Aunque han tenido dos años para prepararse para la legislación entrante, un estudio ha revelado hoy que una minoría significativa de organizaciones de servicios financieros del Reino Unido no cumplirán con la fecha límite del 17 de enero de 2025 para cumplir con la Ley de Resiliencia Operacional Digital de la Unión Europea (UE) ( DORA).
Según la encuesta de todo el censo encargada por Orange Cyberdefense, el 43% de las organizaciones de servicios financieros británicas dicen que todavía están explorando DORA y que no cumplirán hasta dentro de al menos tres meses, lo que las pone en riesgo significativo de recibir multas regulatorias.
Los 200 responsables de seguridad de la información y responsables de la toma de decisiones cibernéticas del Reino Unido encuestados en nombre de Orange creían abrumadoramente que DORA sería beneficiosa y mejoraría significativamente la resiliencia general en toda la UE y su ecosistema más amplio.
Sin embargo, persisten las barreras al cumplimiento, y los encuestados describieron una gran cantidad de problemas, la mayoría de ellos relacionados con su propia organización y no con la legislación DORA. Orange encontró que estos problemas incluyen una falta de priorización en la organización en general (28%), un cronograma corto para cumplir (25%), una falta de habilidades y conocimientos específicos (24%) y una falta de visibilidad de las cadenas de suministro y socios terceros (23%). Para superarlos, el 97% dijo que estaba considerando conseguir apoyo externo.
Alrededor del 84% dijo que se les había dado suficiente o más que suficiente presupuesto para cumplir, y un estudio paralelo de Rubrik Zero Labs informó hoy que alrededor del 47% de las organizaciones de servicios financieros del Reino Unido habían gastado más de 1 millón de euros (842.000 libras esterlinas) en medidas de cumplimiento.
DORA no exige nada a modo de requisitos revolucionarios. La mayoría se puede abordar invirtiendo en evaluaciones integrales de riesgos cibernéticos, informes integrados de incidentes, pruebas de resiliencia cibernética y gobernanza entre marcos.
Richard Lindsay, Ciberdefensa de Orange
“El panorama regulatorio en la UE está muy congestionado, con varias normas y leyes superpuestas actualmente en vigor. Hay mucho por recorrer y cada vez vemos más empresas adoptando un enfoque más reactivo respecto de los requisitos de cumplimiento una vez que la amenaza de represalias se vuelve tangible”, afirmó Richard Lindsay, consultor asesor principal de Orange Cyberdefense.
“Sin embargo, seguir incumpliendo podría tener graves ramificaciones, con multas de hasta el 2% de la facturación anual global y la posibilidad de multas de más de 1 millón de euros para los altos directivos individuales.
“El panorama de amenazas nunca ha sido más volátil. La industria de servicios financieros es un objetivo atractivo para los malos actores y la probabilidad de incumplimiento nunca ha sido tan alta. Al implementar los cambios necesarios, las empresas pueden evitar multas no deseadas y publicidad negativa y, lo más importante, desarrollar resiliencia contra las amenazas digitales”, añadió Lindsay.
“DORA no exige nada a modo de requisitos revolucionarios. La mayoría se puede abordar invirtiendo en evaluaciones integrales de riesgos cibernéticos, informes integrados de incidentes, pruebas de resiliencia cibernética y gobernanza entre marcos. Pero, como siempre ocurre en el ámbito de la ciberseguridad, el tiempo corre”.
Orange señaló además que, dada la introducción formal de DORA, se produce solo tres meses después de que la UE levantara la Directiva 2 de redes y sistemas de información (NIS2) en octubre de 2024, la necesidad de abordar demandas más amplias de cumplimiento cibernético y requisitos superpuestos en ambos conjuntos de regulaciones puede explique por qué la mayoría de los encuestados se sienten positivos acerca de DORA, a pesar de anticipar retrasos en el cumplimiento.
¿Qué es DORA?
Básicamente, DORA tiene como objetivo fortalecer la ciberseguridad en las organizaciones de servicios financieros y mejorar la resiliencia del sector en toda Europa. Armoniza las reglas de resiliencia operativa que se aplican a 20 tipos diferentes de entidades financieras, como bancos, compañías de seguros y proveedores de tecnología externos.
Según Bruselas, una regulación como DORA se ha vuelto necesaria porque la dependencia de la industria de servicios financieros de la TI y del ecosistema tecnológico la hace extremadamente vulnerable a la disrupción cibernética y, si no se gestiona adecuadamente, esto puede extenderse a la economía en general.
DORA gobierna una serie de áreas, como los marcos de gestión de riesgos de TI, el monitoreo de riesgos de terceros y la supervisión de proveedores, las pruebas de resiliencia operativa, la presentación de informes de incidentes cibernéticos y el intercambio de información e inteligencia.
El vicepresidente de arquitectura de soluciones de Sonatype, Mitun Zavery, dijo: “Si el RGPD nos enseñó algo, fue que los esfuerzos de cumplimiento de última hora generan dolores de cabeza y medidas a medias. Al igual que muchas leyes de la UE, las empresas del Reino Unido pueden verse incluidas en el ámbito de aplicación a medida que la ley se extiende más allá de las instituciones financieras europeas y se adentra profundamente en sus cadenas de suministro de software.
“Éste es un gran problema para las empresas del Reino Unido cuyos clientes europeos están sujetos al ámbito de aplicación del reglamento. Las severas sanciones financieras por incumplimiento son motivación suficiente para que las instituciones financieras de la UE digan a sus socios: “Si no cumplen, necesitamos a alguien que lo haga”.
Añadió: “En lugar de una carga, las organizaciones del Reino Unido deberían ver DORA como una oportunidad para optimizar los sistemas y procesos aprovechando la automatización, reforzando sus cadenas de suministro de software y adoptando un enfoque proactivo para la mitigación de riesgos y la gestión de vulnerabilidades. Si DORA se parece al RGPD, priorizar el cumplimiento ahora abrirá puertas a medida que se adopten formas de este estándar en el Reino Unido”.
