DORA: cómo pueden prepararse las empresas financieras de la UE para la nueva era de la ciberresiliencia
El camino hacia el cumplimiento puede ser desafiante, pero también presenta una oportunidad
El nuevo panorama regulatorio conocido con las siglas DORA, que espera al sector financiero en la UE, está ya a las puertas de aplicarse y la mayor parte de las empresas aún se están esforzando por entender e implementar sus amplios requisitos. La Ley de Resiliencia Operacional Digital, que entrará en vigor en enero, promete cambiar la forma en que las instituciones financieras abordan conceptualmente la ciberseguridad y la resiliencia digital.
Dado que más de 22,000 entidades financieras y proveedores de servicios de TIC operan dentro de la UE, junto con toda la infraestructura de TIC desde fuera de la UE que los apoya, la implementación de DORA será relevante para todo el ecosistema financiero. Representa un cambio radical en la regulación financiera de la UE, ya que, por primera vez, sitúa la resiliencia operacional digital en el corazón de la conformidad regulatoria.
El régimen DORA introduce cinco pilares clave: gestión de riesgos TIC, gestión y reporte de incidentes, pruebas de resiliencia operacional digital, gestión de riesgos de terceros y distribución de información. Estos cinco pilares pretenden ser un marco amplio con el objetivo de mejorar la capacidad del sector para resistir, responder y recuperarse de incidentes de ciberseguridad.
Con las instituciones financieras aún luchando por comprender las complejidades del Reglamento General de Protección de Datos (GDPR), ¿cómo se prepararían para este nuevo gigante regulatorio? La respuesta puede estar en aprovechar los marcos de cumplimiento que ya existen, adaptando y expandiendo sus prácticas.
Así, las instituciones financieras no tienen que implementar DORA desde cero, porque la mayoría de los principios recogidos ya en la regulación sientan las bases para él. No obstante, DORA requiere ir un paso más allá, ya que introduce algunos requisitos en términos de resiliencia operacional específicos para el sector financiero.
El alcance de DORA es muy amplio y abarca desde proveedores de computación en la nube hasta analistas de datos y, por ello, para muchas multinacionales será un desafío coordinar su estrategia en las diferentes regiones de la UE. Además, DORA establece que las autoridades supervisoras europeas tendrán control directo sobre los proveedores de servicios de TIC “críticos” externos.
Ya no queda demasiado margen para las instituciones financieras, que deben dar prioridad a la evaluación de las capacidades existentes, a identificar brechas y a enmarcar planes de implementación. Es esencial aprovechar los controles ya aplicados bajo la normativa GDPR e invertir en el desarrollo de la fuerza laboral. Además, las organizaciones deben buscar orientación de expertos de la industria para navegar eficazmente por el panorama de DORA.
El camino hacia el cumplimiento puede ser desafiante, pero también presenta una oportunidad. Al adoptar sus principios, las instituciones financieras no solo pueden cumplir con los requisitos regulatorios, sino también mejorar su resiliencia operacional general en un mundo cada vez más digital.
Mientras nos encontramos a punto de esta nueva era regulatoria, una cosa es segura: en las finanzas de la UE hoy, la resiliencia digital ya no es solo un problema técnico, sino un imperativo empresarial. Es hora de comenzar los preparativos para el amanecer digital de DORA.
Los autores son columnistas de Reuters Breakingviews. Las opiniones son suyas. La traducción, de Carlos Gómez Abajo, es responsabilidad de CincoDías
