Ante la creciente sofisticación e impacto de los ciberataques, los agentes están tratando de adoptar mejores prácticas en ciberseguridad para protegerse. Al mismo tiempo, el panorama actual se caracteriza por un notable incremento en la presión y complejidad regulatoria en materia de ciberseguridad y resiliencia, impulsado por la necesidad de proteger sectores cada vez más interconectados y buscar su seguridad y estabilidad operativa. En el objetivo de todos está la mejora de la resiliencia operativa donde la seguridad física y lógica se deben abordar de forma conjunta e integral.
DORA (Digital Operational Resilience Act), NIS2 (Network and Information Systems directive) y CRA (Cyber-Resilience Act) forman parte de la compleja normativa de ciberseguridad europea recientemente desarrollada, complementando otras obligaciones derivadas del GDPR (General Data Protection Regulation), de la normativa sectorial de telecomunicaciones, así como de regulaciones asociadas a certificaciones (CSA) y a la de las entidades críticas de servicios esenciales (CER).
Nos centraremos brevemente en estas tres primeras normativas, que exploraremos con mayor detalle en futuras publicaciones. No solo la complejidad de las normativas es un desafío, sino también la interoperabilidad entre ellas, los plazos establecidos y la interrelación entre autoridades competentes. La coordinación y la simplificación regulatoria, en particular en los actos de implementación, el cumplimiento y certificaciones por parte de los agentes, son retos por delante.
Telefónica más allá de su estrategia de seguridad integral y desde el diseño, ha trabajado durante los últimos años en su preparación, tanto en lo referente a obligaciones sectoriales, como en la calidad de proveedor de confianza de servicios de comunicaciones, ciberseguridad y tecnológicos (TIC) de distintos sectores.
DORA: El reglamento de resiliencia y ciberseguridad aplicable al sector financiero y a los proveedores de servicios de comunicación y tecnológicos
El 17 de enero de 2025 entró en aplicación el Reglamento DORA, y con ello las prisas para tenerlo todo listo por parte de los principales actores, entidades financieras, proveedores de servicios de comunicación y tecnológicos (TIC), organismos de supervisión y entidades certificadoras.
El Reglamento (UE) 2022/2554 publicado en diciembre de 2022 conocido como DORA por sus siglas en inglés (Digital Operational Resilience Act) y de aplicación directa al sector financiero persigue, entre otros objetivos:
- Homogeneizar la diversa normativa dirigida a diferentes tipos de empresas en el sector financiero (entidades de crédito y pago, seguros e intermediación, fondos de pensiones, gestores de fondos, etc.). Un reglamento de aplicación al sector financiero que ahora aglutina un mayor número de entidades.
- Focalizar los esfuerzos de las entidades financieras en disponer y mantener de un robusto marco de gestión de riesgos, con impacto directo y exigente a los proveedores TIC que soportan servicios y/o productos esenciales de esas entidades.
Un marco integral, basado en gestión de riesgos
El marco de gestión de riesgos de DORA, junto con otras actividades que se desarrollan a su alrededor, se basa en 5 grandes pilares: 1) gestión de riesgos TIC, 2) gestión de incidentes TIC, 3) pruebas de la resiliencia operativa, 4) gestión de riesgos de terceros 5) marco de supervisión para información e inteligencia sobre amenazas.
Una vez implantado el Reglamento, continuará la fase de operación y mantenimiento de la que se extraerán conclusiones y buenas prácticas de la puesta a prueba de la gestión de riesgos y su impacto en la resiliencia organizacional y sectorial, así como en la comunicación de incidentes.
Esto, sin lugar a duda, irá marcando el camino en la incorporación de mejores prácticas en otros sectores en áreas como la Continuidad de Negocio y la seguridad en la Cadena de Suministro.
NIS2: La directiva para la protección de redes y sistemas de información aplicable a 18 sectores críticos
La Directiva NIS2 sobre la protección de redes y sistemas de información (Directiva 2022/2555, de 14 de diciembre de 2022) establece un marco jurídico unificado para mejorar la resiliencia y la ciberseguridad en 18 sectores críticos en toda la UE, con carácter general aplicable a medianas y grandes empresas. El sector financiero con su normativa específica DORA queda excluido, al ser esta última lex specialis de la primera.
Esta nueva directiva actualiza y refuerza la normativa anterior, NIS1, con el objetivo de mejorar las capacidades y la coordinación en ciberseguridad en Europa. Introduce medidas de gestión de riesgos y requisitos de notificación que se extienden a un mayor número de sectores, incluido el de telecomunicaciones (que contaba con su propia normativa sectorial). Además, demanda la actualización de la estrategia nacional de ciberseguridad y establece requisitos de ciberseguridad más estrictos, en particular en relación con la cadena de suministro, así como normas para el intercambio de información, la supervisión, comunicación de incidentes y una mayor implicación y responsabilidad de la alta dirección.
Esta normativa aún está pendiente de transposición en la mayoría de los países europeos. El pasado 16 de enero de 2025, España inició el proceso de transposición por medio de la consulta pública el anteproyecto de ley sobre coordinación y gobernanza de la ciberseguridad para su implementación.
Desafíos asociados a la Directiva NIS2 y su transposición
Ante la creciente complejidad del marco normativo de la ciberseguridad, el principal desafío para las autoridades será promover la máxima simplicidad posible (incluido en la gestión o plataforma de comunicación de incidentes, así como el régimen de certificación), garantizar la disponibilidad de recursos, el asesoramiento a las empresas, así como asegurar una coordinación efectiva para la gestión de los sectores y de las obligaciones aplicables derivadas de distintas normativas. Las empresas afectadas tendrán que realizar evaluación de sus riesgos, implantar medidas de seguridad correspondientes y ser capaces de demostrar su cumplimiento.
Los esquemas de seguridad y las certificaciones internacionales (eg. ISO 27000) se han de consolidar como elementos fundamentales para facilitar esta labor. Adicionalmente los sectores estarán obligados a comunicar los incidentes de ciberseguridad siguiendo los procedimientos definidos y en plazos muy cortos.
Según lo establecido por la directiva, esta transposición debería ir acompañada de la derogación de las obligaciones sectoriales de ciberseguridad previstas en la Ley General de Telecomunicaciones. Asimismo, debe asegurar una adecuada cohesión con otras normativas, como las relacionadas con las obligaciones de ciberseguridad en entidades críticas, derivadas de la futura transposición de la directiva CER.
Esta norma va a tener un alto impacto en la gobernanza de la ciberseguridad de muchas compañías, que deberán contar con procesos para el cumplimiento del principio de diligencia debida, a la vez que regula la figura del responsable de la seguridad de la información (CISO).
CRA: El reglamento de ciberseguridad aplicable a productos con elementos digitales
El pasado 10 de diciembre de 2024 entró en vigor el Reglamento (UE) 2024/2847, relativo a los requisitos de ciberseguridad para los productos con elementos digitales (incluido software y hardware), conocido como Cyber Resilience Act (CRA). Este reglamento viene a complementar las normativas como DORA o NIS2 (orientadas a provisión de servicios) y sus principales obligaciones se aplicarán a partir del 11 de diciembre de 2027, buscando mejorar las garantías que los fabricantes de productos digitales ofrecen a los consumidores y usuarios. Se introduce el concepto de ciberseguridad desde el diseño, gestión de vulnerabilidades y comunicación de incidentes, la obligación de mantener actualizaciones de seguridad, evaluaciones de conformidad y marcado Comisión Europea, obligaciones de transparencia, así como responsabilidad a fabricantes, importadores y distribuidores. Los distintos agentes deberán comenzar a prepararse, ya que los plazos son ajustados y la normativa compleja.
Al igual que en las iniciativas de ‘labelización’, como la estadounidense Cyber Trust Mark label for IoT devices, las empresas de certificación desempeñarán un papel clave, junto con los estándares relevantes que se tendrán que desarrollar.
La mejora de la ciberseguridad y la resiliencia será un pilar clave en 2025, impulsado por la creciente digitalización y la sofisticación tecnológica. Las distintas normativas europeas de ciberseguridad tendrán un impacto significativo en las empresas, que deberán adaptarse a los nuevos requerimientos, apoyándose en organizaciones con experiencia cuando sea necesario.
Adicionalmente, para facilitar el camino, resulta fundamental avanzar en la simplificación normativa, mejorar la coordinación y lograr una mayor armonización, además de impulsar la formación de todos los agentes involucrados.
