Desde finales de 2022 se oye hablar, en numerosos foros de tecnología y de seguridad de la información, del Reglamento DORA y de la Directiva NIS2. Casi siempre de forma simultánea, como si fueran parte de un mismo paquete regulatorio o estuvieran íntimamente relacionadas. Pero ¿en qué consisten? ¿Están realmente relacionadas? ¿Cómo y cuánto pueden impactar en las organizaciones?
A finales de 2022 se publicó en el Diario Oficial de la Unión Europea el conocido como Reglamento de Resiliencia Operacional Digital (DORA). Y, si bien entró en vigor en enero de este mismo año, será de plena aplicación a partir de enero de 2025. Por lo que las entidades financieras a las que es de aplicación tendrán dos años para adecuarse a dicho reglamento.
Pocas semanas antes, en noviembre del 2022, el Parlamento Europeo aprobó la conocida como Directiva NIS2. Es la actualización de la Directiva NIS sobre Seguridad de la Información y de las Redes, que está en vigor desde 2016. Los Estados miembros tienen hasta octubre de 2024 para adaptarse a esta directiva.
Ambas normas tienen alcance y objetivos diferentes, DORA es de aplicación para Entidades Financieras y NIS2 para Servicios Esenciales y proveedores de Servicios Digitales. Pero ambas tienen en común una parte importante de requisitos y, por su naturaleza y tiempos de entrada en vigor, están íntimamente relacionadas.
¿Qué implica el reglamento DORA?
Digital Operational Resilience Act (DORA) es un reglamento de la Unión Europea que busca fortalecer la resiliencia operativa digital en el sector financiero y mejorar la protección de los consumidores y la estabilidad financiera.
La propuesta DORA se centra en garantizar que las entidades financieras tengan la capacidad de resistir y recuperarse ante eventos disruptivos relacionados con la tecnología, incluyendo ciberataques, fallos técnicos u operativos y otros eventos similares. También busca establecer un marco claro de responsabilidad para los proveedores de servicios digitales y asegurar que se cumplan los estándares de seguridad y protección de datos.
Entre las medidas propuestas por DORA se incluyen:
- La necesidad de llevar a cabo pruebas de resiliencia y contingencia para evaluar la capacidad de las entidades financieras y los proveedores de servicios digitales para hacer frente a eventos disruptivos.
- La implementación de medidas de prevención y mitigación de riesgos cibernéticos y tecnológicos, incluyendo la identificación y evaluación regular de los riesgos y la adopción de medidas adecuadas para reducirlos.
- El establecimiento de un marco claro de responsabilidad y supervisión para los proveedores de servicios digitales, incluyendo la necesidad de cumplir con los estándares de seguridad y protección de datos.
- La necesidad de informar rápidamente a los reguladores de cualquier incidente significativo que afecte a la seguridad o la continuidad de los servicios digitales.
¿Qué implica la Directiva NIS2?
La Directiva NIS2, también conocida como Directiva sobre la Seguridad de las Redes y Sistemas de Información versión 2, busca fortalecer la ciberseguridad en toda la UE y mejorar la resiliencia de los sistemas de información críticos.
La Directiva NIS2 es una actualización de la Directiva NIS original, que fue adoptada en 2016. La nueva propuesta busca abordar las nuevas amenazas y desafíos en materia de ciberseguridad que han surgido desde entonces, además de establecer un marco regulador más sólido y coherente en toda la UE.
Entre las principales medidas propuestas por la Directiva NIS2 se incluyen:
- La ampliación del alcance de la regulación a nuevos sectores, donde extiende algunos de los ya existentes, como el sector de la salud, de las comunicaciones y transporte, y la inclusión de nuevos tipos de proveedores de servicios digitales (incluidos de Centros de Procesos de Datos).
- La definición de nuevas obligaciones para los proveedores de servicios digitales, incluyendo la necesidad de llevar a cabo evaluaciones de riesgos regulares y de implementar medidas de seguridad adecuadas, reforzando especialmente el control sobre la cadena de suministro.
- Responsabilidad de la dirección de la empresa por el cumplimiento de las medidas de gestión de riesgos de ciberseguridad.
- La creación de un sistema de notificación de incidentes obligatorio con disposiciones más precisas que en la primera versión de la norma. Obliga a las empresas de servicios esenciales y los proveedores de servicios digitales a informar a las autoridades pertinentes de cualquier incidente de ciberseguridad significativo.
- El establecimiento de medidas más estrictas para garantizar la seguridad de los sistemas de información críticos, incluyendo la adopción de medidas técnicas y organizativas adecuadas y la realización de pruebas regulares de resiliencia y contingencia.
- Inclusión del régimen sancionador que deberán establecer los Estados miembro con los objetivos de que sea “efectivo, proporcionado y disuasorio”.
A quién impactarán
Como se puede ver, ambas tienen alcances y aplicabilidades diferentes, pero con requisitos y objetivos comunes. DORA está destinada a entidades financieras (lo que incluye bancos, aseguradoras, fintechs y otras) y NIS2 principalmente a servicios esenciales o críticos y proveedores de servicios digitales. DORA no es exclusiva de la disciplina de Ciberseguridad (si bien es un factor relevante que puede impactar a la operación de las organizaciones modernas) y NIS2 se centra fundamentalmente en controles de aplicación por parte de las funciones de seguridad de la información de las organizaciones.
Habrá casos, por supuesto, en que serán de aplicación ambas; por ejemplo, en aquellas entidades financieras (principalmente bancos) que hayan sido designados como proveedores de servicios esenciales.
El principal impacto no será, previsiblemente, para la función de Seguridad de la Información de este tipo de organizaciones, muy acostumbradas a estar reguladas y supervisadas en esta materia desde hace años (con regulaciones como la Directiva NIS original, Directiva PSD2, Directrices de la Autoridad Bancaria Europea (EBA), etc.). En cambio, es más probable que sí se vean impactadas las áreas de Tecnología menos acostumbradas a la aplicación estricta de normas y estándares en su función.
A quienes sí impactará sustancialmente la entrada en vigor de estas dos regulaciones es a los proveedores de servicios tecnológicos, digitales y de ciberseguridad. Muy particularmente a los proveedores de servicios cloud y a aquellos que se designen como sistémicos para estas organizaciones. Hasta el punto de que, para estos últimos será obligatorio el cumplimiento del propio reglamento DORA y pasarán a estar supervisados por la autoridad que sea de aplicabilidad en cada caso en función de la geografía y la industria afectada. Habida cuenta de que ya es de aplicación NIS y NIS 2 para aquellos considerados proveedores de Servicios Digitales (los proveedores de servicios cloud lo son).
Conclusión
En conclusión, son dos regulaciones que, si bien tendrán un gran impacto, se notará especialmente en industrias menos sujetas tradicionalmente a la regulación en materia de seguridad y riesgos tecnológicos —más allá de la protección de los datos personales— como son el sector industrial, transporte, energía o incluso salud y seguros. Se notará muy particularmente en aquellas compañías que provean servicios tecnológicos y de ciberseguridad a estas, que percibirán cómo cada vez se les exigirá más el cumplimiento y provisión de garantías en materia de riesgos tecnológicos y el aseguramiento de mecanismos y planes de la continuidad de las operaciones ante eventos disruptivos graves.
Daniel Zapico, Associate Partner Leader Cybersecurity Services for Financial Services, IBM Consulting