Ir al contenido principal
WebID
DeutschEnglishEspañol

Reglamento de Resiliencia Operativa Digital (DORA)

Qué significa el nuevo reglamento de la UE DORA para las empresas

Ciberataques, fallos de sistemas y dependencias digitales: todos estos son temas con los que las empresas se enfrentan cada vez más. Especialmente en el sector financiero, donde los sistemas digitales son la columna vertebral de los procesos empresariales, la resiliencia frente a perturbaciones basadas en TI de cualquier tipo es de importancia crítica.

Precisamente aquí es donde entra en juego el Reglamento de la Unión Europea sobre la Resiliencia Operativa Digital (DORA, por sus siglas en inglés). Con este reglamento, la UE pretende reforzar el mercado financiero europeo frente a los riesgos cibernéticos y los incidentes relacionados con las tecnologías de la información y la comunicación (TIC).

¿Qué es DORA?

DORA, el Reglamento (UE) 2022/2554, entró en vigor en enero de 2023 y será de aplicación obligatoria a partir del 17 de enero de 2025. Su objetivo es fortalecer la resiliencia operativa digital de las empresas del sector financiero, es decir, garantizar que puedan seguir funcionando incluso en caso de perturbaciones graves de TI o ciberataques.

Estas medidas obligatorias para reforzar la seguridad informática no solo afectan a los sistemas internos de TI, sino también a los componentes proporcionados por socios y proveedores externos.

¿Quién debe aplicar DORA?

DORA es obligatorio desde enero de 2025 para todas las empresas reguladas del sector financiero, entre ellas:

  • Bancos
  • Compañías de seguros
  • Proveedores de servicios de pago
  • Empresas de inversión
  • Proveedores de servicios de criptomonedas
  • Proveedores de servicios de TI de relevancia crítica (por ejemplo, proveedores de nube o centros de datos)

Ámbitos principales de DORA

DORA pretende reforzar la resiliencia operativa digital del conjunto del sector financiero europeo y abarca seis áreas principales:

Implementación de la gestión de riesgos de TI

El Capítulo II de DORA establece requisitos armonizados y uniformes para todos los sectores financieros. Las empresas deben, según los Artículos 5 a 16, implementar procesos internos sólidos para gestionar los riesgos relacionados con las TIC, incluyendo análisis de riesgos, sistemas de alerta temprana y asignación clara de responsabilidades.

Clasificación y notificación de incidentes relacionados con las TIC

El Capítulo III obliga a las empresas a establecer procesos de gestión que incluyan la supervisión, registro, clasificación y notificación de incidentes de TIC.

DORA define un incidente de TIC como un evento no planificado (o una serie de eventos relacionados) que afecta a la seguridad de los sistemas de red o información, con consecuencias adversas sobre la disponibilidad, autenticidad, integridad o confidencialidad de los datos o los servicios prestados por la empresa financiera (Art. 3, n.º 8 DORA).

Si un incidente se clasifica como grave (Art. 3 n.º 10, Art. 18 DORA), debe ser notificado a las autoridades competentes en un plazo breve, junto con las medidas concretas tomadas para restablecer la seguridad del sistema.

Pruebas de la resiliencia operativa digital

Según el Capítulo IV (Artículos 24 a 27), todas las empresas financieras deben realizar pruebas exhaustivas de sus tecnologías de la información y comunicación mediante un programa de pruebas basado en riesgos y proporcional.

Estas pruebas incluyen:

  • Evaluar la resistencia de los sistemas informáticos
  • Analizar software de código abierto
  • Comprobar la seguridad de red y física
  • Realizar análisis de brechas, pruebas de escenarios, compatibilidad y penetración

De este modo, las empresas pueden identificar su nivel de preparación ante incidentes TIC y detectar posibles vulnerabilidades.

Gestión de terceros proveedores

La colaboración con proveedores externos de TI debe ser transparente, controlable y claramente regulada por contrato.
El Capítulo V, Sección I (Artículos 28 a 30) aborda los riesgos derivados del uso de servicios TIC de terceros.

DORA exige a las empresas financieras evaluar y supervisar los riesgos de terceros, realizar una evaluación de riesgos y due diligence antes de la firma de cualquier contrato, y analizar la dependencia continua de dichos proveedores durante toda la relación contractual.
Además, debe garantizarse que el proveedor pueda ofrecer apoyo en caso de incidente y cuente con estrategias de salida adecuadas.

Marco de supervisión para proveedores críticos

El Capítulo V, Sección II (Artículos 31 a 44) detalla cómo se aplicará DORA respecto a los proveedores TIC considerados críticos. El objetivo es fomentar la convergencia y eficiencia de los enfoques de supervisión de riesgos de terceros en el sector financiero y, al mismo tiempo, fortalecer la estabilidad del sistema financiero de la UE.

La clasificación de proveedores críticos la realizan las autoridades europeas competentes, según los criterios del Artículo 31(2) y futuros reglamentos delegados de la Comisión Europea.
Las tres autoridades de supervisión europeas responsables son:

  • ESMA (Autoridad Europea de Valores y Mercados)
  • EBA (Autoridad Bancaria Europea)
  • EIOPA (Autoridad Europea de Seguros y Pensiones de Jubilación)

Intercambio de información y simulacros de crisis cibernéticas

Los Capítulos VI y VII (Art. 45 y 49) fomentan el intercambio de información sobre amenazas cibernéticas y la realización de ejercicios de crisis y emergencias entre las entidades financieras para fortalecer la resiliencia operativa del sector.

Conocer indicadores de compromiso, nuevos patrones de amenazas, alertas y configuraciones de seguridad ayuda a evitar riesgos mayores.

¿Qué significa DORA en la práctica?

La mayoría de las empresas del sector financiero europeo ya deberían haber completado las medidas necesarias para cumplir con el reglamento DORA.

Sin embargo, incluso tras la implementación y verificación de los procesos internos, sistemas de TI y contratos, las empresas deben seguir prestando atención a DORA, ya que los riesgos TIC evolucionan con los avances tecnológicos.

DORA seguirá generando requisitos de cumplimiento

Las empresas tendrán que revisar y ajustar regularmente sus procesos internos, contratos y sistemas informáticos.

La seguridad informática se convierte en responsabilidad de la alta dirección

La dirección de las empresas financieras es responsable de garantizar la correcta aplicación de DORA, lo que subraya la importancia de reforzar la ciberresiliencia y mantener la confianza y estabilidad del mercado financiero digital europeo.

DORA afecta la cooperación con proveedores de TI

Contratos claros, evaluaciones de riesgos exhaustivas y planes de contingencia son obligatorios para garantizar una gestión de terceros conforme a DORA.
A su vez, los proveedores deben demostrar su cumplimiento y capacidad de respuesta ante incidentes TIC.

DORA refuerza las obligaciones de documentación

Todo debe quedar documentado: desde los análisis de riesgo hasta la notificación de incidentes, incluyendo a los proveedores externos.
Por ejemplo, los procedimientos digitales de identificación y firma de WebID ya son utilizados por alrededor del 80 % de los bancos en Alemania, y para muchos clientes la implementación de los requisitos de DORA ya se ha completado dentro del plazo establecido.

Los retos actuales del ecommerce en España

Este whitepaper explica cómo el ecommerce en España ha demostrado resiliencia ante las crisis, pero enfrenta crecientes desafíos de fraude, y destaca la importancia de usar métodos de pago seguros, software antifraude y colaboración con proveedores confiables como WebID para protegerse y prosperar.
Solicitar whitepaper
Whitepaper: Los retos actuales del ecommerce en España