La Unión Europea publicó a finales de 2020 una proposición de reglamento para unificar los criterios del sector financiero a la hora de afrontar los riesgos en materia de ciberseguridad. Bautizado con el nombre de DORA (Ley de Resiliencia Operativa Digital por sus siglas en inglés), básicamente establecerá un marco regulatorio único que deberá cumplirse en todos los países miembros.
En la actualidad el borrador está en fase de aprobación, pasada la cual será de aplicación directa en todos los estados miembros -es lo que se viene a denominar una Directiva-. Se trata de un escenario nuevo para el sector de la banca, y también para sus consejos de administración.
"Los órganos de dirección puedan ser objeto de sanciones y medidas correctoras directas cuando, conforme a la legislación aplicable, puedan ser considerados responsables de la infracción. También se prevé la posibilidad de que cada Estado miembro establezca sanciones penales por la infracción del reglamento", explica Paloma Bru, socia responsable del área de TMT (Tecnología, Medios y Telecomunicaciones) del despacho Pinsent Masons.
El hecho de que los directivos puedan incurrir en delitos penales alumbra un nuevo escenario jurídico. El incumplimiento de DORA puede suponer penas de prisión en algunos casos. Así queda reflejado en el artículo 4.2 de DORA, el cual establece que “el órgano de dirección de la entidad financiera definirá, aprobará, supervisará y será responsable de la aplicación de todas las disposiciones relacionadas con el marco de gestión del riesgo de TIC”.
"La posibilidad está ahí. El consejo será directamente responsable de imponer las estrategias, políticas y protocolos adecuados de acuerdo con DORA. La falta de cumplimiento de esta obligación podría suponer la imposición de la pena que se contemple en la normativa nacional. DORA reconoce la velocidad a la que aparecen nuevos actores y amenazas, razón por la que impone una serie de obligaciones", explica Sergio Carrasco Mayans, abogado especializado en nuevas tecnologías de Faseconsulting.
Carrasco añade que "DORA implica la obligación de contar con sistemas resilientes capaces de dar respuesta en entornos adversos así como la necesidad de implementar políticas de seguridad adecuadas, o la necesidad de contar con sistemas encargados de detectar actividad anómala". Las posibles consecuencias, incluso penales, que pueden llegarse a imponer por incumplimiento de este reglamento buscan garantizar la proactividad en las medidas", precisa.
Por todo esto, en un futuro próximo será necesario que los bancos y entidades financieras implanten medidas técnicas organizativas y legales, además de contar con herramientas internas gestionar de forma ordenada estas medidas.
Seguimiento de incidentes de ciberseguridad
Este paquete de soluciones debe tener la facultad de monitorizar y hacer seguimiento de los incidentes y brechas de seguridad para tomar medidas que garanticen la continuidad del negocio y la reducción del riesgo legal.
Los despachos de abogados ya trabajan en lo que será una nueva -y suculenta- vía de ingresos. En Pinsent Masons han creado Cyturion, una herramienta configurable en función de las necesidades de cada compañía. La plataforma permite gestionar, de forma coordinada y global, las brechas de seguridad. La solución proporciona información técnica, legal y práctica, así como una línea directa con los asesores y expertos externos a nivel nacional e internacional necesarios para identificar, contener y mitigar las consecuencias de una brecha de seguridad.
"Esta normativa supondrá una autentico cambio para el sector financiero y sus proveedores esenciales de servicios TIC en la forma de afrontar el riesgo en materia de ciberseguridad. Además de regular aspectos esenciales como el gobierno de la seguridad, la gestión del riesgo, la notificación de incidentes, las pruebas de resiliencia y los riesgos de terceros e intercambio de información. Una de sus principales novedades es la posibilidad de que los órganos de dirección puedan ser objeto de sanciones y medidas correctoras directas cuando, conforme a la legislación aplicable, puedan ser considerados responsables de la infracción", concluye Bru.