Introducción y desarollo del Reglamento DORA - sobre la Resiliencia Operativa Digital
Elementos clave y recursos estratégicos para Entidades financieras
Elementos clave y recursos estratégicos para Entidades financieras
Conozca los aspectos fundamentales para cumplir con DORA
Reglamento sobre la Resiliencia Operativa Digital (DORA)
El Reglamento DORA (UE) 2022/2554, establece requisitos uniformes para la seguridad de redes y sistemas de información de empresas y organizaciones que operan en el sector financiero, así como para proveedores terceros críticos que les suministran servicios de Tecnologías de la Información y Comunicación (TIC). DORA crea un marco regulatorio sobre resiliencia operativa digital, con el objetivo de garantizar que todas las entidades financieras bajo su ámbito puedan resistir, responder y recuperarse de disrupciones y amenazas relacionadas con las TIC. Estos requisitos están diseñados para ser homogéneos en toda la UE y en todos los subsectores financieros.
Para las entidades de importancia sistémica y con suficiente madurez tecnológica, DORA exige la implementación de pruebas avanzadas de sus herramientas, sistemas y procesos mediante Pruebas de Penetración Dirigidas por Amenazas (TLPT), que deben realizarse conforme al marco TIBER-EU para garantizar un enfoque estandarizado y efectivo en la evaluación de vulnerabilidades.
Asimismo, el reglamento establece requisitos específicos para la gestión del riesgo asociado a proveedores terceros de TIC, obligando a las entidades financieras a adoptar estrategias dedicadas aprobadas por sus órganos de dirección y a mantener registros detallados de todos los acuerdos contractuales con estos proveedores.
Para facilitar la consistencia, las ESAs (Autoridades Europeas de Supervisión) han desarrollado plantillas estándar para estos registros, asegurando la uniformidad en la documentación y supervisión de estas relaciones.
Un objetivo fundamental de DORA es armonizar y simplificar el régimen de notificación de incidentes relacionados con las TIC para entidades financieras en toda la UE, eliminando duplicidades y estableciendo procesos claros que faciliten tanto el cumplimiento por parte de las entidades como una respuesta efectiva por parte de los supervisores.
Principales Retos
El equilibrio normativo. DORA representa un nuevo capítulo en nuestra relación con la tecnología, su amplio alcance representa un reto considerable, ya que debe aplicarse de manera proporcional a una gama diversa de entidades financieras con diferentes tamaños, naturalezas y niveles de complejidad, respetando sus particularidades mientras se mantiene la coherencia regulatoria.
El desafío de las pruebas TLPT. Las Pruebas de penetración guiadas por amenazas (Threat-Led Penetration Testing) deben estar alineadas con el marco TIBER-EU no requiriendo solo recursos técnicos especializados sino también que proporcionen resultados significativos para mejorar la resiliencia.
La documentación como pilar fundamental. Mantener registros actualizados de acuerdos con proveedores tecnológicos es más que un ejercicio burocrático. Es establecer claridad sobre qué funciones son críticas y cuáles no, en todos los niveles organizativos. Necesitamos sistemas robustos que conviertan esta obligación en una oportunidad para conocer mejor nuestra dependencia tecnológica.
La responsabilidad que no se delega. La supervisión de subcontratistas en servicios críticos es una responsabilidad que permanece con nosotros, independientemente de los acuerdos contractuales. Debemos asumir este rol con rigor y transparencia.
Comunicación ágil ante incidentes. Los estrictos plazos para notificar incidentes exigen mecanismos ágiles y precisos, que además deben coordinarse con otras regulaciones como NIS2. Este es quizás uno de los retos más inmediatos y visibles que enfrentaremos.
Con DORA vigente desde enero de 2025, las entidades financieras están finalizando la adaptación de sus sistemas para cumplir con los calendarios establecidos por las autoridades supervisoras. La prioridad actual es completar la implementación de los marcos de gestión de riesgos TIC y mecanismos de reporting, asegurando el cumplimiento normativo mientras comienzan las primeras acciones de supervisión.
Entidades Afectadas por DORA: Panorama General
DORA aplica a un amplio espectro de entidades del sector financiero europeo, estableciendo requisitos uniformes de seguridad para sistemas de información y redes.
Entidades Financieras Afectadas
- Sector bancario: Entidades de crédito
- Servicios de pago: Entidades de pago (incluidas exentas), proveedores de información de cuentas, instituciones de dinero electrónico
- Mercados financieros: Empresas de inversión, proveedores de servicios de criptoactivos, emisores de tokens referenciados a activos, depositarios centrales de valores, contrapartes centrales, centros de negociación, registros de operaciones
- Gestión de inversiones: Gestores de fondos de inversión alternativos, sociedades de gestión
- Seguros: Empresas de seguros y reaseguros, intermediarios de seguros y reaseguros
- Otros: Instituciones de previsión para la jubilación, agencias de calificación crediticia, administradores de índices de referencia críticos, proveedores de servicios de financiación participativa, repositorios de titulización
Proveedores Terceros
Los proveedores críticos de servicios de TIC (CTPPs) que ofrecen servicios como computación en la nube, soluciones de software o análisis de datos a entidades financieras también están sujetos al marco de supervisión de DORA. Pueden ser designados como críticos por las Autoridades Europeas de Supervisión o mediante solicitud voluntaria.
Entidades de Mercados de Valores. En este subsector, DORA afecta especialmente a:
- Centros de negociación con sistemas electrónicos que cumplen ciertos criterios de cuota de mercado
- Depositarios centrales de valores
- Contrapartes centrales
- Registros de operaciones
- Empresas de inversión
- Gestores de fondos y sociedades de gestión
LOS 5 PILARES DE DORA
1. Resiliencia operativa y gestión de riesgos:
Establece que las entidades financieras deben implementar marcos robustos para resistir, responder y recuperarse de disrupciones y amenazas relacionadas con TIC. Requiere una estrategia específica de riesgo de terceros de TIC aprobada por los órganos de dirección, basada en el monitoreo continuo de todas las dependencias de terceros. El principio de proporcionalidad garantiza que los requisitos se adapten según la naturaleza, escala, complejidad e importancia de cada entidad financiera.
Puntos clave:
- Establece marco para resistir, responder y recuperarse de disrupciones de TIC
- Requiere estrategia específica de riesgo de terceros aprobada por órganos directivos
- Implementa principio de proporcionalidad según tamaño y complejidad de la entidad
- Mantiene responsabilidad no externalizable de la gestión del riesgo de TIC
- Exige identificación y clasificación de funciones críticas o importantes
2. Gestión de incidentes de TIC y ciberseguridad:
Introduce requisitos consistentes para la gestión, clasificación y notificación de incidentes relacionados con TIC. Las entidades financieras deben reportar incidentes graves a las autoridades competentes siguiendo un proceso estructurado (notificación inicial, informe intermedio e informe final). También pueden notificar voluntariamente amenazas cibernéticas significativas. Este pilar busca armonizar el régimen de reporte de incidentes en toda la UE.
Puntos clave:
- Armoniza proceso de reporte de incidentes con tres fases estructuradas
- Funciona como ley específica (lex specialis) equivalente a NIS2
- Establece criterios para clasificar incidentes como «mayores» o «significativos»
- Permite notificación voluntaria de amenazas cibernéticas significativas
- Define plazos específicos y contenido detallado para cada tipo de reporte
3. Pruebas de Resiliencia Operativa Digital:
Establece el requisito de pruebas avanzadas de herramientas, sistemas y procesos de TIC mediante Pruebas de Penetración Dirigidas por Amenazas (TLPT) para entidades de importancia sistémica. Estas pruebas deben realizarse conforme al marco TIBER-EU. Incluye salvaguardas debido a la naturaleza sensible de estas pruebas y establece requisitos específicos para los evaluadores internos y externos.
Puntos clave:
- Implementa Pruebas de Penetración Dirigidas por Amenazas (TLPT) según marco TIBER-EU
- Aplica a entidades de importancia sistémica mediante criterios proporcionales
- Requiere documentación de alcance y certificación de cumplimiento
- Permite evaluadores internos con salvaguardas específicas
- Establece cooperación transfronteriza para reconocimiento mutuo de prueba
4. Gobernanza y gestión de terceros:
Enfatiza la responsabilidad de los órganos de dirección en la gestión del riesgo de TIC. Requiere que las entidades mantengan un registro de acuerdos contractuales con proveedores de servicios de TIC, identificando claramente aquellos que soportan funciones críticas. Introduce un marco de supervisión para proveedores críticos de servicios de TIC (CTPPs) y establece requisitos para la subcontratación y su monitoreo.
Puntos clave:
- Crea marco de supervisión para proveedores críticos de servicios de TIC (CTPPs)
- Exige registro actualizado de acuerdos contractuales con proveedores
- Establece evaluación y monitoreo de subcontratistas para funciones críticas
- Define requisitos mínimos contractuales para acuerdos con proveedores
- Mantiene responsabilidad final en el órgano de dirección de la entidad financiera
5. Intercambio de información:
Facilita el intercambio de información a través del reporte de incidentes graves y la notificación voluntaria de amenazas cibernéticas. Promueve el intercambio entre Supervisores Principales y autoridades competentes sobre la supervisión de proveedores críticos y los riesgos identificados. Fomenta la colaboración en pruebas conjuntas y agrupadas dentro del contexto TLPT.
Puntos clave:
- Facilita compartición de información sobre incidentes y amenazas entre entidades y autoridades
- Establece estándares para formato y contenido de reportes
- Promueve cooperación entre supervisores nacionales para riesgos transfronterizos
- Fomenta inteligencia colectiva sobre amenazas en el sector financiero
- Crea ecosistema de información compartida para mejorar resiliencia sectorial
Descubre como cumplir con DORA de la mano de especialistas legales y tecnológicos.
Desafía a nuestra IA: Preguntas complejas, respuestas expertas.
Amplie su conocimiento sobre el Reglamento DORA a través de nuestros artículos:
Principios Generales y Ámbito de Aplicación de DORA. Esta categoría contiene las colaboraciones que ofrecen una visión más amplia de los objetivos, principios y aplicación de DORA en todo el sector financiero, incluyendo consideraciones de proporcionalidad.
- Descifrado: Claves para la resiliencia operativa digital en entidades financieras.
- La proporcionalidad en acción: Descifrando el marco simplificado de gestión del riesgo TIC para entidades financieras menores
Requisitos Contractuales con Proveedores TIC Terceros según DORA. Esta categoría abarca títulos que se centran en las estipulaciones y cláusulas necesarias en los contratos entre entidades financieras y sus proveedores de servicios TIC, con el fin de garantizar la resiliencia operativa digital, tal como lo exige DORA.
- DORA: Cláusulas de los Contratos: Estrategias de salida y resiliencia contractual en escenarios de resolución
- DORA: cláusulas esenciales del derecho de acceso, inspección y auditoría de proveedores TIC.
- DORA: Cláusulas de los contratos. Más allá de lo fundamental: Profundizando en los requisitos contractuales para una resiliencia digital robusta
- DORA: Cláusulas contractuales esenciales para la resiliencia digital de las entidades financieras
- DORA y la confianza digital: El valor de las cláusulas contractuales tipo para los servicios en la nube
Notificación y Reporte de Incidentes según DORA. Esta categoría incluye títulos que abordan específicamente las obligaciones e implicaciones de reportar incidentes TIC y amenazas cibernéticas, conforme a lo estipulado por DORA.
- DORA y la Notificación de incidentes TIC: ¿Un Gran Hermano Digital para la Banca?
- DORA: El nuevo paradigma en la notificación de incidentes TIC para entidades financieras
- Aplicación de DORA al Mercado de Criptoactivos. Esta categoría agrupa títulos que analizan el impacto y los requisitos específicos de DORA sobre el mercado y los proveedores de servicios relacionados con criptoactivos.
- DORA: Oportunidades para la innovación y el crecimiento del mercado de criptoactivos
- DORA: Cumplimiento y gestión de riesgos para proveedores de servicios de criptoactivos
- DORA: Impacto en la transparencia, protección del inversor y gobernanza
- DORA: El nuevo régimen regulatorio para los mercados de criptoactivos
Conscientes de la complejidad de este nuevo reglamento, hemos creado una serie de videos (de aproximadamente 2-3 minutos de duración) donde desvelamos los aspectos clave de DORA:
Introducción y Aspectos Generales
- «DORA (Digital Operational Resilience Act): una aproximación al reglamento en 2 minutos»
- «DORA, descifrando claves para la resiliencia operativa digital en entidades financieras»
- «¿Está su entidad financiera preparada para el tsunami regulatorio de DORA?»
- «DORA. La resiliencia digital en el sector financiero un equilibrio entre regulación y flexibilidad.»
Servicios TIC y Proveedores
- «¿Qué son los servicios TIC para DORA?»
- «DORA y el riesgo de concentración de terceros en las TIC ¿Un equilibrio sostenible?»
- «DORA: cláusulas esenciales del derecho de acceso, inspección y auditoría de proveedores TIC.»
Aspectos Contractuales
- «DORA: cláusulas contractuales esenciales para la resiliencia digital de las entidades financiera»
- «DORA: requisitos contractuales para una resiliencia digital robusta más allá de lo básico»
- «DORA, cláusulas contractuales: estrategias de salida y resiliencia en escenarios de resolución»
- «DORA y la confianza digital Valor de las cláusulas contractuales tipo para servicios en la nube.»
Seguridad y Ciberseguridad
- «¿Estás preparado para el hackeo ético? DORA abre la puerta a los penetradores internos.»
- «DORA. Uniendo fuerzas contra ciberamenazas: la clave del intercambio de información financiera»
- «DORA ¿La espada de Damocles sobre los directivos financieros en ciberseguridad?»
Impacto en Entidades Específicas
- «DORA: un nuevo desafío para los proveedores de servicios de información sobre cuentas (AISP)»
- «¿DORA discrimina a las microempresas financieras? La verdad detrás de las exenciones»
Funciones y Aspectos Operativos