Desde CaixaBank, el Banco Santander, BBVA, el ICO, o PayPal, todos los bancos, las instituciones de crédito, las firmas de inversión, plataformas de pago y proveedores de servicios TIC de terceros, como los proveedores de nube y análisis de datos, van a estar «fiscalizados» por la Ley de Resiliencia Operativa Digital, conocida como Ley DORA, de la Unión Europea, que entrará en vigor en próximo 17 de enero de 2025 y por la que podrán llegar a pagar multas de hasta el 1% de sus ingresos medios anuales. La normativa trata de supervisar a todos los actores del sector financiero que no gestionen de manera sólida y eficaz las tecnologías que tienen que ver con el dinero.
La Ley de Resiliencia Operativa Digital, conocida como DORA por sus siglas en inglés, tiene el objetivo de fortalecer la seguridad en el sector financiero de la Unión Europea, frente a las crecientes amenazas en ciberseguridad. Ha sido desarrollada por varios organismos reguladores de la UE implicados (EIOPA, EBA y ESMA) y trata de ampliar el perímetro de supervisión al establecer los parámetros de funcionamiento a nivel comunitario de todos los actores del sector financiero.
DORA viene a establecer mecanismos y políticas específicas para gestionar todos los incidentes, por ejemplo los relacionados con la ciberseguridad, de las tecnologías de la información, y notificar los que sean importantes, como un ataque de ransomware,
La Ley va a regular desde banco como CaixaBank, Banco Santander o el BBVA, instituciones de crédito como ICO, firmas de inversión como Renta 4 o Tressis, plataformas de pago como PayPal o Bizum y aquellos proveedores de Tecnologías de la Información (TIC) que surtan de servicio cloud o gestión y análisis de datos a las entidades financiaras.
Se trata de asegurar que todas estas entidades que trabajan con el dinero en la UE dispongan de capacidades integrales para gestionar sus operaciones de una manera «sólida y eficaz» los riesgos de las tecnologías informáticas, así como de establecer mecanismos y políticas específicas para gestionar todos los incidentes, por ejemplo los relacionados con la ciberseguridad, de las tecnologías de la información, y notificar los que sean importantes, como un ataque de ransomware, por ejemplo.
DORA Y EL CUIDADO DE LOS USUARIOS FINALES
No cumplir con sus preceptos puede suponer para todas estas entidades encontrase con multas de hasta el 1% de sus ingresos medios anuales, que no son poca cosa dado el volumen de ganancias que registran en este sector, y deben cuidarse de cumplir con esa resiliencia que pretende la ley a partir del próximo día 17 de enero de 2025 en el que la nueva normativa entrará definitivamente en vigor en toda la Unión Europea.
Lo que trata Bruselas con esta nueva legislación, que viene a abundar en la regulación que afecta a las empresa en general (por ejemplo el Reglamento General de Protección de Datos o RGPD), a las que son servicios esenciales o empresas con infraestructuras críticas, (Ley NIS y NIS II) y otras regulaciones, es de nuevo obligar a las empresas financieras a invertir cientos de miles de euros en cuidar muy muchos sus sistemas informáticos, sus conexiones a internet y todo lo que pueda fallar y perjudicar a sus clientes y usuarios, tanto particulares como empresariales y de las administraciones públicas.
No cumplir con sus preceptos puede suponer para todas estas entidades encontrase con multas de hasta el 1% de sus ingresos medios anuales
DORA busca la creación de un entorno propicio para la colaboración y el intercambio de información entre entidades financieras, teniendo en cuenta el incremento de ciberataques. Este enfoque colaborativo fortalece la capacidad del sector para hacer frente a amenazas emergentes y proteger los datos de los clientes de manera más efectiva.
Para los usuarios finales, la implementación de esta ley resultará en una mayor transparencia y confianza en el sistema bancario europeo. Esta normativa quiere mejorar la resiliencia de la Unión Europea frente a amenazas como el ransomware, garantizando un marco común de ciberresiliencia que resultará en un sistema bancario más sólido y datos más protegidos para los usuarios.
DORA PARA CUIDAR LA NUBE Y LA CIBERSEGURIDAD
La regulación se centra en dos aspectos críticos: uno la concentración excesiva de datos y aplicaciones en la nube y la protección contra ciberamenazas, especialmente el ransomware. DORA busca mitigar el riesgo de depender demasiado de un solo proveedor de servicios en la nube, así como la vulnerabilidad ante ciberataques.
Así, para los grandes bancos y entidades financieras de todo Europa, adaptarse a la Ley de Resiliencia Operativa Digital implica supera desafíos de mayor calado que el mero despliegue de soluciones técnicas necesarias. El reto, según las empresas del sector implicadas en el desarrollo de herramientas para conseguir esa resiliencia, está en comprender «la normativa y establecer un plan de proyecto detallado que abarque desde la identificación de las tecnologías necesarias hasta la definición de roles y responsabilidades dentro de las compañías«, según nos explican desde la consultora y proveedora de soluciones para el cumplimiento normativo de las TIC NetApp.
adaptarse a la Ley Ley de Resiliencia Operativa Digital implica supera desafíos de mayor calado que el mero despliegue de soluciones técnicas necesarias
También recuerdan a bancos como CaixaBank, Santander o BBVA y el resto de entidades que el proceso de adaptación puede llevar desde unas pocas semanas hasta varios meses, ya que depende de la complejidad de la organización y los recursos disponibles. La proporcionalidad es un principio clave en este procedimiento y se espera que las empresas adapten la normativa de acuerdo con sus necesidades y capacidades específicas.
Según la consultora, en España cada entidad obligada al cumplimiento de DORA está todavía en el proceso de definición de roles y responsabilidades en relación a esta Ley, tanto responsabilidades dentro de los equipos de cada entidad (de sistemas, de ciberseguridad, legales, etc) para entre todos crear el grupo o grupos que se encargarán de garantizar el cumplimiento de la normativa. Implica a múltiples departamentos y deben estar coordinados y dispuestos el próximo mes de enero.
en España cada entidad obligada al cumplimiento de DORA está todavía en el proceso de definición de roles y responsabilidades en relación a esta Ley,
Los artículos más demostrativos de la importancia de DORA para las entidades financieras de los 27 son, por ejemplo, el art.25, que se centra en los riesgos planteados por la dependencia de proveedores de servicios TIC de terceros, como los de nube. Este artículo proporciona pautas para reducir este riesgo, incluida la adopción de una estrategia de múltiples nubes y la planificación de la repatriación de datos.
También hay que fijarse en lo establecido en el artículo 8, que habla en la protección y prevención de datos, incluyendo la implementación de las últimas herramientas y estándares para proteger los datos en tránsito y en reposo, y en el artículo 9, donde se establecen requisitos para disponer de mecanismos de detección de actividades anómalas y testearlos con frecuencia. El art. 10 también es importante porque aborda la respuesta y recuperación ante incidentes tecnológicos, y el 11 especifica los requisitos detallados para los métodos de copia de seguridad y recuperación de datos.