Sin embargo, Anton Konopliov, fundador y director ejecutivo de Palma Violets Loans, advierte de que, si bien las normas propuestas son beneficiosas para reducir el riesgo, podrían “causar caos” para muchas empresas, tanto del lado del cliente como del proveedor, en lo que respecta a los presupuestos y las obligaciones contractuales. “Las empresas financieras tampoco tendrán ya la libertad de establecer sus propios términos contractuales con los proveedores de servicios de TI externos. Se espera que estos cambios más estrictos provoquen un aumento de los precios de los proveedores de servicios de TI externos. Desmantelarán los presupuestos de las entidades financieras”.
Informes de incidentes y compartición de amenazas
Como parte de los requisitos de notificación de incidentes, las empresas deberán proporcionar informes de análisis de las causas fundamentales a más tardar un mes después de que se produzca un incidente importante de TIC. Además de apuntar a proporcionar una plantilla estandarizada para la notificación de incidentes en todo el sector financiero en Europa, la ley también podría sentar las bases para el establecimiento de un centro único para la notificación de incidentes por parte de las empresas financieras.
“El objetivo de armonizar la clasificación y la notificación de incidentes de TIC, las pruebas de resiliencia y las normas de gestión de riesgos es un próximo paso positivo para fortalecer la resiliencia operativa del sector financiero y de las empresas individuales que lo integran”, afirma Chaudhry. “DORA se basa en TIBER-EU (marco europeo para la formación de equipos rojos éticos basados en inteligencia de amenazas), que se inspira en CBEST y otras iniciativas y que impulsa aún más la orientación sobre las pruebas de resiliencia operativa digital. Junto con NIST, las empresas tienen un conjunto claro de estándares y amenazas que impulsar las capacidades y considerar desde una perspectiva cibernética, tecnológica y de resiliencia operativa”.