top of page
Buscar

¿Qué es DORA?





Reglamento de Resiliencia Operativa Digital: Cumple con las nuevas exigencias de la UE


Ciberamenazas crecientes para el sector financiero


Los ciberataques son cada vez más frecuentes y sofisticados, representando un riesgo real para la estabilidad financiera. Según el Fondo Monetario Internacional (FMI), casi el 20 % de los ciberincidentes registrados en los últimos 20 años han afectado al sector financiero, generando pérdidas directas estimadas en más de 12.000 millones de dólares.

Ante esta realidad, la Unión Europea ha aprobado el Reglamento de Resiliencia Operativa Digital (DORA), que establece medidas estrictas de ciberseguridad para garantizar que las entidades financieras puedan resistir, responder y recuperarse ante interrupciones tecnológicas o ciberataques.

En este artículo analizamos los objetivos de DORA, sus principales requisitos, estrategias de cumplimiento, consecuencias del incumplimiento y cómo DefendSphere ayuda a las entidades financieras y a sus proveedores tecnológicos a adaptarse a esta nueva normativa.


¿Qué es DORA?


DORA (por sus siglas en inglés, Digital Operational Resilience Act) es una normativa europea orientada a reforzar la ciberresiliencia de las entidades financieras frente a amenazas tecnológicas.

Este reglamento exige que las organizaciones del sector financiero:

  • gestionen eficazmente los riesgos TIC,

  • notifiquen incidentes relevantes,

  • realicen pruebas periódicas de resiliencia operativa,

  • controlen los riesgos derivados de terceros proveedores tecnológicos.

Aunque DORA guarda similitudes con normativas como el RGPD o la Directiva NIS2, su foco principal es la resiliencia operativa del ecosistema financiero.

DORA entró en vigor el 16 de enero de 2023 y será obligatorio su cumplimiento a partir del 17 de enero de 2025. Las entidades deben comenzar ya los trabajos de adecuación para llegar a tiempo.


¿A quién aplica DORA?


DORA es de obligado cumplimiento para una amplia gama de actores del sector financiero, incluyendo:

  • bancos,

  • empresas de inversión,

  • aseguradoras,

  • instituciones de pago,

  • proveedores de servicios con criptoactivos.

Además, los proveedores tecnológicos críticos, como empresas de servicios en la nube, soluciones de ciberseguridad y plataformas tecnológicas, también deberán cumplir con los requisitos de DORA.



Principales exigencias del reglamento DORA


  1. 🛡️ Marco de gestión de riesgos TIC

    Las entidades deberán:

    • identificar funciones clave dependientes de sistemas tecnológicos,

    • monitorizar continuamente amenazas y vulnerabilidades,

    • diseñar estrategias de mitigación,

    • actualizar de forma periódica las medidas de seguridad.


  1. ⚠️ Detección y notificación de incidentes

    Las organizaciones deben:

    • detectar y corregir incidentes de forma ágil,

    • notificar aquellos significativos a las autoridades competentes,

    • analizar los eventos ocurridos para evitar su repetición.


  1. 🔍 Pruebas de resiliencia operativa

    Se exige la realización de:

    • pruebas de penetración y escaneos de vulnerabilidades,

    • auditorías técnicas de sistemas críticos,

    • revisión continua de las capacidades de defensa.


  1. 🤝 Gestión de terceros tecnológicos

    Será obligatorio:

    • monitorizar los riesgos asociados a proveedores TIC,

    • incluir cláusulas contractuales específicas de cumplimiento DORA,

    • mantener un registro actualizado de terceros y realizar auditorías periódicas.


  1. 🧭 Gobernanza y supervisión

    La alta dirección de las entidades deberá:

    • definir responsabilidades claras en materia de ciberseguridad,

    • supervisar la gestión de riesgos tecnológicos,

    • revisar regularmente el grado de cumplimiento.


  1. 🔄 Intercambio de inteligencia sobre amenazas

    Se fomenta la participación en iniciativas colaborativas para compartir información sobre ciberamenazas relevantes.



¿Qué ocurre si no se cumple DORA?


El incumplimiento de DORA puede conllevar graves sanciones, incluyendo:

  • multas de hasta el 2 % de la facturación anual global,

  • sanciones personales de hasta 1.000.000 € para directivos,

  • multas de hasta 5.000.000 € para proveedores TIC,

  • advertencias públicas y posibles restricciones operativas.


Además del impacto económico, la falta de cumplimiento puede dañar la reputación de la organización, generar pérdida de confianza por parte de los clientes y aumentar la presión regulatoria..



¿Cómo ayuda DefendSphere a cumplir con DORA?


Un estudio reciente de McKinsey (2024) indica que solo una de cada tres entidades financieras se siente preparada para el cumplimiento de DORA en enero de 2025. Muchas organizaciones tienen dificultades para aplicar las medidas exigidas.

DefendSphere ofrece una plataforma automatizada, escalable y rentable que permite a las entidades financieras:

  • identificar brechas de cumplimiento,

  • automatizar auditorías y evaluaciones de riesgo,

  • implementar monitorización de amenazas en tiempo real,

  • gestionar riesgos de terceros y verificar su conformidad con DORA.


Gracias a esta solución, las organizaciones no solo cumplen con la normativa, sino que refuerzan su resiliencia tecnológica sin necesidad de grandes inversiones.


Conclusión


DORA eleva notablemente los estándares de ciberseguridad para el sector financiero europeo. Con la fecha de cumplimiento cada vez más cerca, es crucial que las organizaciones actúen ya para adoptar las medidas necesarias.


DefendSphere Simplifica Este Proceso, Reducimos los Costes y Mejoramos la Eficacia de tu Estrategia de Ciberseguridad

Contacta con nosotros y descubre cómo podemos ayudarte a cumplir con DORA de forma rápida, eficiente y sostenible




 
 
bottom of page