En un món cada vegada més digitalitzat, la ciberseguretat i la resiliència operativa són elements clau per garantir l’estabilitat econòmica i financera. Dins d’aquest context, la Unió Europea (UE) ha adoptat el Reglament DORA (Digital Operational Resilience Act), un marc normatiu dissenyat per reforçar la capacitat de les institucions financeres i els seus proveïdors tecnològics davant les amenaces digitals. Aquest reglament, aprovat el 2022, és part integral de l’estratègia de la UE per assegurar un sistema financer robust, confiable i preparat per als reptes del futur digital. Explorem tot sobre DORA: Resiliència Digital Financera.

Què és el Reglament DORA i quins són els seus objectius principals?

El Reglament DORA estableix un conjunt de requisits específics per garantir que les entitats financeres dins de la UE puguin resistir, respondre i recuperar-se d’incidents cibernètics. El seu propòsit principal és enfortir la resiliència operativa digital d’aquestes institucions i dels proveïdors de serveis de tecnologies de la informació i les comunicacions (TIC) que formen part de les seves cadenes de subministrament.

Entre els objectius centrals del Reglament DORA destaquen:

  1. Gestió de riscos digitals: Obligar les institucions financeres a integrar un marc de gestió de riscos que abordi específicament els riscos derivats de l’ ús de TIC i de la dependència de tercers proveïdors tecnològics.
  2. Proves de resiliència operativa: Establir requisits per realitzar proves periòdiques de resistència enfront de ciberamenaces i incidents tecnològics.
  3. Supervisió de tercers crítics: Crear un marc de supervisió específic per als proveïdors externs de serveis TIC considerats crítics, assegurant que compleixin amb alts estàndards de seguretat i resiliència.
  4. Gestió d’ incidents i informes: Exigir que les entitats financeres estableixin processos clars per a la notificació, gestió i documentació d’ incidents tecnològics significatius.
  5. Coordinació entre autoritats regulatòries: Promoure la col·laboració entre les entitats reguladores nacionals i europees per garantir la coherència en la supervisió dels riscos digitals.

Implicacions per a les institucions financeres i proveïdors de serveis TIC

El Reglament DORA té un impacte significatiu tant en les institucions financeres com en els proveïdors de serveis TIC. Per a les institucions financeres, com bancs, asseguradores i gestors d’ actius, implica una transformació profunda dels seus processos interns relacionats amb la gestió de riscos tecnològics. Això inclou:

  • La implementació de polítiques i procediments robustos per identificar, avaluar i mitigar riscos digitals.
  • La necessitat d’ invertir en infraestructures tecnològiques més segures i en capacitació per al seu personal.
  • L’obligació de realitzar proves d’estrès digital que simulin ciberatacs i altres interrupcions operatives.

D’ altra banda, els proveïdors de serveis TIC, especialment aquells considerats crítics per a l’ operació del sistema financer, enfronten majors nivells de supervisió i regulació. Aquests proveïdors han de demostrar que compten amb controls adequats de seguretat i resiliència, i que estan preparats per col·laborar amb les autoritats en cas d’incidents tecnològics.

A més, el Reglament DORA exigeix que les entitats financeres i els seus proveïdors estableixin acords contractuals clars que defineixin les responsabilitats en termes de ciberseguretat i resiliència, la qual cosa augmenta la pressió per garantir el compliment normatiu al llarg de tota la cadena de subministrament.

Com DORA encaixa dins del marc normatiu europeu en matèria de ciberseguretat

El Reglament DORA no opera de manera aïllada; forma part d’un conjunt més ampli d’iniciatives normatives de la UE destinades a reforçar la ciberseguretat i l’estabilitat operativa. Entre aquestes iniciatives es troben:

  1. La Directiva NIS2 (Network and Information Security): S’enfoca a millorar la seguretat de les xarxes i sistemes d’informació en sectors crítics, incloent-hi el financer. DORA complementa aquesta directiva en abordar específicament les necessitats del sector financer.
  2. El Reglament General de Protecció de Dades (GDPR): Tot i que centrat en la protecció de dades personals, GDPR i DORA convergeixen en la importància de salvaguardar les dades davant accessos no autoritzats i ciberatacs.
  3. L’estratègia de la UE per a la Ciberseguretat: DORA és un pilar fonamental d’aquesta estratègia, en establir normes específiques per a un sector que és especialment vulnerable a ciberamenaces a causa de la seva alta dependència de la tecnologia.

En conjunt, aquestes regulacions reflecteixen l’enfocament integrat de la UE cap a la ciberseguretat, amb un èmfasi en la prevenció, la preparació i la cooperació entre sectors i països.

El Reglament DORA representa un pas crucial cap a un sistema financer europeu més segur i resilient. En establir estàndards clars i aplicables per a la gestió de riscos tecnològics, DORA no només protegeix les institucions financeres i els seus clients, sinó que també reforça la confiança en l’economia digital. Per complir amb aquest reglament, les organitzacions hauran d’adoptar un enfocament proactiu i col·laboratiu, invertint en tecnologia, capacitació i marcs operatius que assegurin la seva capacitat per enfrontar els desafiaments de l’entorn digital.