¿A quién aplica DORA?

DORA (Reglamento UE 2022/2554) aplica a entidades financieras de la UE (bancos, aseguradoras, gestoras, proveedores de servicios de pago, etc.) y a sus proveedores terceros de servicios TIC considerados críticos.

¿Desde cuándo es de obligado cumplimiento DORA?

DORA es plenamente aplicable desde el 17 de enero de 2025. Las entidades deben tener implantado su marco de gestión del riesgo TIC, pruebas de resiliencia y la gestión de riesgo de terceros TIC.

¿Qué exige el registro de proveedores TIC de DORA?

Las entidades deben mantener un registro de información de todos los acuerdos contractuales con proveedores de servicios TIC, identificando los que soportan funciones críticas o importantes (art. 28).

Chips Act 2.0: Un impulso estratégico para la soberanía tecnológica europea

La necesidad de una segunda versión: ¿Por qué el Chips Act 2.0?

La Comisión Europea ha presentado el Chips Act 2.0, una propuesta que busca reforzar la industria de semiconductores en la UE. Esta iniciativa no es un simple ajuste del Chips Act original, sino una respuesta a la creciente dependencia de Europa de terceros países en áreas críticas como la fabricación de chips avanzados y el diseño de semiconductores.

La pandemia de COVID-19 y las tensiones geopolíticas han puesto de manifiesto la vulnerabilidad de las cadenas de suministro globales. En un mundo donde los chips son el corazón de las tecnologías críticas, desde teléfonos inteligentes hasta infraestructuras de defensa, la UE no puede permitirse depender de actores externos. El Chips Act 2.0 se presenta como una solución para asegurar un suministro estable de semiconductores, garantizando que las infraestructuras críticas y las tecnologías emergentes permanezcan seguras y alineadas con los valores europeos.

Componentes clave del Chips Act 2.0

El Chips Act 2.0 no solo busca reforzar las capacidades existentes en la producción de chips convencionales, sino también expandir la capacidad en tecnologías de semiconductores de vanguardia. La propuesta incluye varias medidas estratégicas:

Inversión en I+D: Se prevé un aumento significativo de la inversión en investigación y desarrollo para fomentar la innovación en el diseño y fabricación de chips.
Alianzas estratégicas: La UE buscará establecer alianzas con actores clave en la industria global de semiconductores para compartir conocimientos y recursos.
Incentivos fiscales: Se introducirán incentivos fiscales para atraer inversiones extranjeras directas en el sector de semiconductores europeo.
Regulación y estándares: Se desarrollarán nuevos estándares regulatorios para asegurar que los chips producidos en la UE cumplan con los más altos estándares de seguridad y eficiencia.

Implicaciones para la industria y la ciberseguridad

La implementación del Chips Act 2.0 tendrá implicaciones significativas para la industria europea de semiconductores y la ciberseguridad. Al reducir la dependencia de proveedores externos, la UE podrá fortalecer su posición en la cadena de valor global, incrementando su resiliencia frente a interrupciones en el suministro.

Desde una perspectiva de ciberseguridad, la producción local de chips ofrece la ventaja de un mayor control sobre el proceso de fabricación, reduciendo el riesgo de vulnerabilidades introducidas durante la producción. Esto es crucial para infraestructuras críticas donde la integridad y la seguridad de los componentes son esenciales.

Retos y oportunidades

A pesar de los beneficios potenciales, el Chips Act 2.0 enfrenta varios desafíos. La competencia global en el sector de semiconductores es feroz, y la UE deberá competir con gigantes como Estados Unidos y China, que también están invirtiendo masivamente en sus propias capacidades de producción de chips.

Sin embargo, esta situación también presenta oportunidades. La UE puede posicionarse como un líder en la producción de chips sostenibles y seguros, diferenciándose de sus competidores mediante la promoción de estándares ecológicos y éticos en la producción.

Conclusión: Un paso hacia la soberanía tecnológica

El Chips Act 2.0 es más que una simple política industrial; es un paso estratégico hacia la soberanía tecnológica de Europa. Al fortalecer su capacidad para producir chips avanzados, la UE no solo asegura su independencia tecnológica, sino que también refuerza su posición en el escenario global como un actor clave en la economía digital.

Para las empresas europeas, esto significa nuevas oportunidades de crecimiento y colaboración en un sector en rápida evolución. Para los reguladores, es una oportunidad para establecer estándares que protejan la seguridad y los valores europeos en el ámbito tecnológico.

Mapeo regulatorio concreto del Chips Act 2.0

El Chips Act 2.0 no opera en un vacío regulatorio, sino que se inserta en un ecosistema de normativas europeas que buscan garantizar la seguridad y resiliencia digital. Un ejemplo clave es el Reglamento de Resiliencia Operativa Digital (DORA), que en su artículo 11 establece la necesidad de que las entidades financieras gestionen los riesgos de las tecnologías de la información y la comunicación (TIC) de manera proactiva. Esto implica que cualquier chip utilizado en infraestructuras financieras debe cumplir con estándares de seguridad robustos desde su diseño hasta su implementación.

Por otro lado, la Directiva NIS2, en su artículo 21, exige que los operadores de servicios esenciales y los proveedores de servicios digitales implementen medidas técnicas y organizativas adecuadas para gestionar los riesgos que afectan a la seguridad de las redes y sistemas de información. Esto es particularmente relevante para los chips utilizados en infraestructuras críticas, donde la seguridad no es negociable. Además, el GDPR, específicamente en su artículo 33, impone la obligación de notificar las violaciones de datos personales, lo que implica que los chips deben estar diseñados para minimizar el riesgo de tales violaciones.

Impacto diferenciado por sector

El impacto del Chips Act 2.0 varía significativamente entre sectores. En el sector bancario, por ejemplo, la implementación de chips de fabricación local podría reducir el tiempo de inactividad causado por interrupciones en la cadena de suministro, mejorando así la continuidad del negocio. En el sector de seguros, donde la evaluación de riesgos es clave, la disponibilidad de chips seguros y fiables podría traducirse en primas más bajas para los clientes.

Para las fintech, el Chips Act 2.0 representa una oportunidad para innovar con nuevos productos y servicios que aprovechen las capacidades avanzadas de los semiconductores de última generación. Sin embargo, también deben estar preparadas para cumplir con las estrictas normativas de seguridad, como las establecidas por el Cyber Resilience Act, que en su artículo 13 exige la implementación de medidas de seguridad adecuadas en todos los productos conectados a la red.

En cuanto a las infraestructuras críticas, la capacidad de producir chips localmente podría ser un factor decisivo para garantizar la seguridad nacional, al reducir la dependencia de proveedores externos que podrían estar sujetos a influencias geopolíticas.

Escenario operativo realista para un equipo de seguridad/compliance

Para un equipo de seguridad y compliance, la implementación del Chips Act 2.0 implica una serie de pasos operativos críticos. Primero, es esencial realizar un mapeo de los chips actualmente en uso dentro de la organización, identificando aquellos que son críticos para las operaciones y que podrían beneficiarse de una transición a proveedores locales.

El siguiente paso es evaluar los riesgos asociados con los chips actuales, utilizando un marco de referencia como el ISO 27001, anexo A, que proporciona directrices sobre cómo gestionar la seguridad de la información. Una vez identificados los riesgos, el equipo debe desarrollar un plan de mitigación que incluya la transición a chips que cumplan con los nuevos estándares de seguridad establecidos por el Chips Act 2.0.

Finalmente, el equipo debe establecer un proceso continuo de monitoreo y revisión para asegurar que los chips utilizados sigan cumpliendo con las normativas y estándares de seguridad, adaptándose a cualquier cambio regulatorio o tecnológico que pueda surgir.

Mapeo regulatorio adicional

Además de las regulaciones ya mencionadas, el Chips Act 2.0 también interactúa con el AI Act, que en su artículo 6 clasifica los sistemas de inteligencia artificial en función de su nivel de riesgo. Los chips que se utilizan para ejecutar algoritmos de IA deben cumplir con los requisitos de seguridad y transparencia establecidos para los sistemas de alto riesgo.

El Cyber Resilience Act también juega un papel crucial, ya que en su artículo 13 establece que todos los productos conectados a la red deben ser diseñados con medidas de seguridad adecuadas para proteger contra ciberataques. Esto significa que los fabricantes de chips deben integrar características de seguridad en el diseño de sus productos desde el principio.

En resumen, el Chips Act 2.0 no solo busca fortalecer la industria de semiconductores de la UE, sino que también debe alinearse con un conjunto de regulaciones que garantizan que estos productos sean seguros, eficientes y resilientes frente a los desafíos del entorno digital actual.

Escenario operativo: Respuesta de un equipo de seguridad y compliance

Imagina que tu empresa es un fabricante europeo de semiconductores que debe alinearse con el Chips Act 2.0. El primer paso es realizar un análisis de brechas para identificar áreas donde tus procesos actuales no cumplen con las nuevas regulaciones. Esto implica revisar el ciclo completo de producción de chips, desde el diseño hasta la distribución, asegurando que cada etapa cumpla con los estándares de seguridad y eficiencia exigidos.

Una vez identificadas las brechas, el siguiente paso es desarrollar un plan de acción detallado. Este plan debe incluir la implementación de controles de seguridad más estrictos en las fases críticas de producción, como el diseño y la verificación de chips. Aquí es crucial integrar prácticas de seguridad desde el inicio del desarrollo (Security by Design). Además, se debe establecer un sistema de monitoreo continuo para detectar y mitigar cualquier riesgo de seguridad en tiempo real.

El plan también debe contemplar la formación continua del personal en ciberseguridad y compliance, asegurando que todos los empleados estén al tanto de las nuevas obligaciones y riesgos. Por último, es fundamental contar con un protocolo de respuesta a incidentes bien definido, que permita actuar rápidamente en caso de detectar vulnerabilidades o incumplimientos.

Evidencia y trazabilidad: Lo que exige una auditoría

Para cumplir con el Chips Act 2.0, las empresas deben estar preparadas para auditorías rigurosas que evalúen la implementación de las nuevas normativas. La clave aquí es la trazabilidad. Cada paso en el proceso de producción de semiconductores debe estar documentado de manera que se pueda demostrar el cumplimiento de los estándares establecidos.

Las auditorías exigirán evidencia de que se han realizado evaluaciones de impacto en la protección de datos, tal como estipula el GDPR art. 35. Además, se requerirá documentación que demuestre la integración de medidas de seguridad desde la fase de diseño, en línea con DORA art. 11, que exige la implementación de controles internos robustos.

Errores comunes que pueden penalizar en una auditoría incluyen la falta de documentación adecuada, la ausencia de un registro de incidentes de seguridad y la incapacidad para demostrar la formación del personal en las nuevas normativas. Para evitar estos errores, es esencial mantener registros detallados y actualizados de todas las actividades relacionadas con la seguridad y el compliance.

Métricas e indicadores de seguimiento (KPIs)

Para demostrar la operación sostenida y el cumplimiento del Chips Act 2.0, las empresas deben establecer métricas claras e indicadores clave de rendimiento (KPIs). Estos deben incluir la tasa de incidentes de seguridad detectados y resueltos, el tiempo medio de respuesta a incidentes y el porcentaje de cumplimiento de los estándares de seguridad en las auditorías internas.

Otro KPI crucial es el nivel de inversión en I+D en tecnologías de semiconductores de vanguardia, ya que el Chips Act 2.0 pone un fuerte énfasis en la innovación. Además, el porcentaje de empleados formados en las nuevas regulaciones y prácticas de seguridad es un indicador esencial para evaluar la preparación del personal.

Para garantizar que estas métricas se mantengan en el tiempo, es necesario implementar un sistema de revisión regular de los KPIs, ajustando las estrategias según sea necesario para mejorar el rendimiento y el cumplimiento.

Mapeo regulatorio concreto

El Chips Act 2.0 interactúa con varias normativas europeas existentes, por lo que es crucial mapear estas regulaciones para asegurar el cumplimiento integral. Por ejemplo, el NIS2 art. 21 establece la obligación de implementar medidas de gestión de riesgos de ciberseguridad, lo cual es esencial para cualquier empresa involucrada en la producción de semiconductores.

El GDPR art. 33 también es relevante, ya que exige la notificación de violaciones de datos personales en un plazo de 72 horas, lo que implica que las empresas deben tener protocolos de respuesta rápida a incidentes. Además, el Cyber Resilience Act art. 13 impone la obligación de asegurar que los productos y servicios tecnológicos sean seguros, lo cual se alinea con las expectativas del Chips Act 2.0 de producir chips que cumplan con los más altos estándares de seguridad.

En resumen, el cumplimiento del Chips Act 2.0 requiere un enfoque integral que considere todas estas normativas, garantizando que las empresas no solo cumplan con los requisitos específicos del sector de semiconductores, sino también con las obligaciones generales de ciberseguridad y protección de datos.

Métricas e Indicadores de Seguimiento: Demostrando Sostenibilidad

Para que el Chips Act 2.0 tenga éxito, es crucial establecer métricas claras y precisas que permitan evaluar su impacto a lo largo del tiempo. Los indicadores clave de rendimiento (KPIs) no solo deben centrarse en la cantidad de chips producidos, sino también en la calidad, la innovación y la sostenibilidad operativa. Un KPI esencial podría ser el aumento del porcentaje de chips avanzados fabricados en la UE en relación con la producción global, estableciendo metas anuales para evaluar el progreso.

Además, la sostenibilidad a largo plazo requiere un enfoque en la reducción de la huella de carbono en la fabricación de semiconductores. Aquí, el cumplimiento con regulaciones como el Reglamento de Taxonomía de la UE, que clasifica las actividades económicas sostenibles, podría servir como un marco para desarrollar KPIs medioambientales. Otro aspecto crítico es la innovación. Para medir el impacto en I+D, se podría monitorizar el número de patentes registradas por empresas europeas en tecnologías de semiconductores avanzados.

Gestión de Terceros y Cadena de Suministro: Cláusulas Contractuales y Due Diligence

La gestión de terceros y la cadena de suministro son elementos críticos en el Chips Act 2.0, especialmente dado el contexto de dependencia de proveedores externos. La diligencia debida (due diligence) en la selección de socios y proveedores es fundamental para mitigar riesgos. Aquí, el artículo 21 de NIS2 es relevante, ya que obliga a las entidades a implementar medidas de seguridad adecuadas para gestionar riesgos en la cadena de suministro. Esto incluye la evaluación periódica de los proveedores y la implementación de cláusulas contractuales que garanticen la seguridad de los procesos de fabricación.

Las cláusulas contractuales deben abordar aspectos como la protección de la propiedad intelectual, la confidencialidad de los datos y el cumplimiento de estándares de seguridad cibernética. La ISO 27001, específicamente su anexo A, proporciona un marco para gestionar la seguridad de la información, que puede ser adaptado para incluir requisitos específicos de la industria de semiconductores. Además, la implementación de auditorías regulares y la revisión de contratos pueden asegurar que los proveedores cumplan con las normativas y estándares europeos.

Mapeo Regulatorio: Obligaciones y Cumplimiento

El Chips Act 2.0 no opera en un vacío regulatorio; está intrínsecamente ligado a otras normativas europeas que afectan la industria tecnológica. Por ejemplo, el artículo 11 de DORA establece la obligación de las entidades financieras de garantizar la resiliencia operativa digital, lo que podría extenderse a los proveedores de chips que operan en sectores críticos. Del mismo modo, el artículo 33 del GDPR, que trata sobre la notificación de brechas de seguridad, es relevante para las empresas de semiconductores que manejan datos personales en sus procesos de diseño y fabricación.

El AI Act, en su artículo 6, también impone requisitos a los fabricantes de chips que desarrollan hardware para aplicaciones de inteligencia artificial, asegurando que los sistemas sean seguros, transparentes y no discriminatorios. Finalmente, el Cyber Resilience Act, artículo 13, exige a los fabricantes de productos de TIC, incluidos los semiconductores, que implementen medidas de seguridad adecuadas para proteger contra ciberamenazas. Este mapeo regulatorio proporciona un marco integral que asegura que el Chips Act 2.0 no solo impulse la producción, sino que lo haga de manera segura y conforme a los valores europeos.