El acelerado ritmo de la tecnología y la constante evolución de las ciberamenazas plantean un desafío único para las políticas gubernamentales: las regulaciones deben fomentar la ciberseguridad sin obstaculizar la innovación continua que surge a medida que evoluciona el panorama de amenazas.
El Reglamento de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) de la Unión Europea (UE) persigue un objetivo fundamental: reforzar la ciberresiliencia del sector financiero, uno de los más expuestos a ataques de actores privados y estatales. Busca que las entidades financieras puedan resistir, responder y recuperarse ante interrupciones y amenazas tecnológicas. Para lograrlo, es esencial que los reguladores lo apliquen de manera coherente y duradera, y que las empresas lo adopten como una necesidad estratégica, en lugar de verlo como un mero ejercicio de cumplimiento.
Índice de temas
DORA reconoce que una única solución no sirve para todos
DORA, que entró en vigor el pasado 17 de enero de 2025, unifica la gestión de riesgos TIC en la industria financiera de la UE, que anteriormente estaba sujeta a regímenes regulatorios de organismos financieros separados. El reglamento estandariza cómo las entidades financieras reportan incidentes de ciberseguridad, prueban su resiliencia operativa digital y gestionan riesgos de terceros proveedores de TIC.
Además, admite que los distintos subsectores financieros y sus entidades pueden tener distintos niveles de preparación, lo que permite un abanico de herramientas y acciones para elevar la resiliencia. Este enfoque es útil en el contexto de mejorar la resiliencia, pero solo es el primer paso.
DORA debe implementarse y revisarse de manera adecuada con el tiempo
La implementación de DORA estará dirigida por las Autoridades Europeas de Supervisión (AES), las autoridades nacionales competentes (ANC) a nivel de los estados miembros y la Comisión Europea, que deberán mantenerse al día con la innovación tecnológica para actualizar DORA según sea necesario. Es fundamental la coherencia de este proceso en los 27 estados miembros, ya que las ciberamenazas no entienden de fronteras y las entidades financieras suelen operar a nivel transfronterizo.
Las AES –que incluyen la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Seguros y Pensiones (EIOPA) y la Autoridad Europea de Valores y Mercados (ESMA)- son responsables de publicar normas técnicas regulatorias (RTS) y de implementación (ITS) que detallan los requisitos de DORA. Éstos abarcan la clasificación de incidentes TIC, políticas sobre servicios críticos, informes de incidentes y pruebas de penetración basadas en amenazas. Estas normas se basan en estándares europeos e internacionales y buscan emplear marcos y terminología comunes, manteniendo la proporcionalidad como eje fundamental.
Un enfoque inconsistente dispersaría los recursos de las organizaciones en distintos requisitos, en lugar de concentrarlos en reforzar la seguridad. Además, generaría brechas que los ciberdelincuentes podrían aprovechar. Para evitarlo, las AES han emitido normas técnicas que fomentan la colaboración entre las propias AES y las ANC, con el fin de homogeneizar la supervisión.
Adaptación de la normativa
Las empresas deben consolidar sus esfuerzos para adaptarse a los requisitos de DORA no como una obligación regulatoria, sino como una oportunidad para fortalecer su resiliencia operativa. Esto implica adoptar una arquitectura moderna de ciberseguridad basada en zero trust, que permita una visibilidad total de los flujos de datos, usuarios y aplicaciones, sin importar su ubicación.
La simplificación de la infraestructura, la reducción de proveedores y la automatización de procesos son claves para asegurar la continuidad operativa ante interrupciones o ataques. Además, realizar pruebas periódicas basadas en amenazas reales, como exige DORA, refuerza la capacidad de las organizaciones para detectar, contener y recuperarse frente a incidentes TIC de forma efectiva.
La verdadera resiliencia no se basa solo en prevenir ataques, sino en asegurar que la empresa pueda continuar funcionando, adaptarse rápidamente y recuperarse con agilidad. DORA es una oportunidad para transformar la seguridad en un pilar estratégico del negocio.
