DORA: Qué es y qué normas impone a las entidades financieras

Redacción

El Reglamento de Resiliencia Operativa Digital es la norma de la Unión Europea que obliga a las entidades financieras a reforzar su ciberseguridad y garantizar la continuidad de sus servicios ante incidentes tecnológicos. Conocido por las siglas DORA —Digital Operational Resilience Act—, busca proteger la estabilidad del sistema financiero europeo ante amenazas crecientes como los ciberataques, fallos en proveedores externos o interrupciones masivas de servicios digitales. El reglamento DORA entró en vigor en enero de 2023 y se aplica plenamente a partir del 17 de enero de 2025.

Con esta meta de fortalecer la ciberseguridad y la resiliencia operativa del sector financiero, DORA establece requisitos comunes para bancos, aseguradoras y otros proveedores de servicios tecnológicos, para que puedan gestionar, prevenir y solventar fallos tecnológicos y ciberataques de manera eficaz y unificada, con normas claras sobre gestión de riesgos TIC, notificación de incidentes, pruebas de resiliencia y gestión de terceros.

¿A qué empresas europeas afecta DORA?

DORA afecta a más de 22.000 entidades de la Unión Europea, principalmente a bancos, compañías de seguros, empresas de inversión y fintec, plataformas de pago, criptoactivos y proveedores tecnológicos de información y comunicación que presten servicios al sector financiero en la UE, incluidos aquellos con sede fuera del espacio comunitario.

En cuanto a su alcance en el territorio europeo, DORA no solo exige tecnología segura, sino también una gestión empresarial comprometida con la formación continua del personal y con implantar una cultura de resiliencia para reforzar la confianza en los servicios financieros digitales.

Objetivos principales de este Reglamento de Resiliencia

  • Armonizar normativas. Unificar las reglas de resiliencia digital en toda la UE.
  • Reforzar la seguridad. Aumentar la capacidad del sector para resistir y recuperarse de incidentes graves (ciberataques, fallos de sistemas).
  • Proteger a los consumidores. Asegurar la continuidad de los servicios financieros y la credibilidad del sistema.

Áreas clave de DORA

1) Gestión del riesgo de las tecnologías de información y comunicación (TIC). Marco integral para identificar, clasificar y gestionar los riesgos de las empresas de tecnología financiera.

2) Notificación de incidentes. Sistema para detectar, gestionar y reportar incidentes graves de TIC a las autoridades y clientes.

3) Pruebas de resiliencia. Programas de pruebas exhaustivos, incluyendo pruebas de penetración (TLPT), para evaluar la fortaleza de los sistemas.

4) Gestión de riesgos de terceros. Requisitos para gestionar las dependencias con proveedores externos de servicios TIC.

5) Intercambio de información. Fomentar el intercambio de inteligencia sobre ciberamenazas entre entidades.

Te interesa: II Jornada DORA con los máximos expertos del sector. Encuentro presencial organizado por Red Seguridad y la Fundación Borredá el 21 de enero