En vigor desde enero, la Ley de Resiliencia Operativa Digital (DORA) ha exigido un esfuerzo considerable a los directores de sistemas de la información (CIO, por sus siglas en inglés) y a los directores de seguridad de la información (CISO) de 20 tipos de entidades financieras para lograr su cumplimiento. Para muchos, el viaje no ha terminado.
“En los últimos meses, las entidades financieras a las que se dirige DORA han estado ocupadas definiendo internamente las funciones y responsabilidades relacionadas con la seguridad de las TIC, identificando los principales riesgos dentro de las funciones esenciales e importantes, desarrollando un marco de gestión de las ciberamenazas que incluya políticas y procedimientos para la supervisión de los recursos de las TIC, y preparando las medidas necesarias para garantizar el control de la cadena de suministro”, destaca Giulia Mariuz, abogada del bufete Hogan Lovells.
DORA, que tiene como objetivo reforzar la resiliencia operativa en el sector bancario y financiero, incluye cinco pilares que los líderes de TI deben abordar: gestión de riesgos de las tecnologías de la información y la comunicación (TIC), gestión de pruebas, gestión de incidentes y elaboración de informes, gestión de riesgos de terceros e intercambio de información sobre vulnerabilidades y amenazas entre entidades financieras, siendo este último pilar opcional.
El cumplimiento está resultando una carga, especialmente para la gestión de riesgos de terceros, que requiere la revisión de los contratos con los proveedores de TIC. Este elemento de DORA requiere que los CIO y los CISO examinen a sus subcontratistas de TI y, con el apoyo de los servicios jurídicos, renegocien los contratos para incluir cláusulas adecuadas que protejan a la empresa desde el punto de vista de la ciberresiliencia.
“El CIO de la entidad financiera tendrá que promover y supervisar la diligencia debida de las actividades internas”, destaca la abogada María Roberta Perugini. “El CIO debe tener un mapa de las obligaciones reglamentarias, evaluar cómo encajan con la realidad actual, ver qué falta —mediante un análisis de deficiencias— y luego colaborar en los procesos de selección y evaluación de proveedores y subcontratistas y en la traducción de todo esto en cláusulas contractuales dirigidas a los numerosos y diferentes proveedores TIC que componen la cadena de suministro de la entidad financiera, todo lo cual debe permitir que esta cumpla con la normativa”.
DORA, un cumplimiento complejo para las empresas
La tarea es especialmente difícil para las empresas más pequeñas, que suelen tener menos recursos, tanto económicos como de personal.
“Como suele ocurrir con normativas tan ambiciosas, el camino hacia el cumplimiento es especialmente complejo”, afirma Giuseppe Ridulfo, subdirector del departamento de Organización y CIO de Banca Etica. “Esto es especialmente cierto para las entidades más pequeñas, como Banca Etica, que se encuentran con importantes retos estructurales. DORA, aunque tiene objetivos compartidos, carece de un principio de proporcionalidad que tenga en cuenta las diferencias entre las grandes instituciones y los bancos más pequeños”.
Esto se agrava en el caso de las organizaciones más pequeñas debido a la prevalencia de la externalización en estas empresas, explica Ridulfo.
“Este modelo operativo, que permite el acceso a tecnologías y habilidades avanzadas, choca con los estrictos requisitos de la normativa, en particular los que imponen un control riguroso sobre los proveedores externos y una gestión compleja de los contratos relacionados con funciones esenciales o importantes”, afirma. “Para un banco pequeño, garantizar que cada detalle cumpla con DORA requiere un esfuerzo considerable, agravado por los recursos humanos y financieros a menudo limitados”.
El retraso en la llegada de las Normas Técnicas de Regulación (RTS) no ayuda.
“El legislador no ha completado el proceso reglamentario”, afirma Giancarlo Butti, auditor y experto en privacidad y seguridad. “Hasta la fecha, solo se han publicado oficialmente algunas de las normativas delegadas, por lo que las entidades financieras que, por ejemplo, están redefiniendo los contratos con los proveedores tendrán que añadir posteriormente —una vez que lleguen las demás normativas delegadas— la parte relativa a la gestión de las relaciones con los subcontratistas. De hecho, es muy importante que las entidades financieras consideren cuidadosamente el riesgo de toda la cadena de suministro. Un aspecto que no se considera lo suficiente es que el impacto de DORA no solo involucra a las entidades financieras, sino, indirectamente, a toda la cadena de suministro de las TIC”.
La complejidad de DORA, por lo tanto, no está en el texto en sí, aunque es sustancial, sino en el trabajo que implica para su cumplimiento. Como señala Davide Baldini, abogado y socio de la firma de consultoría jurídica TIC, “DORA es una ley muy clara, ya que es un reglamento, que se aplica por igual en todos los países de la UE y contiene disposiciones muy detalladas. En comparación, la NIS2 se basa en principios y es una directiva, por lo que cada país miembro tiene margen de maniobra en su aplicación. Sin embargo, DORA es muy prescriptiva, y esto hace que el cumplimiento sea complejo en términos de tiempo y de recursos humanos y financieros que hay que desplegar”.
El nudo de la gestión de proveedores de TIC
Muchas instituciones financieras, grandes y pequeñas, se están quedando atrás en la revisión de sus cadenas de suministro TIC, que pueden incluir múltiples proveedores de tecnología, proveedores y subcontratistas.
“La ley impone lo que se denomina responsabilidad inquebrantable”, afirma Baldini. “En pocas palabras, los bancos son responsables si el proveedor no es fiable desde el punto de vista de la seguridad, incluso si existe una proporcionalidad en la importancia de los terceros. Las instituciones financieras están obligadas a tener un registro con información sobre terceros, indicando quiénes son, qué productos proporcionan, etc., incluida la documentación contractual. Y esto es solo el primer paso: existe la obligación de comunicar esta información a las autoridades competentes al menos una vez al año. Es un proceso engorroso”.
Por supuesto, los CIO y los CISO pueden requerir más tecnologías o tecnologías diferentes a sus proveedores para garantizar la ciberresiliencia operativa, y es posible que el proveedor no pueda prestar los servicios solicitados o se vea obligado a renegociar los precios.
“El actual proyecto de reglamento sobre la cadena de subcontratación condiciona la celebración del contrato de subcontratación a la intermediación activa del proveedor, estableciendo explícitamente tanto que el proveedor debe garantizar que las obligaciones contractuales de los subcontratistas permitan a la entidad financiera cumplir con todas las normas aplicables, como que el proveedor es responsable de la prestación de los servicios prestados por los subcontratistas”, afirma el abogado Perugini.
Este es un aspecto especialmente delicado, porque, si bien es cierto que la responsabilidad en caso de incumplimiento recae en la entidad financiera, probablemente esta la traspasará (en términos de posible indemnización por daños y perjuicios) al primer proveedor de su cadena.
Desafíos para los líderes de TI: gobernanza de TI
Evaluar la resiliencia de los sistemas informáticos de la empresa y las relaciones con terceros en cuanto a riesgos es fundamental para el cumplimiento de DORA, pero la ley también exige medidas técnicas, como la evaluación de la seguridad de la red o las pruebas de penetración, que los CIO tendrán que seguir en coordinación con terceros, a quienes normalmente se confían estos servicios altamente especializados en la mayoría de las organizaciones financieras.
Otro reto clave es reforzar la gobernanza de las tecnologías de la información.
“La normativa exige el establecimiento de una función de control de riesgos de TIC independiente y sólida, capaz de supervisar eficazmente todas las actividades relacionadas con la resiliencia operativa digital”, observa Ridulfo, de Banca Etica.
Para las empresas más pequeñas, esto significa invertir en formación para el personal interno o, si es necesario, contratar nuevos recursos, lo que implica costes y plazos que no siempre se ajustan a los plazos reglamentarios.
“Es un doble desafío”, afirma Ridulfo. “Por un lado, necesitamos desarrollar habilidades internas; por otro, estas habilidades deben adaptarse a una normativa en constante evolución”.
Incluso para un banco digital y eficiente como AideXa, el desafío del cumplimiento es la naturaleza cambiante de los procesos y las estructuras de control que exige la nueva normativa. Al mismo tiempo, ser nativo digital ha sido una ventaja.
“Nuestro plan de continuidad de negocio ya se creó para permitirnos ser ciberresilientes. Y ya teníamos requisitos como obligaciones de nivel de servicio y continuidad del negocio en nuestros contratos con proveedores TIC”, afirma Elena Adorno, CIO y COO de Banca AideXa. “DORA es sin duda una regulación compleja e implica costes para las entidades financieras, pero estamos en la fase de ampliación y, por lo tanto, hemos conseguido incluir y hacer converger los objetivos dentro del plan industrial que ya incluía inversiones y crecimiento”.
Aun así, añade Adorno, “el hecho es que queda mucho trabajo por hacer en el camino hacia el cumplimiento y es diario y generalizado, tanto en términos de las tecnologías que se adoptarán como de la gestión de riesgos”.
Cómo proceder con los nuevos contratos TIC
Otro desafío clave para los líderes de TI será lo que se necesita para reemplazar a cualquier proveedor o subcontratista que no permita el cumplimiento perfecto de DORA.
“Las entidades financieras no tienen mucho poder de negociación con los proveedores”, observa Butti. “Si el proveedor no se adhiere a los ajustes contractuales propuestos por la entidad financiera, no es seguro que esta última encuentre fácilmente otro que los acepte, y la migración podría, en cualquier caso, tener un coste elevado. En ese momento, se necesita una gestión de riesgos adecuada: un único proveedor que no se adhiera a los requisitos propuestos podría llevar a la aceptación de un cierto nivel de riesgo por parte de la entidad financiera, pero no sería fácil de reemplazar”.
Si este riesgo se compara con una cartera más amplia de proveedores que cumplan con los requisitos, podría ser aceptable. Pero aquí es donde entran en juego la gestión y la gobernanza de la entidad financiera, que evalúan y negocian nuevas cláusulas caso por caso.
“Es impensable imponer su propia política de seguridad y un contrato estándar a todos los proveedores; la realidad es que requeriría una negociación con cada proveedor individual, que puede haber implementado ya los requisitos solicitados por la normativa con soluciones diferentes a las propuestas, pero que siguen cumpliendo”, dice Butti. “Piense, por ejemplo, en un proveedor que presta servicios a docenas de instituciones financieras; es impensable que se adapte a las peticiones de cada una”.
En términos generales, explica el abogado Perugini, el esquema contractual propuesto por las entidades financieras a los proveedores debe reflejar no solo los contenidos mínimos explícitamente previstos por DORA y otras normativas complementarias, sino también los elementos normativos internos —normas organizativas que deben traducirse en políticas y procedimientos— necesarios para garantizar eficazmente a la entidad financiera toda la flexibilidad para cumplir con las obligaciones de gobernanza y control de sus riesgos TIC.
“La coordinación necesaria implicará, por tanto, traducir en cláusulas contractuales las obligaciones de gobernanza interna que la ley impone exclusivamente a la entidad financiera”, afirma Perugini.
DORA también presenta oportunidades
DORA también se centra mucho en la continuidad del negocio, por lo que es importante que el CIO cuente con políticas de continuidad del negocio y de recuperación ante desastres.
“Estas también son útiles para el cumplimiento del GRPD y, en general, se puede decir que el complejo trabajo de adaptación a DORA tiene el efecto secundario positivo de ayudar a las empresas a adaptarse a otras normativas de la UE, empezando, precisamente, por la de datos personales”, afirma Baldini, de ICT Legal Consulting. “El cumplimiento de DORA, de hecho, conduce a una gestión diligente del riesgo informático y del riesgo de terceros, lo que a su vez conduce al cumplimiento de muchas normativas aplicables a los bancos, además de garantizar una mejor ciberseguridad y ciberresiliencia, que es precisamente el propósito de la ley”.
Ridulfo, de Banca Etica, también hace hincapié en que, a pesar de las dificultades, DORA también representa una oportunidad para reforzar la resiliencia operativa y crear un ecosistema financiero más seguro y colaborativo: invertir en habilidades, desarrollar herramientas de automatización para el cumplimiento y adoptar un enfoque más colaborativo, por ejemplo, mediante el intercambio de información sobre ciberamenazas, puede ayudar no solo a responder a las necesidades normativas, sino también a construir un futuro más sólido para todo el sector.
“La resiliencia digital no es solo una obligación normativa, sino también una responsabilidad hacia los clientes, los socios y la comunidad financiera. La tarea de los CIO no es solo garantizar el cumplimiento, sino también transformar este viaje en una oportunidad para construir sistemas más seguros y sostenibles”, observa Ridulfo. “El camino para lograr este objetivo está lejos de ser lineal y requiere un compromiso continuo para equilibrar los requisitos normativos con los recursos disponibles y las capacidades operativas”.
Adorno, de Banca AideXa, quiere señalar que DORA tiene posibles implicaciones positivas para las empresas más pequeñas, empezando por un mayor poder de negociación con los proveedores de tecnología.
“Si, por un lado, la tarea de revisar todos los contratos con la cadena de suministro de las TIC es una carga, las empresas —a menudo con poco poder de negociación frente a las grandes empresas tecnológicas que no entraban en el ámbito de la externalización de las TIC— pueden ahora aprovechar los requisitos que se rigen por la normativa”, afirma.
Otra ventaja es que DORA impulsa la industrialización de los procesos.
“Los requisitos de la DORA nos permiten acelerar la automatización de los procesos no esenciales”, explica. “La reducción de las actividades manuales estaba prevista en nuestro plan de negocio, pero ahora esta normativa supone un estímulo adicional”.
Los próximos meses serán cruciales
En la actualidad, existe un retraso generalizado en el cumplimiento de DORA y, como afirma Baldini, “este primer año servirá como período de rodaje”.
La abogada Giulia Mariuz, de Hogan Lovells, observa: “En los próximos meses, las empresas sujetas a DORA tendrán la oportunidad de poner a prueba las medidas establecidas dentro de sus marcos de gestión de riesgos y procesos de diligencia debida sobre los proveedores de servicios TIC externos y cualquier subcontratista, así como la solidez de las medidas contractuales adoptadas de conformidad con los requisitos de DORA”.
En este sentido, Giulia Mariuz destaca la importancia de los equipos multidisciplinares: “El CIO, junto con las funciones legales y de cumplimiento y con el apoyo activo de los CISO, tendrá un papel central”.
El regulador también tendrá que poner de su parte. Ridulfo subraya la complejidad que supone para el COI gestionar la continua evolución del marco regulatorio.
“Además de la propia regulación, que ya es intrínsecamente compleja, la producción de RTS, normas técnicas de implementación de ITS y directrices por parte de las autoridades europeas añade una capa más de incertidumbre”, concluye Ridulfo. “Los cambios introducidos por estos actos delegados pueden alterar sustancialmente los proyectos en curso, obligando a los bancos a replantearse los planes ya en marcha y a asignar recursos adicionales para actualizaciones constantes. Esta dinámica hace que el trabajo de planificación e implementación sea extremadamente complejo, convirtiendo el proceso de cumplimiento en una carrera contra el tiempo en un terreno en constante cambio”.
Read More from This Article: Los CIO y los CISO se enfrentan a DORA: desafíos clave de cumplimiento
Source: News