Hay una normativa europea que será clave para mejorar la ciber resiliencia del sector financiero. Por ese motivo, las entidades financieras han tenido que intensificar sus esfuerzos para llegar a cumplir con los requisitos de DORA (Digital Operational Resilience Act) antes de la fecha límite del 17 de enero de 2025.
Además, se espera que las primeras auditorías de los reguladores comiencen este año, para las cuales las entidades deberían haberse preparado. Es importante destacar que el incumplimiento de DORA podría acarrear sanciones significativas, incluyendo multas, restricciones a las operaciones comerciales y daños a la reputación, lo que puede provocar la pérdida de confianza de los clientes y la interrupción del negocio.
Por otro lado, mientras las entidades financieras estaban ocupadas implantando programas para el cumplimiento de DORA, la UE introdujo una nueva normativa pionera en su ámbito: la AI ACT. En vigor desde el 2 de agosto de 2024, esta regulación establece reglas para garantizar productos de Inteligencia Artificial fiables, seguros y sólidos, en particular los considerados de “alto riesgo”.
Aunque estas dos normativas abordan temas diferentes, comparten numerosos puntos en común y tienen la misma finalidad: hacer que las nuevas tecnologías sean más seguras. Así, las entidades financieras deben considerar también las obligaciones derivadas de la AI ACT que repercutirán en su marco de gestión de riesgos tecnológicos e integrarlas en su programa de ciberseguridad.
Cómo confluyen ambas regulaciones
Intercambio de información: DORA fomenta que las entidades financieras participen en acuerdos de intercambio de información sobre ciber amenazas, como indicadores de compromiso y alertas de ciberseguridad. Este intercambio debe realizarse dentro de comunidades de confianza y mediante acuerdos que protejan la sensibilidad de la información compartida.
La Ley de IA puede beneficiarse de estos acuerdos, ya que la información sobre amenazas ayuda también a mejorar la seguridad de los sistemas de IA.
Formar alianzas estratégicas con otras entidades financieras y proveedores de tecnología puede ser beneficioso por la posibilidad de compartir conocimientos, recursos y mejores prácticas. Estas alianzas fortalecerían la ciber resiliencia y facilitarían el cumplimiento de las normativas.
Armonización de normas: La Ley de IA busca crear reglas armonizadas para un enfoque basado en riesgos en Europa.
DORA, por otro lado, busca consolidar y armonizar los requisitos existentes para la gestión de riesgos de TIC dentro de la UE.
La armonización de las dos normas proporcionaría beneficios significativos para las entidades financieras, especialmente en términos de eficiencia y reducción de redundancias. La armonización ayudará a evitar la duplicación de los análisis al realizar controles comunes a ambas regulaciones. Esto puede ayudar a las entidades financieras a cumplir con los estándares europeos de manera más efectiva.
Pruebas de penetración (TLPT): DORA requiere que las entidades financieras realicen pruebas de penetración para evaluar vulnerabilidades y mejorar la ciberseguridad. Estas pruebas pueden incluir también la evaluación de sistemas de
IA para garantizar que cumplan con los estándares de seguridad y resiliencia definidos por la AI ACT.
Transparencia y responsabilidad: Tanto DORA como AI ACT promueven la transparencia y la responsabilidad en la gestión de riesgos y en el uso de las nuevas tecnologías. Las entidades financieras deben mapear, documentar, actualizar y reportar todos los procesos relevantes del uso de las TIC, incluida la Inteligencia Artificial, para cumplir con estos principios.
Mejora de la supervisión: La normativa de IA puede proporcionar herramientas y metodologías avanzadas para la supervisión de riesgos, lo que complementa los requisitos de DORA. La inteligencia artificial puede ayudar a identificar y mitigar riesgos de manera más eficiente, mejorando la capacidad de las entidades para cumplir con los estándares de resiliencia operativa digital.
Auditorias conjuntas: Ambas regulaciones insisten en la monitorización continua a través de pruebas y auditorías. DORA centrándose en pruebas de resiliencia, mientras que la AI ACT se ocupa de la validación regular de los sistemas de IA. Gracias a las auditorias prevista en la regulación de IA, se podrán detectar las debilidades TIC que busca identificar DORA.
Gestionar riesgos de terceros: En virtud de DORA, una entidad financiera que quisiera utilizar, por ejemplo, una solución de calificación crediticia basada en IA, deberá establecer unos criterios de evaluación previos en la contratación de sus proveedores. Estos criterios deberán estar claramente definidos y documentados. La AI ACT, por su parte, obliga a la entidad a utilizar adecuadamente el sistema de calificación crediticia, supervisar su funcionamiento e informar de cualquier riesgo, incidente o fuga de datos, incluidos los relacionados con terceros proveedores.
Una hoja de ruta completa y continua en el tiempo
Estas normativas pueden ser dos aliados formidables para impulsar el posicionamiento de seguridad de las entidades financieras. Sin embargo, para lograr una ciber resiliencia sólida y garantizar el cumplimiento, es crucial considerar estas normativas, no como mandatos independientes, sino como componentes complementarios de un marco global.
Las entidades financieras deben ver las normativas DORA y AI ACT no solo como un cumplimiento obligatorio, sino como una oportunidad para innovar y mejorar sus procesos. La implementación de tecnologías avanzadas y la adopción de enfoques innovadores.
Además, es importante que establezcan mecanismos de mejora continua para evaluar y actualizar sus estrategias de ciberseguridad y gestión de riesgos. Esto incluye la revisión periódica de políticas y procedimientos, así como la incorporación de lecciones aprendidas de incidentes pasados
Aunque integrar ambas desde el principio puede ser todo un reto, en Sopra Steria creemos en esta visión y la incorporamos ya a la hoja de ruta de todas las empresas de servicios financieros con las que trabajamos.
Nuestro enfoque práctico está construido transversalmente por un equipo de expertos multidisciplinares que combinan sus conocimientos en cumplimiento y ciberseguridad, capitalizando nuestras herramientas, marcos y soluciones internas ya desplegadas en numerosos proyectos relacionados con ambas regulaciones.