Red
Patrocinado por:
Tecnologia Transformación Tendencias Empleo/Ayudas Ocio@

Las claves de la ley Dora: el escudo del sector financiero europeo frente a los ciberataques

Olga Suárez Chamorro
Olga Suárez REDACCIÓN

OCIO@

Una persona utiliza la banca electrónica en su teléfono móvil, en una imagen de archivo.
Una persona utiliza la banca electrónica en su teléfono móvil, en una imagen de archivo. iStock

Cinco expertos explican cómo afrontan las empresas españolas la entrada en vigor de la Ley de Resiliencia Operativa Digital

24 ene 2025 . Actualizado a las 18:23 h.

Su nombre recuerda al de una niña exploradora, pero nada tiene que ver la ley Dora con el personaje infantil animado. Se trata de un término al que ya se han acostumbrado en el sector financiero comunitario, con el que se refieren a la Ley de Resiliencia Operativa Digital que busca asegurar que tanto los bancos como las compañías aseguradoras y empresas de inversión sigan operando en caso de ser víctimas de un ciberataque a gran escala. Aunque entró en vigor hace dos años, es desde el pasado 17 de enero cuando se ha empezado a aplicar. 

El sector financiero depende cada vez más de tecnologías críticas externas, incluidas plataformas en la nube y proveedores externos de servicios críticos, que requiere una unificación de la gestión de riesgos y la supervisión, «este nuevo reglamento supone un paso necesario y estratégico para fortalecer la resiliencia operativa digital en un entorno cada vez más expuesto a ciberataques, logrando unificar la normativa al ser una regulación de aplicación sin transposición en todos los países», resume  Alfonso Ayuso, directivo de la Asociación Española de Fintech (Aefi).

El origen de esta norma está en la decisión de la UE de desarrollar un reglamento común de las empresas que operan en el sector; aplica no solo a la banca tradicional, sino también a terceros que presten servicios al sector financiero relacionados con las Tecnologías de la Información y la Comunicación (TIC), como plataformas en la nube o servicios de análisis de datos. «El reglamento introduce mayores exigencias a las entidades bancarias y financieras en la gestión de riesgos tecnológicos, como amenazas cibernéticas o robo de datos», resume José Antonio Lozano, responsable de  AI & Business Innovation de Tokiota, compañía que desarrolla soluciones tecnológicas de negocio. 

Armonizar en un mismo texto la diversidad de marcos regulatorios nacionales que hay en la Unión Europea ha sido uno de los retos a los que se han enfrentado los juristas comunitarios a la hora de llegar a esta ley, «sin olvidar también la dificultad de adaptarse a las distintas realidades y capacidades tecnológicas que existen entre estos países», añade Lozano. Pero además, el gran número y variedad de entidades financieras que quedan cubiertas por Dora suponen un reto importante: «Desde los grandes bancos internacionales hasta las empresas de tecnología financiera más pequeñas, todos tendrán que adaptar sus sistemas y procesos para cumplir los nuevos requisitos», opina Ricardo Ferreira, director de Seguridad de la Información para Europa, Oriente Medio y África de Fortinet, especializada en ciberseguridad empresarial. «Es una norma más exhaustiva en comparación con otras anteriores y es esta naturaleza prescriptiva de la legislación la que planteará el mayor reto para las instituciones financieras», opina este experto. Y coincide en este hecho María Luisa Paradinas, directora de desarrollo de negocio de Innova tsn, consultora experta en IA, quien explica que «la falta de claridad en algunas cuestiones interpretativas y el hecho de que imponga obligaciones de medios, no de resultados, han generado bastantes dudas entre las entidades financieras». Esto es así porque la legislación no puede obligar a que no ocurran ciberataques exitosos, pero sí a que las entidades financieras tomen todas las medidas posibles para minimizar este riesgo. 

Otro desafío clave en el desarrollo de la norma fue la supervisión de empresas no europeas. Con la globalización del sector financiero y tecnológico, garantizar que dichas compañías cumplieran con Dora sin violar las reglas del comercio internacional supuso un equilibrio delicado entre proteger los intereses europeos y fomentar la innovación global: «El debate en este caso está en el equilibrio entre innovación y regulación; garantizar la resiliencia digital del sector sin frenar el desarrollo de tecnologías emergentes», destaca Ramón Villot Sánchez, directivo de Facephi, empresa especializada en plataformas de verificación de identidad digital: «Las instituciones necesitaban un marco que protegiera contra amenazas actuales y futuras sin limitar el potencial de nuevas tecnologías con capacidad de transformar el sector financiero», resume. 

¿Por qué es necesaria la ley?

Las entidades financieras se han visto obligadas a hacer un ejercicio de introspección para detectar sus puntos flacos en materia de seguridad y reforzar sus infraestructuras tecnológicas. El sector financiero depende cada vez más de la tecnología y de las empresas tecnológicas para prestar sus servicios; el nuevo reglamento tiene por objetivo aumentar el nivel de resiliencia operativa digital de las entidades financieras y tratar de garantizar la seguridad de las corporaciones ante ciberataques o cualquier tipo de amenaza relacionada. «Deben disponer de los recursos técnicos y humanos adecuados para garantizar la continuidad y calidad de los servicios, incluso frente a incidentes que comprometan la confidencialidad, disponibilidad, integridad o autenticidad de los datos», destaca María Luisa Paradinas, que ve en la protección de los datos el principal foco de esta normativa: «Las entidades financieras han de garantizar que la manera en la que manejan, utilizan y almacenan la información cumple con la legislación vigente», añade.

¿Qué aspectos van a marcar el cambio de normativa? 

Esta ley marca un cambio significativo hacia un sector financiero más resiliente en Europa. «Aunque el sector financiero no es ajeno a la gestión de riesgos, Dora hace hincapié en la resiliencia operativa, especialmente en lo que respecta a las incidencias informáticas y las ciberamenazas», apunta Ricardo Ferreira. Esta normativa pretende garantizar que las entidades financieras puedan resistir, responder y recuperarse de todo tipo de incidentes relacionados con las TIC, en términos sencillos: «cómo ponerse en pie rápidamente tras un incidente perturbador». Este experto apunta a varios aspectos que marcarán el cambio: en primer lugar, la norma exige un marco integral de gestión de riesgos de las TIC: «Aunque las entidades financieras ya disponen de marcos de riesgo, los requisitos ahora son más específicos y exigentes en el ámbito digital», explica. Pero, desde su punto de vista, el mayor esfuerzo está en el segundo punto, en el hecho de que el reglamento introduce requisitos estrictos para la gestión y notificación de incidentes: «Las entidades tendrán que establecer mecanismos sólidos para clasificar y notificar los principales incidentes relacionados con las TIC en plazos muy ajustados, lo que exigirá ajustes significativos de las estructuras y procesos de comunicación existentes». En concreto, esta nueva legislación exige que los incidentes se notifiquen en las cuatro horas siguientes a su clasificación y en las 24 horas siguientes a su detección. Y además, otro aspecto importante al que hace referencia Ferreiro es a la gestión del riesgo de las TIC frente a terceros, garantizar que las entidades financieras mantengan la supervisión de los riesgos derivados de su dependencia de proveedores externos de TIC. «Este será sin duda un reto importante, que exigirá a las entidades evaluar y gestionar la resiliencia de toda su cadena de suministro, y se alinea con la tendencia más amplia de aumentar el escrutinio sobre el riesgo de terceros también en otras normativas».

¿Llegan preparadas las empresas financieras españolas?

La Autoridad Bancaria Europea (EBA) lleva varios ejercicios evaluando el estado de la situación de las entidades financieras antes este cambio normativo, que han tenido dos años para adaptarse, desde su publicación en el año 2022, lo que ha permitido iniciar procesos de ajuste en sus estructuras operativas y tecnológicas. No obstante, la mayoría de los expertos consultados coinciden en que algunas pymes y cooperativas del sector podrían enfrentar mayores dificultades por la falta de recursos o experiencia gestionando riesgos tecnológicos, o bien ante un incremento de los costes regulatorios y asociados con la implementación de medidas de ciberseguridad avanzadas, auditorías o simuladores de resiliencia. A pesar del período de preparación, aún enfrentan ciertos retos significativos debido a la falta de directrices claras y estándares técnicos específicos: «Esta falta de claridad regulatoria ha generado incertidumbre en cuanto a la implementación práctica de algunas de las medidas, especialmente en lo relacionado con pruebas de resiliencia y la supervisión de proveedores tecnológicos», reconoce el experto de la Aefi.

¿Qué perfiles profesionales serán necesarios para esta nueva regulación?

Aunque los perfiles tecnológicos ya tienen una alta demanda en el mercado laboral a día de hoy, la aplicación de la ley Dora va a incrementar la necesidad en el sector de especialistas en ciberseguridad, analistas de amenazas y expertos en simulaciones, quienes liderarán tareas críticas como pruebas de penetración y análisis de vulnerabilidades. Además, se necesitarán arquitectos de riesgos y expertos en compliance capaces de desarrollar soluciones de resiliencia y herramientas de monitoreo de sistemas críticos. «Ya están saliendo de las universidades profesionales con dobles titulaciones en grados tecnológicos y de negocio, o grados tecnológicos y jurídicos… como respuesta a estas necesidades», reflexiona María Luisa Paradinas.