DORA: ¿La espada de Damocles sobre los directivos financieros en ciberseguridad?

En el vertiginoso mundo de la regulación financiera, una nueva sigla ha irrumpido con fuerza: DORA (Digital Operational Resilience Act). Esta normativa europea no solo viene a sacudir los cimientos de la gestión del riesgo tecnológico en las entidades financieras, sino que también coloca una lupa implacable sobre los hombros de sus directivos. ¿Estamos ante una revolución en la responsabilidad corporativa o frente a un desafío imposible de cumplir?

STAY UPDATED

Subscribe to stay current on ILP Insights

A continuación, te presentamos la colaboración en vídeo, por si prefieres este formato:  

El principio de responsabilidad plena: cuando “el buck stops at the top”

La expresión en inglés “buck stops here” (literalmente, “el dólar se detiene aquí”) o su traducción más común al español, “la responsabilidad es mía”, es una frase que significa que una persona asume toda la responsabilidad por una situación determinada, especialmente cuando las cosas van mal. El principio de responsabilidad plena, o cuando el “buck stops at the top” preside el Reglamento DORA. DORA no se anda con rodeos: establece el principio de “responsabilidad plena y última” del órgano de dirección en la gestión del riesgo relacionado con las TIC. Esto significa que los altos ejecutivos ya no podrán escudarse tras la complejidad técnica o delegar completamente en sus departamentos de IT. La pregunta es: ¿están preparados nuestros C-level para asumir este nivel de responsabilidad en un campo tan especializado y en constante evolución?

Inversión en TIC: ¿un cheque en blanco para la resiliencia?

DORA exige “un nivel de inversiones relacionadas con las TIC y un presupuesto global” que garantice “un elevado nivel de resiliencia operativa digital”. Pero, ¿cómo se cuantifica exactamente ese “nivel elevado”? ¿Estamos ante una carrera armamentística digital donde el que más invierta gana, o se trata de optimizar recursos de forma inteligente?

 Planes de continuidad y recuperación: el arte de levantarse tras la caída

La normativa enfatiza la necesidad de contar con “planes eficientes de continuidad de la actividad y de recuperación”. Sin embargo, la eficiencia en el mundo digital es un blanco móvil. Lo que hoy es un plan robusto, mañana puede ser obsoleto ante una nueva amenaza. ¿Cómo pueden las entidades financieras mantener la agilidad necesaria para adaptarse sin comprometer la integridad de sus sistemas?

El dilema de la notificación: “transparencia versus vulnerabilidad”

DORA establece un marco armonizado para la notificación de incidentes graves relacionados con las TIC. Si bien esto promete mejorar la respuesta coordinada ante amenazas, también plantea interrogantes. ¿Podría esta transparencia ser explotada por actores maliciosos? ¿Cómo equilibrar la necesidad de información con la protección de vulnerabilidades críticas?

Conclusión: ¿Un nuevo paradigma o una carga insostenible?

DORA representa un paso audaz hacia la consolidación de un sistema financiero europeo más resiliente en el ámbito digital. Sin embargo, su implementación exitosa dependerá de cómo las entidades financieras y sus líderes interpreten y ejecuten estas directrices en la práctica. La pregunta que queda en el aire es: ¿Estamos ante el amanecer de una nueva era de responsabilidad corporativa en ciberseguridad o frente a un conjunto de expectativas irrealistas que podrían paralizar la innovación en el sector financiero? Solo el tiempo y la capacidad de adaptación de nuestras instituciones financieras darán respuesta a este interrogante. Mientras tanto, los ojos del mundo financiero estarán puestos en cómo se desarrolla esta nueva danza entre regulación, tecnología y liderazgo corporativo. Si te ha gustado este artículo, también puede interesarte la lectura del siguiente: DORA: cláusulas esenciales del derecho de acceso, inspección y auditoría de proveedores TIC.