La Comisión Europea reprocha a Twitter la escasez de datos de su primer documento sobre desinformaciónComisión Europea.

María Luisa Moreo: Reglamento DORA, resiliencia frente al ciberriesgo en entidades financieras

| 22 ENERO 2025 | ACTUALIZADO: 22 ENERO 2025 15:47

La semana pasada terminó el periodo de adaptación de la Digital Operational Resilience Act, más conocida como Reglamento DORA, que obliga a todas las empresas del sector financiero a reforzar sus medidas de protección y seguridad.

No estamos hablando solo de los grandes bancos, sino también de las entidades de pago y de dinero electrónico, prestadores de servicios sobre criptoactivos, agencias de calificación crediticia, plataformas de crowdfunding, terceros prestadores de servicios relacionados con las TIC, etc.

«El Reglamento DORA obliga a todas las empresas del sector financiero a reforzar sus medidas de protección y seguridad».

La intención de la Comisión Europea en estos tiempos de crisis por ciberataques continuos y venta de datos sensibles en la Dark Web, no es otra que homogenizar y reforzar la resiliencia operativa digital en el sector financiero europeo, muy amenazado en un entorno de transformación digital y determinado por la presencia de nuevos actores y grandes compañías tecnológicas.

El espíritu de DORA no puede ser otro que ayudar a entidades financieras, aseguradoras, sucursales y cualquier otra empresa relacionada con el sector financiero a aumentar su resiliencia en un entorno BANI donde la reputación de una compañía tiene tanta importancia como su cuenta de resultados. A fin de cuentas, sin reputación no hay negocio y esto lo sabemos muy bien los especialistas en gestión de crisis reputacionales.

El reto de las entidades afectadas no se circunscribe específicamente al cumplimento de una serie de normas de por sí altamente exigentes, sino que además debe tener en cuenta aspectos mediáticos que afectan a la reputación de las entidades amenazadas, como es el impacto de un ciberataque en la reputación de las empresas afectadas.

En este sentido, tal como señala el abogado experto en derecho digital, Francisco Pérez Bes, el artículo 2 del Reglamento delegado, repercusión de la reputación, considera que el incidente sí afecta a la reputación cuando se cumple al menos uno de los siguientes criterios:

  • el incidente se ha reflejado en los medios de comunicación;
  • el incidente ha dado lugar a quejas reiteradas de distintos clientes o contrapartes financieras sobre servicios de cara al cliente o relaciones comerciales esenciales;
  • la entidad financiera no podrá cumplir los requisitos reglamentarios, o es probable que no pueda cumplirlos, como consecuencia del incidente;
  • la entidad financiera perderá, o es probable que pierda, clientes o contrapartes financieras como consecuencia del incidente, lo que acarreará consecuencias importantes para sus actividades.

 

Además, las empresas del sector financiero deben evaluar el nivel de visibilidad de la amenaza o el ataque para determinar la repercusión en la reputación del incidente para cada uno de los criterios citados. Una pelota que cae pues, directamente, en el tejado del DIRCOM y que se suma a las exigencias ya contempladas en el RGPDE.

Así las cosas, y apartada toda duda sobre la importancia del factor reputación, que, somo sabemos, se incrementa por la obligación de informar a las personas potencialmente afectadas incluso antes de confirmar que se ha sufrido un ciberataque, es urgente adoptar todas las medidas necesarias para cumplir con la normativa europea y protegerse frente a los ciberataques.

De esta forma, DORA viene a incrementar las exigencias de cumplimiento en el ámbito financiero destinadas a la mitigación de riesgos afectando a la alta dirección y muy directamente al DIRCOM en un escenario de hiperconexión, hipertransparencia e hipervulnerabilidad.

«DORA viene a incrementar las exigencias de cumplimiento en el ámbito financiero destinadas a la mitigación de riesgos afectando a la alta dirección y muy directamente al DIRCOM».

La importancia de la protección reputacional se pone así al nivel de los aspectos técnicos y legales en el sector financiero. Esto sin contar con lo que va a suponer la transposición de la directiva NIS II para infraestructuras críticas y empresas esenciales al hacer recaer directamente la responsabilidad legal en los órganos de gobierno de las compañías y terminando de poner en una situación muy delicada a los DIRCOMs.

* La normativa DORA se aprobó el 16 de enero 2023. El 16 de enero de 2025 terminó el periodo de adopción de las medidas obligatorias que contempla.

Por María Luisa Moreo, directora general de Señor Lobo y Friends.