Allá por el año 380 a. C, Platón, en su obra la República, a través del mito de la caverna, explicaba la diferencia entre dos mundos: el mundo sensible y el mundo inteligible. Extrapolando esta idea al presente, no sería ilógico afirmar que, hoy día, vivimos entre dos mundos: mundo real y mundo digital.
La tecnología desarrollada en el mundo digital tiene una relación causa-efecto sobre nuestro mundo real. Y en ese mundo se hace necesario que las instituciones europeas centren sus esfuerzos en regular el impacto que las TIC tienen en todos los sectores de la economía y, muy especialmente, y a los efectos que aquí vamos a tratar, en el sector financiero, donde la dependencia de los servicios TIC por parte de los agentes intervinientes en el mercado financiero surge precisamente de la necesidad de adaptación a una economía mundial digital emergente, donde la digitalización y la consiguiente interconexión amplifican los riesgos de las TIC, bajo la amenaza de los ciberataques.
En el año 2019, las ESA´s (European Supervisory Authorities) elaboraron dos informes técnicos en los que recomendaban reforzar la resiliencia operativa digital del sector financiero. Posteriormente, en el año 2020, la JERS (European Systemic Risk Board) emitió un informe sobre el ciberriesgo sistémico a la vista del elevado nivel de interconexión entre las distintas entidades financieras que operan en el sector, incidiendo en la necesidad de preservar la seguridad en las redes y en los sistemas de información utilizados por las entidades financieras.
En este contexto, llega la propuesta de Reglamento de Resiliencia Operativa Digital, más comúnmente conocido como Reglamento DORA (Digital Operational Resilience Act), el cual forma parte de un conjunto de medidas adoptadas por la UE, Digital Finance Package (recordemos en este punto, dentro de estas medidas, la Directiva NIS, transpuesta a nuestro ordenamiento jurídico a través del RDL 12/2018 (LA LEY 14378/2018), el cual se desarrolla por el RD 43/2021 (LA LEY 1077/2021), de 28 de enero, sobre seguridad de las redes y sistemas de información), con el propósito de mitigar colectivamente el impacto derivado de la implementación y aplicación de TIC en el sector financiero, intentando garantizar su estabilidad, introduciendo mecanismos que creen estructuras resilientes con el objetivo de proteger, o al menos prever, la posible incidencia de agentes externos, obligando a actuar diligentemente, so pena de sanción para el caso de incumplimiento (artículos 44 a 46).
El objetivo prioritario es establecer un marco regulatorio de alcance general donde, por un lado, se armonicen herramientas de gestión y control interno para poder minimizar el impacto de las futuras amenazas en los entornos digitales y, por otro, establecer herramientas, que podríamos denominar de control externo, que permitan regular la contratación con los proveedores de servicios de TIC, dada la importancia capital que han adquirido en la prestación de servicios digitales.
El Reglamento DORA otorga un papel protagonista dentro de la política de gobernanza y control en la gestión de los riesgos de TIC a los Consejos de Administración, atribuyéndoles una responsabilidad directa, pues serán los encargados de definir, aprobar y supervisar el denominado Marco de Gestión de Riesgos, definido en el artículo 5 de dicho Reglamento, el cual habrá de ser auditado periódicamente y revisado, al menos, una vez al año.
El papel del Chief Information Security Officer
Es tal el papel que adquieren los miembros del Consejo de Administración que incluso el borrador prevé la formación específica de sus miembros para adquirir y actualizar los conocimientos necesarios para comprender y evaluar los riesgos derivados de la implementación y utilización de TIC. Huelga decir, en este punto, que la figura del CISO (chief information security officer) en los Consejos de Administración, se antoja fundamental como garante del cumplimiento normativo en materia de ciberseguridad.
El Marco de Gestión de Riesgos TIC que habrán de elaborar las entidades financieras incluirá las estrategias, políticas, procedimientos y protocolos necesarios para identificar, proteger, prevenir y detectar las posibles vulnerabilidades de la entidad ante la implementación de TIC (artículos 7 a 9), todo ello con la intención de ser capaces de generar una rápida respuesta y recuperación, dentro de la implementación de una política de aprendizaje continuo y de comunicación a las autoridades competentes de los incidentes en los sistemas (Arts. 10 a 13).
Otro de los aspectos relevantes del texto normativo radica en cómo deben las entidades financieras gestionar los posibles incidentes que provoquen brechas de seguridad en la empresa. En este punto, las entidades financieras habrán de implementar un proceso de gestión de incidentes de TIC, el cual habrá de abordar las especificidades contenidas en el artículo 15, debiendo clasificar los incidentes en función de determinados parámetros como pudiera ser el número de afectados, la duración del incidente, la extensión geográfica o la pérdida de datos, con la obligación de notificar a las autoridades competentes (art. 41) los incidentes clasificados como graves, todo ello bajo el paraguas de esa cultura de resiliencia que debe primar dentro de nuestra organización.
Dentro de esa política de prevención y detección precoz, las entidades financieras habrán de contar con un Programa de Resiliencia Operativa Digital (art.21), al objeto de evaluar el estado de preparación ante posibles incidentes futuros, detectar debilidades o posibles deficiencias en los sistemas, encontrando su ejemplificación a través de las Pruebas de Penetración Guiadas por Amenazas (artículos 22 y 23), las cuales podrán ser ejecutadas por entidades independientes, llamados testadores (artículo 24).
En ese Marco de Gestión de Riesgo de TIC, las entidades financieras habrán de integrar a los Proveedores de Servicios de TIC, una de las cuestiones más novedosas que introduce el Reglamento, los cuales quedarán sometidos a un marco de supervisión (artículos 28 y ss.) guiado por las ESA´s (European Supervisory Authorities), definiendo en su artículo 27 una serie de cláusulas contractuales que habrán de estar obligatoriamente incorporadas en dichos contratos.
Así, igualmente, y en aras a fortalecer los entornos colaborativos, se regulan en el capítulo VI los acuerdos de intercambio de información entre entidades financieras, de suerte que puedan aprovechar sinergias y compartir know-how en materia de ciberseguridad.
En definitiva, DORA supondrá un giro copernicano en materia de ciberseguridad, introduciendo un marco regulatorio común que permita minimizar la exposición de las entidades financieras a los ciberataques, exigiendo unos estándares de cumplimiento que se antojan necesarios para la gestión de los riesgos derivados de las TIC.