilidad desde los CISO a los órganos directivos de las organizaciones, para que asuman un papel más activo en la construcción de un plan de resiliencia empresarial.

DORA requiere una fuerte concienciación sobre los riesgos a los que se enfrentan las empresas de manera constante

Al fin y al cabo, la protección de los datos y el control de la disponibilidad de las infraestructuras en las que operan estas entidades necesita la colaboración y coordinación de múltiples actores dentro y fuera de la organización, por lo que requiere que sea el comité directivo el encargado de tomar las riendas en la definición de la estrategia de gestión de riesgos y del cumplimiento normativo.

Ejes fundamentales en DORA

El marco normativo DORA se basa en cinco ejes fundamentales que todos los proveedores del ámbito de servicios financieros tendrán que acatar a partir del 2025. En concreto:

  • Crear un marco centralizado para la gestión de riesgos TIC en toda la empresa. Como hemos comentado, DORA traslada la responsabilidad a los órganos directivos de las empresas que, a partir de ahora serán partícipes de la definición de los elementos necesarios de su estrategia de resiliencia operativa digital, y también de su eficacia.
  • Tener la capacidad de notificar los incidentes TIC en tiempo real. Esto implicará la creación, clasificación y notificación de incidentes, además de poner a prueba la capacidad de las empresas para recopilar, analizar y difundir información sobre incidentes de TIC y amenazas.
  • Gestionar proactivamente los riesgos de terceros. De hecho, DORA contiene varios términos contractuales que las empresas deberán incluir en los contratos con socios y proveedores para la externalización de TIC.
  • Activar pruebas periódicas para evaluar la eficacia de las medidas con el fin de mejorar la resiliencia operativa. El reglamento exige a todas las empresas que cumplan tres puntos clave: demostrar que llevan a cabo un conjunto adecuado de pruebas de seguridad y resiliencia en sus sistemas y aplicaciones informáticas críticas con carácter anual; abordar cualquier vulnerabilidad identificada en las pruebas; y obligar a las empresas que superen un determinado umbral de importancia y madurez a realizar pruebas avanzadas cada tres años.
  • Intercambiar la información entre las funciones críticas de la empresa responsable de la prestación de servicios financieros. En este contexto, aquellos terceros (proveedores de servicios tecnológicos) considerados críticos serán objeto de un amplio análisis de supervisión y podrán ser sancionados por las autoridades competentes en caso de incumplimiento de las normas. Además, tendrán que demostrar que pueden mejorar la resiliencia para apoyar los sistemas de los servicios financieros.

Arquitectura tecnológica

En este contexto, queda claro que la tecnología asume un papel clave para la gestión de los procesos en el marco de DORA. Las normativas digitales se refieren a infraestructuras que necesitan operatividad y seguridad, y, por ello, resulta imprescindible contar con soluciones que aseguran la protección de los datos al mismo tiempo que garantizan rendimiento y disponibilidad de los servicios.

Las organizaciones tendrán que preguntarse qué arquitectura tecnológica necesitan para respetar los requerimientos del reglamento de la UE e implementar unas soluciones que sean capaces de dar soporte a sus servicios digitales, asegurar la operatividad del sistema y controlar de forma predictiva que se cumplen los controles y las políticas de seguridad y rendimiento.

DORA traslada la responsabilidad a los órganos directivos de las empresas

Es un tema complejo, porque no solo afecta a las empresas del sector financiero, sino también a muchos de sus proveedores de servicios que les permiten ofrecer productos digitales a los clientes, como por ejemplo los medios de pago. Estos terceros actores también tendrán que respetar las pautas de la nueva regulación que, además, determina qué requisitos y pruebas de estrés tienen que exigir estas empresas a sus socios y proveedores en base a la criticidad de las funciones de negocio que les proporcionan.

El Reglamento DORA supone un cambio sustancial que va a afectar al modelo de gobierno de las entidades financieras, a sus procesos y organizaciones. En gran parte, el éxito en su implantación vendrá condicionado por la adopción de una plataforma tecnológica única que sea capaz de proporcionar información en tiempo real, colaboración y automatización.

Solo así será posible contextualizar cada incidencia y actuar lo antes posible, agilizar el trabajo conjunto de las diferentes áreas que participan en el mantenimiento de la calidad de un servicio, y poner en marcha procesos transversales y automatizados que permitan una clasificación contextualizada de los riesgos y priorizar acciones.

Artículo relacionadosMás del autor