Muchos bancos aún no están preparados para la nueva ley de ciberseguridad de la UE.

Traffic_analyzer | Vector Digitalvision | Nuevas y estrictas regulaciones de la UE que exigen a los bancos El soporte para su sistema de ciberseguridad entró oficialmente en vigor el viernes. Pero muchas de las empresas de servicios financieros del grupo aún deben cumplir plenamente las normas. La Ley de Resiliencia Operacional Digital de la Unión Europea, o DORA, exige ambas cosas. Las empresas de servicios financieros y sus proveedores de tecnología fortalecen los sistemas de TI para garantizar que la industria sea resiliente en caso de un ciberataque u otra forma de interrupción. A partir del 1 de enero de 2017. Las sanciones por violar la nueva ley podrían ser significativas. Las empresas de servicios financieros que violen las nuevas reglas podrían enfrentar multas de hasta el 2% de sus ingresos globales anuales. Los administradores individuales podrían ser considerados responsables de violaciones y enfrentar sanciones de hasta 1 millón de euros (1 millón de dólares). Hasta ahora, las tasas de cumplimiento de las nuevas reglas por parte de las empresas de servicios financieros han sido mixtas, según dijo el jefe de privacidad. Oficial y Consejero General Adjunto del gigante de TI Cisco. «Creo que hemos visto una amplia gama de cosas», dijo Zhang a CNBC en una entrevista. «Ciertamente, las empresas maduras analizarán esto durante al menos un año más. ¿O no mucho más?» «Realmente estamos tratando de construir este programa de cumplimiento. Pero es muy complicado. Creo que eso es un desafío. Esto también lo vemos con el RGPD y otras leyes generales que deben interpretarse: ¿qué significa realmente cumplir? Significa cosas diferentes para diferentes personas”, afirmó. DORA ha llevado a muchas instituciones a elevar los estándares de seguridad. Hasta el punto de que superan los “básicos” de la mayoría de empresas. Zhang agregó que bajo DORA, las compañías financieras deben implementar estrictas operaciones, clasificación, informes y gestión de riesgos de eventos y TI. Prueba de flexibilidad Compartir inteligencia sobre ciberamenazas y vulnerabilidades y medidas para gestionar los riesgos de terceros. La empresa también deberá realizar una evaluación. “Riesgo de concentración” relacionado con la subcontratación de funciones operativas críticas o importantes a empresas externas. Una encuesta realizada a 200 directores de seguridad de la información del Reino Unido empleados por Orange Cyberdefense, la división de ciberseguridad de la empresa francesa de telecomunicaciones Orange, muestra que el 43% de las instituciones financieras del Reino Unido no cumplen plenamente con DORA, eso es preocupante porque, aunque. Actualmente, el Reino Unido se encuentra fuera de la UE. DORA se aplica a todas las entidades financieras que operan dentro de la jurisdicción de la UE. Incluso si están ubicados fuera del grupo. “Aunque está claro que DORA no tiene alcance legal en el Reino Unido, Pero la entidad legal tiene su sede en el Reino Unido. Aquí, operar o brindar servicios a entidades de la UE está sujeto a regulación”, dijo a CNBC Richard Lindsay, asesor principal de Orange Cyberdefense. Agregó que el principal desafío para muchas instituciones financieras para lograr el cumplimiento de DORA es gestionar su servicio clave de TI de terceros. proveedores. «Las instituciones financieras operan dentro de ecosistemas digitales de múltiples capas y enormemente complejos», dijo Lindsay. “Está claro que monitorear y garantizar que cada parte de este sistema cumpla con los elementos relevantes de DORA es fundamental. Se necesitan nuevas mentalidades, soluciones y recursos”. El banco también está añadiendo un mayor nivel de escrutinio a las negociaciones contractuales con los proveedores de tecnología. Debido a los estrictos requisitos de DORA, dijo Zhang, el director de privacidad de Cisco le dijo a CNBC que cree que hay una alineación en el principio y el espíritu de la ley. Sin embargo, agregó: «Cualquier ley es el resultado de un compromiso, por lo que cuando se determina más». Se convierte en un desafío.» «Estamos de acuerdo en los principios, pero cualquier ley es el resultado de un compromiso. Y así cuando ellos Si hay más determinación Se convertirá en un desafío. «Aunque habrá desafíos, Pero la expectativa general entre los expertos es que no pasará mucho tiempo hasta que los bancos y otras instituciones financieras Para lograr el cumplimiento «los bancos europeos han cumplido con importantes regulaciones que cubren La mayoría de estas áreas están cubiertas por DORA”, dijo a CNBC Fabio Colombo, jefe de seguridad de servicios financieros EMEA de Accenture. Las instituciones de servicios financieros ya cuentan con capacidades maduras de gobernanza y cumplimiento. con un proceso de notificación de incidentes existente y un marco de riesgo de TIC sólido. Riesgos para los proveedores de TI”. Los proveedores de servicios de TI también pueden Multada bajo DORA, la regla amenaza con aranceles de hasta el 1% de las ganancias diarias promedio globales durante hasta seis meses. “Estas sanciones son necesarias”, dijo a CNBC Brian Fox, director de tecnología de Chain Management Company, Sonatype. Son un poderoso motivador. empujando a los líderes a tomar el cumplimiento normativo y la flexibilidad operativa más en serio que nunca su importancia dentro de la organización. La tecnología puede ayudar a las instituciones financieras a trasladar los servicios nuevamente a nivel interno. Para simplificar este aspecto y reducir el riesgo de incumplimiento”, dijo. “De cualquier manera, Los contratos existentes deben actualizarse para garantizar el cumplimiento del contrato y el seguimiento entre la entidad y el proveedor de servicios”, añadió Lindsay. Mientras tanto, existen otras regulaciones. que se centran en otros temas de seguridad cibernética en varias organizaciones debe cumplir, por ejemplo, con la Directiva de seguridad de la información y las redes 2 o NIS 2, y la primera Ley de resiliencia cibernética entra en vigor en octubre. “Como cualquier nueva regulación. Definitivamente habrá un período de transición en el que las organizaciones adaptarse a nuevos requisitos y estándares”, dijo Fox de Sonatype a CNBC. «Este es el comienzo de un largo viaje hacia la mejora de la seguridad y la escalabilidad del software».