Es innegable que desde la publicación del Reglamento Europeo sobre la resiliencia operativa digital del sector financiero (DORA) el marco de gestión de riesgos de ciberseguridad de las entidades del sector financiero está sufriendo grandes cambios. Sobre todo, en lo que se refiere a asegurar sus operaciones, cada vez más dependientes de las TIC, lo que ha hecho a este sector muy vulnerable a los problemas que afectan a estas tecnologías, como es el caso de los ciberataques.
Hasta la llegada de DORA, los riesgos cibernéticos que afectaban al sector financiero se abordaban de forma fragmentada. Existían normas generales de aplicación parcial para el sector financiero y normas destinadas al sector financiero que trataban la gestión de riesgos TIC de forma irregular y con cierta incoherencia.
En este entorno, el Reglamento DORA está llamado a unificar y facilitar la aplicación de un marco que permita mantener el pleno control del riesgo relacionado con las TIC. Las entidades financieras necesitan disponer de capacidades globales para realizar una gestión del riesgo tecnológico sólida y eficaz, así como de mecanismos y políticas específicos para gestionar los incidentes relacionados con las TIC y notificar aquellos que sean graves.
Es concretamente este último: la notificación de los incidentes graves relacionados con las TIC, uno de los pilares del DORA, ya que este Reglamento deberá armonizar y racionalizar la forma de notificación de los incidentes de ciberseguridad, al tiempo que amplía las obligaciones de notificación a todas las entidades financieras.
Hoy en día, las empresas sufren la proliferación de requisitos relacionados con la notificación de incidentes relacionados con las TIC, que se traduce en que deben tener en cuenta múltiples circunstancias, plazos, umbrales y multas asociadas en caso de incumplimiento, lo que dificulta la gestión eficaz de los incidentes relacionados con las TIC.
El DORA debe facilitar el cumplimiento de las obligaciones de notificación, ya que armoniza las plantillas de notificación, así como las condiciones que desencadenan dicha obligación. Condiciones y métodos de notificación a través de los que las empresas de servicios financieros tendrán que proporcionar a sus autoridades nacionales competentes la información necesaria.
Actualmente, las autoridades de supervisión como la EBA, EIOPA, ESMA y el Comité Mixto de Autoridades Supervisoras se encuentran en un proceso de consultas con ENISA para llevar a la práctica un marco armonizado y simplificado para la notificación de incidentes graves relacionados con las TIC. Gracias a este marco, las entidades financieras podrán implementar un proceso de gestión de incidentes relacionados con las TIC que les facilite la detección, gestión y notificación a la autoridad competente de dichos incidentes, a través de una notificación inicial, un informe intermedio y un informe final. Y que además les permitirá notificar a la autoridad competente, con carácter voluntario, las ciberamenazas significativas.
De este modo, el Banco Central Europeo y ENISA están llevando a cabo proyectos para especificar con mayor detalle los parámetros relacionados con los ciberincidentes. Como, por ejemplo, los umbrales de gravedad de los incidentes que están sujetos a la obligación de notificación, los criterios que deben aplicar las autoridades competentes para evaluar la importancia de los incidentes graves, o los umbrales de probabilidad para determinar las ciberamenazas más significativas. En cuanto al contenido de las notificaciones, estos proyectos definirán también los elementos y detalles que deben contener las notificaciones, cuáles son de interés para otros Estados miembros, además de los plazos para la notificación inicial y para el resto de los informes obligatorios, entre otros aspectos.
El periodo de consultas para establecer la clasificación de los incidentes finaliza en enero de 2024, mientras que está previsto que el plazo para definir procedimiento de notificación se extienda hasta junio de ese mismo año. Por tanto, debemos estar atentos a lo que nos trae este nuevo marco de notificación, esperando que la simplificación y unificación de los procedimientos de notificación de incidentes sea una realidad el próximo año.