Armonizar la gestión de riesgos del sector financiero

La ley europea DORA pretende que pueda mantener operaciones resilientes en caso de interrupción grave

El Consejo de la Presidencia de la UE y el Parlamento Europeo han alcanzado un acuerdo provisional sobre el proyecto de ley de Resiliencia Operativa Digital (DORA) de la Unión Europea, que se espera se convierta en ley en cada Estado miembro de la UE a finales de este año.

Además del acuerdo sobre DORA, se ha acordado una directiva para seguir mejorando la capacidad de resiliencia y de respuesta a incidentes de los sectores público y privado de la UE ante las ciberamenazas. La directiva NIS2 establecerá formalmente la Red Europea de Organización de Enlace para Crisis Cibernéticas, que apoyará la gestión coordinada de incidentes de ciberseguridad a gran escala.

DORA está diseñada para consolidar y actualizar los requisitos de riesgo de las tecnologías de la información y la comunicación en todo el sector de los servicios financieros de la UE. El objetivo es armonizar la gestión de riesgos del sector financiero en todos los países miembros con un conjunto común de normas para sus operaciones, de tal manera que el sector sea capaz de mantener operaciones resilientes en caso de una grave interrupción operativa.

Una de las razones para la creación de DORA es la aceleración de la banca digital con la pandemia, su migración a la nube y el incremento en la oferta de servicios digitales. A ello se suma la PSD2, directiva que igualó las condiciones en el mercado financiero, que ha provocado que otros actores, como los nativos digitales –fintech, big tech– estén ofreciendo servicios de tipo financiero a los clientes a través de API. Esta banca abierta permite a entidades no tradicionales y a los bancos compartir los datos de sus clientes.

Para que la banca abierta sea una realidad, las organizaciones deben adoptar plataformas digitales que faciliten la computación en la nube, los servicios de software como servicio (SaaS) y otras aplicaciones online. A los reguladores de la UE les preocupa la concentración de riesgos, debido al escaso número de proveedores cloud y el efecto sistémico en todo el sector financiero si uno de estos proveedores sufriera un problema importante. DORA mitigará estos efectos, permitiendo prescribir las mejores prácticas y garantizar una industria financiera más resistente a los ciberataques.

Para solventar este problema, la Agencia de Ciberseguridad de la Unión Europea (Enisa) está desarrollando un proceso de certificación de ciberseguridad relativo a las condiciones del mercado interior de la UE para los servicios cloud, mejorando y simplificando sus garantías de ciberseguridad.

Actualmente, la propuesta de reglamento DORA indica: “Las entidades financieras identificarán todas las cuentas de los sistemas TIC, incluidas las de los emplazamientos remotos, los recursos de red y los equipos de hardware, y mapearán los equipos físicos considerados críticos”. Además, avanza que las organizaciones financieras de la UE deben seguir un enfoque basado en el riesgo para “establecer una sólida gestión de la red y la infraestructura” y utilizar “mecanismos automatizados para aislar los activos de información afectados en caso de ciberataques”.

Además, se exigirá a las organizaciones europeas de servicios financieros que diseñen la infraestructura de conexión a la red de forma que permita su corte instantáneo, y deberán garantizar su compartimentación y segmentación, con el fin de minimizar y prevenir el contagio, especialmente en el caso de los procesos financieros interconectados.

Además de la gestión uniforme de los riesgos de las TIC, las organizaciones de servicios financieros de Europa deberán informar a las autoridades competentes de todos los incidentes importantes relacionados con las TIC.

Por todo ello, parece probable que la ley impactará en las organizaciones proveedoras de empresas de servicios financieros. Además, en caso de incidente de ciberseguridad, serán los proveedores los que deban prestar asistencia a las organizaciones sin coste adicional.

Las organizaciones que no cumplan las normas de DORA recibirán multas “calculadas a partir de la fecha estipulada en la decisión por la que se impone la multa coercitiva, serán del 1% del volumen de negocio diario medio a nivel mundial del proveedor de servicios críticos de TIC en el año comercial anterior”.

El marco de actuación de DORA se aplicará a una amplia gama de organizaciones de servicios financieros, como entidades de crédito, pago o dinero electrónico; empresas de inversión; proveedores de servicios o emisores de criptoactivos, empresas de seguros y reaseguros intermediarios de seguros, o auditores legales y empresas de auditoría, entre otras.

Muchos de estos tipos de organizaciones no han estado previamente sujetos a las regulaciones de las TIC que están dentro del ámbito de DORA. Por ello, es previsible que las organizaciones de servicios financieros bajo su ámbito adopten esta ley como una guía de mejores prácticas para su industria, específicamente en lo que respecta a la ciberseguridad y la resiliencia.

Aunque será un reglamento de la UE, sus efectos irán mucho más allá de las fronteras europeas. Afectará a empresas e industrias a escala mundial, de forma similar al Reglamento General de Protección de Datos (RGPD).

En definitiva, es una oportunidad para acelerar la digitalización de los servicios financieros con garantías de seguridad y resiliencia para sus sistemas.

Ricardo Ferreira es EMEA Field CISO en Fortinet