En un contexto marcado por el aumento de preocupaciones sobre la seguridad digital, la reciente implementación de los marcos normativos DORA y NIS2 en Europa ha llevado a ISACA a presentar su libro blanco titulado 'Resiliencia y seguridad en sectores críticos: Cómo abordar los requisitos de NIS2 y DORA'. Este documento busca servir como una hoja de ruta que permita a las empresas y organizaciones no solo cumplir con estas nuevas regulaciones, sino también potenciar su capacidad de resiliencia cibernética.

A pesar de que la normativa de Resiliencia Operativa Digital (DORA) ya se encuentra en vigor en la Unión Europea y que la directiva sobre ciberseguridad NIS2 es oficialmente aplicable, muchas empresas aún no logran asimilar del todo sus obligaciones o se enfrentan a dificultades al intentar implementarlas de manera práctica.

Desde ISACA, una entidad internacional comprometida con la confianza digital, se señala que existe una falta considerable de conocimiento sobre estos requisitos, especialmente entre las pequeñas y medianas empresas (pymes) y los proveedores de tecnologías de la información y comunicación (TIC). Muchos de ellos, en efecto, no solo ignoran los detalles de estas normativas, sino también los beneficios que pueden derivarse de su correcta implementación.

Es preocupante que, hasta el momento, solo algunos países miembros de la UE, dejando fuera a España, hayan cumplido con el plazo de octubre de 2024 para adaptar la NIS2 a su marco legal nacional. Un ejemplo relevante es el caso de Irlanda, donde a pesar de ser considerada una economía digital avanzada, el 38% de las empresas han admitido no estar preparadas para cumplir con las nuevas normativas.

ISACA ha advertido que esta falta de preparación puede ser un fenómeno generalizado en muchos estados europeos, afectando especialmente a las pymes y a las entidades no financieras, que deberán adaptarse a nuevos requerimientos de auditoría y rendición de cuentas.

El informe técnico de ISACA resalta la importancia vital de DORA y NIS2 para la resiliencia operativa digital en la Unión Europea. Su guía está diseñada para ser útil no solo a empresas y entidades financieras, sino también a administraciones públicas y proveedores de tecnología.

El documento proporciona un análisis claro de ambas normativas y ofrece pautas sobre cómo las organizaciones pueden cumplir con los requerimientos legales a la vez que refuerzan su ciberresiliencia. Chris Dimitriadis, Director de Estrategia Global de ISACA, enfatiza que el verdadero desafío radica en que las organizaciones no solo comprendan las regulaciones, sino que también sepan cómo ponerlas en práctica de manera efectiva.

Dimitriadis subraya que DORA y NIS2 representan un cambio profundo en la manera en la que las organizaciones gestionan la ciberseguridad y la resiliencia. La falta de cumplimiento con estas normativas puede acarrear consecuencias severas y un incremento en el riesgo de interrupciones operativas. Por ello, ISACA se manifiesta decidida a apoyar a las organizaciones en esta nueva era.

Entre los aspectos destacados de la guía, se encuentran herramientas que ayudarán a las empresas a determinar su relación con la normativa y cómo construir un marco TIC resiliente. Esto incluye estrategias de gestión de riesgos alineadas con sus objetivos empresariales y la importancia de revisar de manera periódica los planes de recuperación y continuidad.

Asimismo, el informe subraya la necesidad de que los contratos con proveedores de TIC incluyan cláusulas adecuadas relacionadas con la continuidad y la seguridad. A menudo, proveedores que desarrollan software, ofrecen servicios en la nube o gestionan tecnologías resultan ajenos a que DORA también les afecta, dependiendo de sus vínculos contractuales con entidades financieras.

Con el fin de afrontar las exigencias de notificación de incidentes, que cuentan con plazos estrictos, la guía también ofrece recursos para ayudar a las organizaciones a cumplir con estos requisitos. Por ejemplo, NIS2 estipula que la notificación preliminar debe realizarse en un máximo de 24 horas, mientras que DORA exige siete horas para informar sobre incidentes graves.

Además, esta guía incluye recursos de capacitación dirigida a la dirección y equipos de trabajo, así como la posibilidad de establecer auditorías internas y externas con regularidad. También se sugiere que las entidades financieras realicen pruebas de penetración basadas en amenazas, asegurando su capacidad de respuesta operativa.

Cabe recordar que las sanciones por incumplimiento de la NIS2 pueden ascender entre 7 y 10 millones de euros para las grandes entidades, mientras que DORA delega la aplicación de multas a las autoridades locales, incrementando la presión por cumplir con estas normativas.

El informe de ISACA no solo busca ayudar a los equipos encargados de cumplimiento normativo, sino que también apoya a los líderes en seguridad de información y tecnologías, fomentando una resiliencia a largo plazo en el entorno digital. En este sentido, la guía se erige como un recurso clave para organizaciones y sus socios tecnológicos, ofreciendo un análisis comparativo de DORA y NIS2 junto con recomendaciones prácticas para navegar con éxito en el complejo paisaje regulatorio cibernético actual.

Las organizaciones que deseen profundizar en estas temáticas pueden descargar una copia gratuita del libro blanco 'Resiliencia y Seguridad en Sectores Críticos: Cómo abordar los requisitos de NIS2 y DORA' desde el sitio web oficial de ISACA.