Gestión de Riesgos TIC

La gestión de riesgos TIC es un requisito fundamental tanto del Reglamento de Resiliencia Operativa Digital (DORA) como de la Directiva NIS2, aunque cada normativa lo aborda con un alcance y énfasis diferentes. En virtud de DORA, las entidades financieras deben establecer y mantener un marco integral de gestión de riesgos TIC que incluya las estrategias, políticas, procedimientos, protocolos TIC y herramientas necesarios para proteger adecuadamente todos los activos de información y activos TIC.

El marco de gestión de riesgos TIC de DORA (Artículos 5-16) exige que las entidades financieras implementen medidas en varios ámbitos: identificación de todas las funciones empresariales soportadas por TIC y los riesgos asociados, mecanismos de protección y prevención incluyendo políticas de ciberseguridad, capacidades de detección de actividades anómalas, planes de respuesta y recuperación con procedimientos de continuidad de negocio, y mecanismos de aprendizaje y evolución a partir de incidentes pasados.

Bajo la NIS2, las entidades esenciales e importantes deben adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y los sistemas de información. Estas medidas deben incluir la gestión de incidentes, la continuidad de las actividades, la seguridad de la cadena de suministro, la seguridad en la adquisición de redes y sistemas de información, y las políticas sobre el uso de criptografía y cifrado.

Un aspecto crítico de la gestión de riesgos TIC en ambos marcos normativos es la dimensión de gobernanza. La alta dirección (el órgano de dirección según DORA, los órganos de dirección según NIS2) asume la responsabilidad última del marco de gestión de riesgos TIC y puede ser considerada personalmente responsable en caso de incumplimiento. Esto refleja la intención regulatoria de elevar la ciberseguridad de una preocupación puramente técnica a una prioridad estratégica de nivel directivo.