Responsable de riesgo operacional de CBNK
Somos testigos de una transformación que avanza a ritmo vertiginoso. En un entorno donde los ataques cibernéticos aumentan en volumen y sofisticación con objetivos de comprometer cualquier gobierno, empresa o persona, la regulación no solo nos impone nuevas obligaciones, sino que también nos marca un conjunto de acciones para la gestión de los riesgos digitales. Solo nos queda realizarnos unas preguntas: ¿es suficiente la regulación para luchar contra este nuevo mal?, ¿estamos preparados?, ¿qué será lo próximo?
La UE, dado el avance tecnológico y la creciente digitalización, ha comprendido que los riesgos de las tecnologías, información y comunicaciones -TIC- pueden provocar perturbaciones de los servicios financieros y esto puede llegar a tener un impacto en otras empresas, sectores e incluso en el resto de la economía, poniendo en riesgo el bienestar de la ciudadanía. Por ello, se ha decidido marcar las pautas para reforzar el marco regulatorio en ciberseguridad. Desde la ley de ciberresiliencia europea -CRA-, hasta la ley de IA, pasando por la famosa Directiva NIS2 y el indispensable Reglamento DORA, entre otras, todas confluyen en un nexo común, que es proteger al usuario y las empresas mediante la generación de un conjunto de controles globales capaces de generar un aumento en la madurez de la ciberseguridad.
El sector financiero, al ser más atractivo para los ciberdelincuentes y con gran dependencia tecnológica, hace que sea uno de los más vulnerables a ciberataques. Por ello, dentro de este ecosistema regulatorio, el Reglamento DORA se posiciona como una de las piezas clave para garantizar la resiliencia del sector, y asegurar que las entidades no solo cuenten con medidas adecuadas para prevenir los ciberincidentes, sino que también sean capaces de responder y recuperarse eficazmente cuando estos ocurran.
DORA no nace en un vacío regulatorio, es el resultado de unificar en un solo marco legal diversos controles y exigencias que ya se encontraban dispersos en otras regulaciones y normativas previas. Desde la Directiva NIS y su evolución en NIS2, hasta marcos de gestión de riesgos digitales como las guías de la EBA, Basilea, ISO 27001, ISO 31000 o TIBER-EU, este nuevo reglamento organiza y refuerza estos principios, dotándolos de un carácter obligatorio y con supervisión más estricta.
Aunque todo lo que se marca en el reglamento es importante y de obligado cumplimiento, el regulador ha dejado claras sus inquietudes y ha puesto foco en la gestión del riesgo TIC, la gestión de incidentes y la supervisión de terceros y su gobernanza. DORA establece la necesidad de generar un marco global de identificación, análisis, resolución, reporte y mejora continua de los incidentes. Exige tiempos de respuesta más ágiles, también una mejora en los mecanismos de coordinación entre entidades y supervisores. Por ello, el regulador tiene planificada la petición del procedimiento de gestión de incidentes para su validación y su visado, pudiendo acarrear sanciones.
Otro aspecto clave es el control sobre terceros que prestan servicios sobre las Tecnologías de Información y Comunicaciones -TIC-. Las entidades deben evaluar y gestionar de manera proactiva los riesgos asociados a su cadena de suministro digital, asegurando que los proveedores cumplen con estándares de seguridad adecuados y evitando la dependencia de actores no regulados. En este punto, la autoridad competente exigirá a las entidades a lo largo de las primeras semanas del mes de abril el registro completo de información con todos los acuerdos contractuales sobre los servicios TIC prestados por proveedores, teniendo que reportarlo al supervisor europeo antes del 30 de abril de 2025.
Uno de los puntos más disruptivos de DORA es la clara involucración del Consejo de Administración en la estrategia de ciberseguridad. Los consejeros ya no pueden delegar esta responsabilidad en el área técnica, sino que deben demostrar conocimiento y liderazgo en la gestión del riesgo digital. Para ello, el reglamento establece la necesidad de formación específica para los altos directivos, garantizando que puedan tomar decisiones informadas y supervisar de manera efectiva las estrategias de ciberseguridad dentro de sus organizaciones. Este punto cambia el paradigma de la responsabilidad en la tecnología y en sus riesgos, ya que la ciberseguridad ya no es únicamente uno asunto técnico, sino una responsabilidad estratégica a nivel ejecutivo.
Las entidades no se pueden quedar en el mínimo, la adecuación debe ir más allá de marcar la check. No se trata solo de evitar sanciones, sino de construir una seguridad digital real, capaz de resistir lo que aún no se puede prever. Este reglamento pretende marcar un antes y un después en la ciberseguridad y la resiliencia digital del sector financiero, no es el destino final, sino el comienzo de un camino en constante evolución.
DORA es documentar, planificar. formar, compartir y trabajar bajo un proceso de mejora. No introduce controles nuevos, pero sí los convierte en obligatorios y sancionables. Lo que antes dependía del criterio de cada entidad, ahora es un marco único y exigible en toda la UE. DORA no cambia el "qué" sino el "cómo": pasa de un ecosistema fragmentado a un enfoque estructurado y obligatorio, asegurando que la resiliencia digital del sector financiero no sea una opción, sino un requisito.
