la Gestión de la ciberseguridad y la resiliencia digital: el Reglamento DORA

En el pasado mes de enero entró en vigor el Reglamento DORA (Digital Operational Resilience Act), esto es el Reglamento (UE) 2022/2554 del Parlamento europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011. Un Reglamento que constituye un paso muy relevante en la introducción de la ciberseguridad como un elemento básico de la gestión de las organizaciones. 

Es importante tener presente que aunque esta disposición, cuyo ámbito de aplicación es el de las entidades financieras en sentido amplio, que ya está en aplicación, no constituye un punto final: por impulso comunitario, concretamente la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo; va a extender el ámbito de la gestión de la ciberseguridad como un elemento general, básico y transversal de las organizaciones. 

En efecto, el Anteproyecto de ley, que está en fase de información pública en el sitio web del Ministerio del Interior hasta el 10 de febrero de 2025, va a extender estas obligaciones a todas las entidades críticas, entre ellas todas las entidades del sector público que están recogidas en el artículo 2 de la Ley 40/2015; lo que va a exigir un esfuerzo considerable de adaptación en la gestión. Ya ocurrió con la normativa de protección de datos, ya ocurrió con la normativa de canal de denuncias y ahora se da un paso más en la seguridad, a través de los mecanismos que recoge la directiva y a los que nos referiremos otro día.

Volvamos al Reglamento DORA, que nos va a proporcionar unas claves muy relevantes de la gestión de la resiliencia y la ciberseguridad.

1. Las entidades no están aisladas

Los riesgos de ciberseguridad son una consecuencia ineludible de que en la actualidad buena parte de los servicios se efectúen en red. La red genera numerosas amenazas, en donde la capacidad del ciberatacante va siempre por delante del que recibe agresiones. Este último, además, no está aislado sino que existe una relación estrecha con otras entidades y empresas que también son potencialmente vulnerables.

Precisamente por todo ello, hay que insistir mucho en todo lo referente a las relaciones dentro de las entidades financieras y, en particular, cómo se articula jurídicamente la gestión de los riesgos de la ciberseguridad. No es aventurado decir que, al igual que el RGPD modificó los contratos de prestación de servicios, la legislación de ciberseguridad va a hacer otro tanto. Pero, además, habrá que recoger cláusulas de vigilancia de cumplimiento y una estructura que ejercite realmente esta función. 

2. Transversalidad en la gestión de la ciberseguridad

La gestión de la ciberseguridad y la resiliencia no es una tarea de un departamento de una organización sino que es una cuestión global, transversal, en el que todos los departamentos de la empresa han de participar. No es por tanto una tarea añadida al departamento de TIC, ni al de seguridad, sino que han de participar los departamentos legal, de operaciones, comercial, financiero, de recursos humanos y comunicación. Todos tienen que trabajar conjuntamente sin que quepan los reinos de taifas, ya que el problema es de la empresa.

Pero más aún, ni siquiera nos podemos quedar aquí, en la parte ejecutiva de las actuaciones: se trata de una función nueva de la gobernanza de las entidades, que constituye una obligación complementaria a todos los niveles de la entidad. El sistema parte de un mecanismo de gobernanza cuya competencia es del órgano de dirección de la entidad, que “definirá, aprobará y supervisará todas las disposiciones relacionadas con el marco de gestión del riesgo relacionado con las TIC” (artículo 5). Una función que llevará consigo; a través del plan de gestión del riesgo la función de identificar, clasificar y documentar adecuadamente todas las funciones, cometidos y responsabilidades empresariales sustentados por las TIC, los activos de información y activos de TIC que sustenten dichas funciones, y sus cometidos y dependencias en relación con el riesgo relacionado con las TIC (artículo 8). Para lo cual, hay un presupuesto: el dato que se esté a disposición de la entidad financiera ha de ser de calidad, por lo cual, esto supondrá un incremento de la calidad general de su funcionamiento.

3. Un objetivo ambicioso pero necesario

Cuando se habla de la resiliencia digital del sector financiero ¿de qué estamos hablando? La definición que proporciona el Reglamento DORA constituye un objetivo ambicioso, pero necesario teniendo en cuenta la situación de entidad crítica que tienen las entidades financieras: “la capacidad de una entidad financiera para construir, asegurar y revisar su integridad y fiabilidad operativas asegurando, directa o indirectamente mediante el uso de servicios prestados por proveedores terceros de servicios de TIC, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la seguridad de las redes y los sistemas de información que utiliza una entidad financiera y que sustentan la prestación continuada de servicios financieros y su calidad, incluso en caso de perturbaciones” (artículo 3.1 Reglamento DORA).

Dentro de esta ambición tenemos que ser conscientes de que el número de entidades a las que se aplica DORA es inmenso (pueden ser más de 15000), pero que son muy diferentes; desde grandes bancos a pequeñas entidades financieras, como entidades de dinero electrónico, que están surgiendo en la actualidad. Por ello, es relevante tener presente el principio de proporcionalidad, “teniendo en cuenta su tamaño y perfil de riesgo general, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones” (artículo 4).

Proporcionalidad y normalización a escala europea, para que los retos se aborden de forma armonizada en toda el mercado interior, sin que haya problemas de dumping legislativo como consecuencia de ese cáncer comunitario que es la competencia entre ordenamientos jurídicos.

4. Una maratón sin fin de actividades para generar resiliencia digital 

La aprobación de los instrumentos de gestión de riesgo no constituye el punto final, sino el comienzo de una actividad que no tiene fin, dado que constituye un elemento estructural del funcionamiento de las entidades financieras. Y esta es una idea que se ha de resaltar, no sólo como un elemento de la función estratégica de la empresa, sino que ha de proyectarse en cada uno de los contratos que se suscriban. Todos ellos abren la puerta a un conjunto de actividades permanentes cuya fortaleza sólo se verá cuando se produzca el ciberataque, aplicando el dicho de dies cetus an, incertus quando.

Sí resulta claro que hay una serie de aspectos que se tienen que contemplar en los planes que se aprueben por las entidades: Protección y prevención (lo que incluye la necesidad de un aprendizaje que está siempre evolución); Detección; Respuesta y recuperación; Políticas y procedimientos de respaldo y procedimientos y métodos de restablecimiento y recuperación. Todo ello dentro de unos planes de gestión de riesgo que tienen un elemento complementario que proporciona una visión general de cuál es la situación de la entidad financiera: las Pruebas de resiliencia operativa digital, que “sirven para evaluar el estado de preparación para gestionar incidentes relacionados con las TIC, o de detectar debilidades, deficiencias y carencias en materia de resiliencia operativa digital y de aplicar sin demora medidas correctoras, las entidades financieras que no sean microempresas establecerán, mantendrán y revisarán, teniendo en cuenta los criterios establecidos” (artículo 24).

Es importante tener presente que dentro de estos elementos, la comunicación es un aspecto relevante: el Reglamento DORA exige planes de comunicación de crisis que permitan la divulgación responsable de, al menos, los incidentes graves relacionados con las TIC o las vulnerabilidades importantes destinadas al personal interno (diferenciando los que están directamente vinculados a la gestión del riesgo de los restantes trabajadores de la organización) y a las partes interesadas externas a clientes y contrapartes, así como al público.

Este planteamiento de comunicación, que se complementa con los deberes de notificación que veremos enseguida, parte de una realidad: el ciberataque no es la consecuencia de que se haya actuado mal, sino de que la entidad financiera ha sido el objetivo de unos delincuentes. Por tanto, dado que un ciberataque puede ocurrir a cualquier entidad financiera; de lo que se trata es de establecer cortafuegos para evitar la propagación. 

5. La gestion del incidente

Como señala el artículo 17 “las entidades financieras definirán, establecerán y aplicarán un proceso de gestión de incidentes relacionados con las TIC para detectar, gestionar y notificar dichos incidentes”. Dentro de ellas, un elemento esencial es el deber de notificación de que se ha producido un incidente de ciberseguridad al Banco de España, que es la autoridad nacional en esta materia.

6. Gestión pública de los incidentes de ciberseguridad

El último aspecto es que todo el sistema descansa sobre un sistema de intervención pública en diversos grados; lo ue afecta a su capacidad de comunicación a otros operadores, de generación de buenas prácticas, lo que concluye con el ejercicio de la potestad sancionadora; .

A fin de clarificar los elementos, lo trataré en un post próximamente.

7. Aspectos finales

De todo lo anterior, se ve claramente que se abren una serie de retos para las múltiples entidades financieras que están dentro del ámbito de aplicación del Reglamento DORA. Unos retos en los que no vale la procastinación, porque hay una serie de obligaciones, sanciones y desventajas regulatorias que han de ser tenidas en cuenta.

Por ello, dentro de esa gestion de ciberriesgos, hay que iniciar cuanto antes esa gestión transversal dentro de las entidades financieras en sus aspectos jurídicos, de recursos humanos, comunicativa, comercial y tecnológica para afrontar los retos y las oportunidades que proporciona el Reglamento DORA.

Y las entidades que no son financieras, deben empezar a pensar cómo cumplen con las exigencias de la futura ley de entidades críticas y la norma de transposición de la Directiva de diligencia debida (Directiva 2024/1760, del Parlamento Europeo y del Consejo de 13 de junio de 2024, sobre diligencia debida de las empresas en materia de sostenibilidad). En particular, tanto una como otra tendrán impacto en el sector público va a ser especialmente relevante, tanto para Administraciones públicas territoriales, como los organismos dependientes como las propias empresas públicas. Un reto más que habrá que abordar.