Durante el Osintomático Conference celebrado en Madrid el pasado 17 y 18 de mayo de 2024, el CEO de la consultoría de Ciberseguridad e Inteligencia Zerolynx, Juan Antonio Calles, explicó en una entrevista para LISA News lo que es el reglamento DORA, también conocido como la Ley de Resiliencia Operativa Digital. En este artículo respondemos a algunas preguntas claves sobre la regulación europea que es clave para la ciberseguridad de la Unión Europea.
El reglamento DORA (Digital Operational Resilience Act), también conocido como la Ley de Resiliencia Operativa Digital, fue aprobado por la Unión Europea en diciembre de 2022 para garantizar que las entidades financieras de la UE fueran capaces de resistir, responder y recuperarse de las amenazas operativas digitales. Este reglamento responde a una cuestión de seguridad digital en un entorno cada vez más dependiente de la tecnología, donde los riesgos de ciberataques y fallos tecnológicos pueden tener graves consecuencias para la economía y la sociedad.
Juan Antonio Calles, CEO de la consultoría de Ciberseguridad e Inteligencia Zerolynx, explicó durante el Osintomático Conference celebrado en Madrid que «DORA es una regulación europea que tiene un sentido clave para la futura ciberseguridad en la Unión Europea». Al final, los «ciberataques» están cada vez más «patrocinados por Estados». Por ello, «la UE ha tenido que tomar la decisión obligar al tejido empresarial a mejorar las capacidades a nivel de ciberseguridad».
Tiene como objetivo gestionar los riesgos de las TIC en el sector financiero. Según detalló Calles durante su conferencia, «solo aplica al sector financiero y sus proveedores». La norma busca fortalecer la resiliencia operativa digital de las entidades financieras, tales como bancos, aseguradoras, empresas de crédito, sucursales, empresas de seguro, fondos de inversión y proveedores de infraestructura de mercado. Este marco regulatorio surge en un contexto donde la digitalización y la interconexión del sector financiero aumentan la exposición a ciberamenazas y a fallos tecnológicos que pueden poner en peligro la estabilidad financiera.
La norma se centra «en la cadena de suministro y en el Consejo de Administración de las financieras», ya que «la mayoría de ciberataques se están realizando a través de la cadena de suministros, porque al final son los puntos más débiles de la cadena». Obligará a la «formación de equipos para que conozcan los riesgos». También impone a estas compañías a que «inviertan en ciberseguridad y a definir, aprobar y firmar una estrategia de seguridad». Además, «deberán nombrar a un responsable de seguridad, que será el responsable también de los incumplimientos». Estas sanciones «serán administrativas y, por primera vez en la historia, penales». Además, «se va a obligar a publicar los nombres y apellidos de directivos responsables hasta un máximo de cinco años».
¿A quiénes afecta el reglamento DORA?
DORA se aplica a una amplia gama de entidades financieras dentro de la Unión Europea. Incluye bancos comerciales, bancos de inversión, compañías de seguros, empresas de inversión, gestores de fondo, proveedores de servicios de pago, sociedades de valores, plataformas de negociación, proveedores de servicios de compensación y liquidación de valores, agencias de calificación crediticia y plataformas de trading, así como a proveedores de servicios de tecnología que trabajan con estas instituciones. Esto incluye también a empresas de tecnología que ofrecen servicios críticos como la computación en la nube y análisis de datos.
Los proveedores de servicios externos suscritos a entidades financieras deberán cumplir también con el reglamento. Estos incluyen servicios en la nube, centros de datos, entidades de procesamiento de pagos como PayPal, empresas de servicios de análisis de datos, plataformas de software y gestión o proveedores de servicios de ciberseguridad, entre otros.
➡️ Te puede interesar: Ciberseguridad militar: Desafíos de la inteligencia artificial frente a los ciberataques
Requisitos principales del reglamento
- Gestión de riesgos TIC. Las corporaciones deben establecer y mantener un marco sólido para gestionar los riesgos relacionados con las tecnologías de la información y la comunicación (TIC), asegurando que sean identificados, monitorizados y mitigados de manera efectiva.
- Pruebas de resiliencia operativa digital. Las entidades deben llevar a cabo pruebas periódicas de sus capacidades de resiliencia operativa digital para garantizar que puedan afrontar y recuperarse de posibles incidentes. Según IBM, el objetivo es «evaluar la solidez de sus protecciones e identificar vulnerabilidades». Los resultados y los «planes para subsanar las deficiencias que detecten, serán comunicados a las autoridades y validados por ellas». Las pruebas ue deberán realizar son evaluaciones de vulnerabilidad anualmente y pruebas de penetración cada tres años. Según el CEO de Zerolynx, «sirve para comprobar que la compañía pueda resistir un ataque».
- Gestión de proveedores externos. Los entes deben gestionar y supervisar adecuadamente los riesgos asociados de proveedores externos de servicios TIC, garantizando que estos también cumplan con los requisitos. Las financieras tendrán prohibido contratar a proveedores que no puedan cumplir estas obligaciones, y los organismos reguladores podrán paralizar los contratos que no cumplan la normativa. Además, las entidades deberán mostrar la dependencia que tienen de los proveedores TIC, y tendrán que impedir que sus funciones esenciales no estén concentradas en un grupo reducido de proveedores. Según Calles, «la UE se está dando cuenta de que las empresas se están yendo a tres o cuatro proveedores masivos como Microsoft, Amazon Web Services, etc. Esto provoca que estemos delegando todo en ellos, como la gestión de la seguridad, los correos electrónicos, etc. Este riesgo de concentración conlleva un riesgo para la UE, porque hay algunas compañías que están en Estados Unidos o China, y eso puede hacer que en algún momento ese país pueda hacerse con el control de la compañía». Para ello, «pide el control de esos proveedores con políticas claras y definiendo bien contratos y condiciones de salida y entradas».
- Notificación de incidentes. Se establece la obligación de notificar a las autoridades competentes cualquier incidente significativo que pueda afectar la integridad, seguridad o continuidad de los servicios financieros. Según la plataforma Incibe, los pasos a seguir tras un incidente son: «identificación, evaluación de la gravedad, notificación dentro de los plazos establecidos, informes requeridos sobre la actualización, gestión, medidas tomadas y recomendaciones, y contenidos de la notificación, que incluye el motivo del accidente, el impacto y las medidas tomadas».
➡️ Te puede interesar: Código LISA – Los mayores ciberataques en la historia de la Ciberseguridad
¿Cómo se implementará DORA y cuáles son sus plazos?
La implementación del reglamento DORA se realiza en varias fases. «La regulación surge a finales de 2022, y las entidades financieras obligadas a cumplir con los requisitos establecidos tienen un plazo de dos años desde la entrada en vigor del reglamento». El reglamento salió a la luz el 16 de enero de 2023. Por lo tanto, «a partir del 17 de enero de 2025 entrará en vigor y será aplicable en cada Estado miembro de la Unión Europea», detalla Calles.
¿Quiénes serán los responsables de la implementación de DORA?
Las autoridades nacionales y europeas son responsables de supervisar y asegurar el cumplimiento de estos requisitos. Sin embargo, la gestión de los incidentes son competencia de las entidades, según el artículo 22 de la norma: «Sin perjuicio de las observaciones de las autoridades de supervisión, las entidades financieras seguirán siendo plenamente responsables de la gestión de los incidentes relacionados con las TIC, así como de sus consecuencias».
La prevención de los incidentes deberá ser ejecutada por cada una de las entidades financieras que incluye la norma. El artículo 9 asegura: «Con el fin de proteger adecuadamente los sistemas de TIC y con vistas a organizar medidas de respuesta, las entidades financieras realizarán un seguimiento y un control permanentes de la seguridad y el funcionamiento de los sistemas y herramientas de TIC y minimizarán las repercusiones en dichos sistemas del riesgo relacionado con las TIC mediante el despliegue de herramientas, políticas y procedimientos adecuados en materia de seguridad de las TIC». Además, «diseñarán, adquirirán y aplicarán políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC que tengan por objeto asegurar la resiliencia, la continuidad y la disponibilidad de los sistemas de TIC».
Las entidades financieras utilizarán soluciones y procesos de TIC que sean adecuados». Entre esas soluciones y procesos, las entidades deberán: «garantizar la seguridad de los medios de transmisión de datos; minimizar el riesgo de corrupción o pérdida de datos, acceso no autorizado y defectos técnicos que puedan obstaculizar la actividad empresarial; evitar la falta de disponibilidad, el menoscabo de la autenticidad e integridad, la vulneración de la confidencialidad y la pérdida de datos; garantizar que los datos estén protegidos de riesgos derivados de su gestión, incluidos los debidos a una mala administración, los relacionados con el tratamiento y los errores humanos».
➡️ Te puede interesar: Masterclass | Ciberseguridad en Infraestructuras Críticas: Ciberamenazas vs Planes de Seguridad
¿Cómo afectará DORA a los usuarios?
Esta norma se traducirá en un sistema financiero más seguro y confiable, donde las posibilidades de interrupciones y brechas de seguridad se reducirán considerablemente. La confianza en la seguridad y estabilidad de los servicios financieros digitales se incrementará, protegiendo así a los consumidores de fugas o robo de datos. Además, garantizará la continuidad de servicios esenciales en el ecosistema financiero.
Según Juan Antonio Calles en declaraciones a LISA News, estas regulaciones «tienen como objetivo mejorar la ciberseguridad de la UE y de todas las empresas que formamos parte». Eso, asegura, «se va a trasladar en la seguridad de la ciudadanía».
Por lo tanto, tendrá un impacto positivo en los usuarios. Al exigir a las entidades financieras que implementen fuertes medidas de gestión de riesgos tecnológicos y realicen pruebas periódicas de resiliencia operativa, DORA reducirá la probabilidad de ciberataques. Esto significa que los usuarios experimentarán menos incidencias. Además, las transferencias de dinero y las operaciones de inversión serán más seguras. «Ahora la ciudadanía es propensa a recibir todo tipo de estafas. DORA empuja a que todas las entidades financieras potencien su seguridad y diseñen nuevos mecanismos para proteger al usuario», sentencia.
Asimismo, la obligación de notificar incidentes significativos a las autoridades competentes y gestionar adecuadamente los riesgos asociados con los terceros proveedores de servicios TIC garantizará una mayor transparencia y una respuesta rápida ante posibles problemas. Esto permitirá a los usuarios estar mejor informados y protegidos frente a eventuales fallos o ataques que pudieran comprometer sus datos personales y sus activos financieros.
➡️ Te puede interesar: Curso de Experto en la Unión Europea (UE)
¿Qué impacto puede tener el reglamento DORA en las próximas elecciones europeas?
Todavía faltan por detallar algunos aspectos clave del reglamento DORA. Sin embargo, los eurodiputados prefieren esperar a los resultados electorales, ya que esto hará que las últimas regulaciones cambien de una manera o de otra. «Se prevé que los aspectos más técnicos de la regulación, que sirve para que las entidades puedan cumplir con ellas, se publiquen después de las elecciones europeas». Esto es así «porque dependiendo de los partidos políticos que entren, seguramente quieran hacer algún cambio en la norma», asegura Juan Antonio Calles.
Por lo tanto, la norma va a entrar en vigor en enero de 2025, y solo quedan los últimos detalles que se conocerán tras los comicios que se celebrarán en toda la UE entre el 6 y el 8 de junio. Es muy poco probable que la norma se retire tras las elecciones, ya que solo podría ocurrir si hay un giro radical en las tendencias europeas, y que esos nuevos partidos estén de acuerdo en derogar la norma.
¿Qué es un Reglamento Europeo y qué lo diferencia de las directivas?
La normativa DORA es un Reglamento Europeo. Este tipo de legislación de la Unión Europea tiene aplicación directa y obligatoria en todos los Estados miembros desde el momento de su entrada en vigor, sin necesidad de ser transpuesto a la legislación nacional. Esto significa que, una vez adoptado, el reglamento se convierte en parte del ordenamiento jurídico de cada país miembro y debe ser cumplido en su totalidad por todos los individuos y entidades dentro de la UE.
Los reglamentos son utilizados para garantizar una aplicación uniforme y coherente de las leyes en toda la Unión, eliminando así las diferencias nacionales y asegurando que todos los Estados miembros actúen de acuerdo con los mismos estándares y procedimientos.Por otro lado, las directivas europeas son otro tipo de legislación de la UE. A diferencia de los reglamentos, no tienen aplicación directa. En su lugar, las directivas establecen objetivos que todos los Estados miembros deben alcanzar, pero dejan a cada país la libertad de decidir cómo hacerlo dentro de un plazo determinado.
Los Estados miembros deben transponer las directivas a su legislación nacional, adaptando sus leyes para cumplir con los objetivos establecidos por la directiva. Este proceso permite a los Estados miembros cierta flexibilidad para tener en cuenta las particularidades de sus sistemas legales. Esto conlleva el riesgo de una implementación tardía o desigual.
➡️ Si quieres adentrarte en la Unión Europea y la ciberseguridad y adquirir habilidades profesionales, te recomendamos los siguientes programas formativos:
- Curso de Experto en la Unión Europea (UE)
- Curso-Certificado de Analista Internacional
- Curso de Prevención y Gestión de Ciberriesgos y Ciberataques
- Curso de Concienciación en Ciberseguridad
