especiales

¿Qué es el reglamento DORA?



Dirección copiada

La ley de la UE conocida como Reglamento DORA (Digital Operational Resilience Act) es una normativa que tiene como fin el fortalecimiento de la ciberseguridad y la resiliencia digital en el sector financiero. Y desde el 17 de enero de 2025 es de obligado cumplimiento

Actualizado el 16 ene 2025



DORA mapa de Europa

La ley de la UE conocida como Reglamento DORA (Digital Operational Resilience Act) es una normativa que tiene como fin el fortalecimiento de la ciberseguridad y la resiliencia digital en el sector de los servicios financieros. Entró oficialmente en vigor a principios de 2023, pero no fue hasta 17 de enero de 2025 cuando por fin se hizo de obligado cumplimiento para las entidades financieras del viejo continente.

La aprobación de DORA está teniendo un impacto más que notable en el seno de la Unión Europea, sobre todo por el sector al que se dirige, las implicaciones que tiene en cuanto a ciberseguridad y por su alcance. Las autoridades de la UE buscan, con su entrada en vigor y obligatoriedad, que las compañías del sector de las finanzas tengan que identificar y gestionar todos los riesgos que pueden afectarles a nivel digital, entre otras medidas que veremos a continuación.

El Reglamento DORA, conocido también como Ley de Resiliencia Operativa Digital, es un conjunto de normas que tiene como fin la regulación y la unificación de las leyes de gestión de los riesgos digitales en el sector de las finanzas. Es, por tanto, la unificación de diversas normas que regulan la seguridad online en el sector financiero. También ha servido para actualizarlas, puesto que algunas llevaban ya tiempo en vigor y precisaban una renovación.

Objetivos de la normativa DORA

Con DORA, las autoridades de la UE pretenden reducir, al mínimo posible, los riesgos derivados de la implantación de las TIC en finanzas. También facilitar la gestión de riesgos en los sistemas, y habilitar la clasificación y la notificación de los incidentes de ciberseguridad que sufran las empresas del sector financiero de la UE.

La normativa también conduce a la realización de pruebas de resiliencia digital operativa, además de perseguir la puesta en marcha de acuerdos contractuales entre organismos financieros y proveedores de este tipo de servicios.

Además, sienta las bases para generar un marco para la supervisión de los proveedores de servicios críticos en finanzas. Y, sobre todo, se trata de un conjunto de normas para que el intercambio de información en el sector financiero se lleve a cabo de manera segura.

Calendario de entrada en vigor de DORA

La Comisión Europea propuso por primera vez la normativa DORA en septiembre de 2020, dentro de un paquete de medidas más amplio con el que también se busca la regulación de los criptoactivos y la mejora de la estrategia de financiación digital en la Unión Europea. Pero, formalmente, DORA no se adoptó hasta noviembre de 2022, algo más de dos años después. Aunque entró en vigor el 16 de enero de 2023, las entidades financieras y los proveedores que les prestan servicios TIC todavía tuvieron un margen de dos años para adaptarse. En concreto, hasta el 17 de enero de 2025. A partir de ese día DORA ya fue de obligado cumplimiento.

Implicaciones del reglamento DORA en ciberseguridad

Las principales implicaciones que tienen las normas del reglamento DORA de cara a la ciberseguridad están relacionadas con distintos aspectos de la seguridad online en entidades financieras. Desde su entrada en vigor, estas tienen la obligación de establecer y cumplir unos requisitos concretos para la gestión de su ciberseguridad.

Estos requisitos tienen como fin facilitar que las empresas puedan protegerse de incidentes relacionados con las TIC en el mundo financiero, así como detectarlos, contenerlos, recuperarse de su impacto y reparar sus consecuencias.

Para cumplir con la normativa DORA, las entidades financieras tendrán que cumplir varias pautas para gestionar riesgos de ciberseguridad, notificar incidentes y monitorizar riesgos de su cadena de suministros. También tienen que realizar pruebas para probar su nivel de resiliencia operativa, y establecer acuerdos de intercambio de ciberamenazas.

Business Consulting meeting working and brainstorming new business project finance investment concept.

Empresas a las que afecta el reglamento

DORA afecta a diversos tipos de entidades (hasta 20) del sector financiero de la UE. Las más evidentes son quizá los bancos, tanto comerciales como de inversión, los gestores de fondos de inversión y las sociedades encargadas de la intermediación y negociación de valores.

También afecta a las compañías de seguros, a las plataformas de negociación que facilitan la compraventa de instrumentos financieros, a los proveedores de servicios de compensación y liquidación de valores y a las agencias de calificación crediticia. Estas se encargan de emitir valoraciones y calificaciones de la solvencia crediticia de entidades financieras y emisoras de valores.

Las obligaciones de DORA

DORA establece que las entidades financieras tienen que cumplir requisitos en cuatro pasos o áreas fundamentales:

Gestión de riesgos

Dentro de la gestión de riesgos, las empresas y entidades afectadas por DORA tendrán que regular tanto los procesos internos como los protocolos de actuación que pondrán en marcha para hacer frente a los riesgos TIC concretos a los que se enfrenten.

Es decir, tendrán que inventariar los riesgos que pueden correr en el ámbito de las tecnologías de la información, y enumerar las herramientas que tienen a su disposición y que pueden utilizar para evitar sufrirlos en la medida de lo posible, y para mitigar sus efectos en caso de ser afectados por ellos.

Los encargados de definir las estrategias que se llevarán a cabo en relación con la gestión del riesgo en una entidad financiera serán los miembros de su consejo de dirección. Si la empresa incumple la normativa DORA, los miembros de este consejo podrán ser considerados responsables de ello.

Notificación de incidentes

El reglamento DORA también dispone que las entidades financieras tendrán la obligación de informar sobre los incidentes graves que sufran a todas las partes implicadas. Es decir, a sus clientes y partners afectados.

Además, tienen que presentar informes sobre ellos a las autoridades competentes, con informes iniciales, intermedios y finales de cada incidente. Estos informes y comunicaciones solo serán obligatorios en el caso de incidentes graves. En el caso de que los incidentes se cataloguen como importantes, su presentación será voluntaria.

Pruebas de resiliencia

Con DORA en vigor es obligatorio realizar pruebas cada cierto tiempo, tanto de los sistemas como de los protocolos de las entidades financieras. A través de estas pruebas se puede comprobar si tienen el nivel de solidez y robustez adecuado para estar protegidos frente a incidentes, además de localizar las vulnerabilidades que, potencialmente, puedan desembocar en un ataque o en un incidente de seguridad.

Las pruebas tienen que incluir test de penetración con amenazas concretas dirigidas a entidades financieras. También pruebas basadas en diversos escenarios.

Intercambio información

En DORA se recoge también la necesidad de que las distintas entidades financieras lleguen a acuerdos entre ellas para intercambiar información sobre ciberamenazas. También sobre la inteligencia y medidas en relación con ellas, y sobre las vulnerabilidades que afecten a las instituciones financieras.

Otras obligaciones

Además de estos requisitos, las empresas afectadas por DORA tendrán que adoptar un papel activo en la gestión de los riesgos TIC de terceros que tengan relación con ellas. Para ello será necesario que lleguen a acuerdos concretos y los fijen mediante un contrato.

Asimismo, es aconsejable que elaboren un mapeo de todas las dependencias de los proveedores y partners con los que se relacionan, para tener controlados no solo los posibles incidentes, sino también sus ramificaciones.

Importante: todos los proveedores y partners de las entidades financieras están afectados por la ley DORA, así que tendrán que supervisar de manera directa los incidentes que puedan afectarles, y además cumplir los requisitos de la normativa.

Artículos relacionados

Artículo 1 de 4