El desafío de DORA en la lucha contra ciberataques en el sector asegurador

Próximamente entrará en vigor DORA, un nuevo reglamento que garantiza la efectividad de las aseguradoras frente a los ciberataques en la Unión Europea.

Un ciberataque puede paralizar en segundos la operativa de una aseguradora o dejar los datos de miles de clientes al descubierto. En este contexto, el Reglamento 2022/2554 sobre la resiliencia operativa digital de la Unión Europea, conocido como DORA, llega con una misión: reforzar la seguridad informática de las entidades financieras, incluidas las aseguradoras, reaseguradoras e intermediarios de seguros, para garantizar su capacidad de respuesta y mantener su resiliencia operativa ante incidentes tecnológicos graves.

DORA entró en vigor el pasado 17 de enero y desde entonces ha marcado el inicio de una nueva etapa de obligaciones para las entidades del sector asegurador. El objetivo es claro: proteger a estas entidades frente a posibles incidentes tecnológicos y, en consecuencia, escudar también a sus tomadores y asegurados de la posible filtración de datos o de la paralización de su operativa. Por ello, las entidades del sector asegurador se encuentran inmersas en el proceso de entendimiento y aplicación de una nueva normativa exigente que conlleva más deberes operativos y regulatorios.

La obligación por antonomasia que impone DORA es la de la propia notificación de los “incidentes graves o importantes” relacionados con las tecnologías de la información y la comunicación (TIC) a las autoridades competentes, así como —de forma voluntaria— la notificación de ciberamenazas importantes que puedan afectar negativamente a la confidencialidad, disponibilidad, integridad o autenticidad de los datos o servicios de la entidad.

Lógicamente, la primera pregunta para cualquier entidad del sector asegurador será: ¿Cuándo debe considerarse que se ha producido un incidente grave o importante que requiera notificación? De acuerdo con la normativa, será la propia entidad del sector seguros la que habrá de realizar un análisis del propio incidente en sus sistemas TIC, personas y procesos, así como los efectos adversos en la continuidad de los servicios prestados.

Para ello, tendrán que considerarse criterios como el número de tomadores y asegurados afectados, la duración del incidente y su extensión geográfica, la pérdida de datos y su tipología (por ejemplo, si se trata de datos médicos), y las consecuencias económicas.

La siguiente cuestión es a quién debe notificarse. Además de la Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Ciberseguridad (Incibe), las entidades del sector asegurador responden ante la Dirección General de Seguros y Fondos de Pensiones (DGSFP) y deben comunicar también estos incidentes tecnológicos, siguiendo una serie de procedimientos específicos y dentro de unos plazos muy cortos y concretos.

El protocolo de notificación ante la DGSFP sigue tres fases: una notificación inicial, que debe realizarse dentro de las primeras 4 horas desde la clasificación del incidente como grave, o como máximo 24 horas después de su detección; un informe intermedio, que debe efectuarse dentro de las 72 horas posteriores a la clasificación del incidente grave, cuando haya cambios significativos en la situación o en la gestión del incidente; y un informe final, que hay que presentar el día siguiente a la resolución del incidente o, como máximo, un mes después de su clasificación como incidente grave.

Para ello, la DGSFP ha habilitado un canal telemático específico a través del sistema TEL 242, así como una plantilla oficial disponible en su página web para la remisión de los reportes de incidencias.

Junto a lo anterior, y en línea con la ya común notificación de aquellas actividades externalizadas críticas o importantes, las entidades del sector deben reportar también ahora a la DGSFP, a través del sistema TEL 247, información relativa a los contratos que mantengan con proveedores de servicios tecnológicos. En especial, deben informar sobre la naturaleza de los servicios prestados y el nivel de criticidad de estos, y con carácter anual deberán notificar los nuevos acuerdos que celebren con proveedores TIC.

La cuestión básicamente es que, de ahora en adelante, las entidades del sector asegurador deberán integrar la gestión de riesgos de sus proveedores TIC en su marco general de riesgos tecnológicos. Esto implica tanto evaluar el perfil de riesgo de cada proveedor, como verificar su propia cadena de proveedores TIC a los que se les subcontrata funciones esenciales o importantes. Es decir, ya no es suficiente con asegurar la capacidad operativa de la propia entidad o sus proveedores directos, sino que debe verificarse también la cadena de subcontrataciones, de forma que se cumpla exhaustivamente con los estándares de seguridad y resiliencia exigidos.

En conclusión, las entidades del sector asegurador se encuentran ahora bajo la lupa del regulador a nivel tecnológico. Todas aquellas ventajas que han proporcionado las nuevas tecnologías y la IA se contrarrestan con nuevas exigencias de carácter informativo y de exhaustiva gestión de los propios riesgos. El tiempo dirá si estas medidas son suficientes y si las autoridades competentes serán realmente capaces de valorar toda esta nueva información que recibirán, con el fin de verificar correctamente la validez de estos sistemas tecnológicos implantados.

Publicado en: Seguro News