La adopción de estas regulaciones se produce en un contexto donde el ámbito bancario ha enfrentado ciberataques significativos, como el ocurrido en otoño de 2024, que afectó a Nordea. Esto planteó serias inquietudes respecto a la preparación de los bancos para hacer frente a tales incidentes y su capacidad de mantener la información de los clientes segura. Con el nuevo marco regulatorio, los bancos deberán implementar medidas más estrictas para garantizar la seguridad informática y la continuidad operativa, lo que responde a los riesgos emergentes asociados a las adquisiciones de sistemas y a la dimensión de sus subcontratistas.
El Centre de Ciberseguridad de la Agencia Finlandesa de Transportes y Comunicaciones, Traficom, identificó la seguridad de la cadena de suministro y los servicios como una de las amenazas más significativas para el futuro. Esto es especialmente pertinente dado que mucha de la tecnología utilizada por las instituciones financieras se está adquiriendo a través de empresas externas que pueden no estar sometidas a las mismas normativas estrictas. La Autoridad de Supervisión Financiera de Finlandia (Fiva) ha afirmado que dispone de los mecanismos necesarios para supervisar con eficacia estas situaciones, incluyendo evaluaciones temáticas que pueden abordar diferentes aspectos del sector financiero.
Con la llegada del reglamento Dora, las grandes empresas tecnológicas que operan en el sector financiero serán supervisadas bajo la regulación europea, lo que también se incluye en un marco más amplio relacionado con la legislación sobre servicios digitales y la competencia, como la Ley de Servicios Digitales y la Ley de Mercados Digitales de la UE. No obstante, existen preocupaciones por cómo estas regulaciones serán implementadas y evaluadas, especialmente en un clima político donde el descontento hacia la regulación europea por parte de actores como el nuevo presidente de Estados Unidos podría influir en su aplicación global.
A partir de 2025, la ejecución de pruebas de penetración en los sistemas en producción será un requisito, y se realizarán por empresas privadas de seguridad de la información. Estas pruebas están diseñadas para modelar escenarios de ataque realistas y evaluar la resiliencia de las instituciones ante amenazas críticas. Sin embargo, se ha señalado que existe la posibilidad de que estas pruebas puedan causar interrupciones en los servicios financieros, lo que añade un nuevo nivel de complejidad al cumplimiento de los requisitos regulatorios.
El reglamento Dora también estipula que los bancos deben tener establecidos planes de comunicación de crisis eficaces. En caso de incidentes de gran escala, los bancos están obligados a informar a la Fiva dentro de un plazo de cuatro horas. No obstante, los bancos todavía retendrán el control sobre cómo comunican al público estas situaciones, lo que lleva a la implementación de directrices más claras por parte de Traficom para ayudar a las instituciones en la gestión de la comunicación en momentos críticos, aunque aún no se han establecido estas instrucciones como obligatorias.
En resumen, las nuevas normativas buscan fortalecer la resiliencia digital y la seguridad cibernética en el sector financiero, obligando a las instituciones a ser proactivas ante los desafíos que plantea el entorno digital y fortaleciendo la supervisión sobre las empresas que operan como sus subcontratistas.
Enlace de la fuente, haz clic para tener más información