El Digital Operational Resilience Act (DORA), una nueva normativa de la Unión Europea, entra hoy en vigor. Esta ley obliga a las entidades del sector financiero a fortalecer sus defensas contra ciberataques y establece directrices unificadas para afrontar incidentes digitales que puedan afectar a los clientes.
Importancia de la Ley. En los últimos años, el aumento de los ciberataques al sector financiero ha puesto en peligro tanto la operación de bancos y aseguradoras como la seguridad de los fondos y datos de sus clientes.
Estado de la Ley. «Este reglamento ha estado en fase de preparación durante los últimos dos años, permitiendo a las entidades financieras adaptarse a sus exigencias», explica Ingrid González, experta en derecho digital y protección de datos del despacho Ceca Magán, en una entrevista con Xataka.
Aunque oficialmente comenzó hace dos años, el 16 de enero de 2023 marcó el fin del perÃodo de adaptabilidad, entrando hoy en plena vigencia.
El Contexto. Bancos y aseguradoras dependen completamente de la tecnologÃa para sus operaciones, y un ataque cibernético exitoso no solo interrumpe sus servicios, sino que también compromete los datos financieros y personales de sus clientes.
Aspectos Clave. La nueva ley se articula en torno a cuatro pilares principales:
- Fortalecimiento de los sistemas de defensa de las entidades financieras.
- Protocolos estrictos de notificación en caso de incidentes.
- Pruebas regulares de resistencia a ciberataques.
- Control riguroso sobre proveedores tecnológicos externos.
Si bien DORA no contempla compensaciones especÃficas tras un ciberataque, proporciona un marco de protección más robusto.
González comenta que la posibilidad de resarcimiento dependerá de cómo sean afectados los clientes: «Para incidentes relacionados con datos personales se aplicará la normativa de protección de datos. Si se involucran criptoactivos, se aplicará la regulación MICA. Y para el sector financiero tradicional, se atenderá a la normativa pertinente».
Entre LÃneas. Aunque no determina un sistema de compensación único, la ley exige mayor transparencia a las entidades durante los ataques.
«El reglamento establece mÃnimos claros sobre lo que se debe hacer, más que sobre lo que ocurre al no cumplirlo», dice González, añadiendo que el marco sancionador es «muy amplio», incluyendo sanciones administrativas y potenciales reclamaciones civiles.
En la práctica, esto implica que los bancos deben:
- Notificar a sus clientes «sin demora indebida» cuando un ciberataque afecte sus intereses financieros.
- Llevar un registro exhaustivo de todos los incidentes, útil para futuras reclamaciones.
- Informar a las autoridades sobre cualquier incidente grave en un plazo que se definirá próximamente.
Impacto Amplio. La normativa abarca no solo a bancos tradicionales, sino a todo el sector financiero: aseguradoras, plataformas de inversión y empresas de criptomonedas se verán afectadas.
El informe de la JERS (Junta Europea de Riesgo Sistémico) advierte que un solo ciberataque puede extenderse rápidamente a través de las aproximadamente 22.000 entidades financieras de la Unión, afectando a todo el sistema.
Punto de Inflexión. Por primera vez, Europa implementa un marco común tan especÃfico para proteger al sector financiero y sus clientes de amenazas digitales, incluyendo un esquema de sanciones para las entidades que no lo sigan.
Imagen destacada | Eduardo Soares en Unsplash
Deja una respuesta