Vamos avisando para que luego no digas que no te habías enterado: en seis meses entrará en vigor la ley DORA, el reglamento europeo para gestionar la ciberseguridad en las entidades financieras al que deberemos adaptarnos un enorme número de empresas y organizaciones. Y viene cargado de novedades. La UE nos ofrece un documento de síntesis que resumimos al máximo a continuación.
La Digital Operational Resilience Act (que así se llama DORA en realidad) será desde enero de 2025 el marco legal de ciberseguridad de las redes y los sistemas de información de numerosas empresas, pymes incluidas, relacionadas directa o indirectamente con el mundo de las finanzas. Están los bancos, los fondos de inversión, las aseguradoras, los proveedores de criptoactivos, pero también las empresas proveedoras de servicios TIC, los centros de datos y otras.
Todo empezó con un informe de la EBA de 2018, que cuatro años después se convertiría en esta normativa de la que muy pronto empezarás a oír a diario, si no lo estás haciendo ya. La Unión Europea sigue así reforzando su regulación sobre ciberseguridad, y esta será una de las herramientas fundamentales para protegernos contra ciberataques con objetivos financieros.
Un reglamento extenso e intenso
Y es que son muchos los aspectos de la ciberseguridad que aborda la ley DORA, con el objetivo de reforzar nuestra resiliencia en la gestión y minimización de riesgos de ciberseguridad. Algunos de los objetivos (y tareas que tendrán las empresas) más destacados son:
- Contar con medidas internas eficaces de gestión y gobernanza contra riesgos TIC.
- Detectar, gestionar, registrar y notificar los incidentes TIC que les afecten.
- Crear una estrategia y un plan de pruebas operativas y “probarlo” cada tres años.
- Contemplar el riesgo de terceros (clientes, colaboradores, etc.) en sus políticas TIC.
La ley DORA también establece, cómo no, una aplicación proporcional de las medidas (en función de la talla de las empresas), así como las responsabilidades de cada cual (entidades reguladoras, autoridades de supervisión, empresas proveedoras de servicios TIC, etc.) y, por supuesto, el aparato corrector y sancionador para implementar lo que la ley ordena y manda.
En definitiva, la UE coloca a las empresas con actividades financieras (y relacionadas indirectamente a través de la gestión de sistemas de comunicación y de datos) en el papel de gestor activo del riesgo frente a terceros. La externalización de esta gestión segura del ciberriesgo se convertirá en una cuestión crítica, que solo podrá hacerse con empresas expertas en ciberseguridad acreditadas y que cumplan con exigentes requisitos.
Imagen de portada: CC-BY-4.0: © European Union 2020 – Source: EP
