- La Ley de Resiliencia Operacional Digital ya está en vigor
- El reglamento tiene como objetivo garantizar la preparación de las empresas financieras en caso de ciberataques
- El cumplimiento ya ha costado a muchas empresas más de 1 millón de euros
La nueva Unión Europea Ley de Resiliencia Operacional Digital (DORA) Ahora activo, será aplicable a miles de empresas del Reino Unido que realizan actividades en los mercados financieros en el bloque, así como a importantes proveedores de servicios de TIC (CTTPS) que prestan servicios a empresas europeas.
Una nueva investigación de la empresa de gestión de la nube Rubrik ha cuantificado los costes de cumplimiento para las empresas del sector financiero. El informe de Rubrik Zero Labs encontró que casi la mitad de las instituciones financieras y bancarias (47%) ya han gastado más de 1 millón de euros en los dos últimos años. años en la implementación de regulaciones como las medidas DORA e ICA.
Hay cinco pilares de los requisitos de DORA; Gestión y gobernanza de riesgos de TIC, pruebas de resiliencia operativa digital, informes de incidentes de TIC, riesgos de terceros de TIC e intercambio de información. Esto establece expectativas para las empresas financieras con respecto a la protección de sus plataformas digitales, con un enfoque en la gestión de riesgos y la respuesta a incidentes.
Practica en tiempos de paz
Entonces, ¿cómo sería el cumplimiento seguro? Bueno, la conclusión fundamental es “práctica, práctica, práctica”, afirmó James Hughes, vicepresidente de arquitectura de soluciones y director de tecnología de Rubrik. Tecnología Radar Pro En el último evento.
“Así que puedes simular entrenamiento, puedes simular recuperación de aplicaciones, puedes simular recuperación de datos, pero realmente hacerlo es realmente clave, porque en realidad si (un ataque de ransomware) ocurre en medio de la jornada laboral, especialmente si están haciendo un día de capacitación en uno de servicios financieros, eso representa una enorme cantidad de presión, eso representa una enorme cantidad de lo que hacemos y cómo lo hacemos?
La priorización y preparación es lo más importante para las empresas fintech. el La industria de servicios financieros se está viendo más afectada que nunca A través de ataques de ransomware, la complacencia matará. Las pruebas de respuesta a incidentes ya no son sólo una mejor práctica, se han convertido en ley gracias a DORA.
“Dada la creciente amenaza del ransomware y el compromiso de terceros, implementar regulaciones es necesario y costoso. Comprender qué datos son más importantes, dónde residen y quién tiene acceso a ellos es esencial para identificar, evaluar y mitigar los riesgos de las TIC. .
Consecuencias del incumplimiento
La aplicación de la regulación comenzó el 17 de enero de 2025, por lo que las empresas deben estar seguras de que están siguiendo las reglas de cerca; de lo contrario, enfrentarán una multa de hasta el 2% de las ventas globales anuales totales de una empresa.
La aplicación de la ley probablemente se centrará en las violaciones “importantes y obvias” que tendrán el mayor impacto, pero las pequeñas empresas aún deberían hacer del marco una prioridad. Esto puede resultar muy costoso inicialmente, pero el beneficio a largo plazo de una sólida gestión de riesgos y una alta flexibilidad operativa conducirá a un “ecosistema financiero más seguro y resiliente”, lo que redunda en interés de todos.
“En términos de posibles medidas punitivas por incumplimiento, este es el enfoque habitual de la UE de menos zanahoria y más palo, con el riesgo de enormes multas en los peores casos”. dijo Tim Wright, socio y abogado de tecnología de Fladgate.
“Además, se pueden imponer multas periódicas de hasta el 1% del volumen promedio diario de operaciones en todo el mundo por incumplimiento continuo, por un período de hasta seis meses. Otras sanciones potenciales incluyen sanciones que incluyen una amonestación pública y restricciones a la actividad comercial. y posible suspensión de licencias.
córtalo bien
A pesar de dos años de preparación, muchas empresas del Reino Unido (43%) no cumplirán en la fecha límite, y muchas (28%) citan una falta de prioridades por parte de la organización, como sugiere una investigación de Orange Cyberdefence.
Para abordar este problema, el 97% de los encuestados está utilizando o planea contratar soporte externo para ayudar a su empresa a cumplir, pero el 20% de las organizaciones aún espera no cumplir con el plazo por al menos 4 meses.
Esto se produce a pesar del apoyo abrumador a esta legislación: el 88% de los profesionales de seguridad encuestados cree que DORA sería beneficioso y el 96% dice que mejoraría la resiliencia en toda la UE y el ecosistema empresarial de la UE.
ya en Un momento cada vez más estresante para los jefes de departamentos de TI y líderes de TI, el informe Rubrik muestra que el 79% de estos profesionales informaron que el estrés causado por los ataques de ransomware tuvo un impacto negativo en su salud mental.
A pesar de esto, la mayoría de los gerentes de TI del Reino Unido confían en la nube, y el 73% siente que los datos de sus clientes, socios y empleados están seguros en entornos de nube.
La regulación DORA es anómala en el sentido de que puede responsabilizar personalmente a los funcionarios de seguridad de la información, lo que significa que las personas pueden ser multadas o incluso encarceladas por incumplimiento, aunque esto último probablemente solo sea en casos de negligencia grave o denuncia de incidentes fraudulentos.
“Tendría que asumir negligencia grave en este tipo de escenario en el que no has cumplido con ninguno de ellos hasta el punto de no proteger ese riesgo en absoluto o has hecho cálculos falsos o informes falsos de que en realidad estás “Está en una posición mucho mejor que la tuya”, dice Hughes. “Realmente lo es”.