CiberRiesgo en las instituciones financieras: cómo prepararse para el Reglamento de Resiliencia Operativa Digital (DORA) de la UE

La propuesta de Ley de Resiliencia Operativa Digital (DORA) de la UE está diseñada para consolidar y actualizar los requisitos de riesgo de las tecnologías de la información y la comunicación (TIC). Esta nueva legislación pretende someter a todas las entidades financieras a un conjunto común de normas, con el objetivo de mitigar el CiberRiesgo.

El proyecto legislativo forma parte de una estrategia financiera digital más amplia que pretende establecer un marco global de resiliencia operativa digital para los 27 miembros de la UE, con normas para todas las instituciones financieras reguladas.

La directiva de modificación, así como el capítulo IX del DORA, introducirán cambios específicos en la legislación vigente sobre servicios financieros a medida que vayan surgiendo las obligaciones de la nueva normativa en esos marcos. 

4 aspectos en los que DORA trata de impulsar la resiliencia digital 

En el informe publicado en febrero de 2020 de la Junta Europea de Riesgo Sistémico (JERS), se identificó el CiberRiesgo como una exposición sistémica del sistema financiero que podría tener graves consecuencias para la economía mundial.

En respuesta a esta exposición sistémica, y con el objetivo de mejorar la resiliencia operativa global del sistema financiero, DORA se focaliza en las siguientes cuatro líneas de acción:

1. Gestión de riesgos de las TIC

DORA establece principios clave en torno a controles internos y estructuras de gobierno. Se espera que la alta dirección de una entidad sea responsable de definir, aprobar, supervisar y rendir cuentas del marco de gestión de riesgos de las TIC de la empresa.

Para seguir el ritmo de un panorama de amenazas cibernéticas en rápida evolución, las entidades deben:

  • Establecer y mantener sistemas y herramientas de TIC resilientes para minimizar el impacto de un evento, identificar de forma continua todas las fuentes de riesgo y establecer medidas de protección y prevención para detectar rápidamente las actividades anómalas.
  • Poner en marcha políticas de continuidad de negocio específicas y completas. Éstas deben incluir planes de recuperación y de catástrofes que ayudarán a reanudar las operaciones tras incidentes relacionados con las TIC, como los ciberataques, limitando los daños y dando prioridad a la reanudación segura de las actividades. 

DORA también cubre la integridad, la seguridad y la resiliencia de las infraestructuras físicas y las instalaciones que soportan el uso de la tecnología, así como los procesos y personas/capital humano relacionadas con las TIC. Todo ello forma parte de la huella digital de una entidad financiera.

Estos requisitos, inspirados en las normas, directrices y recomendaciones pertinentes, giran en torno a funciones específicas de gestión de los riesgos de las TIC, entre ellas: identificación, protección y prevención, detección, respuesta y recuperación, aprendizaje y evolución, y comunicación.

2. Clasificación y notificación de incidentes relacionados con las TIC

El DORA pretende armonizar la notificación de incidentes relacionados con las TIC mediante:  

  • La implementación de un proceso de gestión para supervisar y registrar los incidentes relacionados con las TIC, seguido de la obligación de clasificarlos en función de su importancia.
  • La notificación de los incidentes importantes relacionados con las TIC únicamente a una autoridad competente utilizando una plantilla normalizada y común. Las entidades afectadas presentarían informes iniciales, intermedios y finales, e informarían a sus usuarios y clientes cuando el incidente tenga o pueda tener un impacto/repercusión en sus intereses financieros. 

Las autoridades competentes deben proporcionar los detalles pertinentes de los incidentes a otras instituciones o autoridades, como las Autoridades Europeas de Supervisión (AES), el Banco Central Europeo (BCE) y los puntos de contacto únicos designados en virtud de la Directiva (UE) 2016/1148.

3. Pruebas avanzadas de resiliencia operativa digital

Las funciones incluidas en el marco de gestión de riesgos de las TIC deben ser probadas periódicamente para evaluar la preparación, identificar los puntos débiles y garantizar que las medidas correctivas se aplican con la suficiente inmediatez.

El DORA permite una aplicación proporcionada de los requisitos de las pruebas de resiliencia operativa digital, en función del tamaño, la actividad y el perfil de riesgo de la entidad financiera. Si bien todas las entidades deben poner a prueba las herramientas y los sistemas relacionados con las TIC, sólo aquellas identificadas por las autoridades competentes como significativas y suficientemente maduras en ciberseguridad están obligadas a realizar pruebas o tests avanzados de penetración de amenazas (TLPT, del inglés threat-led penetration testing). El DORA también establece los requisitos para los ejecutores de estas pruebas y la acreditación de los resultados de las TLPT en toda la UE para las entidades financieras que operan en varios Estados miembros.

Cada tres años deben probarse los procesos, sistemas y tecnologías que soportan las funciones y servicios esenciales. Las pruebas pueden incluir: exploraciones de vulnerabilidad, evaluaciones de seguridad de la red, pruebas basadas en escenarios, seguridad física, pruebas de compatibilidad y penetración, y pruebas de seguridad del código fuente.

4. El riesgo de terceros y la regulación de los proveedores de servicios TIC

El DORA pretende establecer una supervisión del riesgo de terceros sólida en materia de TIC.

El reglamento armoniza los elementos clave de las relaciones de las entidades financieras con los proveedores de TIC y de servicios. Estos elementos cubren posiciones mínimas que se consideran cruciales para establecer un seguimiento completo del riesgo a terceros de las TIC por parte de la entidad financiera a lo largo de todas las etapas de una relación.

Por último, el reglamento promueve la convergencia de los enfoques de supervisión del riesgo de terceros de las TIC en el sector financiero, sometiendo a los proveedores a un marco de supervisión de la UE, que puede resumirse en tres fases:

Fase 1: Designación de los proveedores de servicios de TIC por parte de la AES..

Fase 2: Designación de la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Valores y Mercados (AEVM) o la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ) como supervisor principal. La AES designada como supervisor principal para un proveedor crítico de servicios de TIC tendrá el poder de garantizar que los proveedores de servicios tecnológicos que desempeñan un papel crítico para el sector financiero son supervisados adecuadamente a nivel paneuropeo.

Fase 3: Supervisión por parte del supervisor principal, que tiene derecho a inspeccionar, investigar, solicitar información y formular recomendaciones.

El marco de supervisión previsto por el DORA se basa en la arquitectura institucional existente en el ámbito de los servicios financieros, según la cual el comité conjunto de la AEE garantiza la coordinación en relación con todos los asuntos relativos al riesgo de las TIC. El comité cuenta con el apoyo del subcomité correspondiente (Foro de Supervisión) que realiza los trabajos preparatorios para las decisiones individuales y las recomendaciones colectivas a los proveedores de terceros críticos.

Calendario DORA

El DORA afectará a un gran número de instituciones financieras

Dentro del sector financiero, una serie de instituciones se verán afectadas y deberán estar preparadas para la implementación del DORA: 

  • Instituciones financieras reguladas, incluidas las instituciones tradicionales, como las entidades de crédito, las entidades de pago y las aseguradoras, y los proveedores de servicios de criptoactivos (CASP), los emisores de criptoactivos y las entidades de dinero electrónico.
  • Otros gestores de información financiera, incluidos los proveedores de servicios de información de datos, las agencias de calificación crediticia, los auditores legales y las empresas de auditoría.
  • Proveedores de servicios de TIC, incluyendo terceros y proveedores de servicios digitales y de datos, proveedores de servicios en la nube, software, servicios de análisis de datos y centros de datos.

This is a marketing communication and should not be relied upon as legal advice.

Autores

Nelia Argaz, Líder de Ciberseguridad y Resiliencia Empresarial, Marsh Advisory.