El 17 de gener de 2023 va entrar en vigor el nou reglament DORA (Digital Operational Resilience Act), Llei de resiliència operativa digital, una normativa de la UE que malda per millorar la seguretat i la resiliència de les entitats financeres i els seus proveïdors de serveis TIC davant les amenaces i pertorbacions digitals. La norma serà aplicable a totes les entitats financeres que operin a la UE, inclosos bancs, empreses d’inversió, plataformes de negociació, entitats de contrapartida central i altres infraestructures dels mercats financers.

El nou reglament serà de compliment obligat a partir del 17 de gener de 2025, de manera que s’obre un període de dos anys per adaptar-se als requisits que estableix la norma. De manera global, els objectius que persegueix la directiva són:

• Establir requisits uniformes per a la gestió del risc, la governabilitat, la supervisió, la notificació, les proves i l’auditoria de les entitats financeres i els seus proveïdors de serveis TIC de funcions essencials.

• Incrementar el grau de resiliència de les entitats financeres, centrant-se en la implementació d’estratègies integrals per a la continuïtat de negoci que garanteixin la prestació de serveis al client si es produeixen esdeveniments disruptius. Les entitats hauran de reforçar els seus plans de recuperació en cas de desastres, els seus sistemes de contingència i de salvaguarda de dades.

• Crear un mecanisme de supervisió coordinada per a les organitzacions i els proveïdors de serveis TIC crítics que operen en diversos estats membres, a fi d’evitar duplicitats i garantir-ne una aplicació coherent. Les autoritats competents vetllaran pel compliment del marc normatiu establert, auditant les organitzacions i aquestes últimes hauran de notificar de forma periòdica arran que es produeixi qualsevol incident o esdeveniment de rellevància.

• Reforçar l’intercanvi d’informació i la cooperació entre les autoritats competents i els organismes de la UE en matèria de ciberseguretat i resiliència operativa digital.

Per a GMV, les implicacions i els reptes que deriven de DORA tindran un fort paper transformador en l’arquitectura de processos i sistemes de les entitats financeres. Entre altres aspectes, es poden ressenyar els següents:

• Integració del risc TIC al nivell màxim de Direcció, establint un model de càlcul d’aquest risc en cas de qualsevol canvi en els processos, sistemes i proveïdors TIC de l’organització.

• Reformulació integral de les estratègies de continuïtat:

  • Processos i capacitats de resposta específics en funció de la tipologia de l’incident.

  • Model de càlcul de costos directes i indirectes de l’impacte de l’incident i obligació de reportar-los a l’autoritat competent.

  • Registre d’activitat abans, durant i després de l'incident.

  • Noves estratègies de segmentació i desconnexió immediata de xarxes i actius.

  • Pla estructurat de proves de tot el conjunt, auditable i acompanyat d’un pla de millora contínua.

• Inventari ampliat d’actius i serveis crítics, mapant el suport de proveïdors externs i sistemes i identificant-hi fonts de risc.

• Gran impuls de la formació i sensibilització per a la resiliència i la ciberseguretat. Programes integrals i auditats que hauran d’incloure tots els col·lectius de l’organització.

• Nou model de relació amb els proveïdors TIC essencials. S’hauran d’identificar clarament les cadenes de subcontractació i dependències i informar l’autoritat competent sobre canvis en els contractes establerts. Les organitzacions estaran obligades a dissenyar i desplegar estratègies de sortida i de redundància per als proveïdors que sustentin una o unes quantes funcions essencials.  De la mateixa manera, hi haurà un conjunt de requisits per a l’homologació d’aquests proveïdors essencials, dins del marc europeu, que ajudarà a assolir una millora global de la resiliència del sector financer des de la perspectiva TIC.

• Esquemes estructurats i homogeneïtzats per a la gestió d’operacions. S’establiran models comuns per a la classificació, el registre, el càlcul d’impacte i la notificació d’incidents, de manera que serà obligatori reportar aquests esdeveniments a l’autoritat competent i compartir-los amb altres entitats del sector, si la gravetat de l’incident ho requereix. És possible que calguin noves estratègies de monitoratge.

• Focus en la comunicació i gestió de crisi, establint figures i responsabilitats dedicades i potenciant els mecanismes d’automatització, incloent-hi les notificacions als mateixos clients de l’entitat.

Per a GMV, de cara a incrementar l’èxit en la tasca d’adequació a DORA, es considera indispensable incorporar tres palanques clau. La primera és l’aplicació d’un marc integral de processos que integri la seguretat i les operacions TIC de manera natural i que permeti alhora l’adopció de solucions GRC globals per al seguiment del risc. La segona advoca per centrar-se en la dada, mitjançant la creació d’un Data Lake de resiliència que faciliti la integració de fonts d’informació i l’aplicació d’IA per a la presa de decisions. La tercera, i no menys important, és la potenciació de la hiperautomatització en totes les activitats i els sistemes relacionats amb l’activació dels plans de resposta i recuperació.

DORA, lluny de ser un mer instrument de compliment normatiu, pot representar una gran oportunitat per a la millora del Customer eXperience del client i ajudar a millorar la qualitat, disponibilitat i seguretat dels serveis i, alhora, potenciar la confiança i el compromís del client final. El seu impacte comportarà igualment un salt qualitatiu i de maduresa en la prestació de serveis TIC, introduint mecanismes de competitivitat i millora contínua que sens dubte redundaran en el creixement de tots els actors implicats. Triar GMV en aquest àmbit és una decisió clara: innovació, compromís i una forta expertesa, avalat per una dilatada trajectòria en tecnologia i seguretat de la informació.

**Aquest article es va publicar per primera vegada a l'edició en línia de Comunicacions Avui.

Ángel García-Madrid Velázquez
Head of GMV's Resilience Services
Business Continuity Manager