Blog

Ciberseguridad en Europa: el Reglamento DORA y la Directiva NIS2.

Monday, 1 of July of 2024

La evoluci贸n continua y cada vez m谩s frecuente de las amenazas cibern茅ticas ha dado lugar a nuevos desaf铆os, poniendo de manifiesto la necesidad de abordar los retos actuales de ciberseguridad. As铆, se ha impulsado la necesidad de revisar y actualizar la legislaci贸n europea vigente en materia de ciberseguridad. 聽聽

En este sentido, destacamos dos nuevas normativas: el Reglamento DORA y la Directiva NIS2. Ambas tratan de establecer un marco normativo de medidas destinadas a garantizar un alto nivel de seguridad de las redes y sistemas de informaci贸n en la Uni贸n Europea. 聽

En primer lugar, el Reglamento DORA, que afecta directamente a las entidades financieras, entr贸 en vigor en enero de 2023, pero no resulta plenamente aplicable hasta dos a帽os m谩s tarde, es decir, hasta enero de 2025.

Su objetivo es mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, concretamente, respecto de los riesgos relacionados con las tecnolog铆as de la informaci贸n y la comunicaci贸n.

Y es que, las entidades financieras deben adoptar medidas de seguridad robustas que sean capaces de hacer frente a un incidente de seguridad para que su reputaci贸n y confianza no se vean da帽adas.

Adem谩s, el pasado 25 de junio se public贸 el Reglamento Delegado 2024/1772 complementario de DORA donde se especifican los criterios para la clasificaci贸n de los incidentes TIC, entre los cuales se encuentra la afectaci贸n de la reputaci贸n de la entidad financiera. En t茅rminos generales, las entidades financieras tendr谩n en cuenta el nivel de visibilidad del incidente para determinar la repercusi贸n en la reputaci贸n.

En segundo lugar, la Directiva NIS2 surge como necesidad de actualizaci贸n de las medidas establecidas en la Directiva NIS1 para abordar los retos actuales en materia de ciberseguridad. Esta aplica a medianas y grandes empresas p煤blicas o privadas.

Esta Directiva refuerza los requisitos de seguridad que deben cumplir las entidades afectadas, precisa el proceso de notificaci贸n de incidentes, aborda la seguridad en la cadena de suministro y relaciones con proveedores, as铆 como, refuerza el intercambio de informaci贸n sobre incidentes.

La Directiva NIS2 recoge un listado de medidas t茅cnicas, operativas y de organizaci贸n para gestionar los riesgos de seguridad TIC tales como pol铆ticas de seguridad, an谩lisis de riesgos, gesti贸n de incidentes, formaci贸n en ciberseguridad, etc.

Al contrario que el Reglamento DORA, que es de aplicaci贸n directa en todos los estados miembros, la Directiva NIS2 ha de ser traspuesta al ordenamiento interno de los estados miembros antes del 17 de octubre de 2024.

En definitiva, estas normativas hacen reflexionar sobre la importancia de velar por una buena gesti贸n de la ciberseguridad, no s贸lo actuando de manera reactiva, sino incorporando proactivamente recursos de control y monitorizaci贸n de dicha reputaci贸n.