La ley DORA ya está en vigor. Hoy, 17 de enero de 2025, se pone en marcha esta normativa. La regulación europea regula la ciberresiliencia de todos los actores del sector financiero. Pero no solo a ellos. La regulación contempla a los proveedores TIC como una parte fundamental de este entramado de protección.
Aunque la ley en sí ya llevamos conociendo desde hace tiempo, su entrada en vigor marca un nuevo hito. La Ley de Resiliencia Operativa Digital, o DORA en sus siglas en inglés, busca fortalecer la seguridad en el sector financiero de la Unión Europea, frente a las crecientes amenazas en ciberseguridad.
Desarrollada por distintos organismos supervisores de la Unión Europea -EIOPA, EBA y ESMA-, la normativa regula la resiliencia a nivel europeo, ampliando el perímetro de supervisión a todos los actores del sector financiero: bancos, instituciones de crédito, firmas de inversión o plataformas de pago. Pero también los proveedores TIC de terceros, como proveedores cloud y de análisis de datos.
La ley DORA dispone que entidades financieras deben disponer de capacidades integrales que permitan una gestión sólida y eficaz de los riesgos de las TIC, así como de mecanismos y políticas específicos para gestionar todos los incidentes relacionados con las TIC y notificar aquellos incidentes importantes.
Así, la normativa asienta nuevas bases para que las entidades estén más seguras y sean más transparentes. A su vez, impondrá multas mucho más serias (un 1% de la facturación anual), lo que supondrá un revulsivo fundamental para extender su adopción, así como pasó con la GDPR.
¿Qué debo hacer como proveedor TI?
La regulación se centra en dos aspectos críticos: la concentración excesiva de datos y aplicaciones en la nube y la protección contra ciberamenazas, especialmente el ransomware. DORA busca mitigar el riesgo de depender demasiado de un solo proveedor de servicios en la nube, así como la vulnerabilidad ante ciberataques. Con ello abre las puertas a que las entidades bancarias requieran nuevos servicios de otros partners.
Concretamente, el artículo 25 de la ley DORA es el que afecta directamente a este colectivo TIC, ya que pauta el camino a seguir para reducir el riesgo tecnológico al trabajar con terceros. Este artículo proporciona pautas para reducir este riesgo, incluida la adopción de una estrategia de múltiples nubes y la planificación de la repatriación de datos.
Además, en otros artículos se establecen pautas para la detección y respuesta de los ciberataques, para crear copias y restauración de datos o construir planes de contingencia. Una ventana de oportunidad para la industria tecnológica, pero también un reto de trabajo conjunto.
Los partners tienen ante sí la oportunidad de colaborar para conseguir un marco financiero mucho más seguro, transparente y preparado para el cibercrimen en el entorno financiero. Un espacio donde el intercambio de información y cooperación serán fundamentales entre todos los actores implicados.
En España ya muchas empresas llevan tiempo trabajando en esta regulación, pero es ahora, con la ley DORA vigente, cuando realmente será el momento de llevar esa colaboración entre finanzas y TIC al máximo nivel.
