En este contexto, el pasado 17 de enero de 2023 entró en vigor la Directiva de Resiliencia Operacional (DORA), con un plazo de adaptación de dos años. Esto significa que, en apenas ocho meses, el panorama regulatorio del sector bancario en el ámbito de la resiliencia operativa y la ciberseguridad dará un giro significativo.
El concepto de resiliencia operacional ha emergido con fuerza en los últimos tiempos. Se refiere a la capacidad de una organización para resistir y recuperarse de incidentes en sus sistemas de información. Es decir, marca cómo de preparadas están las entidades para afrontar la ocurrencia de un evento adverso que afecte a los sistemas o a los datos de los clientes.
Con la aprobación de DORA, el Parlamento Europeo plantea una armonización del entorno legislativo actual en el sector basándose en cuatro pilares fundamentales:
- Gestión de riesgos relacionados con la tecnología. DORA exige identificar y evaluar los riesgos asociados con las actividades y servicios basados en el uso de las TIC. Esto implica comprender los escenarios de interrupción y/o fuga de información y desarrollar planes de respuesta sólidos.
- Implementación de medidas proactivas de resiliencia. Esto implica adoptar prácticas de ciberseguridad y ejecutar pruebas que verifiquen la eficacia de las medidas de protección y el fortalecimiento de las redes, así como la compartición de información sobre amenazas y vulnerabilidades cibernéticas entre países miembros.
- Implantación de planes de restauración ante la interrupción de servicios clave o que afecten a la información de los clientes, evitando la pérdida o fuga de información. Esto implica la asignación de recursos adecuados y la coordinación efectiva entre los actores involucrados.
- Gestión, clasificación y notificación de incidentes. Es necesario implementar sistemas para monitorizar, gestionar, registrar y clasificar incidentes relacionados con la seguridad y la disponibilidad de los datos y servicios tecnológicos. En ciertas circunstancias, se deben presentar informes a las autoridades competentes, así como a los clientes y partes afectadas.
Estos cuatro pilares deben considerar dos elementos clave sin los que las entidades no pueden trazar los planes adecuados, pues tendrían una visión parcial del entorno con el que se relacionan y se obviarían riesgos clave:
- Los clientes son la base de cualquier organización y su confianza y satisfacción son vitales. La adaptación a DORA debe involucrar a los clientes y los servicios ofrecidos a la hora de planificar y responder ante situaciones de crisis. Esto implica comunicar de manera transparente los posibles riesgos y las medidas implementadas para garantizar la resiliencia operacional y la protección de sus datos, así como establecer canales de comunicación adecuados en caso de evento.
- Los terceros en los que se externaliza parte o la totalidad de la actividad, con una especial atención a proveedores en la nube. Es necesario evaluar y seleccionar proveedores confiables y garantizar la robustez de toda la cadena de subcontratación asociada. Se debe evaluar su capacidad para hacer frente a situaciones de crisis, su historial de cumplimiento de estándares y la implementación de medidas de seguridad acorde con los criterios de la entidad. La colaboración con los proveedores es fundamental para establecer mecanismos de respuesta conjunta ante eventos adversos.
DORA representa, por tanto, un paso más en el camino de las entidades financieras en el fortalecimiento de sus infraestructuras tecnológicas para hacerlas más seguras y resilientes. El cliente aparece como elemento central de este cambio, debiendo enfocar esfuerzos en garantizar que los servicios se prestan conforme a sus expectativas, asegurando que sus datos se encuentran protegidos en todo momento y ante cualquier circunstancia.