El 17 de enero de 2025 entra en vigor la ley DORA en la Unión Europa. Una normativa que regula a todos la ciberresiliencia de todos los actores del sector financiero. Pero no solo a ellos. La regulación contempla a los proveedores TIC como una parte fundamental de este entramado de protección.
La Ley de Resiliencia Operativa Digital, o DORA en sus siglas en inglés, busca fortalecer la seguridad en el sector financiero de la Unión Europea, frente a las crecientes amenazas en ciberseguridad.
Desarrollada por distintos organismos supervisores de la Unión Europea -EIOPA, EBA y ESMA-, la normativa regula la resiliencia a nivel europeo, ampliando el perímetro de supervisión a todos los actores del sector financiero: bancos, instituciones de crédito, firmas de inversión o plataformas de pago. Pero también los proveedores TIC de terceros, como proveedores cloud y de análisis de datos.
La ley DORA dispone que entidades financieras deben disponer de capacidades integrales que permitan una gestión sólida y eficaz de los riesgos de las TIC, así como de mecanismos y políticas específicos para gestionar todos los incidentes relacionados con las TIC y notificar aquellos incidentes importantes.
En España, las empresas comienzan a definir los roles frente a DORA
Así, la normativa asienta nuevas bases para que las entidades estén más seguras y sean más transparentes. A su vez, impondrá multas mucho más serias (un 1% de la facturación anual), lo que supondrá un revulsivo fundamental para extender su adopción, así como pasó con la GDPR.
En España, tal y como explicaba José Luis Álvarez Cubero, Architec Executive Architect de NetApp, las empresas están aún definiendo roles y responsabilidades relacionados con DORA. Una tarea que es la antesala de una adaptación que involucrará a diferentes departamentos y recursos dentro de las organizaciones.
El principal reto para todos reside en comprender la normativa y establecer un plan de proyecto detallado que abarque desde la identificación de las tecnologías necesarias hasta la definición de roles y responsabilidades dentro de las compañías. Un proceso de adaptación donde los partners serán piezas fundamental para reducir la complejidad de la organización y adaptarse a las necesidades y capacidades específicas.
¿Qué debo hacer como proveedor TIC?
La regulación se centra en dos aspectos críticos: la concentración excesiva de datos y aplicaciones en la nube y la protección contra ciberamenazas, especialmente el ransomware. DORA busca mitigar el riesgo de depender demasiado de un solo proveedor de servicios en la nube, así como la vulnerabilidad ante ciberataques. Con ello abre las puertas a que las entidades bancarias requieran nuevos servicios de otros partners.
Tal y como explicaba, José Luis Álvarez Cubero, de NetApp:
«Los proveedores deben entender que esto se plantea como una oportunidad. Los bancos van a tener que preparar sus infraestructuras y adoptar nuevas medidas sólidas y eficaces ante DORA para evitar riesgos TIC como no guardar toda la información en un solo proveedor. Los hiperescalares a su vez tendrán que amoldarse».
Concretamente, el artículo 25 de la ley DORA es el que afecta directamente a este colectivo TIC, ya que pauta el camino a seguir para reducir el riesgo tecnológico al trabajar con terceros. Este artículo proporciona pautas para reducir este riesgo, incluida la adopción de una estrategia de múltiples nubes y la planificación de la repatriación de datos.
Además, en otros artículos se establecen pautas para la detección y respuesta de los ciberataques, para crear copias y restauración de datos o construir planes de contingencia. Una ventana de oportunidad para la industria tecnológica, pero también un reto de trabajo conjunto.
La ley DORA plantea de trabajo conjunto para conseguir un marco financiero mucho más seguro, transparente y preparado para el cibercrimen. En este sentido, contempla la creación de un entorno propicio para la colaboración y el intercambio de información entre entidades financieras. Este enfoque colaborativo también fortalecerá la capacidad del sector y ayudará a los actores TIC a proteger los datos de los clientes de manera más efectiva.