Además de la Directiva SRI 2, el Reglamento sobre la resiliencia operativa digital del sector financiero (DORA por sus siglas en inglés) añade otro nivel de ciberseguridad al sector financiero. Para proteger sus activos y los intereses económicos de las naciones europeas, las instituciones financieras deben reforzar su resiliencia operativa digital.
El sector financiero está muy afectado por las ciberamenazas
Aumentan los ciberataques
Los ciberataques se dirigen masivamente contra las infraestructuras del sector financiero. El riesgo cibernético representa hoy un riesgo importante para la estabilidad financiera. En su informe sobre la evaluación de riesgos del sistema financiero, publicado en junio de 2023, el Banco de Francia señala que el «sistema financiero sigue expuesto a un nivel muy elevado de riesgo de ciberataques.» Esto se debe al contexto geopolítico y también a la inteligencia artificial, que abre la vía a ataques muy sofisticados y más difíciles de contrarrestar.
La digitalización ultrarrápida de las empresas del sector financiero también explica esta exposición masiva al riesgo cibernético. Aunque la digitalización de los servicios bancarios comenzó muy pronto, la seguridad de los sistemas de información no se produjo tan rápidamente. Además, los empleados de las entidades bancarias hacen un mayor uso de los dispositivos móviles y están más expuestos a los riesgos de ciberataques.
El Reglamento DORA complementa a la Directiva SRI 2 en ciberseguridad
Como consecuencia de estos numerosos riesgos y retos, la Unión Europea ha clasificado el sector bancario como altamente crítico en virtud de la Directiva SRI 2. Por consiguiente, las organizaciones reforzarán su ciberseguridad y formarán a sus responsables. Además, el Reglamento DORA obliga a las entidades financieras a redoblar sus esfuerzos para gestionar mejor sus riesgos cibernéticos y ser más ágiles.
Puntos principales del Reglamento DORA
¿A qué organizaciones afecta?
El Reglamento DORA se aplica a la mayoría de las organizaciones del sector financiero, como:
- entidades de crédito,
- empresas de inversión, pago o dinero electrónico,
- empresas gestoras,
- compañías de seguros y reaseguros,
- intermediarios de seguros y reaseguros.
Objetivo: reforzar la resiliencia operativa digital
Mejor cartografía y gestión de los riesgos cibernéticos
Al igual que el «enfoque de todos los riesgos» de la Directiva SRI 2, el Reglamento DORA tiene como objetivo mejorar la concienciación sobre los riesgos en el sector financiero. Las entidades financieras deben tener en cuenta los riesgos inherentes a sus operaciones. El reglamento exige identificarlos y cuantificar su nivel de impacto en la organización, tanto interna como externamente. De esta forma, tendrán mejor visibilidad de las medidas que se pongan en marcha y serán más ágiles.
Esta gestión del riesgo también contribuye a que el ecosistema de la empresa gane en tranquilidad. Esto se aplica a los clientes, cuyos activos y datos personales deben estar plenamente protegidos.
Proveedores de servicios de TIC sujetos a la normativa
Los bancos e instituciones financieras de hoy dependen de las tecnologías de la información y la comunicación. Si no son lo suficientemente seguras, estas tecnologías exponen los datos sensibles que transmiten.
En virtud del Reglamento DORA, el sector financiero tendrá que ser resiliente frente a las perturbaciones operativas vinculadas a estas tecnologías. Las organizaciones serán responsables de identificar y clasificar los riesgos relacionados con las TIC y desarrollar procesos de gestión de incidentes.
Además, las autoridades de supervisión llevarán a cabo controles sobre el cumplimiento de las TIC con las medidas de gestión de riesgos. Por tanto, podrán imponerse sanciones en caso de incumplimiento.
Elegir proveedores de servicios acreditados por ANSSI
La Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) recomienda productos y proveedores de servicios altamente seguros, gracias a su visado de seguridad. De este modo, ayuda a las organizaciones que operan en sectores sensibles, como el financiero, a evaluar la fiabilidad de las soluciones de comunicación.
En caso de incidente de ciberseguridad, los equipos necesitan seguir intercambiando información en un entorno altamente seguro. Esto garantizará la continuidad de la actividad y asegurará la resiliencia operativa.
Tixeo es la única solución francesa de videoconferencia segura que cuenta con la certificación y Ia acreditación de la ANSSI. En caso de incidente cibernético, su solución Secure by design permite crear una unidad de crisis virtual con cifrado de extremo a extremo.
¿Cuándo entrará en vigor el Reglamento DORA?
El Reglamento DORA entró en vigor en la Unión Europea el 16 de enero de 2023. Por tanto, ya se está aplicando. La fecha límite para la transposición de la normativa en todos los Estados miembros será el 17 de enero de 2025.
Campañas de pruebas de resistencia cibernética en preparación
El sistema bancario se somete a cabo periódicamente pruebas de resistencia, vinculadas a las condiciones sociales y económicas. Pronto también podrá someterse a pruebas de resistencia cibernética. De hecho, el BCE (Banco Central Europeo) ha anunciado planes para poner a prueba la resistencia cibernética de las instituciones financieras a partir de 2024. Esto se hará mediante pruebas de resistencia de ciberseguridad. El aumento de las ciberamenazas, el teletrabajo y el uso de la nube están incrementando la gravedad de los ciberataques, por lo que han motivado esta iniciativa.
Una buena manera de que las organizaciones del sector financiero pongan a prueba sus preparativos para el DORA.
