Blog

La nueva normativa busca garantizar la máxima seguridad de las redes y sistemas de información, pero en ningún caso debe comprometer la viabilidad de las empresas

Tras un plazo de dos años desde su aprobación, el pasado 17 de enero marcaba el inicio de la plena aplicabilidad del Reglamento europeo 2022/2554, conocido como Reglamento DORA (siglas que se corresponden con el término en inglés ‘Digital Operational Resilience Act’).

Desde esta fecha, las disposiciones del Reglamento DORA se convierten en plenamente exigibles, desencadenando el planteamiento de una serie de preguntas para muchas empresas, como ¿por qué es necesario este reglamento?, ¿Quién se ve afectado?, ¿En qué afecta a las pymes?
La cuarta revolución industrial en la que estamos inmersos, conocida como industria 4.0, plantea una serie de escenarios marcados por la inmediatez como sello distintivo, que se deriva directamente de la inclusión de tecnologías digitales en la sociedad en general, y en las organizaciones en particular. Esta explosión innovadora permite una mayor eficiencia empresarial, pero se encuentra plagada de riesgos, que reflejan la otra cara de la moneda..
Ante el crecimiento exponencial de los ciberataques, es necesario desarrollar herramientas legales que garanticen la seguridad y calidad en los servicios ofrecidos.
El Reglamento DORA se desarrolla con este espíritu, teniendo como finalidad principal el establecimiento de un marco de resiliencia operativa digital, concretamente en el sector financiero. La resiliencia operativa digital en una entidad financiera implica el desarrollo de un marco de protección dentro del sector que permita ofrecer servicios de manera segura. Puesto que el riesgo cero no existe, ya que cualquier organización puede ser objeto de un ciberataque o de fallos técnicos, las entidades financieras, de esta manera, garantizarán niveles de seguridad óptimos respecto a los riesgos existentes, para continuar ofreciendo sus servicios con las mayores garantías.
Algunas de las entidades que estarían obligadas a cumplir con el Reglamento DORA, según el Instituto Nacional de Ciberseguridad (Incibe), son: bancos, compañías aseguradoras, gestores de fondos, sociedades de valores, plataformas de negociación, proveedores de servicios de compensación y liquidación de valores y agencias de calificación crediticia.
Una de las peculiaridades del Reglamento DORA es que también afecta indirectamente a los llamados «proveedores de servicios TIC de las propias entidades financieras, y es precisa- mente en este punto en el que multitud de pymes del sector tecnológico se ven concernidas y obligadas por esta nueva norma. Cuando se hace un análisis de riesgos, se deben tener presentes no solo los riesgos y amenazas propios de la organización o del sector, sino también los externos. Es por ello que el Reglamento DORA recoge una serie de obligaciones de supervisión. control e incluso auditoria de las actividades y sistemas de seguridad sobre estos proveedores de servicios TIC que colaboran y trabajan con las entidades financieras, añadiendo así una garantía adicional de cumplimiento normativo.
A pesar de la innegable importancia que tiene la ciberseguridad en el sector financiero, la aplicabilidad y el cumplimiento del Reglamento DORA parte del principio de proporcionalidad recogido expresamente en la propia norma, que implica una adaptación de la exigencia de cumplimiento de la misma conforme al tamaño y perfil de riesgo general de cada proveedor, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones.
En este sentido, la adecuación de las relaciones contractuales a las capacidades técnicas de los proveedores de servicios TIC se convierte en una de las herramientas más relevantes de las que disponen las empresas de menor tamaño frente a los gigantes del sector financiero y asegurador. El principio de proporcionalidad se configura, por tanto, como la principal arma de defensa de multitud de compañías que, de manera directa o indirecta, podrán verse afectadas en los próximos meses por la exigencia de mayores obligaciones de control y seguridad en el desarrollo de sus actividades.
Es cierto que nos enfrentamos a una nueva realidad normativa más estricta, pero no es me- nos cierto que, en lo sucesivo, cualquier negociación habrá de abordarse desde este prisma, ya que el objetivo último del Reglamento DORA es garantizar la máxima seguridad en el ecosistema tecnológico, sin que ello implique, en ningún caso, sepultar a las pymes con el cumplimiento de una serie de requisitos des proporcionados que podrían acabar con su viabilidad.

Laura Zaldívar y Marta Seminario

Vicesecretaria y miembro del TT de Tecnología de CAXXI

➡ El Comercio