Navegando las regulaciones ciberseguridad en Francia y Europa / edición 2025

La implementación del marco europeo de ciberseguridad está cobrando impulso en Francia.

Tras la adopción de la Ley de IA en 2024, su fase de aplicación comenzó en 2025, introduciendo las primeras obligaciones para los modelos de IA de gran escala. Paralelamente, el reglamento DORA, que entró en vigor a principios de 2025, se está implementando progresivamente en las entidades financieras. Mientras tanto, desde marzo de 2025 se examina un proyecto de ley para transponer tres directivas clave: NIS 2, REC y la directiva asociada a DORA.

En este contexto, este artículo tiene como objetivo resaltar los principales desafíos y desarrollos clave previstos a lo largo de 2025.

Resiliencia operativa e inteligencia artificial: el doble desafío regulatorio europeo

DORA

DORA, el reglamento europeo adoptado el 10 de noviembre de 2022, tiene como objetivo fortalecer la resiliencia operativa digital de las entidades financieras mediante la imposición de estrictos requisitos de gestión de riesgos en TIC.

Si bien DORA entró en vigor oficialmente el 17 de enero de 2025, el marco regulatorio continúa evolucionando:

1. A lo largo de 2024 se desarrollaron varios proyectos de normas técnicas (RTS/ITS) para clarificar el reglamento.
2. La ACPR brinda apoyo mediante notas explicativas, herramientas de reporte y FAQ que se actualizan regularmente a medida que el marco avanza.

La fecha clave para 2025 fue el 15 de abril, que marcó el plazo para la primera presentación del Registro de Información (RoI).

La visión de Neverhack

Nuestros clientes, tras una fase de análisis de brechas y el desarrollo de hojas de ruta personalizadas, están ahora comprometidos activamente en desplegar las medidas de conformidad con DORA.

Desafíos críticos identificados por NeverHack

Un análisis exhaustivo de nuestros clientes destaca varios desafíos críticos:

Desafío 1: gestión de contratos con proveedores de servicios TIC

1. No todos los proveedores se sienten directamente afectados por los requisitos de DORA.
2. Las cláusulas contractuales, especialmente en lo que respecta a las estrategias de salida, a menudo deben reescribirse, lo que representa una tarea que consume mucho tiempo.
3. Los equipos operativos requieren un apoyo continuo y una mayor concienciación para garantizar el cumplimiento.
4. Mantener el registro requerido demanda muchos recursos.

Desafío 2: reestructuración de los procesos de externalización

1. Los marcos de externalización deben revisarse completamente para alinearse con DORA.
2. Cada servicio externalizado debe estar respaldado por un análisis de riesgos, a menudo gestionado por el equipo del CISO.
3. Esto resalta la necesidad de un proceso robusto de Gestión de Riesgos de Terceros (TPRM) para garantizar una evaluación, un monitoreo y una gobernanza consistentes de los proveedores externos en toda la organización.

Desafío 3: disparidades de recursos dentro de los grupos financieros

1. La implementación de DORA requiere recursos significativos, especialmente para los servicios críticos que demandan pruebas y actualizaciones más frecuentes.
2. Las entidades más pequeñas dentro de un grupo se ven afectadas de manera desproporcionada y dependen de una coordinación a nivel de grupo para cumplir las obligaciones.
3. Las pequeñas entidades que operan de forma independiente enfrentan desafíos aún mayores, ya que a menudo carecen de los recursos humanos necesarios para implementar DORA mientras mantienen las operaciones diarias. En algunos casos, una sola persona (por ejemplo, el CISO) es responsable tanto del cumplimiento normativo como de la seguridad operativa, lo que incrementa significativamente la carga de implementación.

Desafío 4: gobernanza y coordinación interna

1. Las organizaciones deben elegir entre desarrollar internamente una experiencia en seguridad de la información o contratar profesionales externos, a veces en contradicción con sus políticas de RRHH.
2. La colaboración entre diversos departamentos internos resulta difícil de gestionar y coordinar eficazmente, lo que subraya la necesidad de obtener la validación de la alta dirección para legitimar y facilitar esta colaboración interdepartamental.

AI ACT

La Ley de IA, adoptada el 1 de agosto de 2024, equilibra la seguridad, los derechos fundamentales y la innovación en el campo de la inteligencia artificial. Su aplicación sigue un calendario progresivo:

1. 2 de febrero de 2025: Prohibición de los usos de IA de alto riesgo (manipulación subliminal, explotación de vulnerabilidades, scoring social)
2. 2 de agosto de 2025: Obligaciones para los grandes modelos de IA, implementación de autoridades de supervisión y régimen sancionador
3. 2 de agosto de 2026: Aplicación completa que incluye medidas de ciberseguridad

Si utiliza IA (reclutamiento, evaluación de solvencia, chatbots, generación de contenido), para agosto de 2025 deberá (lista no exhaustiva):

1. Designar responsables de IA
2. Documentar todos los casos de uso
3. Establecer políticas de uso aceptable
4. Implementar un marco de gestión de riesgos

Para prepararse a la aplicación completa y a las medidas de ciberseguridad, recomendamos las siguientes acciones:

1. Evaluar las vulnerabilidades en ciberseguridad específicas de sus sistemas de IA
2. Capacitar a los equipos técnicos en los requisitos de ciberseguridad relacionados con la IA
3. Integrar la ciberseguridad en su futuro marco de gestión de riesgos

Del triptico europeo a la conformidad nacional

El 15 de octubre de 2024, el gobierno francés presentó un proyecto de ley destinado a reforzar la resiliencia de las infraestructuras críticas y la ciberseguridad. Inicialmente previsto para principios de 2024, este proyecto se retrasó debido a la disolución de la Asamblea Nacional unos meses antes. Este texto transpone tres importantes directivas europeas:

1. NIS 2: fortalecimiento del nivel general de ciberseguridad.
2. REC: reducción de vulnerabilidades y refuerzo de la resiliencia física de las entidades críticas.
3. La directiva asociada a DORA: que alinea varias directivas sectoriales existentes con el nuevo marco creado por el reglamento homónimo.

Adoptado en primera lectura por el Senado el 12 de marzo de 2025, el proyecto de ley fue remitido a la Asamblea Nacional el 13 de marzo de 2025, donde está siendo examinado por una comisión especial. Sujeto a un procedimiento acelerado desde el 15 de octubre de 2024, el texto será adoptado definitivamente si no es modificado por la Asamblea o se remitirá a una Comisión Mixta Paritaria para resolver las discrepancias entre ambas cámaras.

Una vez adoptada la ley, los decretos de implementación especificarán los procedimientos de aplicación.

Conclusión

2025 marca la aplicación concreta del marco europeo de ciberseguridad en Francia con DORA, la Ley de IA y un panorama legislativo en evolución. Las organizaciones deben adaptar rápidamente su gobernanza, revisar sus prácticas de externalización y prepararse para la supervisión de los sistemas de IA a fin de cumplir con los nuevos requisitos de resiliencia digital. El panorama de la ciberseguridad seguirá evolucionando, con el Cyber Resilience Act (CRA) previsto para aplicarse a partir de 2026, introduciendo nuevas obligaciones para los proveedores de productos y software digitales.