El 11 de mayo de 2022, la Unión Europea (UE) alcanzó un acuerdo provisional sobre la nueva Ley de Resiliencia Operacional Digital (DORA). A pesar de la redacción, DORA no tiene nada de "provisional". De hecho, una de las regulaciones de ciberseguridad de mayor alcance del mundo para los servicios financieros y sus cadenas de suministro es prácticamente un hecho.
Todo lo que queda antes de la adopción formal, prevista para octubre, implica principalmente un puñado de cambios técnicos y la traducción a los 24 idiomas oficiales de los estados miembros de la UE.
DORA representa la respuesta de la UE al número cada vez mayor de ciberataques contra instituciones financieras. Está diseñado para fortalecer la seguridad de las empresas financieras de la UE, como bancos, compañías de seguros, empresas de inversión y más, imponiendo requisitos de resiliencia y regulando la cadena de suministro. Pero, como señalé en un post anterior, los principios de DORA se extienden mucho más allá de la UE y su sector financiero.
Los requisitos uniformes de DORA para la seguridad de las redes y los sistemas de información abarcan no solo a las empresas del sector financiero sino también a proveedores externos críticos que brindan servicios relacionados con la tecnología de la información y las comunicaciones al sector financiero, como plataformas en la nube y análisis de datos.
De hecho, el alcance de DORA se extiende básicamente a cualquier empresa que ofrezca servicios de tecnología de la información y las comunicaciones (TIC) que se considere fundamental para la cadena de suministro que respalda al sector financiero europeo, independientemente de si esa empresa o servicio tiene su sede dentro de la UE o no. De hecho, bajo DORA, la complejidad de la cadena de suministro o la falta de presencia de la UE se consideran factores de riesgo.
Exigir nuevas perspectivas regulatorias
DORA es única porque aporta un nivel nuevo y diferente de escrutinio regulatorio a una amplia variedad de empresas globales. Los requisitos de DORA mandato – no simplemente sugerir – el cumplimiento de sus disposiciones. Igual de importante es que el impacto de este nuevo nivel de escrutinio regulatorio difiere según el punto de vista de la empresa.
Las instituciones financieras acostumbradas a un entorno regulatorio diseñado principalmente para evaluar el riesgo y la estabilidad financieros ahora tendrán que tomar el riesgo potencial que plantean sus operaciones de TIC con la misma seriedad. Las instituciones financieras están acostumbradas a abordar el riesgo en forma de requisitos de capital. DORA adopta un enfoque diferente al exigir comportamientos específicos y requisitos basados en el desempeño. Desde el punto de vista de las instituciones financieras, esa elevación del riesgo tiene consecuencias en múltiples aspectos de sus negocios, como la forma en que consumen tecnología y cómo transforman sus negocios mediante la transición a nuevas tecnologías como la computación en la nube. Esto incluye estrategias y capacidades generales de gestión de riesgos, seguridad de la cadena de suministro y dotación de personal y políticas organizacionales para garantizar una evaluación y cumplimiento adecuados de los riesgos de TIC.
DORA también cambia la perspectiva regulatoria de las organizaciones TIC. Hasta ahora, se han regulado principalmente en cuestiones relacionadas con los datos, como la privacidad de los datos y la notificación de violaciones de datos, basándose en preocupaciones sobre los datos personales y objetivos políticos como la soberanía digital. Me vienen a la mente normas innovadoras, como el Reglamento General de Protección de Datos (GDPR) en Europa y la más reciente Ley de Privacidad del Consumidor de California (CCPA) en Estados Unidos.
Las organizaciones de TIC también pueden tener otras obligaciones regulatorias en materia de seguridad, o haber sido clasificadas como infraestructura crítica, dependiendo de dónde estén ubicadas, como en el caso de Directiva de seguridad de la información y las redes (NIS) en Europa, la Ley de ciberseguridad de 2018 en Singapur, o legislación sectorial para industrias especializadas, como las de telecomunicaciones en Estados Unidos.
Ahora bien, si las empresas de TIC prestan servicios a instituciones financieras en la UE, lo más probable es que también estén sujetas a DORA. Entonces, además de sus marcos regulatorios anteriores, aquellos proveedores de TIC designados como que ofrecen un servicio crítico de repente serán regulados bajo DORA de una manera que se sentirá como si se estuvieran convirtiendo en extensiones de las instituciones financieras de la UE a las que prestan servicios. Independientemente de cómo se mire, se trata de un cambio espectacular, tanto para las instituciones financieras como para los proveedores de TIC.
Pero eso no es todo. DORA cambia la perspectiva del establishment regulatorio de la UE. Los reguladores expertos en el cumplimiento de las instituciones financieras ahora deben ampliar su alcance para incluir a los proveedores de TIC que ofrecen servicios críticos, como proveedores de nube, servicios de análisis de datos y otros negocios no financieros. En países con estructuras regulatorias complejas, también será necesario cooperar con otros organismos encargados de regular estos tipos adicionales de industrias no financieras.
Enfrentando los desafíos
DORA exige que las instituciones financieras de la UE evalúen su propia madurez en materia de ciberseguridad y gestión de riesgos. Comprender y gestionar el desempeño de los riesgos de su cadena de suministro será fundamental para este esfuerzo.
En general, las instituciones financieras son expertas en pruebas de resistencia para determinar la seguridad y la estabilidad financiera. Es un desafío diferente extender ese tipo de pruebas a otras organizaciones. Por lo tanto, para el sector financiero de la UE, el mayor enigma plantea cómo gestionar los proveedores, la gestión de riesgos y las capacidades operativas en una cadena de suministro cada vez más compleja y extendida.
Por ejemplo, una institución financiera podría tener su sede en Europa pero todas sus actividades de apoyo se subcontratarán a empresas con sede en la India. Es posible que estos servicios de apoyo técnicamente no sean instituciones financieras. Pero DORA requerirá que la institución financiera evalúe si el proveedor es fundamental para sus operaciones y aplique los requisitos DORA pertinentes a esa relación.
Para las empresas que no tienen su sede en la UE, la cuestión clave es la jurisdicción y el acceso al mercado. Las instituciones financieras o los proveedores de TIC que operan fuera de la UE no se ven afectados. Pero si la empresa es una institución financiera o un proveedor de servicios de TIC que presta servicios al sector financiero de la UE de alguna manera, lo más probable es que esté sujeta a DORA, directa o indirectamente.
Cuenta regresiva para 2024
A menos que algo cambie en el texto final, DORA entrará en vigor 24 meses después de su adopción oficial. De manera realista, es probable que eso ocurra cerca del cierre de 2024. La buena noticia es que esto brinda suficiente tiempo para que las organizaciones se preparen para el cumplimiento. Lo más importante es que no es demasiado largo para incluirlo en un ciclo presupuestario empresarial típico.
Pero antes de que se te ocurra esa fecha límite, empieza a prepararte. ahora. Aquí hay cinco pasos clave:
- Utilice sabiamente el tiempo hasta 2024.
- Entiende dónde estás. Busque, encuentre e identifique sus brechas de cumplimiento.
- Determine lo que necesita para remediar sus brechas.
- Educar y conseguir la aceptación de la alta dirección.
- Presupuesto para los 24 meses.
El reloj está corriendo.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
