El Reglamento de Resiliencia Operativa Digital, conocido por sus siglas en inglés como DORA, fue publicado el 27 de diciembre de 2022 en el Diario Oficial de la Unión Europea. Entró en vigor el 16 de enero de 2023 y su aplicación será obligatoria desde el 17 de enero del año 2025.
Tanto los bancos, como aseguradoras, empresas de servicios de criptomonedas, agencias de calificación crediticia y un largo etcétera, resultarán afectados por este nuevo reglamento, que también alcanzará a las empresas que brinden servicios tecnológicos a estas entidades.
Amenazas en el mundo tecnológico
Este reglamento tiene como finalidad garantizar la resiliencia operativa digital en el sector financiero europeo, contra las amenazas y alteraciones relacionadas con las denominadas tecnologías de la información y las comunicaciones. Es decir, pretende que estas entidades consigan recuperarse y seguir funcionando después de cualquier incidente disruptivo relacionado con la tecnología.
El aspecto más relevante de este nuevo marco regulatorio es que supera con creces las anteriores regulaciones y establece una gran cantidad de obligaciones en el ámbito de la ciberseguridad. Esto implica que las entidades financieras deban implementar modelos complejos de gobernanza de la ciberseguridad tanto en su tecnología, como en el personal y los procesos.
La complejidad y amplitud del reglamento hace que aunque la fecha de enero de 2025 parezca muy lejana, sea crucial comenzar a implantar sus requisitos en el plazo más breve posible. Así, se lleva a cabo un diagnóstico que evalúa el nivel de cumplimiento actual de DORA, para posteriormente desarrollar un plan de adecuación que se ajuste al plazo establecido y se asigne un presupuesto que permita abordarlo.
Normas Técnicas de Regulación (RTS)
Uno de los desafíos que se han marcado las autoridades supervisoras europeas es el de desarrollar y publicar, que aún no lo han hecho, diversas normas técnicas de regulación (RTS), para especificar la forma de abordar e implantar ciertos aspectos de DORA. Está previsto que la emisión de estas RTS podría extenderse más allá de mediados de 2024, algo que deja poco margen de maniobra. Por estas razones la estrategia óptima consiste en identificar y adoptar lo antes posible las medidas que exige DORA y ajustarlas en el momento en el que se publiquen las RTS.
En este sentido, las áreas de auditoría interna de estas entidades, deben revisar de forma periódica la evolución de este proceso de adopción, para, así, aumentar las probabilidades de éxito. Para ello, no sólo deben valorar el diagnóstico y el plan de actuación que surja en consecuencia, sino también estar pendientes de las particularidades que surjan a través de las RTS. Además, han de potenciar sus propios procedimientos de evaluación y programas de trabajo, incorporando las exigencias de DORA.
El Reglamento de Resiliencia Operativa Digital va a suponer un punto de inflexión para las entidades financieras y las empresas de servicios tecnológicos que colaboran con ellas. La correcta implantación de DORA fortalecerá significativamente la cultura de la ciberseguridad de estas organizaciones, lo que a largo plazo redundará en una mayor robustez frente a ciberataques y otras amenazas tecnológicas.
¿Cómo hemos llegado hasta aquí?
La cantidad de ciberataques no ha dejado de crecer desde hace años. Pero el principal problema no se encuentra en la cantidad, sino, sobre todo, en la sofisticación de estos. Los ciberdelincuentes tienen en el punto de mira tanto a usuarios como a organizaciones.
Como hemos señalado, las compañías que conforman el sector financiero en las que se incluyen bancos, aseguradoras, brokers de seguros, fondos de inversión o los proveedores de servicios digitales que trabajan para ellos, son las predilectas para recibir ciberataques, bien sea para obtener recursos económicos o datos comprometidos.
En este año 2023, Europa continúa avanzando en la implementación de su estrategia digital, definida en 2020, con nuevas propuestas como el reglamento sobre normas armonizadas para el acceso y uso justo de los datos (Data Act), o la adopción de normativas ya puestas en marcha en 2021, como el Reglamento de Mercados digitales, que impone obligaciones a las grandes plataformas para evitar prácticas desleales o que puedan reducir la competencia; el Reglamento de Inteligencia Artificial o el Reglamento de Identificación Electrónica que creará las futuras carteras de identidad digital para los ciudadanos europeos. Está previsto que acaben de tramitarse este mismo año.
Vorágine legislativa
Ante la vorágine legislativa y la incertidumbre que ha provocado el hecho de que aún no se hayan publicado las RTS, ha comenzado a notarse en el mercado financiero y los proveedores de servicios relacionados con la tecnología, la necesidad o recomendación de poder contar con abogados especializados en blockchain y derecho de las nuevas tecnologías, que puedan aplicar la normativa del sector con plena seguridad jurídica.
El crecimiento exponencial de la exposición de las compañías y, extendiendo la situación al resto de la población, que se produce a través de las TIC’s, abarca desde manifestaciones derivadas de la ciberdelincuencia, hasta riesgos laborales vinculados con el trabajo a distancia.
En este sentido, la ciberdelincuencia adopta diferentes formas y el ámbito cibernético facilita numerosos delitos comunes. Como ejemplo, los delincuentes pueden hacerse con el control de dispositivos personales utilizando programas maliciosos; robar o poner en peligro datos personales y derechos de propiedad intelectual para cometer fraudes en línea; utilizar internet y las plataformas de redes sociales para distribuir contenidos ilícitos; o usar la «red oscura» para vender bienes ilícitos y servicios de piratería informática, entre otros. Es el Centro Europeo de Ciberdelincuencia quien ayuda a los países de la Unión a investigar los delitos en línea y desmantelar las redes delictivas.