La Comisión de DORA y NIS2: Un Enfoque Integral para la Seguridad y Resiliencia Cibernética en la UE

Introducción

En los años 20 Europa y América vivían realidades muy diferentes. La primera guerra mundial había causado estragos en el viejo continente, sobre todo en el sur donde la pobreza, el desempleo y la superpoblación obligaban a emigrar en masa hacía el sueño americano. En el otro lado del charco, los felices años 20 marcaban un crecimiento económico sin precedentes, fue una década de explosión cultural, tanto en cine como en la música. Las jóvenes e independientes "flappers" tiraron a la basura el corsé. Con un pelo tan corto como sus faldas, fumaban, bebían licores fuertes y conducían rápido al son de esa música tan poco convencional (Jazz). Su actitud feminista influenció más tarde en muchas mujeres.

En este ambiente creció nuestro villano, dicen que toda buena historia necesita uno. Salvatore Luccania o "Lucky" Luciano fue el fundador de la familia Genovese. Está considerado el padre del crimen organizado Estadounidense y uno de los criminales más influyentes de la historia de Estados Unidos. Emigró con su familia desde su Sicilia natal a los Estados Unidos.

Al llegar al poder Luciano creó “la comisión”, una junta directiva compuesta por el líder de cada una de las familias de la mafia de los Estados Unidos. En lugar de hacer lo establecido y aglutinar el poder, lo equilibró copiando una organización empresarial. Cuando había un conflicto, todo se acordaba en la comisión, esto generó una era de crecimiento y control que lastró durante décadas la sociedad estadounidense. En pocas palabras Luciano hizo que la mafia funcionara como una gran empresa creando un sindicato nacional del crimen aplicando conceptos de gestión empresarial modernos.

Tras mucho trabajo el famoso fiscal Thomas E. Dewey consiguió encarcelar a Luciano en 1936, todo un éxito si tenemos en cuenta que todavía no se había firmado la famosa ley RICO contra el crimen organizado. Pero en contra de Dewey unos años más tarde, en la segunda guerra mundial, el gobierno solicitó ayuda a Luciano para controlar las importaciones de los muelles de la ciudad de Nueva York y facilitar la invasión de Sicilia en Italia. En contrapartida apenas 10 años más tarde fue conmutada su pena y deportado a Italia.

Como Luciano siempre existirán criminales dispuestos a todo, es por ello que desde hace años la Unión Europea está trabajando en dos directivas de seguridad y resiliencia: DORA y NIS2.

Pero ¿porqué son tan importantes? ¿Qué tienen de especial? ¿guardan alguna relación? Intentaré responder a algunas preguntas y explicarte un poco de que van.

Introducción a las Directivas DORA y NIS2

Las dos directivas son de obligado cumplimiento en el marco de la unión europea, el Reglamento de Resiliencia Operacional Digital (DORA) se publicó a finales de 2022, entró en vigor a principios de este año pero será de plena aplicación a partir de enero de 2025.

NIS2 se aprobó unas semanas antes, en noviembre de 2022 y tienes hasta octubre de 2024 para adaptarte. NIS2 es una evolución de NIS de 2016. Persigue mejorar la ciberseguridad y resiliencia de los sistemas de información críticos o de proveedores digitales adaptándose a las nuevas amenazas.

Principales Diferencias entre DORA y NIS2

DORA a diferencia de NIS2 aplica a las entidades financieras y amplía el marco de la ciberseguridad, es decir, regula la capacidad de resistir y recuperarse ante eventos disruptivos relacionados con la tecnología, incluyendo ciberataques, fallos técnicos u operativos y otros eventos similares.

Las medidas más destacadas de DORA son:

• Realización de pruebas de resiliencia y contingencia para evaluar la capacidad de entidades financieras y proveedores de servicios digitales.

• Adopción de medidas de identificación, prevención y mitigación de riesgos cibernéticos y tecnológicos.

• Supervisión y definición de responsabilidades de los proveedores de servicios digitales para cumplir los requisitos de seguridad y protección de datos.

• Procedimientos para la rápida información a los reguladores de incidentes que afecten a la seguridad o continuidad de los servicios digitales.

Tienes más información de DORA en la página del instituto nacional de ciberseguridad. ¿Qué es el reglamento DORA?

A nivel de NIS2 podríamos destacar:

• Ampliación del alcance a nuevos sectores como por ejemplo fabricantes, comida, correo y mensajería, proveedores de redes o servicios públicos de comunicaciones electrónicas, espacio, administraciones públicas, servicios digitales, aguas residuales y gestión de residuos.

• Responsabilidad de la dirección de la empresa por el cumplimiento de las medidas de gestión de riesgos de ciberseguridad.

• Las empresas de servicios esenciales y los proveedores de servicios digitales deberán informar a las autoridades pertinentes de cualquier incidente de ciberseguridad significativo.

• Establecimiento de medidas más estrictas para garantizar la seguridad de los sistemas de información críticos.

Conclusión

En algunos casos ambas directivas serán de aplicación, por ejemplo, aquellas entidades financieras designadas como proveedores de servicios esenciales. Por otro lado, proveedores de servicios Cloud y aquellos designados como globales para entidades financieras será obligatorio el cumplimiento de DORA.

Estas dos regulaciones tendrán un impacto considerable pero sobre todo en industrias con menos tradición a nivel de seguridad y riesgos tecnológicos como podría ser sector industrial, transporte, energía, seguros o salud.

Para los que trabajamos en el sector de la banca gestionando infraestructura tecnológica nos espera un reto apasionante.

Nos vemos en el próximo artículo!

Foto de uso libre de Carrie Borden publicada en Unsplash