DORA: la ciber resiliencia, un reto urgente para las empresas en la nueva era digital

Por Marina Fontcuberta, profesora del Máster en Blockchain e Inversión en Activos Digitales del IEB.

A tres meses para que el Reglamento (UE) 2022/2554 de resiliencia digital operativa, más conocido como DORA sea aplicable, un proveedor de servicios de cloud, una entidad de pagos, una compañía de seguros, una entidad de dinero electrónico, o un gestor de fondos de inversión alternativo (entre otros sujetos obligados), debe conocer esta normativa que pretende crear una cadena de cumplimiento en torno a todos los operadores que contribuyen a los servicios digitales de los que disponemos.

Todos los prestadores de servicios que forman parte de la cadena también son vulnerables a un posible ciberataque, creando un efecto dominó que puede afectar a la totalidad del servicio. Por ello surge en Reglamento DORA, para crear un nivel de seguridad homogéneo que todos los proveedores de servicio deben cumplir y, sobre todo, para crear un sistema de notificación, respuesta, coordinación y cooperación entre los diferentes proveedores cuyo objetivo es paliar al máximo los efectos negativos que pueden surgir ante una brecha de seguridad (el mencionado “efecto dominó”) .

DORA no necesita transposición, es de aplicabilidad directa, cuya finalidad es crear unos requisitos que permitan a los sujetos obligados de la misma, construir, asegurar y revisar su integridad y fiabilidad operativa asegurando, directa o indirectamente, mediante el uso de servicios prestados por proveedores terceros de servicios de tecnologías de la información, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la seguridad de las redes y los sistemas de información.

El hecho de que este reglamento sea aplicable en toda Europa no es baladí, ya que hace del entorno económico europeo una zona con unos mínimos de ciberseguridad garantizados y que permite, asimismo, que compañías de diferentes países puedan contratar proveedores con total tranquilidad, ya que estos deben cumplir también con DORA y garantizar el sistema de cooperación que la normativa exige.

El hecho de que este reglamento sea aplicable en toda Europa no es baladí, ya que hace del entorno económico europeo una zona con unos mínimos de ciberseguridad garantizados

Si eres un sujeto obligado, ¿cómo debes cumplir con DORA? 

Aunque es altamente recomendable contar con un equipo legal para la adaptación de la compañía, una guía de los pasos a seguir para cumplir con todos los requisitos exige:

En primer lugar, es esencial clasificar la compañía. ¿Qué actividad desempeña? ¿Cuál es su facturación?, ¿Grado de dependencia tecnología con terceros proveedores?, ¿Número de empleados?  Esto se debe a que DORA propone un marco simplificado para empresas que cumplan determinados requisitos. Asimismo, la base de DORA es el principio de proporcionalidad, y establece una exigencia gradual según el tipo de empresa que tenga que dar cumplimiento ya que no tiene la misma implicación para un proveedor de hosting mundial que para una compañía de seguros local.

Como segundo paso, es fundamental hacer un inventario de los proveedores de servicios de TIC que prestan funciones a la compañía. Asimismo, es importante saber qué funciones son, que activos involucra y a qué funciones de la entidad afecta. Una vez realizado ese inventario y localizada dicha información, podremos clasificar los proveedores en críticos y no críticos.  Este paso es fundamental, ya que las obligaciones varían dependiendo de la clasificación del proveedor.

Una vez finalizado el inventario de proveedores, la compañía deberá configurar un marco de gestión de riesgo, compuesto de varios elementos, entre los que destaca la clasificación roles, la gobernanza y organización de la compañía en este ámbito y, la creación de un protocolo de gestión de incidentes que permitan la identificación, protección, prevención, detección, respuesta y notificación de incidentes conforme a los requisitos de DORA.

Los proveedores de TIC son un punto esencial en el reglamento DORA, por ello, además de una estrategia global multiproveedor que muestre las dependencias clave de los proveedores y los motivos subyacentes a la contratación, el marco de gestión de riesgo deberá contar con un registro de todos los contratos celebrados con proveedores de TIC (los cuales se clasificarán en esenciales y no esenciales, y se comunicarán una vez al año a las autoridades competentes). Respecto a este punto, se han emitido normas técnicas orientativas y contar con un proceso de homologación de proveedores con el fin de asegurar que sólo pueden celebrarse contratos con terceros que cumplan estándares estrictos y actualizado en materia de seguridad.

Pruebas de resiliencia y gestión del riesgo de las TIC para mayor seguridad

Otro elemento fundamental de DORA es la realización de pruebas de resiliencia, pues exige llevar a cabo un programa continuado de pruebas para asegurar la continuidad de las funciones esenciales en caso de fallo o brecha de seguridad. Dichas pruebas se pueden clasificar en básicas (las cuales serán obligatorias para todos los sujetos obligados), como llevar a cabo análisis de vulnerabilidades, revisión del código fuente, o bien, pruebas avanzadas, que sólo serán obligatorias para entidades financieras de importancia sistémica.

Por último, DORA exige a las entidades financieras llevar a cabo una gestión del riesgo de las TIC, no sólo internamente, sino frente a terceros proveedores de servicio.  Para ello, se imponen, entre otros, requisitos contractuales (todos los contratos con terceros proveedores deberán ser renegociados, incluyendo un clausulado reforzado en caso de que el tercer proveedor sustente una función esencial), la realización de inspecciones y auditorías para garantizar los niveles de seguridad y disponer de estrategias de salida con terceros proveedores.

Es cierto que el cumplimiento de DORA va a suponer un gran esfuerzo para las empresas: no es una normativa sencilla y es necesario contar con un equipo legal experto que ayude al cliente a navegar la normativa y alcanzar todos los requisitos impuestos. Sin embargo, su cumplimiento brinda un escenario de resiliencia y seguridad que otras normativas previas no habían proporcionado hasta ahora. La necesidad de realizar pruebas constantes, endurecer los contratos con los proveedores, y la obligación de informar notificar a la autoridad europea, entre otros requisitos, van a permitir a las entidades financieras (bancos, entidades de pago, etc.) aprobar una asignatura pendiente.

Tribuna publicada en Funds People.