Las entidades financieras, principal objetivo de la lluvia normativa en ciberseguridad

*María Vidal y Marta Andonegui son socia y asociada de finReg360

La progresiva digitalización de la economía se ha visto acelerada por la situación creada por el covid-19.

Esta rápida evolución ha evitado un freno aún mayor de la actividad de muchas compañías durante estos meses de pandemia. Como contrapartida de beneficios como este, el aumento de la digitalización conlleva también un aumento de los riesgos cibernéticos. En las entidades financieras, un incidente de ese tipo podría provocar una crisis sistémica y amenazar gravemente la estabilidad financiera.

La Unión Europea se muestra preocupada por ello y ha promulgado una serie de paquetes normativos para mejorar la resiliencia, la capacidad operativa y la cooperación dentro del sistema financiero, por su dependencia de las tecnologías de la información y las comunicaciones (TIC).

La primera de las normas sobre ciberseguridad en la Unión Europea fue la Directiva 2016/1148, también conocida como directiva NIS, que impuso medidas para garantizar un elevado nivel común de seguridad de las redes y sistemas de información. Esta norma crea un marco común para gestionar los riesgos de seguridad en redes y sistemas de información, y mejorar la prevención y la resiliencia de las entidades designadas como operadores de servicios esenciales o proveedores de servicios digitales. En esta categoría encajan las del sector financiero. La transpuso al Derecho español el Real Decreto-Ley 12/2018, sobre seguridad de las redes y sistemas de información, y, más recientemente, el Real Decreto 43/2021 ha desarrollado el anterior.

Opinión

TE PUEDE INTERESAR

Más allá de la publicidad de los criptoactivos

Gloria Hernández Aler Mariona Pericas Estrada

Hoy, la directiva NIS se está revisando. La Comisión Europea ha resaltado en su evaluación la deficiente armonización de los Estados miembros a la hora de transponer y ejecutar la directiva. Por eso, la futura directiva NIS 2 incluirá nuevos actores críticos, incrementará la ciberseguridad en la cadena de suministros y establecerá un marco de sanciones por incumplimiento.

Dentro de este conjunto de reformas de la ciberseguridad, y en paralelo con la revisión de la directiva NIS, se encuentra el futuro reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero, conocido como DORA (de (Digital Operational Resilience Act), que modifica los reglamentos n.o 1060/2009, n. o 648/2012, n. o 600/2014 y n. o 909/2014. Ese futuro reglamento busca también definir un marco único europeo de obligaciones, principios y requerimientos de ciberseguridad, directamente aplicable a todas las entidades financieras.

A pesar de que ambas normas instituyen requisitos para la ciberseguridad, la directiva NIS solo afectará a las entidades del sector financiero que hayan sido designadas como proveedores esenciales por el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC). Esta lista de entidades es secreta y este organismo comunica específicamente a las designadas su carácter de proveedor esencial.

Pero la DORA será directamente aplicable a todas las entidades del sector financiero. Por tanto, afectará, sin necesidad de designación y entre otras, a las entidades de crédito, de pago, de dinero electrónico, empresas de servicios de inversión, sociedades de gestión, aseguradoras y reaseguradoras, auditores legales y sociedades de auditoría, así como a los terceros proveedores que presten servicios TIC a dichas entidades.

El futuro reglamento de la DORA dispone pautas con un enfoque basado en el riesgo y atribuye la responsabilidad a los órganos de administración.

Por un lado, introduce requisitos uniformes sobre seguridad de las redes y sistemas de información de las entidades financieras respecto a: (i) la gestión de los riesgos en el ámbito de las TIC; (ii) la notificación de incidentes de seguridad graves al supervisor; (iii) la implantación de un plan de pruebas de resiliencia operativa digital, y (iv) el impulso al intercambio de información entre las entidades sobre ciberamenazas y vulnerabilidades.

La DORA requerirá inversiones en TIC, gestión de procesos y perfiles cualificados

Por otro lado, incorpora un control de proveedores que presten servicios de TIC a entidades financieras, mediante una comunicación periódica detallada al supervisor, acuerdos contractuales e incluso un marco de supervisión de estos proveedores.

Por último, creemos importante subrayar el papel que la norma otorga al órgano de administración, al que hace responsable directo de la dirección del marco de gestión de riesgos de las TIC.

En definitiva, la DORA recoge una gran variedad de obligaciones de cumplimiento normativo sobre ciberseguridad y su puesta en marcha tendrá un efecto considerable en las entidades financieras, porque su implantación requerirá fuertes inversiones en TIC, gestión de procesos, procedimiento con terceros y perfiles cualificados.

Las dos nuevas normativas --NIS 2 y DORA-- se encuentran hoy en trámite parlamentario europeo. Se espera que la segunda esté aprobada a finales de 2022 o principios de 2023, y será aplicable a los doce meses de su aprobación, excepto para las medidas relacionadas con las pruebas de penetración, que se amplía a 36 meses.

Ya ven, mucho trabajo por hacer.