En enero de 2025 ya será efectiva la aplicación del Reglamento de resiliencia operativa digital del sector financiero en Europa, un hecho que está marcando un nuevo punto de inflexión en la gestión de riesgos tecnológicos de la industria. 

El reglamento, también conocido como DORA, por las siglas Digital Operational Resilience Act, coincide en el tiempo con la aprobación de la Directiva NIS2, que sustituirá a NIS 1 para establecer medidas de ciberseguridad más robustas en los sectores críticos tanto públicos como privados. Asimismo, DORA constituye otro eje más del paquete de finanzas digitales de la Unión Europa; todo un conjunto de marcos armonizados y medidas normativas para impulsar el sector financiero en términos de innovación y competencia, mitigando al mismo tiempo los ciberriesgos. Los Estados miembro también tienen en marcha iniciativas nacionales para reforzar la seguridad en colaboración con las empresas. 

Todos estos y otros aspectos han convertido a la ciberseguridad en un factor de carácter estratégico y con responsabilidades legales directas para los miembros de los órganos ejecutivos. 

Incremento de los riesgos

Y es que los ciberataques son cada vez más frecuentes, más complejos y más cruentos. A menudo, los riesgos van más allá del fraude en transferencias o la clonación de datos para centrarse en ataques dirigidos a las estrategias de negocio y a la información privilegiada de las entidades. El conflicto de Ucrania ha aumentado cerca de un 25% la actividad maliciosa en las redes, algo que, sumado a la sofisticación de los ataques, no hace sino incrementar las amenazas. De hecho, la industria financiera concentra uno de cada tres ataques de ransomware. Y todo apunta a que seguirá siendo un objetivo para los ciberdelincuentes y el ciberactivismo, cuyo crecimiento será imparable.

La gravedad de esta tendencia insta a doblegar esfuerzos y a trabajar en una misma dirección para que los modelos de ciberseguridad sean potencialmente mucho más efectivos ante las amenazas actuales y las que están por llegar. La relevancia del Reglamento DORA por primera vez aborda la resiliencia operativa digital de una forma plena, integral y específica para el sector financiero.

El ámbito de la normativa es realmente amplio, pues aplica al conjunto de entidades de servicios financieros reguladas a nivel de la UE: desde las instituciones de crédito y de pago, hasta empresas de inversión, fintech, proveedores de servicios de crowdfunding y proveedores de servicios de criptoactivos, entre otros. También se extiende a los proveedores tecnológicos, desde operadores cloud a compañías de análisis de datos. Sin duda, este alcance tan amplio contribuirá a establecer formas de actuación comunes para mejorar la robustez de los sistemas de ciberseguridad. 

DORA constituye un marco de estándares, requisitos y vías de colaboración que necesariamente va a empujar a las entidades a ampliar su enfoque de la gestión de riesgos de TIC y a abordar la resiliencia digital en su sentido más exhaustivo. Entre otras medidas, incluye un mayor sentido de urgencia y disponibilidad. Las entidades deberán estar preparadas para superar pruebas de resiliencia muy exigentes por parte de los reguladores, en cualquier momento, así como para establecer procesos de control, cumplimiento y reporting en tiempo real.

Según el estudio realizado conjuntamente con Thoughtlab, la gestión de riesgos y la capacidad de resiliencia es una prioridad para el 63% de los CEO del sector, sin embargo, sólo un 29% de las organizaciones utilizan soportes digitales para la gestión de los riesgos interfuncionales. Factores como el acceso en silos a los datos, el legado de procesos no actualizados, los controles manuales o la alta dispersión tecnológica siguen siendo trabas para un ejercicio efectivo de ciberseguridad. 

Esto sugiere que, para responder a los requisitos de DORA, las empresas tendrán que acometer cambios de forma transversal, adoptando sistemas de inteligencia que recopilen, combinen y analicen la información de vulnerabilidades de todas y cada una de las áreas funcionales o líneas de defensa de la organización. Esta base tecnológica será imprescindible para que puedan llegar a medir, según rige el reglamento, la diversidad de riesgos a los que se enfrentan, los grados de tolerancia de sus sistemas y la capacidad de recuperación operativa ante un ataque.

Los bancos y otras entidades financieras afrontarán pruebas en supuestos de gravedad máxima, pero, más allá de ser un requisito impuesto, es importante entender que el hecho de superarlas —y hacerlo con nota—, significará que las cosas se están haciendo bien: que se aplican correctamente los protocolos y procesos de seguridad de los sistemas y que se trabaja sobre todas las vulnerabilidades detectadas. Las pruebas tendrán carácter anual y aquellas firmas que alcancen un determinado umbral de relevancia y madurez deberán realizar pruebas más avanzadas cada tres años.

El impacto favorable es incuestionable: las empresas y proveedores tecnológicos van a entrar en un proceso de mejora continúo, compartiendo una misma hoja de ruta.

Impacto en toda la cadena

La relación entre ambas partes estará más regulada, pero será aún más estrecha. DORA solicita a las empresas la implementación de programas de riesgo de terceros para evitar interrupciones operativas causadas por ataques a la cadena de suministro e infracciones de terceros. Para ello, tendrán que realizar una evaluación de la concentración de riesgos en terceros, así como de todos los contratos de outsourcing que apoyan la prestación de las operaciones críticas. Por su parte, los proveedores tendrán que demostrar que pueden mejorar la resistencia para apoyar los sistemas financieros y las empresas consideradas como críticas, serán objeto de un amplio análisis de supervisión pudiendo ser sancionadas en caso de incumplimiento. 

Otro aspecto positivo del marco DORA es que el sector estará en una posición más favorable para compartir know-how y profundizar de manera conjunta en la detección temprana de amenazas, las soluciones fiables de protección de datos y las tácticas de resiliencia digital, áreas todas donde la automatización y la inteligencia artificial irán aportando más capacidades. 

En definitiva, el reglamento busca aumentar la resiliencia de las finanzas digitales frente a un entorno cibernético cada vez más hostil. La fórmula: normas y estándares únicos para el conjunto de la UE y un mayor nivel de colaboración entre supervisores, empresas y el ecosistema de proveedores.

El camino no es fácil, pero el esfuerzo merecerá la pena pues contar con una resiliencia robusta significará reforzar la competitividad de las entidades, del mercado y mejorar la confianza de los inversores y consumidores. Las ciberamenzas crecen en volumen y en sofisticación, y el sector financiero debe ser capaz de estar por delante.