Volver a página de inicio

I. La resiliencia digital como política pública y como exigencia para las empresas

La gestión de la ciberseguridad se ha transformado en un elemento central en la era de internet. El riesgo que asumimos cada uno de nosotros en nuestra gestión de los dispositivos y formas de comunicación (que puede ocasionarnos problemas de envergadura) se potencia cuando estamos hablando de organizaciones, públicas o privadas. El riesgo es mayor porque el impacto social es también muy superior. Muchas de ellas son entidades críticas, formen o no parte del sector público. Por ello, la regulación y la adopción de buenas prácticas proactivas puede evitar que las organizaciones entren en modo remediativo, con los problemas generales que ello plantea.

El primer gran paso está referido a las entidades sistémicas de las que depende la solidez de la economía, las entidades financieras. En el pasado mes de enero entró en vigor el Reglamento DORA (LA LEY 26819/2022) (Digital Operational Resilience Act), esto es el Reglamento (UE) 2022/2554 del Parlamento europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (LA LEY 26819/2022) y por el que se modifican los Reglamentos (CE) n.^o 1060/2009 (LA LEY 20148/2009), (UE) n.^o 648/2012 (LA LEY 13237/2012), (UE) n.^o 600/2014 (LA LEY 9344/2014), (UE) n.^o 909/2014 y (UE) 2016/1011. Un Reglamento que constituye un paso muy relevante en la introducción de la ciberseguridad como un elemento básico de la gestión de las organizaciones.

Es importante tener presente que aunque esta disposición, cuyo ámbito de aplicación es el de las entidades financieras en sentido amplio, es la norma que está en vigor no constituye un punto final: por impulso comunitario, concretamente de la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 (LA LEY 26822/2022) relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE (LA LEY 19348/2008) del Consejo; se va a extender el ámbito de la gestión de la ciberseguridad como un elemento general, básico y transversal de las organizaciones.

En efecto, el Anteproyecto de ley, que ha estado en fase de información pública en el sitio web del Ministerio del Interior hasta el 10 de febrero de 2025, va a extender estas obligaciones a todas las entidades críticas, entre ellas todas las entidades del sector público que están recogidas en el art. 2 de la Ley 40/2015 (LA LEY 15011/2015); lo que va a exigir un esfuerzo considerable de adaptación en la gestión. Ya ocurrió con la normativa de protección de datos, ya ocurrió con la normativa de canal de denuncias y ahora se da un paso más en la seguridad, a través de los mecanismos que recoge la Directiva.

Volvamos al Reglamento DORA (LA LEY 26819/2022), que nos va a proporcionar unas claves muy relevantes de la gestión de la residencia y la ciberseguridad.

II. Entidades afectadas por el Reglamento DORA

El reglamento DORA (LA LEY 26819/2022) se dirige directamente a las entidades financieras. Un concepto amplio que, de acuerdo con lo previsto en el art. 1 del Reglamento está constituido por los siguientes tipos de entidades: a) entidades de crédito; b) entidades de pago, incluidas las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366 (LA LEY 20018/2015); c) proveedores de servicios de información sobre cuentas; d) entidades de dinero electrónico, incluidas las entidades de dinero electrónico exentas en virtud de la Directiva 2009/110/CE (LA LEY 17948/2009); e) empresas de servicios de inversión; f) proveedores de servicios de criptoactivos autorizados en virtud de un Reglamento del Parlamento Europeo y del Consejo relativo a los mercados de criptoactivos y por el que se modifican los Reglamentos (UE) n.^o 1093/2010 (LA LEY 24815/2010) y (UE) n.^o 1095/2010 y las Directivas 2013/36/UE (LA LEY 10339/2013) y (UE) 2019/1937 (LA LEY 17913/2019) (en lo sucesivo, «Reglamento relativo a los mercados de criptoactivos»), y emisores de fichas referenciadas a activos; g) depositarios centrales de valores; h) entidades de contrapartida central; i) centros de negociación; j) registros de operaciones; k) gestores de fondos de inversión alternativos; l) sociedades de gestión; m) proveedores de servicios de suministro de datos; n) empresas de seguros y de reaseguros; o) intermediarios de seguros, intermediarios de reaseguros e intermediarios de seguros complementarios; p) fondos de pensiones de empleo; q) agencias de calificación crediticia; administradores de índices de referencia cruciales; r) administradores de índices de referencia cruciales; s) proveedores de servicios de financiación participativa; t) registros de titulizaciones y u) proveedores terceros de servicios de TIC.

Listado, sobre el que hay que excluir, de acuerdo con lo que dispone el art. 3 a los siguientes tipos de entidades: a) los gestores de fondos de inversión alternativos tal como se contemplan en el art. 3, ap. 2, de la Directiva 2011/61/UE (LA LEY 13861/2011); b) las empresas de seguros y de reaseguros tal como se contemplan en el art. 4 de la Directiva 2009/138/CE (LA LEY 22352/2009); c) los fondos de pensiones de empleo que gestionen planes de pensiones que, en conjunto, no tengan más de quince partícipes en total; d) las personas físicas o jurídicas exentas en virtud de los arts. 2 (LA LEY 9348/2014) y 3 de la Directiva 2014/65/UE (LA LEY 9348/2014); e) los intermediarios de seguros, los intermediarios de reaseguros y los intermediarios de seguros complementarios que sean microempresas o pequeñas o medianas empresas; f) las oficinas de cheques postales tal como se contemplan en el art. 2, ap. 5, punto 3, de la Directiva 2013/36/UE (LA LEY 10339/2013).

Sobre este listado de entidades que están incluidos en el ámbito de aplicación del reglamento DORA (LA LEY 26819/2022) cabe resaltar dos datos que resultan importantes:

En primer lugar, se aprecia que existen dos tipos de entidades: las financieras en sentido amplio y, en segundo lugar, las proveedoras de servicios básicos vinculados a la gestión y comunicación de los datos; que es precisamente el lugar donde se puede almacenar el agente propagador del daño (cloud) o el vehículo a través del que se realiza la comunicación (servicios de comunicaciones). Posiblemente estas dos sean las más relevantes a la hora de garantizar la resiliencia digital y, por ello, los contratos deberán sufrir un proceso de adaptación relevante para incluir todos los elementos de seguridad digital.

En segundo lugar, conviene recordar un aspecto importante: aunque todas ellas han de lograr el objetivo de la protección frente a la ciberdelincuencia, las peculiaridades de cada una de ellas determinarán cómo se articulan. Dicho de otro modo, la idea básica a la hora de saber si se está cumpliendo con el Reglamento es la de proporcionalidad.

De hecho, de las 15.000 entidades que parece que pueden verse afectadas por DORA, hay algunas que con seguridad estarán ya adaptadas mientras que otras, por el contrario, tendrán que padecer un proceso más intenso, tanto en la estructura como en las medidas que tienen que recoger.

III. ¿A quién afecta dentro de las entidades financieras?

Es importante tener presente que el Reglamento DORA (LA LEY 26819/2022) no es un Reglamento para los servicios de TIC de las entidades financieras. Antes, al contrario, lo relevante es que afecta a todo el organigrama de la empresa.

En efecto, de acuerdo con lo señalado en el reglamento DORA (LA LEY 26819/2022), la gestión de la ciberseguridad y la residencia no es una tarea de un departamento de una organización, sino que es una cuestión global, transversal, en el que todos los departamentos de la empresa han de participar. No es por tanto una tarea añadida al departamento de TIC, ni al de seguridad, sino que han de participar, los departamentos legales, de operaciones, comercial, recursos humanos y comunicación. Todos tienen que trabajar conjuntamente sin que quepan los reinos de taifas, ya que el problema es de la empresa.

Pero más aún, ni siquiera nos podemos quedar aquí, en la parte ejecutiva de las actuaciones: se trata de una función nueva de la gobernanza de las entidades, que constituye una obligación complementaria a todos los niveles de la entidad. El sistema parte de un mecanismo de gobernanza cuya competencia es del órgano de dirección de la entidad, que "definirá, aprobará y supervisará todas las disposiciones relacionadas con el marco de gestión del riesgo relacionado con las TIC" (art. 5). Una función que llevará consigo; a través del plan de gestión del riesgo la función de identificar, clasificar y documentar adecuadamente todas las funciones, cometidos y responsabilidades empresariales sustentados por las TIC, los activos de información y activos de TIC que sustenten dichas funciones, y sus cometidos y dependencias en relación con el riesgo relacionado con las TIC (art. 8). Para lo cual, hay un presupuesto: el dato que se tenga ha de ser de calidad, por lo cual, esto supondrá un incremento de la calidad general del funcionamiento de la entidad financiera.

IV. ¿De qué hablamos cuando hablamos de resiliencia digital de las entidades financieras?

Cuando se habla de la resiliencia digital del sector financiero ¿de qué estamos hablando? La definición que proporciona el Reglamento DORA (LA LEY 26819/2022) constituye un objetivo ambicioso, pero necesario teniendo en cuenta la situación de entidad crítica que tienen las entidades financieras: "la capacidad de una entidad financiera para construir, asegurar y revisar su integridad y fiabilidad operativas asegurando, directa o indirectamente mediante el uso de servicios prestados por proveedores terceros de servicios de TIC, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la seguridad de las redes y los sistemas de información que utiliza una entidad financiera y que sustentan la prestación continuada de servicios financieros y su calidad, incluso en caso de perturbaciones".

Dentro de esta ambición tenemos que ser conscientes de que el número de entidades a las que se aplica es inmenso (pueden ser más de 15000), pero que son muy diferentes; desde grandes bancos a pequeñas entidades que están surgiendo en la actualidad. Por ello, es relevante tener presente el principio de proporcionalidad, principio de proporcionalidad, "teniendo en cuenta su tamaño y perfil de riesgo general, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones".

Proporcionalidad y normalización a escala europea, para que los retos se aborden de forma armonizada en todo el mercado interior, sin que haya problemas de dumping legislativo como consecuencia de ese cáncer comunitario que es la competencia entre ordenamientos jurídicos.

Este marco de proporcionalidad se aprecia perfectamente cuando se abordan los Planes de Resiliencia Operativa Digital, que sólo son aplicables a las entidades financieras que no sean microempresas. Es importante la realización de estos Planes (adaptados a las características de las empresas), en la medida en que incorporan "la ejecución de las pruebas adecuadas, como evaluaciones y exploraciones de vulnerabilidad, análisis del software de código abierto, evaluaciones de seguridad de la red, análisis de carencias, exámenes de la seguridad física, cuestionarios y soluciones de software de detección, revisiones del código fuente cuando sea posible, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento, pruebas de extremo a extremo y pruebas de penetración".

V. La red comunica la información, pero también los efectos del delito

El Reglamento DORA (LA LEY 26819/2022), como acabamos de ver, se dirige directamente a los operadores de servicios financieros. Pero ni la red para la interconexión de servicios financieros vive aislada ni cada uno de los operadores opera en el mercado de forma separada. Lo hace relacionándose con clientes, con proveedores o con otras entidades con las que tenga que interrelacionarse.

El funcionamiento en red afecta también a la delincuencia. Los efectos de un ataque pueden tener consecuencia en aquellas entidades con las que estén interrelacionadas, especialmente con los proveedores de servicios con los que la conexión sea permanente.

Por ello, la interrelación obliga a introducir un nuevo contenido en los contratos que se suscriban: los relativos a la gestión de los riesgos de la ciberseguridad. Dicho de otro modo, al igual que ocurrió con la implantación del RGPD, tendremos un ap., normalmente voluminoso, que deberá regular la gestión de la resiliencia digital.

En este sentido, los contratos que se suscriban con empresas de TIC tendrán una serie de elementos obligatorios, recogidos en el art. 28, especialmente con la previsión de procedimientos de resolución del contrato en los casos en que haya existido mal desempeño por parte del prestador de los servicios.

En este sentido, se habrán de contemplar las medidas de seguridad con las que hayan de contar los proveedores de servicios a las entidades financieras. Pero, lo que resulta más relevante, habrá que incluir cláusulas de vigilancia de cumplimiento, mecanismos de comunicación de los ciberataques y una estructura que ejercite realmente esta función.

Pero, al mismo tiempo, el art. 19 prevé un doble nivel de comunicación: Notificación de los incidentes graves relacionados con las TIC y notificación voluntaria de las ciberamenazas importantes. El primero contendrá, al menos, tres tipos de informe (inicial, intermedio(s) de valoración de las consecuencias y final) que se deberá comunicar a la autoridad de control. El segundo es de manera voluntaria, ciberamenazas importantes a la autoridad competente pertinente cuando consideren que la amenaza es pertinente para el sistema financiero, los usuarios del servicio o los clientes.

VI. Un maratón sin fin de actividades para generar resiliencia digital: la gestión del riesgo

El Reglamento DORA (LA LEY 26819/2022) configura una serie de exigencias para la gestión del riesgo digital. Concretamente, el art. 6 dispone que "las entidades financieras contarán con un marco de gestión del riesgo relacionado con las TIC sólido, completo y bien documentado como parte de su sistema global de gestión de riesgos, que les permita hacer frente al riesgo relacionado con las TIC de forma rápida, eficiente y exhaustiva y asegurar un alto nivel de resiliencia operativa digital". Este marco de gestión de riesgo "incluirá al menos las estrategias, las políticas, los procedimientos, y los protocolos y herramientas de TIC que sean necesarios para proteger debida y adecuadamente todos los activos de información y activos de TIC, incluidos el software, el hardware y los servidores, así como para proteger todos los componentes e infraestructuras físicos pertinentes, como locales, centros de datos y zonas sensibles designadas, a fin de garantizar que todos los activos de información y activos de TIC estén adecuadamente protegidos de los riesgos, incluidos los daños y el acceso o uso no autorizados".

A partir de aquí se impone un principio básico de gestión que es el de minimización del riesgo que se produzca, tanto con los protocolos y procedimientos adoptados por la empresa, como por la entrega de información a las autoridades. De todo lo cual ha de quedar constancia, especialmente de las revisiones que se produzcan anualmente.

La aprobación de los instrumentos de gestión de riesgo no constituye el punto final sino el comienzo de una actividad que no tiene fin, dado que constituye un elemento estructural del funcionamiento de las entidades financieras. Y esta es una idea que se ha de resaltar, no sólo como un elemento de la función estratégica de la empresa, sino que ha de proyectarse en cada uno de los contratos que se suscriban. Todos ellos abren la puerta a un conjunto de actividades continuada cuya fortaleza sólo se verá cuando se produzca el ciberataque, algo a lo que se puede aplicar el dicho de dies cetus an, incertus quando.

Sí resulta claro que hay una serie de aspectos que se tienen que contemplar en los planes que se aprueben por las entidades: Protección y prevención (lo que incluye Aprendizaje y evolución); Detección; Respuesta y recuperación; Políticas y procedimientos de respaldo y procedimientos y métodos de restablecimiento y recuperación. Todo ello dentro de unos planes de gestión de riesgo que tiene un elemento complementario que proporciona una visión general de cuál es la situación de la entidad financiera: las Pruebas de resiliencia operativa digital que sirven para evaluar el estado de preparación para gestionar incidentes relacionados con las TIC, o de detectar debilidades, deficiencias y carencias en materia de resiliencia operativa digital y de aplicar sin demora medidas correctoras, las entidades financieras que no sean microempresas establecerán, mantendrán y revisarán, teniendo en cuenta los criterios establecidos" (art. 24).

Es importante tener presente que dentro de estos elementos, la comunicación es un aspecto relevante: el Reglamento DORA (LA LEY 26819/2022) exige planes de comunicación de crisis que permitan la divulgación responsable de, al menos, los incidentes graves relacionados con las TIC o las vulnerabilidades importantes destinadas al personal interno (diferenciando los que están directamente vinculados a la gestión del riesgo de los restantes trabajadores de la organización) y a las partes interesadas externas a clientes y contrapartes, así como al público. Este planteamiento de comunicación, que se complementa con los deberes de notificación que veremos en seguida, parte de una realidad: el ciberataque no es la consecuencia de que se haya actuado mal sino de que has sido el objetivo de unos delincuentes. Por tanto, va a pasar a todos y de lo que se trata es de establecer cortafuegos para evitar la propagación.

VII. La gestión del incidente

Como señala el artículo. Las entidades financieras definirán, establecerán y aplicarán un proceso de gestión de incidentes relacionados con las TIC para detectar, gestionar y notificar dichos incidentes. Dentro de ellas un elemento esencial es el deber de notificación en determinadas ocasiones al Banco de España que se ha producido un incidente de ciberseguridad.

Pero la gestión del incidente requiere, de entrada, una gestión interna, que se articula a través de los siguientes elementos:

VIII. Gestión pública de los de la resiliencia

El último aspecto es que todo el sistema descansa sobre un sistema de intervención pública en diversos grados.

Así, nos encontramos con que, de entrada, se determina una autoridad de control de la resiliencia digital, que en nuestro país ha asumido el Banco de España.

En segundo lugar, existe un marco obligacional de comunicación a la autoridad: así por ejemplo y con carácter preventivo, hay que comunicar anualmente los acuerdos con las empresas de TIC (art. 28), como paso previo a un proceso de supervisión por parte de la autoridad de control, que estará armonizada a escala europea. Esta competencia de supervisión conllevará dos elementos esenciales: requerimiento de información y potestad de inspección. Estos elementos pueden constituir el elemento previo al ejercicio de la potestad sancionadora que conlleva la obligación de introducir medidas correctoras, en los términos previstos en los arts. 50 y siguientes, que incorporan incluso la publicación de las sanciones, precisamente por la interrelación a la que se ha hecho referencia con anterioridad.

IX. Los riesgos de la computación cuántica a la vuelta de la esquina

Todos los elementos que se han señalado con anterioridad se configuran en un momento de especial importancia en la ciberseguridad. Es cierto que en la actualidad las exigencias de seguridad son relevantes, en la medida en que son numerosas las amenazas, especialmente procedentes de determinados países.

No obstante, el riesgo mayor vendrá en el momento en que se llegue a lo que los analistas de ciberseguridad denominan el Q–Day, esto es el momento en que alguien, en cualquier lugar del mundo, fabrique un ordenador cuántico que pueda romper las formas usuales de encriptación.

Ese será el día en que la privacidad informática, tal como la conocemos en la actualidad habrá desaparecido y habrá que construir bases diferentes. Una pérdida de privacidad que afectará a todos nuestros datos personales y todos los públicos que afectan al funcionamiento de las instituciones y los servicios.

De hecho, al igual que están creciendo las amenazas, están surgiendo nuevos medios de encriptación preparados para el Q–Day (que están en un estado muy inicial), y que están desarrollados por el National Institute of Standards and Technology (NIST). Incluso, aplicaciones como iMessages de Apple o Signal ya están utilizándolos. En todo caso, es una carrera sin fin para ver quien llega primero.

Pero los sistemas financieros son especialmente sensibles. En este punto, no es aventurado señalar que el sistema internacional de pagos SWIFT puede ser un objetivo de los ciberdelincuentes, con la finalidad de desviar cantidades a cuentas diferentes de las configuradas originariamente. Los bitcoins también serán especialmente sensibles al Q–Day, en la medida en que cada bloque recoge la información del bloque anterior. Más aún, los bloques no son susceptibles de adaptación, con lo que habrá que realizar una tarea organizativa de dejar morir los actuales para construir otros, a los que se traspasarán los activos.

Por todo ello, resultará especialmente relevante la labor preventiva que se pueda realizar en materia de prevención… si resulta posible en un momento inicial, antes de la configuración de nuevos estándares de seguridad. En este momento nos encontramos ante riesgos de dos tipos: por un lado, la tecnología que permite el almacenamiento de datos para que ser desencriptados cuando llegue el Q–Day. Pero, además, necesitaremos un tiempo de transición de la información a las nuevas infraestructuras que estén preparadas frente a la computación cuántica. Dos momentos de riesgo a los que tendremos que hacer frente. Y los planes que marca el Reglamento DORA (LA LEY 26819/2022) tienen que tenerlos en el horizonte.