Los CIO y los CISO se enfrentan a DORA: desafíos clave de cumplimiento

El retraso en la llegada de las Normas Técnicas de Regulación (RTS) no ayuda.

“El legislador no ha completado el proceso reglamentario”, afirma Giancarlo Butti, auditor y experto en privacidad y seguridad. “Hasta la fecha, solo se han publicado oficialmente algunas de las normativas delegadas, por lo que las entidades financieras que, por ejemplo, están redefiniendo los contratos con los proveedores tendrán que añadir posteriormente —una vez que lleguen las demás normativas delegadas— la parte relativa a la gestión de las relaciones con los subcontratistas. De hecho, es muy importante que las entidades financieras consideren cuidadosamente el riesgo de toda la cadena de suministro. Un aspecto que no se considera lo suficiente es que el impacto de DORA no solo involucra a las entidades financieras, sino, indirectamente, a toda la cadena de suministro de las TIC”.

La complejidad de DORA, por lo tanto, no está en el texto en sí, aunque es sustancial, sino en el trabajo que implica para su cumplimiento. Como señala Davide Baldini, abogado y socio de la firma de consultoría jurídica TIC, “DORA es una ley muy clara, ya que es un reglamento, que se aplica por igual en todos los países de la UE y contiene disposiciones muy detalladas. En comparación, la NIS2 se basa en principios y es una directiva, por lo que cada país miembro tiene margen de maniobra en su aplicación. Sin embargo, DORA es muy prescriptiva, y esto hace que el cumplimiento sea complejo en términos de tiempo y de recursos humanos y financieros que hay que desplegar”.