El Gabinete de prensa en España del fabricante de software de ciberseguridad Fortinet nos ha mandado hoy esta nota de prensa sobre el reglamento DORA:
El próximo viernes, 17 de enero, comienza la obligatoriedad, para las empresas del sector financiero, de cumplir con el reglamento DORA (Digital Operational Resilience Act). La Ley afecta a 20 tipos diferentes de entidades financieras -desde entidades bancarias a compañías de seguros, gestores de fondos o sociedades de valores, entre otras -y proveedores de servicios TIC a terceros.
El objetivo es reforzar la seguridad informática de estas entidades y garantizar que el sector financiero europeo es capaz de mantener su resistencia en caso de interrupción grave de las operaciones.
Esta es la última de las legislaciones a las que tiene que hacer frente el sector financiero, que se suma a los importantes desafíos a los que se enfrenta esta industria en Europa, como la creciente adopción de métodos de pago digitales, los pagos instantáneos en SEPA y el incremento en el uso de la IA y la IA Generativa para poder hacer frente a todos ellos y que supone un reto en sí mismo.
El impulso de los pagos instantáneos
La demanda de pagos instantáneos ha crecido en los últimos cinco años y con ella el desarrollo de una moderna infraestructura mundial para poder soportarlos. Este desarrollo, impulsado por la demanda de los consumidores, los cambios normativos e iniciativas como la SEPA (Zona Única de Pagos en Euros) en la Unión Europea generan una serie de retos para los bancos y otras instituciones financieras. Estas organizaciones deben estar preparadas para gestionar un volumen creciente de pagos de forma eficaz, rentable y segura.
En la UE, se prevé que entre 2023 y 2028, el volumen de pagos instantáneos crezca un 50% anualmente, de unos 3.000 millones a casi 30.000 millones en 2028.
Para hacer frente a esa demanda, los bancos deben desplegar soluciones de IA escalables sin comprometer la seguridad.
A partir de este mes de enero, los bancos europeos y los cubiertos por la SEPA deberán cumplir nuevos requisitos para recibir pagos instantáneos y, a partir del 9 de octubre de este mismo año, enviar transferencias en 10 segundos.
Para alcanzar estos objetivos se necesitará una base tecnológica segura y moderna, pero muchas instituciones financieras de toda Europa aún no están preparadas. Según el World Payments de Capgemini para 2025, sólo el 7% de los bancos europeos están muy preparados desde el punto de vista tecnológico y la mayoría (76%) tiene una preparación media.
Está claro que cuanto antes logren las organizaciones una alta preparación empresarial y tecnológica, mayores serán sus ventajas en el mercado.
La necesidad de alcanzar la ciber resiliencia: aumento de los ciberataques
Sea cual sea el tipo de infraestructura de pagos, los bancos deben asegurarse de que esos sistemas no sólo sean rápidos, eficientes y seguros, sino también ciberresistentes. El número de ciberataques en todo el mundo sigue creciendo, y las instituciones financieras se encuentran entre los principales objetivos, representando alrededor de una quinta parte de todos los ciberincidentes.
ENISA informa de un aumento significativo de incidentes en la UE en la primera mitad de 2024 en comparación con el segundo semestre de 2023. La denegación de servicio (DoS) y el ransomware dominan los ataques, con cerca del 74% de los incidentes.
Esto significa que la ciberresiliencia y la ciberseguridad deben ser prioritarias para los proveedores de servicios de pago de pago construyan su infraestructura informática para pagos instantáneos.
La ciberdelincuencia sigue siendo el mayor riesgo para los bancos, según el 82% de los directores de riesgos europeos de los bancos encuestados por EY en 2024. El BCE ha establecido normas claras de información y expectativas en torno a la ciberseguridad ciberseguridad para las entidades financieras con DORA y NIS2.
La IA está transformando la detección del fraude
La IA es un pilar fundamental en el abordaje de esas nuestras estrategias. El Índice Evident AI de octubre de 2024 puntúa a los grandes bancos según sus niveles de talento en IA, innovación, liderazgo y actividades. Los bancos europeos están emergiendo como líderes en la adopción de la IA. El índice Evident incluye a UBS (puesto 6), HSBC (puesto 7), BNP Paribas (puesto 12) y BBVA (puesto 13).
A medida que estas organizaciones aumentan su uso de la IA, tendrán que gestionar los riesgos y retos en torno a los centros de datos de los que dependen para soportar estas aplicaciones.
Más que ningún otro sector, la banca se verá “profundamente impactada” por GenAI. Para 2030, se espera que el sector invierta 84 990 millones de dólares en GenAI -una tasa de crecimiento anual compuesto del 55,55%.
Los principales casos de uso serán la experiencia del cliente, evaluación de riesgos y detección de fraudes regulatorio, automatización del procesamiento de documentos y productos financieros personalizados.
La expansión de la IA en el sector bancario puede reforzar la capacidad de combatir el fraude y otras amenazas para los pagos, pero al mismo tiempo los malos la pueden utilizar para lanzar más tipos de ciberataques a gran escala -como comprometer el correo electrónico corporativo. Esto significa que los proveedores de servicios de pago deben trabajar continuamente para mejorar tanto sus capacidades de detección como de prevención, en muchos casos utilizando la IA para apoyar estas tareas.
Los bancos que adoptan la IA también deben asegurarse de mantener una infraestructura segura para respaldar dichas aplicaciones, ya estén alojadas en sus propios centros de datos o en la nube. Esto incluye proteger la seguridad de los datos de los clientes al entrenar modelos de IA y cumplir con los requisitos locales y regionales en materia de privacidad y soberanía de datos.
Fortinet, compañía experta en ciberseguridad, entiende las continuas amenazas de ciberseguridad a las que se enfrenta el sector financiero y ha desarrollado una completa gama de soluciones para ayudar a las organizaciones a pasar de una postura de ciberseguridad reactiva a una proactiva.
¿Qué es la Ley de Resiliencia Operacional Digital?
| # Ley de Resiliencia Operacional Digital |
| ## Introducción |
| En un mundo cada vez más digitalizado, la ciberseguridad y la resiliencia operativa se han convertido en temas cruciales. Con la entrada en vigor de la Ley de Resiliencia Operacional Digital (DORA), las organizaciones deben adaptarse rápidamente. Pero, ¿qué significa esto realmente? |
| ### Importancia de la resiliencia digital |
| La resiliencia digital no es solo una cuestión de tecnología; es una cuestión de negocio. Las empresas que no se preparan para posibles interrupciones pueden ver cómo su reputación y sus ingresos se evaporan de la noche a la mañana. ¿Te imaginas perder clientes debido a un fallo en la seguridad? |
| #### Contexto histórico |
| La Ley de Resiliencia Operacional Digital es parte de un marco más amplio desarrollado por la Unión Europea. Se originó como respuesta a una serie de incidentes cibernéticos que amenazaron la estabilidad del sector financiero. En este sentido, DORA es tanto una protección como un impulso para el sector. |
| ## ¿Qué es la Ley de Resiliencia Operacional Digital? |
| La Ley de Resiliencia Operacional Digital, también conocida como DORA, establece normas para garantizar que las empresas, especialmente en el sector financiero, sean capaces de resistir y recuperarse de cualquier perturbación digital. |
| ### Objetivos principales |
| El objetivo primordial de DORA es prevenir que las crisis cibernéticas afecten gravemente a la economía. La ley busca establecer un marco que promueva la preparación y respuesta ante incidentes de seguridad, asegurando que las empresas tengan planes de contingencia robustos. |
| #### Ámbitos de aplicación |
| Esta ley se aplica principalmente a entidades financieras, pero su impacto se extiende a proveedores de servicios de tecnología y otros sectores. ¿Es tu empresa parte de este grupo? Entonces es hora de prestar atención. |
| ## Componentes clave de la ley |
| DORA no se limita a exigir cumplimiento; también promueve una cultura de mejora continua en la seguridad operativa. Veamos cuáles son sus componentes más destacados. |
| ### Gobernanza y gestión de riesgos |
| Uno de los elementos esenciales de la ley es la creación de un consejo de gobernanza dedicado a la gestión de riesgos digitales. Este consejo debe evaluar regularmente la capacidad de la empresa para enfrentar amenazas digitales y ajustar estrategias cuando sea necesario. |
| #### Requerimientos de seguridad |
| La ley también establece estándares claros sobre los requisitos de seguridad que deben cumplir las organizaciones. Esto incluye la implementación de medidas de seguridad adecuadas y la realización de pruebas regulares para identificar vulnerabilidades. |
| ## Implicaciones para las empresas |
| Adaptarse a DORA puede parecer desalentador, pero también puede ser una oportunidad para mejorar la operativa y la seguridad. Aquí exploramos cómo las empresas pueden navegar estos cambios. |
| ### Adaptación a la ley |
| La primera fase de adaptación implica una revisión exhaustiva de los sistemas actuales. Esto no es solo una cuestión técnica; todas las áreas deben estar alineadas con los objetivos de DORA. |
| #### Inversiones necesarias |
| La implementación de DORA puede requerir inversiones significativas en tecnología y capacitación. Aunque puede parecer un gasto elevado, invertir en seguridad hoy puede ahorrarte enormes costos en el futuro. |
| ## Beneficios de la Ley de Resiliencia |
| Adaptarse a la Ley de Resiliencia no solo es obligatorio, también tiene su recompensa. Desde una mayor confianza del consumidor hasta una mejor reputación, los beneficios son claros. |
| ### Fortalecimiento de la confianza del consumidor |
| Los clientes están cada vez más preocupados por la seguridad de sus datos. Cumplir con DORA enviará un mensaje claro: su empresa prioriza la protección de la información del cliente, lo que también puede traducirse en lealtad y satisfacción. |
| #### Mejora de la reputación empresarial |
| Las empresas que demuestran un fuerte compromiso con la resiliencia digital suelen destacarse en el mercado. Una buena reputación no solo atrae a nuevos clientes; también puede ayudar a mantener a los existentes. |
| ## Retos de implementación |
| No obstante, la implementación de DORA no está exenta de desafíos. Aquí se presentan algunos de los más significativos. |
| ### Costos asociados |
| El cumplimiento con DORA puede requerir un presupuesto considerable. Las empresas deben anticipar estos costos y planificar adecuadamente para evitar sorpresas financieras desagradables. |
| #### Capacitación del personal |
| Una de las áreas que a menudo se pasa por alto es la capacitación del personal. La tecnología solo es efectiva si quienes la utilizan están debidamente formados. Invertir en capacitación puede potenciar la eficacia de todas las medidas implementadas. |
| ## Futuro de la resiliencia digital |
| El futuro post-DORA es brillante, pero también desafiante. Mirando hacia adelante, ¿cuáles son las tendencias que marcarán la pauta en la resiliencia digital? |
| ### Tendencias emergentes |
| Cada vez más empresas están adoptando un enfoque proactivo en la ciberseguridad. Desde el uso de inteligencia artificial hasta la implementación de tecnologías de blockchain, el futuro de la resiliencia digital está lleno de innovaciones. |
| #### Innovaciones tecnológicas |
| La innovación no solo se trata de cumplir con la ley; se trata de crear un entorno donde las organizaciones puedan florecer. La tecnología evoluciona constantemente, y aquellas que se adapten a estos cambios estarán un paso adelante. |
| ## Conclusión |
| La Ley de Resiliencia Operacional Digital es un paso crucial hacia un futuro más seguro para las empresas. Aunque la implementación puede presentar desafíos, los beneficios superan con creces los costos para aquellas que estén dispuestas a adaptarse y evolucionar. |
| ## Preguntas Frecuentes (FAQs) |
| 1. ¿Qué industrias están más afectadas por DORA? La ley se aplica principalmente al sector financiero, pero también afecta a proveedores de servicios de tecnología. |
| 2. ¿Cómo puede DORA beneficiar a mi empresa? Cumplir con DORA puede mejorar tu reputación y fortalecer la confianza del consumidor, impulsando así la lealtad de los clientes. |
| 3. ¿Qué tipo de inversiones se necesitan para cumplir con DORA? Las empresas necesitarán invertir en tecnología, capacitación y gobernanza para cumplir con los estándares de la ley. |
| 4. ¿Es DORA una Ley obligatoria? Sí, las entidades que caen bajo la jurisdicción de DORA están legalmente obligadas a cumplir con sus requisitos para operar. |
| 5. ¿Cuáles son las posibles sanciones por no cumplir con DORA? Las sanciones pueden variar desde multas hasta restricciones operativas, dependiendo de la gravedad de la infracción. |