Silvia Senabre, experta en Tecnologías de la Información del Banco de España y miembro del grupo español para la regulación DORA, participó en la ronda de conversaciones “CyberLunch” del 24 de noviembre de 2022 que organiza la Fundación ESYS, para abordar los retos y oportunidades de la propuesta de Reglamento de Resiliencia Operativa Digital de la Unión Europea para la ciberseguridad de las entidades del sector financiero.
DORA es un reglamento estratégico y clave para la mitigación de riesgos derivados de la transformación digital a través de unas reglas comunes.
El encuentro sirvió para poner en valor que los 27 Estados miembros se hayan puesto de acuerdo en torno a este reglamento, y el gran impacto regulatorio a nivel global que traerá consigo una vez entre en vigor a finales de 2024 o principios de 2025.
Durante el encuentro, Senabre señaló que “DORA busca la coexistencia con la directiva NIS 2.0, de manera que ni tengan solapamientos ni contradicciones”. La directiva NIS 2.0 es el marco horizontal a todos los sectores, mientras que el reglamento DORA se focaliza en un vertical: las entidades del sector financiero. Además, hay un reparto de tareas entre ambas regulaciones.
También se destacó que DORA afecta a todo tipo de empresas, independientemente de su tamaño, pues el nivel de criticidad no está relacionado con la dimensión de la compañía. De ahí que cuando hablemos de resiliencia, sin obviar el tamaño, hay que fijarse en la gobernanza y la eficiencia organizativa, y así es clave la implicación del órgano de dirección de la compañía y su trabajo de supervisión en todas las acciones.
La experta del Banco de España abordó también el carácter granular de DORA, pues tanto en sus disposiciones generales como en sus propuestas concretas se aterrizan y se detallan numerosas medidas técnicas. Por ejemplo, en el Capítulo IV habla de las pruebas de resiliencia operativa digital. Distingue entre dos: pruebas básicas, para todas las entidades con proporcionalidad, y todos los sistemas y aplicaciones que sustenten funciones esenciales o importantes y que deben probarse al menos una vez al año; y pruebas avanzadas, solo para las entidades designadas por las autoridades competentes.
A continuación, Senabre señaló que “DORA persigue mejorar la comunicación de los ciberincidentes y crear una cultura de confianza, de manera que una entidad sea capaz de transmitir al resto de organizaciones que la crisis se debe a un ciberincidente, y no a un problema de liquidez, creando en shocks en la estabilidad financiera de una economía, así como efectuando con mayor rapidez medidas de respuesta para la protección de los usuarios y servicios.
Además, hay un capítulo enteramente dedicado a la gestión, clasificación y notificación de incidentes relacionados con las TIC, en el que las autoridades nacionales van a tener un rol relevante a la hora de recibir la información sobre incidentes.
Para finalizar, se destacó que el Reglamento establece una definición de proveedores críticos y los criterios para hacerlo. La lista se actualizará año a año, y las entidades financieras tendrán que remitir datos anuales de contratos a las autoridades nacionales competentes con transparencia. Las autoridades nacionales definirán qué proveedores serán los críticos. Quienes sean categorizados como proveedores críticos se beneficiarán de estar sujetos a la resiliencia operativa digital para su mayor seguridad. Asimismo, es importante señalar que lo que se identificará como crítico será el proveedor, no el servicio prestado. Los servicios se tendrán en cuenta también, pero el factor clave será el proveedor y sus sistemas internos de gobernanza.
Finalmente, el Reglamento aporta un marco singular que ninguna otra región en el mundo ha desarrollado con esta profundidad en materia de gestión del riesgo relacionado con las TIC derivado de terceros.
