El pasado día 24 de septiembre la Comisión Europea público el borrador de Reglamento de resiliencia digital operativa, (DORA por sus siglas en inglés -“Digital Operational Resiliance Act”-) para el sector financiero. Se trata de una inminente norma que supone un antes y un después en la regulación de la ciberseguridad en la Unión Europea. DORA supone la profundización en una senda ya iniciada con la Directiva NIS. También, el cumplimiento de uno de los compromisos adquiridos por la nueva Comisión Europea y plasmados en la Estrategia Digital Europea contenida en la Comunicación Shaping Europe´s Digital Future y el Next Generation Plan, así como en el Digital Finance Package.

Supondrá el establecimiento de un marco único europeo de obligaciones, principios y requerimientos en materia de ciberseguridad para uno de los sectores considerados estratégicos: el financiero. Así mismo, conviene resaltar que DORA es el primer paso, ya que la propia Comisión ha incluido en sus más recientes documentos la intención de extender a los demás sectores estratégicos, energía, agua, transportes y otros, los esquemas regulatorios incluidos en este borrador.  

Entre las novedades más desatacadas cabe resaltar: un nuevo enfoque de las actuaciones basado en el riesgo; la atribución de responsabilidad directas en esta materia al consejo de administración en relación con el establecimiento y cumplimiento de estrategias, políticas y protocolos adecuados; las nuevas responsabilidades del CISO; las políticas de identificación y clasificación de la información; la obligatoriedad de los planes de continuidad de negocio en caso de ciberataque; o las correspondientes estrategias de comunicación. 

A este respecto, es relevante resaltar la profundidad e intensidad del nuevo marco regulatorio que incluye DORA y que va mucho allá de lo que hasta ahora había intentado la UE, fijando vía reglamento con efecto directo, una amplia variedad de nuevas obligaciones de cumplimiento normativo en materia de ciberseguridad. Ello supone la necesidad de enfrentar procesos de cambio interno en el sector financiero que establezcan modelos complejos de gobernanza de la ciberseguridad, basados en el concepto de defensa en profundidad. La política de ciberseguridad debe focalizarse en tres parámetros fundamentales: tecnología, personas y procesos. En este sentido, el borrador de la norma, tal y como se ha publicado, imita el enfoque existente en el Reglamento de General Protección de Datos y establece como prioridad una gobernanza sólida de la ciberseguridad como un aspecto que debe ser parte integral de la organización.

Otra novedad capital, que introduce nuevas obligaciones, son las relativas a los contratos de las entidades financieras con terceros suministradores. DORA establece un completo y exhaustivo marco descriptivo de esas relaciones contractuales, cuyo propósito es precisamente empoderar a las entidades financieras frente a las empresas tecnológicas que les prestan servicios.

El control de los proveedores es un aspecto fundamental en DORA. Elegir un proveedor fuera del ámbito normativo de la UE -si un proveedor que no cumpla con el acervo comunitario puede ser considerado de riesgo-, en aspectos financieros sectoriales, de la ciberseguridad y por pura extensión automática de la protección de datos, es un riesgo elegido y, por tanto, la responsabilidad de la elección del proveedor y la monitorización dinámica del riesgo mismo descansa en las entidades financieras. Se produce por tanto una convergencia entre las normativas encaminadas al cumplimiento normativo y seguridad de los datos (sean o no personales). Esta tendencia de plena conexión con el Reglamento General de Protección de Datos se refuerza si atendemos a los borradores de próximas normas a aprobar (NIS 2), que además refuerzan las sanciones (hasta un 2% de la facturación global del potencial infractor).

Finalmente, el responsable interno elegido orgánicamente para dar respuesta a lo anterior es el CISO de la organización financiera. Si al DPO se le presuponía el dominio de la norma nacional y comunitaria y se le pedía un conocimiento en análisis de riesgo, consultoría de procesos, negocio y seguridad de la información, al CISO se le coloca en una posición relevante al tener responsabilidad sobre el cumplimiento normativo de los proveedores y al ser responsable frente a las AA.PP. de determinadas obligaciones con amplias repercusiones legales, incluidas las de carácter sancionador.

 En definitiva, un amplio elenco de nuevos principios y obligaciones que se suman al complejo y amplio marco regulador de la actividad de las entidades financieras. No obstante, si se tiene en cuenta el rápido e intenso proceso de transformación digital que estamos viviendo, y la exposición de las entidades financieras a los ciberataques, es coherente que la UE haya decidido comenzar a regular en profundidad. Es el sector financiero el más preparado y avanzado en materia de seguridad de las redes y sistemas. Las grandes inversiones que las entidades financieras realizan todos los años para mantener sus organizaciones y negocio protegidos, así como una sólida cultura de ciberseguridad interna, hacen que sea más factible empezar con este sector por los sólidos estándares de cumplimiento procedentes del marco regulatorio que están acostumbradas a afrontar.

DORA va a suponer un cambio sustancial en la forma de hacer las cosas, y sobre todo en la forma de organizar la función de ciberseguridad dentro de las entidades sometidas al ámbito de aplicación de este nuevo reglamento. Eso sí, tanto al CISO, como al DPO, se les va presuponer tener un conocimiento renacentista de las diversas materias que afectan a su función o, al menos, tener una gobernanza, estructura de soporte y políticas que apoyen las nuevas responsabilidades exigibles.

Puede ver el artículo en Expansión.