Red Seguridad 103

red seguridad cuarto trimestre 2023 55 servicios esenciales monográfico Reglamento DORA : específico para el sector financiero, pero con el claro objetivo de proteger uno de los secto- res preferidos por los ciberatacantes y más avanzados tecnológicamente. Este reglamento busca unificar el nivel de protección de todo el ecosistema financiero, incluyendo ciertos actores que antes podían no estar incluidos en las exigencias que se realizaban al sector. Cyber Resilience Act : destinada a establecer las condiciones y los requi- sitos esenciales para el desarrollo de productos seguros con elementos di- gitales (para que productos hardware y software se comercialicen con me- nos vulnerabilidades). La utilización de cada vez más software y hardware conectado de terceros, junto a la facili- dad que supone infectar múltiples en- tidades con un solo software o hard- ware vulnerable, ha hecho que Enisa lo identifique como la amenaza más relevante en su predicción para 2030. Directiva CER (junto a la futura ley que transponga la misma a nivel na- cional y su reglamento de desarrollo): aunque no tenga una vinculación tan directa con los mecanismos de ciber- seguridad, interrelaciona de una ma- nera muy clara con la protección de las entidades críticas, que en su gran mayoría prestan servicios esenciales a la sociedad. Otras normativas , como los esque- mas de certificación que se publicarán a partir del Cyber Security Act , y que establecerán requisitos específicos en función de ciertos servicios (por ejem- plo, servicios en la nube). Cadena de suministro ¿Y qué pasa con la cadena de sumi- nistro de estas entidades? Uno de los puntos que más quebraderos de cabeza ha originado tanto en las entidades que prestan servicios esenciales como en las autoridades competentes es cómo pro- teger el servicio esencial en su totalidad, incluida la cadena de suministro que ayuda a que se puedan proporcionar. La evolución para llegar a esto se ha realizado paso a paso. Inicialmente, a través de la descarga de toda la obliga- ción en el responsable del servicio, que en ocasiones trataba de trasladar esos requisitos a los proveedores a través de contratos. Después estableciendo una obligación de supervisión sobre los pro- veedores, de forma que se incrementaba esa responsabilidad de los responsables del servicio, que además debían asegu- rarse de que los proveedores cumplían lo que firmaban. El paso actual supone un gran avance hacia un modelo en el que, dado ese au- mento de la externalización de servicios tecnológicos, se hace parte del propio ecosistema del servicio esencial al pro- veedor, responsabilizándole de cumplir con unos requisitos establecidos. Prue- ba de ello es la creciente demanda de certificaciones en el Esquema Nacional de Seguridad, así como la inclusión de los proveedores sistémicos como uno de los propios afectados por el Reglamento DORA, o la regulación destinada princi- Uno de los puntos más complicados es cómo proteger el servicio esencial, incluida la cadena de suministro