En diciembre de 2022 se aprobo el Digital Operational Resilience Act, Reglamento DORA, cuyo propósito es garantizar la resiliencia operativa digital. Es decir, intentar lograr la estabilidad y capacidad de recuperarse frente unos incidentes de seguridad, cada vez más frecuentes, de todo el sector financiero. La plena aplicación del Reglamento será exigible el 17 de enero de 2025, que será cuando DORA será de obligado cumplimiento.

A seis meses de su plena aplicación, la jornada ‘Cuenta atrás para el Reglamento DORA: cómo ayudar a las entidades a estar preparadas’ reunió en Izertis a un grupo de expertos que analizaron la hoja de ruta de la implantación y las claves para garantizar su eficiencia.

Abrió el evento el director de Ciberseguridad y Defensa de Izertis, Joaquín Castellón, que fue el encargado de recordar que DORA “puede aplicar tanto a grandes entidades que operan a nivel mundial, como a pequeñas y medianas empresas del sector financiero” y que, por tanto, existen “muchas percepciones de cómo afrontar este reto”.

Desde el Instituto de Ciberseguridad de España (Incibe), el responsable del sector estratégico financiero y TIC, Juan Peláez, apuntó que la regulación europea “ayuda a las entidades financieras a poder gestionar todas las amenazas o riesgos que encuentran en el ciberespacio”. Y lo hacen, añadió, a través de varios instrumentos como son la gestión de ese riesgo, la notificación de incidentes, también menos graves, obligada a realizar pruebas de ciberresilencia, los acuerdos de intercambio de ciberamenazas o la monitorización de la cadena de suministros.

Banco de España

Fue Javier Piqueres, experto en Tecnologías de la Información para el Banco de España y miembro del grupo español para la regulación de DORA, el encargado de ofrecer la clave de la jornada: “DORA es una gran oportunidad para el sector, no un ejercicio de cumplimiento porque conlleva hacer al sector financiero más resiliente en su conjunto”. En su repaso a las líneas generales del reglamento, el experto ahondó tanto en la gestión del riesgo relacionado con las TIC (gobernanza) como en la notificación y clasificación de incidentes, pasando por la pruebas de resiliencia operativa digital (básicas y avanzadas), la gestión de riesgos tecnológicos derivados de terceros y los acuerdos de intercambio de información.

El Reglamento, por tanto, exigirá disponer de un análisis de riesgos que será la base central de la estrategia de seguridad y resiliencia, acompañado de una serie de procedimientos documentados a implementar y cumplir en toda la organización. Javier Piqueres también aseguró que DORA “lleva mucho tiempo implementada” e hizo un repaso por ese calendario de desarrollo. También, para cerrar, habló de retos y oportunidades. Así, en el ámbito de desarrollo, señaló la proporcionalidad atendiendo las especificidades por sectores, los plazos de notificación de incidentes, la identificación y monitorización de subcontratistas y los criterios para los proveedores de inteligencia y probadores internos/externos.

Respecto a la implementación, hizo hincapié en la opción nacional sobre el doble reporte de incidentes a la NCA y al CSIRT, el escaso margen temporal para desarrollar los procedimientos de notificación de incidentes, las incertidumbres respecto al formato final de los registros de terceros y los mecanismos de recogida, la obligatoriedad de las entidades y las propias estructuras de gobierno.

Más claves

El cierre de la jornada corrió a cargo de Laura Burillo, responsable de Normativa de Ciberseguridad de Izertis, y de María Vidal, socia de Protección de Datos y Nuevas Tecnologías de FinReg360. Ellas fueron las encargadas de dar las claves de DORA e insistir en que el reglamento europeo busca fortalecer la ciberseguridad y la resiliencia del sector financiero. Busca, apuntaron, que las organizaciones implementen un Sistema de Gestión de Seguridad de la Información (SGSI), ya que está inspirada en diferentes normas de seguridad de la información como la ISO 27001 y la ISO 22301, entre otras. Es decir, el objetivo principal es incorporar seguridad a los procesos y la operativa del negocio.

Entidades de crédito, compañías de seguros, entidades de pago, entidades de dinero electrónico, gestoras, fondos de pensiones, agencias de calificación crediticia… o lo que es lo mismo, la gran mayoría de organizaciones del sector financiero, además de sus proveedores, deben cumplir con la regulación.

DORA dotará a las organizaciones de importantes ventajas, como el aumento de la competitividad en el mercado por el valor añadido que aporta introducir seguridad en las operaciones, mayor prestigio de la marca, esa disminución de la probabilidad de ocurrencia de incidentes de seguridad, la reducción de los tiempos de recuperación en caso de desastre, o la incorporación de la cultura de ciberseguridad en la compañía.