• Email: contact@inlogiq.com
  • Teléfono:: +34 911332656

¿Qué es la Digital Operational Resilience Act (DORA)?

Digital Operational Resilience Act (DORA) es una normativa destinada a transformar la gestión del riesgo digital en el sector financiero de la Unión Europea (UE). Esencialmente, DORA es un conjunto de requisitos para que las instituciones financieras de la UE protejan sus procesos de negocio clave de los riesgos tecnológicos y remodelen su forma de abordar el riesgo digital, la gestión de incidentes y las relaciones con terceros.
En concreto, el DORA pretende reforzar la seguridad informática de bancos, aseguradoras, empresas de inversión y otras organizaciones del sector financiero.
Para las empresas financieras de la UE, la atención se centra en los directores de TI y los ejecutivos de la C-suite para entender y prepararse para el DORA no sólo como un requisito reglamentario, sino como un imperativo estratégico. Esta urgencia se ve acentuada por las graves consecuencias del incumplimiento:
1. Sanciones económicas: Multas de hasta 10 millones de euros y, en caso de infracciones graves o reiteradas, estas multas pueden duplicarse.
2. Daño de la confianza del consumidor: El incumplimiento puede conducir a una mayor vulnerabilidad a los incidentes cibernéticos, lo que puede dar lugar a violaciones de datos o interrupciones del servicio. Estos sucesos pueden dañar la reputación de una organización, afectar a la confianza del consumidor y provocar la fuga de clientes y la disminución de la cuota de mercado.
3. Responsabilidad penal personal: En casos de negligencia grave o mala conducta intencionada, la alta dirección y los miembros del consejo de administración pueden enfrentarse a una responsabilidad penal personal. Esto podría incluir multas individuales, inhabilitación profesional e incluso encarcelamiento en casos extremos. Este riesgo personal subraya la necesidad de un compromiso al más alto nivel para garantizar el cumplimiento de la DORA.
Dado lo mucho que está en juego, los directores de TI y los ejecutivos de la C-suite deben comprender y prepararse para el DORA no sólo como un requisito normativo, sino como un imperativo estratégico.

Antecedentes e historia

Los incidentes relacionados con las TIC en las instituciones financieras tienen el potencial de causar interrupciones significativas, pérdidas financieras y daños a la reputación.
El DORA es un componente clave de la estrategia financiera digital más amplia de la Comisión Europea.


Los objetivos de DORA son:


– Consolidar y actualizar los requisitos de riesgo de las TIC en el sector financiero.
– Establecer un marco para los proveedores de TIC, incluidas las plataformas en nube
– Crear un mecanismo de notificación de incidentes para aumentar la concienciación sobre las ciberamenazas.
– Reforzar las pruebas de resistencia operativa digital
Al dar coherencia a estos requisitos en toda la UE, el DORA contribuirá a aumentar la estabilidad e integridad generales de los sistemas financieros.

Por qué es importante DORA


El DORA representa un cambio significativo en la creación de un enfoque uniforme de la gestión del riesgo de las TIC en todo el sector financiero de la UE. Aborda la creciente preocupación por las ciberamenazas y las vulnerabilidades tecnológicas que podrían perturbar el sector financiero.
Entre los aspectos clave se incluyen:
1. Amplio ámbito de aplicación: DORA se aplica a una amplia gama de entidades financieras, incluidos bancos, compañías de seguros, empresas de inversión y proveedores de servicios financieros.
2. 2. Armonización: Establece requisitos coherentes de gestión del riesgo de las TIC en toda la UE, sustituyendo al actual mosaico de normativas nacionales.
3. Supervisión por terceros: El DORA introduce un marco para supervisar a los proveedores de servicios críticos de TIC de terceros, incluidos los servicios en la nube.
4. Notificación de incidentes: Ordena mecanismos estandarizados de notificación de incidentes importantes relacionados con las TIC.
5. Pruebas de resistencia: El DORA exige pruebas periódicas de resiliencia operativa digital.

Áreas clave del DORA

1. Gestión de riesgos de las TIC

El DORA establece un marco global de gestión de riesgos de las TIC. Esto incluye
– Identificación y documentación de las funciones, recursos y dependencias empresariales relacionadas con las TIC.
– Evaluación continua de riesgos y estrategias de mitigación
– Aplicación de medidas de protección y prevención
– Desarrollo de capacidades de detección
– Establecimiento de procedimientos de respuesta y recuperación

2. Notificación de incidentes
Implantar procesos para supervisar y registrar los incidentes relacionados con las TIC. Deben clasificar estos incidentes utilizando los criterios especificados por el DORA. Además, deben informar de los incidentes importantes a las autoridades pertinentes dentro de plazos estrictos.

3. Respuesta y recuperación

Se hace especial hincapié en las capacidades de respuesta y recuperación.

Planes de respuesta a incidentes:
– Desarrollar, documentar y aplicar planes integrales para responder y recuperarse de incidentes relacionados con las TIC.
– Estos planes deben detallar los procedimientos para la rápida detección, análisis, contención y mitigación de incidentes.
Continuidad del negocio:
– Mantener políticas de continuidad de negocio y planes de recuperación de desastres.
– Es obligatorio comprobar periódicamente estos planes para garantizar su eficacia. Áreas clave del DORA

1. Gestión de riesgos de las TIC
El DORA establece un marco global de gestión de riesgos de las TIC. Esto incluye
– Identificación y documentación de las funciones, recursos y dependencias empresariales relacionadas con las TIC.
– Evaluación continua de riesgos y estrategias de mitigación
– Aplicación de medidas de protección y prevención
– Desarrollo de capacidades de detección
– Establecimiento de procedimientos de respuesta y recuperación
2. Notificación de incidentes
Implantar procesos para supervisar y registrar los incidentes relacionados con las TIC. Deben clasificar estos incidentes utilizando los criterios especificados por el DORA. Además, deben informar de los incidentes importantes a las autoridades pertinentes dentro de plazos estrictos.
3. Respuesta y recuperación
Se hace especial hincapié en las capacidades de respuesta y recuperación.

Planes de respuesta a incidentes:
– Desarrollar, documentar y aplicar planes integrales para responder y recuperarse de incidentes relacionados con las TIC.
– Estos planes deben detallar los procedimientos para la rápida detección, análisis, contención y mitigación de incidentes.
Continuidad del negocio:
– Mantener políticas de continuidad de negocio y planes de recuperación de desastres.
– Es obligatorio comprobar periódicamente estos planes para garantizar su eficacia.
Procedimientos de copia de seguridad:
– El DORA exige copias de seguridad periódicas de los sistemas y datos críticos.
– Los requisitos específicos incluyen la frecuencia definida de las copias de seguridad, el almacenamiento seguro fuera de las instalaciones y la comprobación periódica de los procesos de restauración de las copias de seguridad.
Objetivos de tiempo de recuperación (RTO):
– Establecer y probar periódicamente la capacidad de restaurar sistemas en plazos definidos.
– Minimizar las interrupciones operativas y garantizar una rápida recuperación tras los incidentes.
Protocolos de comunicación:
– Deben establecerse procedimientos claros para la comunicación interna y externa durante los incidentes.
– Garantizar una respuesta oportuna y eficaz, incluida la notificación a las autoridades y partes interesadas pertinentes.
Análisis posterior al incidente:
– Después de incidentes significativos, las organizaciones deben llevar a cabo análisis exhaustivos de las causas raíz.
– Las lecciones aprendidas deben incorporarse a la mejora de los marcos de gestión de riesgos.
4. Pruebas de resistencia operativa digital
El DORA introduce un marco armonizado para probar la resistencia operativa digital:
– Pruebas básicas, como evaluaciones de vulnerabilidades y escaneos de seguridad de la red para todas las entidades.
– Pruebas avanzadas, incluidas las pruebas de penetración dirigidas por amenazas (TLPT) para entidades significativas.
5. Gestión de riesgos de TIC de terceros
Con el aumento de la dependencia de terceros proveedores de servicios, el DORA crea:
– Principios que deben incluirse en los acuerdos con terceros proveedores de servicios de TIC
– Un nuevo marco de supervisión para los proveedores de servicios críticos de TIC a terceros.

6. Intercambio de información

Intercambio de información e inteligencia sobre ciberamenazas entre entidades financieras para mejorar la resistencia colectiva.

Ámbito y aplicación

DORA se aplica a una amplia gama de entidades financieras que operan en la UE, incluyendo:

– Entidades de crédito

– Entidades de pago

– Entidades de dinero electrónico

– Empresas de inversión

– Centros de negociación

– Empresas de seguros y reaseguros

– Agencias de calificación crediticia

– Auditores legales y empresas de auditoría

– Administradores de índices de referencia críticos

– Proveedores de servicios de información sobre cuentas

– Proveedores de servicios de criptoactivos

– Depositarios centrales de valores

– Proveedores de servicios de información de datos

– Proveedores de servicios a terceros

Aunque 2025 pueda parecer lejano, el alcance y la profundidad de los cambios exigidos por el DORA hacen necesaria una actuación temprana. Empezar a prepararse ahora estará en mejor posición para:
– Distribuir el coste del cumplimiento a lo largo de un periodo más prolongado
– Obtener una ventaja competitiva demostrando una sólida resistencia digital
– Evitar las prisas de última hora y las posibles sanciones por incumplimiento.
– Contribuir a la estabilidad general y a la fiabilidad del sistema financiero de la UE.
Para más información
– DORA en Atlassian Cloud: Un enfoque experto para el cumplimiento normativo
– Su guía para cumplir los requisitos de continuidad de negocio y resiliencia de la normativa de la UE