Dudas y recomendaciones para implementar DORA/NIS2 en tu empresa

By Alba Huerga
24 Oct 2024

Una importante ola de cambios está teniendo lugar en el ámbito de la Seguridad de la Información y el ecosistema empresarial. Concretamente, existen dos regulaciones que cambiarán por completo el sector de Tecnologías de la Información y de la ciberseguridad en los próximos años.

Hablamos de las normativas DORA (Ley de resiliencia operativa digital) y NIS2 Directive (Directive (EU) 2022/2555). La importancia de mantenerse al día con respecto a estas dos regulaciones va más allá de evitar sanciones y obtener los documentos de cumplimiento. Estas dos normativas pueden ayudar a las organizaciones a incrementar su nivel de madurez digital y ganar competitividad en el mercado.

¡Es hora de surfear la era DORA/NIS2!

¿Qué es DORA?

Este reglamento, que será aplicable a partir del 17 de enero de 2025, está relacionado de forma explícita con los servicios financieros de la UE y centrado en el mantenimiento de la resiliencia de la ciberseguridad de los mismos.

El objetivo de DORA es garantizar que el sector financiero europeo es capaz de responder de manera ágil y efectiva en caso de una disrupción operativa severa, y prepararlo para hacer frente a todo tipo de ciberataques y amenazas relacionadas con las TIC.

En otras palabras, DORA establece un conjunto de normas y políticas para mejorar la resistencia operativa y la ciberseguridad en el sector financiero.

Es por eso que la Ley se aplicará en todas las entidades financieras de la UE, así como en firmas adicionales incluidas dentro del perímetro regulatorio expandido bajo el término de “proveedores de servicios TIC terceros críticos”. Se trata de un término que incluye servicios como recursos en la nube, análisis de datos y hardware, etc.

DORA

¿Qué es NIS2?

En cuanto a NIS2, se trata de la legislación actualizada de la UE en materia de ciberseguridad que deben cumplir medianas, grandes y algunas pequeñas empresas públicas y privadas de diversos sectores.

Las empresas vinculadas al sector de la energía, el transporte, la banca, la sanidad, la gestión de servicios TIC o la propia administración pública deberán seguir la normativa NIS2 y activar sus procesos de adaptación.

La Directiva NIS2 entró en vigor el 16 de enero de 2023, tras su publicación en el Diario Oficial de la Unión Europea. Sin embargo, los Estados han tenido hasta el 17 de octubre de 2024 para realizar la transposición de la directiva a escala nacional, y adoptar y publicar las medidas necesarias para darle el correspondiente cumplimiento.

Desde el 18 de octubre de 2024 las medidas recogidas en la NIS2 son de obligada aplicación.

Las empresas españolas no pueden esperar más para activar su proceso de adaptación y deben activar urgentemente las medidas y cambios necesarios para cumplir con ambas normativas. En estos casos, se recomienda contar con el apoyo de un equipo experto en cumplimiento y especializado en esta normativa.

A2SECURE dispone de un equipo de profesionales destinado a la consultoría técnica que trabaja con una variedad de clientes vinculados a diversos sectores.

Gracias a sus 17 años de experiencia en el sector de la ciberseguridad son capaces de llevar a cabo de manera ágil y efectiva múltiples procesos de auditoría y certificación como PCI DSS, PCI PIN, DORA, ENS, SWIFT, y ahora DORA y NIS2. Todo ello sin que el proceso afecte a la operatividad del negocio y adaptándose a las particularidades de cada organización.

¿Cuáles son las principales dudas sobre las normativas DORA/NIS2?

Debido a su amplio conocimiento y experiencia en este campo, el equipo de consultoría es capaz de dar respuesta a las múltiples dudas y cuestiones desconocidas acerca de ambas regulaciones.

A2SECURE ha recogido algunas de ellas con el objetivo de que puedan ser de utilidad para aquellas empresas interesadas en activar su hoja de ruta para lograr el cumplimiento de ambas normas.

FAQS acerca de DORA

¿Qué entidades financieras están afectadas por DORA?

INCIBE recoge en su portal las principales entidades afectadas por DORA (Digital Operational Resilience Act)

  1. Bancos comerciales y bancos de inversión.
  2. Compañías de seguros.
  3. Gestores de fondos, incluyéndose entidades que administran y gestionan fondos de inversión.
  4. Sociedades de valores, es decir, empresas que ofrecen servicios de intermediación y negociación de valores.
  5. Plataformas de negociación electrónicas que facilitan la compra y venta de instrumentos financieros.
  6. Proveedores de servicios de compensación y liquidación de valores. Estas son todas aquellas entidades encargadas de la compensación y liquidación de transacciones de valores.
  7. Agencias de calificación crediticia. Dentro de esta categoría se incluyen aquellas entidades que emiten evaluaciones y calificaciones sobre la solvencia crediticia de entidades financieras y emisores de valores.

¿Qué requisitos establece DORA para las entidades financieras?

La infografía elaborada por INCIBE, el Instituto Nacional de Ciberseguridad de España, establece los requisitos específicos del DORA en cuatro dominios principales:

Infografía DORA

¿Qué tipo de sanciones podrías recibir en caso de incumplimiento de DORA?

Las penalizaciones pueden incluir multas, sanciones u otras medidas coercitivas por parte de las autoridades reguladoras en función de la gravedad del incumplimiento.

Según señalan los artículos Artículo 324, Artículo 312 y 313 del BOE núm. 66, del 18/03/2023 se podrá solicitar a las entidades financieras hasta 10 000 000 de euros o el 5% de su volumen de negocios anual total, según las últimas cuentas anuales aprobadas disponibles.

Mientras que en el caso de que la multa sea a los proveedores de terceros el propio documento DORA recoge lo siguiente:

«El importe de la multa coercitiva, calculado a partir de la fecha establecida en la decisión por la que se imponga dicha multa, será de hasta un 1 % del volumen de negocios diario medio a escala mundial del proveedor tercero esencial de servicios de TIC en el ejercicio precedente.»

¿Afectará el DORA a las normas existentes de gestión de riesgos de las TIC?

El nuevo reglamento DORA de la UE tendrá un fuerte impacto en la manera en la que las entidades financieras mejoran la gobernanza y gestionan los riesgos de las TIC, pero también en la forma en la que divulgan los incidentes y refuerzan su resistencia.

DORA complementará y reforzará las normas y reglamentos existentes (como ESA +ENISA), exigiendo a las organizaciones que integren sus requisitos en sus prácticas actuales de gestión de riesgos.

¿Cómo aborda el DORA la gestión del riesgo de terceros (GTRP)?

DORA exige un proceso exhaustivo para evaluar las medidas de seguridad de los proveedores externos y garantizar que también cumplen los requisitos de conformidad.

  •  Las organizaciones deben evaluar y gestionar la resistencia operativa de estos proveedores de servicios. 
  • Los contratos con proveedores externos deben incluir obligaciones específicas de seguridad y cumplimiento y revisarse y actualizarse periódicamente para hacer frente a la evolución de los riesgos. 
  • Se exigen mecanismos de supervisión continua y auditorías periódicas para garantizar que los proveedores cumplen estas obligaciones contractuales.
  • DORA define procedimientos para coordinar las respuestas a incidentes tanto para las organizaciones como para sus proveedores.

Sin duda, se trata de un proceso que podría ser fácilmente optimizado mediante el uso de herramientas pioneras como Riskblade.

Riskblade 2

FAQS acerca de NIS2

¿A qué empresas y entidades afecta NIS2?

La Directiva NIS2 se aplica a entidades públicas y privadas de un total de 18 sectores.

Entre ellos hay 11 de “alta criticidad” que son los siguientes: energía, banca, infraestructuras de mercados financieros, sanidad, transporte, infraestructura digital, aguas potables, aguas residuales, administración pública, gestión de servicios TIC y espacio.

Mientras que los 7 restantes son considerados como “críticos”: investigación, química, alimentación, servicios postales, proveedores digitales, fabricación y gestión de residuos.

Al contrario que la primera versión de la directiva, NIS2 amplía el número de sectores que se ven afectados por esta normativa, y también el tipo de empresa, puesto que ahora entran en su campo de acción incluso las pymes o micropymes, siempre que se consideren como críticas para el país.

Sin embargo, la segunda versión de la directiva ha excluido del ámbito de aplicación el sector de la defensa o seguridad nacional, la seguridad pública, la policía, el poder judicial o los parlamentos y los bancos centrales.

Mi empresa ya estaba obligada a cumplir con NIS1: ¿Qué pasa ahora?

Con respecto a la NIS1, la Directiva NIS2 amplía su ámbito de aplicación con más sectores, con el fin de dotar de una cobertura más completa a los servicios de mayor importancia para las actividades sociales y económicas, Además, ya no diferencia entre operadores de servicios esenciales (OSE) y proveedores de servicios digitales (PSD) como lo hacía previamente.

Por este motivo, si una organización estaba obligada a cumplir con la trasposición de la Directiva NIS1 a la legislación española, es esencial que revise de manera detallada las disposiciones y actualizaciones específicas de la NIS2 y de su transposición al ordenamiento jurídico español. De este modo podrá analizar las nuevas exigencias contempladas en la normativa y ver si actualmente se adecúa a ellas o es necesario implementar medidas y políticas extraordinarias para su cumplimiento.

Un proceso complejo que siempre es mejor dejar en manos de expertos para así evitar incurrir en algún tipo de incumplimiento por falta de conocimiento.

¿Qué tipo de sanciones podrías recibir en caso de incumplimiento de NIS2?

Tal y como recoge INCIBE en su página web, “la Directiva NIS2 otorga a las autoridades nacionales una lista mínima de poderes coercitivos hacia las entidades afectadas en caso de incumplimiento, entre los que se incluyen”:

  1. Apercibir por incumplimiento.
  2. Adoptar instrucciones vinculantes o requerimientos de subsanación.
  3. Ordenar el cese de una conducta que infrinja la directiva.
  4. Ordenar que se garanticen las medidas de gestión de riesgos o las obligaciones de información de manera y en un plazo determinados.
  5. Ordenar que se informe a las personas físicas o jurídicas a las que presten servicios o realicen actividades que se vean potencialmente afectadas por una ciberamenaza significativa.
  6. Ordenar que se apliquen las recomendaciones formuladas como resultado de una auditoría de seguridad en un plazo razonable.
  7. Designar a un responsable de supervisión con tareas bien definidas durante un periodo de tiempo determinado para supervisar el cumplimiento.
  8. Ordenar hacer públicos los aspectos de incumplimiento.
  9. Imponer multas administrativas.
  10. Puede suspenderse la certificación o autorización de una entidad esencial relativa al servicio, si no se cumple el plazo para tomar medidas.
  11. Prohibir temporalmente a los responsables de la gestión a nivel de director ejecutivo o representante legal el ejercicio de funciones directivas (aplicable únicamente a las entidades esenciales, no a las entidades importantes).

Adicionalmente, de forma proporcionada y disuasoria, se podrán imponer las siguientes sanciones:

  • Un máximo de, al menos, 10.000.000 euros o hasta el 2% del volumen de negocios total anual a escala mundial de la empresa a la que pertenezca la entidad esencial en el ejercicio precedente, siendo preferente la de mayor cuantía.
  • Un máximo de, al menos, 7.000.000 euros o el 1,4% del volumen de negocios total anual a nivel mundial de la empresa a la que pertenece la entidad importante en el ejercicio precedente, siendo preferente la de mayor cuantía.

¿Qué obligaciones tendrán las entidades afectadas?

Todas las entidades dentro del ámbito de aplicación de la directiva deberán adoptar las medidas para la gestión de riesgos de ciberseguridad, así como cumplir con las obligaciones de notificación de incidentes de ciberseguridad que recoge la NIS2.

En cuanto a la gestión de riesgos de ciberseguridad, la Directiva NIS2 señala un listado mínimo de medidas técnicas, operativas y de organización para gestionar los riesgos de seguridad de los sistemas y redes de información, así como el entorno físico de dichos sistemas.

A2SECURE Directiva NIS2

Estas medidas deben ser utilizadas tanto por las entidades esenciales como importantes en sus operaciones o en la prestación de sus servicios para prevenir o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios. Las medidas indicadas como mínimas se exigirán siempre de forma proporcional a los riesgos y vulnerabilidades específicas y al tamaño de las entidades:

  1. las políticas de seguridad de los sistemas de información y análisis de riesgos;
  2. la gestión de incidentes;
  3. la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis;
  4. la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos;
  5. la seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades;
  6. las políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad;
  7. las prácticas básicas de ciber higiene y formación en ciberseguridad;
  8. las políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado;
  9. la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos;
  10. el uso de soluciones de autenticación multifactorial o de autenticación contínua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.

(FUENTE: FAQS INCIBE)

Por ello es importante conocer detalladamente cuáles son las novedades de la NIS2 y las principales diferencias en relación con la anterior legislación, la NIS1.

La adaptación a DORA y NIS2 no tiene por qué ser un proceso tedioso para la organización. Especialmente, si se cuenta con la ayuda de expertos en la materia con experiencia en ambas regulaciones.

¿Te gustaría comenzar tu transición hacia las normativas DORA y NIS2 y no sabes por dónde empezar? ¿No hemos respondido todas tus dudas acerca de DORA/NIS2? Contacta con nuestro equipo de consultoría estratégica ahora.

 

Los comentarios están cerrados.