DORA: La legislació europea per a institucions financeres també imposa requisits als proveïdors de serveis TIC

Amb menys d'un any restant abans de la data límit d'implementació de DORA, les institucions financeres, que ja solen complir amb molta legislació de seguretat, tenen feina addicional. La segona versió de DORA es publicarà a mitjan any, proporcionant més claredat sobre els requisits exactes. Les institucions financeres i altres parts implicades farien bé de seguir-ho de prop, permetent-los preparar-se per al compliment.

Requisits clau i canvis sota DORA

Un requisit clau sota DORA és la implementació d'un marc de risc. Aquest marc hauria de proporcionar claredat sobre els riscos de seguretat als quals està exposada l'organització i quines mesures adequades s'estan prenent.

La junta i la direcció han d'estar activament informades sobre les tàctiques evolutives dels ciberdelinqüents i les amenaces específiques rellevants per al negoci. Les organitzacions obligades per DORA han de tenir accés a un 'feed d'intel·ligència d'amenaces' per poder rebre informació d'amenaces de manera estructurada i anticipar-les. Els bancs i asseguradores més grans sovint tenen un equip dedicat a la recopilació i anàlisi d'informació d'amenaces. No obstant això, les organitzacions més petites poden necessitar comprar aquesta informació externament, amb proveïdors de serveis de Detecció i Resposta Gestionada (MDR) que juguen un paper valuós en compartir i interpretar la informació d'amenaces.

Aquest enfocament de marc de risc es veu més sovint com a part de la nova legislació europea i marca una tendència positiva. En lloc de prescriure només mesures específiques a complir, les normes ara emfatitzen una anàlisi exhaustiva de riscos com a primer pas. Aquest desenvolupament promou un enfocament més reflexiu de la ciberseguretat, on les mesures es prenen basant-se en una comprensió ben fonamentada del paisatge de riscos d'una organització.

Gestió de la continuïtat del negoci

Un altre canvi significatiu sota DORA és el requisit de tenir un pla robust de continuïtat del negoci. Aquest pla ha de detallar com respondrà l'empresa als incidents, quins sistemes són crítics per a les operacions, quins són els plans de recuperació i quins acords existeixen amb els proveïdors respecte a la continuïtat dels seus serveis. Crucialment, aquest pla ha de ser practicat regularment, tal com prescriu DORA. A la pràctica, sovint es constata que cal organitzar moltes coses. És essencial considerar protocols de comunicació, com recollir informació de contacte alternativa en cas que el correu electrònic no estigui disponible, i identificar responsabilitats de substitució en absència de personal clau. De nou, les institucions financeres més grans sovint tenen molt organitzat per assegurar la seva continuïtat, però això suposarà una feina addicional considerable per a les institucions financeres mitjanes i petites.

Mecanismes efectius de detecció

DORA també requereix establir mecanismes efectius de detecció dins dels entorns informàtics de les institucions financeres. Això significa una monitorització activa per detectar incidents potencials de manera oportuna. Moltes institucions grans tenen el seu propi Centre d'Operacions de Seguretat o un tercer contractat responsable de la monitorització, detecció i resposta. Per a les parts que encara no disposen de capacitat de detecció pròpia o contractada, és necessari un desenvolupament accelerat de capacitat interna o externalització.

Obligacions de notificació i proves

Un altre canvi sota la legislació DORA és l'obligació de notificació en cas d'incidents. Tot i que els terminis exactes encara s'han de determinar, els requisits són clars: un informe inicial sobre un incident, seguit d'informes intermedis sobre canvis, i finalment un informe detallat sobre les causes arrel, les mesures de mitigació preses i una anàlisi de l'impacte.

A més de l'obligació de notificació, DORA també imposa requisits estrictes per a les proves de seguretat, especialment simulacions d'atacs. Les institucions financeres han de realitzar aquestes proves almenys anualment per un equip intern o extern independent. Cada tres anys, també s'ha de dur a terme una prova més avançada, basada en la intel·ligència d'amenaces actual. Un exemple d'aquesta prova és TIBER (Threat Intelligence Based Ethical Red Teaming), basat en el marc de proves del Banc Central dels Països Baixos, inspirat en el mètode britànic original, que ara també té una variant de la UE (TIBER.EU). Aquestes proves estan destinades a simular atacs per part d'actors més avançats tan realísticament com sigui possible, principalment per provar l'eficàcia dels mecanismes de defensa. Aquest tipus de prova només pot ser realitzat per equips certificats amb experiència demostrable en simulacions d'atacs realistes.

Compliment

En línia amb l'obligació de notificació, la possibilitat de sancions també és un canvi important. No complir amb la Llei de Resiliència Operativa Digital pot tenir conseqüències significatives en forma de multes. Aquestes multes poden ascendir al 2% de la facturació global, amb un màxim d'un milió d'euros per a persones físiques. Per als proveïdors de serveis TIC, les sancions poden arribar a cinc milions d'euros, amb una possibilitat de mig milió per a persones físiques responsables del no compliment. Aquestes penalitzacions econòmiques subratllen la importància de complir de manera oportuna i exhaustiva amb les regulacions DORA per garantir la resiliència operativa i la ciberseguretat de les institucions financeres i proveïdors de serveis TIC.

Com començar amb DORA

DORA té un impacte significatiu en les organitzacions dins del sector financer i més enllà. Mentre que els grans bancs i asseguradores ja compleixen en gran mesura amb requisits similars, les institucions més petites com els intercanvis de criptomonedes i proveïdors de serveis TIC hauran de fer esforços molt més grans per complir amb els nous estàndards. Això inclou tercers, que ara també estan subjectes a compliment obligatori. DORA va més enllà de la directiva NIS2, amb proves específiques i uniformes, requerint un enfocament exhaustiu i demostrable de la ciberseguretat.

Per a les institucions financeres mitjanes i petites, això significa que hi ha molta feina per fer. Implementar una estratègia efectiva requereix temps i dedicació, amb la junta i la direcció jugant un paper crucial i sent activament responsables del compliment dels requisits de DORA. Assegurar la seguretat ha de basar-se en un enfocament de gestió de riscos, amb la capacitat de confiar en un Centre d'Operacions de Seguretat intern o extern, monitoritzar i anticipar les amenaces actuals, i donar suport a la preparació d'incidents amb mesures de continuïtat i proves d'eficàcia dirigides. Tot això per poder detectar i notificar incidents de manera oportuna i evitar multes derivades del no compliment.

Més informació o assessorament?

Vols saber més sobre DORA o altra legislació de ciberseguretat? O vols discutir les mesures que la teva empresa ha de prendre? Contacta'ns a [email protected].