IE Law School y ECIJA presentan su informe sobre los retos legales de las normas DORA y NIS2

El pasado 25 de marzo, IE Law School acogió la presentación del informe "DORA y NIS2: Fortaleciendo la resiliencia operativa y la ciberseguridad en la era digital", elaborado por el Observatorio de Derecho Digital IE - ECIJA. El documento analiza los principales desafíos que plantean las dos normas más importantes del momento para las entidades del sector financiero y los proveedores de servicios digitales tecnológicos: el reglamento de resiliencia operativa digital (DORA), aplicable desde el pasado mes de enero, y la directiva de seguridad de redes y sistemas de información (NIS2), en fase de transposición.

Ambos textos buscan mejorar la seguridad cibernética y la resiliencia operativa en la Unión Europea, pero se aplican a diferentes sectores y tienen distintos enfoques en cuanto a los requisitos y las obligaciones.

El informe del Observatorio es fruto de un focus group con destacados profesionales del ámbito tecnológico y jurídico, que compartieron su visión sobre la adaptación de las organizaciones a estos nuevos marcos normativos.

El evento comenzó con unas palabras de bienvenida de Macarena Plaza, directora de Desarrollo Corporativo Internacional e Innovación Jurídica de IE Law School, y Jesús Yáñez, socio de Ciberseguridad de ECIJA; y continuó con un panel de expertos moderado por Pilar López-Aranguren, fundadora de Tone form the top y profesora en IE University, quien destacó "la necesidad de que los abogados in-house desarrollen nuevas habilidades ante un entorno en el que la seguridad debe integrarse en todos los procesos".

• Ricardo Calderero, Business Information Security Officer en Makro España.

• Elena Bernal, Gerente Coordinador Asesoría Jurídica Innovación y Privacidad en CaixaBank.

• Teresa Schüller, delegada de Protección de Datos en Carrefour España.

Según indica el documento, "una de las principales obligaciones de ambas normativas es realizar un análisis de riesgos efectivo que tenga en cuenta los peligros de terceros. Para ello, es necesario realizar un mapeo de proveedores. Esto puede ser manejable para empresas locales, pero se complica en el caso de corporaciones multinacionales y sus cadenas de suministro y subcontratación desconocidas. La gestión con la matriz puede dilatar el tiempo de negociación con proveedores y hacer la gestión contractual más compleja".

Lo más razonable entonces sería, destaca el informe, definir quiénes son los proveedores esenciales y cuáles no, para centralizar y homogeneizar los contratos.

Igualmente, es crítico revisar los criterios de esencialidad, ya que cada entidad puede estar sujeta a los criterios de distintos reguladores. Se espera que las nuevas exigencias sean asumibles en nuevas contrataciones con nuevos proveedores, pero existe resistencia respecto a los contratos vigentes con proveedores ya existentes.

"La gobernanza está suponiendo un reto debido a la asignación de roles en los distintos departamentos y equipos, la asignación de responsabilidades asociadas y la necesidad de diseñar un sistema de reporte de incidencias y riesgos", destaca el informe.

En cuanto a la problemática de los ciberataques, el Observatorio de Derecho Digital IE - ECIJA hace hincapié en la creciente problemática de los mismos, donde el vector de ataque no es interno, sino un tercero. "Entre las acciones referidas se encuentran las iniciativas en la certificación de proveedores: selección de proveedores; facilitar la auto certificación de proveedores; y diagnóstico automático de deficiencias que el proveedor necesitará subsanar para poder certificarse", apunta.

El documento concluye indicando que, para las entidades reguladas, la adaptación e implementación de estas regulaciones es una prioridad a nivel corporativo. Sin embargo, para las entidades no reguladas, la necesidad radica en adaptar e implementar NIS2 como una prioridad corporativa, lo que implica un cambio significativo en la cultura de cumplimiento y que la alta directiva deberá aprobar los presupuestos necesarios en materia de ciberseguridad.

Texto adaptado a partir de la noticia publicada en Expansión.

Sobre el Observatorio de Derecho Digital IE-ECIJA

El Observatorio de Derecho Digital IE-ECIJA tiene como objetivo profundizar e investigar las distintas dimensiones e implicaciones jurídicas derivadas de la economía digital con el fin de convertirse en un espacio de investigación y divulgación jurídica y académica del nuevo marco legal.