Entra en vigor la Ley Dora para reforzar la ciberseguridad en el sector financiero
Desde el 17 de enero, las entidades financieras en Europa deben cumplir obligatoriamente con el Reglamento de Resiliencia Operativa Digital (Dora), que tiene como objetivo principal reforzar la ciberseguridad y garantizar la continuidad operativa del sector frente a posibles interrupciones graves. Esta normativa afectará a 20 tipos de instituciones, desde bancos y aseguradoras hasta gestores de fondos y proveedores de servicios tecnológicos, buscando asegurar que las entidades puedan seguir operando de forma efectiva ante situaciones de crisis.
La Ley Dora se enmarca en un contexto de creciente digitalización, donde el sector financiero se enfrenta a desafíos importantes relacionados con el aumento de pagos instantáneos y el uso de inteligencia artificial. En Europa, se espera que los pagos instantáneos crezcan notoriamente a lo largo de los próximos años, lo que obliga a las instituciones a actualizar sus infraestructuras tecnológicas para poder gestionar este aumento de transacciones de manera rápida y segura. A su vez, la adopción de inteligencia artificial en el sector bancario está transformando la forma en que se gestionan los riesgos, se evalúan los créditos y se detectan fraudes.
Sin embargo, este proceso de digitalización también trae consigo una creciente preocupación por la ciberseguridad. Los ciberataques, como los incidentes de ransomware y denegación de servicio (DoS), aumentaron significativamente en Europa, lo que pone a las entidades financieras en el punto de mira de los ciberdelincuentes. Según datos del Panorama de amenazas Enisa 2024, los ataques informáticos a instituciones financieras representan cerca de una quinta parte de todos los ciberincidentes a nivel mundial, lo que subraya la necesidad urgente de que los bancos refuercen sus sistemas de protección y adopten un enfoque proactivo para prevenir brechas de seguridad.
Regular y garantizar la ciberseguridad
Con la entrada en vigor de Dora, los bancos y otras instituciones financieras estarán obligados a fortalecer su infraestructura tecnológica y garantizar una mayor capacidad de respuesta ante incidentes cibernéticos.
El reglamento tiene varias implicaciones clave para el sector financiero en Europa, tanto a nivel operativo como estratégico. Dora impulsará el reforzamiento de la ciberseguridad y resiliencia operativa digital: establece que las entidades financieras deben contar con una infraestructura tecnológica que garantice la continuidad de sus operaciones incluso ante ciberataques graves, interrupciones o fallos en los sistemas. Asimismo, las empresas deberán realizar pruebas regulares de sus planes de contingencia y resiliencia operativa, incluyendo simulaciones de ciberincidentes.
La implantación de esta ley fomentará la gestión de riesgos asociados a los proveedores externos de servicios tecnológicos, como proveedores de servicios en la nube, plataformas de pagos o servicios de infraestructura TIC.
Las entidades deberán garantizar el cumplimiento de los requisitos de Dora a través de auditorías regulares y la entrega de informes sobre la resiliencia operativa. Las instituciones deben informar a las autoridades pertinentes sobre cualquier incidente grave que afecte su operativa, especialmente aquellos que impliquen ciberseguridad o que pongan en riesgo la estabilidad financiera. Las autoridades regulatorias tendrán más poder para supervisar el cumplimiento de la normativa. Esto implica un aumento en la supervisión de las instituciones financieras por parte de los reguladores nacionales y europeos, quienes podrán imponer sanciones si las entidades no cumplen con los requisitos establecidos.
El impulso de los pagos instantáneos da lugar a que Dora estableciera una serie de normas específicas para que las instituciones financieras puedan garantizar que sus infraestructuras de pagos sean seguras, eficientes y resilientes.
Implicaciones financieras
A largo plazo, el cumplimiento de Dora puede actuar como un incentivo para que las entidades financieras inviertan en tecnologías innovadoras y sistemas más eficientes y seguros, lo que podría aumentar la competitividad de las instituciones que logren adaptarse rápidamente. Con la creciente adopción de tecnologías como la inteligencia artificial, la computación en la nube y los pagos instantáneos, las entidades financieras deberán asegurar que estas tecnologías sean implementadas de manera que no comprometan la seguridad ni la estabilidad operativa.
Cumplir con los requisitos de Dora puede involucrar costes significativos para las entidades financieras. Estas deberán invertir en infraestructura tecnológica avanzada, contratar personal especializado en ciberseguridad y realizar pruebas de resiliencia operativa de forma continua.
La Ley Dora pone en primer plano la importancia de la ciberresiliencia y la modernización tecnológica para el sector financiero europeo. Frente a los crecientes riesgos de ciberseguridad y la acelerada adopción de nuevas tecnologías, las entidades deberán ser capaces de integrar medidas de protección avanzadas sin perder de vista la eficiencia operativa y la innovación.