El Reglamento DORA (Digital Operational Resilience Act) es una normativa clave de la Unión Europea que establece un marco común para garantizar la resiliencia operativa digital en el sector financiero. Su objetivo principal es reforzar la capacidad de las entidades para prevenir, resistir y recuperarse de incidentes cibernéticos, reduciendo así el riesgo sistémico en un entorno cada vez más digitalizado y expuesto a amenazas tecnológicas.
Esta normativa se aplica a un amplio espectro de entidades del sector financiero, incluyendo bancos, aseguradoras, empresas de inversión, plataformas de financiación participativa y proveedores de servicios de pago, entre otros. Además, DORA también introduce requisitos específicos para los proveedores de servicios tecnológicos que ofrecen soluciones críticas a estas entidades, como servicios de computación en la nube, análisis de datos y gestión de infraestructuras digitales.
DORA establece un conjunto de obligaciones para las entidades afectadas, con el objetivo de garantizar un alto nivel de resiliencia digital. Entre los aspectos más relevantes, destacan los siguientes:
- Gestión de riesgos TIC: Las entidades deben implementar un marco sólido de gestión de riesgos tecnológicos, que incluya la identificación, evaluación y mitigación de posibles amenazas a su infraestructura digital.
- Supervisión de terceros: Se establecen controles más estrictos sobre los proveedores de servicios TIC, con la obligación de evaluar y gestionar los riesgos asociados a su contratación.
- Pruebas de resiliencia operativa: Las entidades deberán realizar pruebas periódicas, como simulaciones de ciberataques y ejercicios de respuesta ante incidentes, para evaluar la solidez de sus sistemas y su capacidad de recuperación.
- Gestión de incidentes: Se exige la detección temprana, clasificación y notificación obligatoria de incidentes de seguridad, siguiendo protocolos específicos de reporte ante las autoridades competentes.
- Cooperación y supervisión regulatoria: DORA prevé la creación de mecanismos de supervisión a nivel europeo para garantizar una respuesta coordinada ante incidentes de gran escala que puedan afectar la estabilidad del sistema financiero.
El Reglamento DORA es plenamente aplicable desde el 17 de enero de 2025. A partir de esta fecha, todas las entidades afectadas deben haber implementado las medidas necesarias para cumplir con sus disposiciones y garantizar la solidez de sus sistemas frente a riesgos digitales.
Tanto las entidades financieras como sus proveedores deben suscribir los acuerdos oportunos en los que se regule la implementación de los procesos y controles adecuados para cumplir con estas obligaciones dentro del plazo establecido.
DORA supone un cambio significativo en la forma en que las instituciones financieras abordan la seguridad digital, consolidando un enfoque proactivo basado en la prevención, la supervisión y la resiliencia operativa.
