Reglamento DORA: qué es y cómo afecta a usuarios y empresas

En un mundo cada vez más digitalizado, la estabilidad del sistema financiero depende directamente de la robustez de sus infraestructuras tecnológicas, siendo DORA un reglamento que ayuda en este sentido. Cualquier interrupción o fallo en los servicios digitales de una entidad financiera puede tener consecuencias devastadoras, no sólo para la propia organización, sino para la economía. Consciente de esta realidad, la Unión Europea ha dado un paso al frente con la creación del Reglamento DORA (Digital Operational Resilience Act), una normativa que busca fortalecer la resiliencia operativa digital del sector financiero.

Este reglamento establece un marco normativo unificado para la gestión de los riesgos relacionados con las Tecnologías de la Información y la Comunicación (TIC). Su objetivo es garantizar que todas las entidades financieras y sus proveedores tecnológicos críticos sean capaces de resistir, responder y recuperarse de todo tipo de incidentes. DORA sitúa la ciberseguridad y la resiliencia digital en el centro de la estrategia de negocio. En este artículo, veremos en profundidad qué es el Reglamento DORA, a quién afecta, cuáles son sus pilares fundamentales y qué implicaciones tiene para las empresas y los usuarios finales.

¿Qué es el Reglamento DORA (Digital Operational Resilience Act)?

El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act) o Ley de Resiliencia Operativa Digital, es una iniciativa legislativa de la UE diseñada para consolidar y armonizar los requisitos de resiliencia operativa digital en todo el sector financiero de la Unión. Publicado el 27 de diciembre de 2022, DORA entró en vigor el 16 de enero de 2023 y de obligado cumplimiento para las entidades afectadas desde el 17 de enero de 2025.

La principal motivación detrás de DORA es la creciente dependencia del sector financiero de las infraestructuras digitales y la proliferación de ciberamenazas cada vez más sofisticadas. Hasta ahora, la gestión de los riesgos TIC se regía por directrices generales y normativas nacionales fragmentadas, lo que creaba un panorama regulatorio desigual y dejaba brechas de seguridad. DORA soluciona este problema estableciendo un conjunto único y detallado de reglas que abarcan desde la gestión de riesgos y la notificación de incidentes hasta las pruebas de resiliencia.

DORA busca asegurar que el sistema financiero europeo pueda mantenerse operativo y resiliente incluso frente a graves perturbaciones operativas. Esto implica que bancos, aseguradoras, empresas de inversión y otros actores financieros, así como los proveedores tecnológicos críticos que les dan servicio, deben implementar medidas robustas para prevenir, detectar, contener, responder y recuperarse de incidentes TIC.

Los cinco pilares de DORA: Marco europeo para la gestión de riesgos TIC

El Reglamento DORA se estructura en torno a cinco pilares fundamentales que forman un marco de gestión de riesgos TIC coherente y exhaustivo. Estos pilares establecen requisitos técnicos específicos que las entidades financieras deben integrar en sus operaciones diarias.

1. Gestión del riesgo TIC: el pilar central de DORA. Exige que las entidades financieras dispongan de un marco de gestión de riesgos TIC sólido, completo y bien documentado. Este marco debe permitirles identificar, clasificar, evaluar, proteger, prevenir, detectar, responder y recuperarse de los riesgos TIC de manera proactiva.
2. Gestión, clasificación y notificación de incidentes relacionados con las TIC: DORA armoniza y simplifica la notificación de incidentes. Establece un proceso estandarizado para que las entidades clasifiquen los incidentes según su impacto y los notifiquen a las autoridades competentes.
3. Pruebas de resiliencia operativa digital: para verificar la eficacia de las medidas implementadas, DORA exige la realización de un programa de pruebas riguroso y completo. 
4. Gestión del riesgo de terceros (Proveedores TIC): DORA reconoce que el riesgo no solo proviene del interior, sino también de su cadena de suministro digital. Por ello, establece requisitos para la gestión de los proveedores de servicios TIC.
5. Intercambio de información y ciberinteligencia: el reglamento promueve la colaboración y el intercambio de información sobre ciberamenazas entre las entidades financieras.

Ley de Resiliencia Operativa Digital: el papel de las autoridades y su cumplimiento

La implementación efectiva del Reglamento DORA depende en gran medida del papel activo y coordinado de las autoridades supervisoras, tanto a nivel nacional como europeo. DORA establece una estructura de supervisión clara para garantizar que las entidades financieras cumplan con sus obligaciones y que el marco regulatorio se aplique de manera consistente en toda la UE.

Las Autoridades competentes nacionales (Banco de España o la CNMV aquí) son las principales responsables de supervisar el cumplimiento de DORA por parte de las entidades financieras que operan en su jurisdicción. Sus funciones incluyen:

• Evaluación de los marcos de gestión de riesgos: revisan y evalúan la documentación, estrategias, políticas y procedimientos de gestión de riesgos TIC de las entidades.
• Supervisión de incidentes: reciben y analizan los informes de incidentes graves, asegurando que las entidades tomen las medidas correctoras adecuadas.
• Revisión de las pruebas de resiliencia: supervisan los programas de pruebas de resiliencia digital y, en particular, los resultados de las pruebas de penetración avanzadas (TLPT).
• Poderes sancionadores: facultadas para realizar inspecciones, exigir la remediación de las deficiencias identificadas e imponer sanciones administrativas y medidas correctoras en caso de incumplimiento.

A nivel europeo, las Autoridades Europeas de Supervisión (AES) desempeñan un papel crucial de coordinación y desarrollo normativo. Junto con el Comité Mixto de las AES, son responsables de:

• Desarrollo de normas técnicas: elaboran las normas técnicas de regulación (RTS) y de ejecución (ITS) que detallan los requisitos específicos de DORA, garantizando una aplicación armonizada.
• Marco de supervisión de proveedores críticos: Una de las AES será designada como "supervisor principal" para cada CTPP, coordinando un equipo conjunto de supervisión con expertos de las autoridades nacionales.

Las entidades deben demostrar activamente que han integrado los requisitos del reglamento en su gobernanza, sus sistemas y sus procesos. Esto implica ser capaces de evidenciar su eficacia y reportar de manera transparente a los supervisores.

¿A quién afecta el Reglamento DORA? Panorama de entidades reguladas

El ámbito de aplicación de DORA es extremadamente amplio y abarca a la práctica totalidad del sector financiero y de seguros de la UE. La normativa se aplica a más de 20 tipos diferentes de entidades financieras, así como a los proveedores de servicios TIC.

Entre las entidades financieras cubiertas por DORA se incluyen:

• Entidades de crédito (bancos).
• Entidades de pago y de dinero electrónico.
• Empresas de servicios de inversión.
• Gestoras de fondos de inversión alternativos y sociedades de gestión de OICVM.
• Aseguradoras y reaseguradoras, así como intermediarios de seguros.
• Criptoactivos: proveedores de servicios de criptoactivos (bajo el Reglamento MiCA) y emisores de fichas referenciadas a activos.
• Infraestructuras de mercado: entidades de contrapartida central (ECC), agencias de calificación crediticia, administradores de índices de referencia y repositorios de datos.
• Crowdfunding: proveedores de servicios de financiación participativa.

Como hemos comentado, DORA se aplica directamente a los proveedores de servicios TIC que son designados como críticos para el sector financiero. Esta designación la realizan las Autoridades Europeas de Supervisión basándose en criterios como el número de entidades financieras a las que prestan servicio, la importancia sistémica de dichas entidades y la dificultad para sustituir al proveedor.

El reglamento contempla el principio de proporcionalidad, lo que significa que la aplicación de sus requisitos se adaptará al tamaño, perfil de negocio y nivel de riesgo de cada entidad. Las entidades más pequeñas están sujetas a un marco simplificado.

DORA y su impacto en la gestión de la ciberseguridad y la continuidad del negocio

El Reglamento DORA redefine el enfoque de la ciberseguridad y la continuidad del negocio en el sector financiero. Tradicionalmente, estas dos disciplinas se han gestionado a menudo separadas. DORA las fusiona bajo el concepto unificador de resiliencia operativa digital, reconociendo que no se puede tener una sin la otra.

El impacto más significativo es el cambio de un enfoque reactivo a uno proactivo y basado en el riesgo. Las entidades deben tener una estrategia integral que abarque todo el ciclo de vida del riesgo, desde la prevención hasta la recuperación y el aprendizaje.

Impacto en la Ciberseguridad:

• Responsabilidad del consejo: eleva la ciberseguridad a un asunto de máxima prioridad para el consejo de administración.
• Inteligencia de amenazas: obliga a las entidades a ir más allá y a desarrollar capacidades de inteligencia de amenazas para anticipar y prepararse contra ataques.
• Pruebas avanzadas: la exigencia de pruebas TLPT para las entidades críticas introduce un nivel de rigor en las pruebas de seguridad sin precedentes en la regulación financiera.

Impacto en la continuidad del negocio:

• Enfoque en funciones críticas: exige un análisis detallado del impacto en el negocio (BIA) para identificar las funciones críticas y establecer objetivos de tiempo de recuperación (RTO) y puntos de recuperación (RPO) claros.
• Planes de respuesta y recuperación: los planes de continuidad del negocio y de recuperación ante desastres deben ser más detallados, estar integrados con la gestión de incidentes y ser probados regularmente.
• Comunicación de crisis: se deben establecer planes de comunicación robustos para gestionar la comunicación con clientes y autoridades durante una interrupción grave.

Diferencias y sinergias entre DORA y otras normativas UE (NIS2, RGPD, eIDAS, etc.)

DORA no opera en un vacío regulatorio. Se integra en el complejo ecosistema de normativas digitales de la UE, creando sinergias y solapamientos con otras regulaciones clave.

• Directiva NIS2 (Network and Information Security 2): directiva horizontal que establece medidas de ciberseguridad para sectores críticos. DORA es una lex specialis para el sector financiero, es decir,que para las entidades financieras DORA prevalece sobre NIS2. Los requisitos de DORA son más detallados y estrictos que los de NIS2.
• RGPD (Reglamento General de Protección de Datos): DORA y el RGPD son complementarios. RGPD se centra en la protección de los datos personales y la privacidad, DORA se enfoca en la resiliencia operativa de los sistemas que procesan esos datos.
• eIDAS (Electronic Identification, Authentication and Trust Services): establece el marco para la identificación electrónica y los servicios de confianza (firmas electrónicas, sellos, etc.). DORA se apoya en los servicios regulados por eIDAS para garantizar la seguridad e integridad de las transacciones y comunicaciones digitales.
• AML6 (6ª Directiva contra el Blanqueo de Capitales) y Estándar KYC (Know Your Customer): se centran en la prevención del blanqueo de capitales. La digitalización de los procesos de KYC depende de sistemas TIC resilientes. DORA asegura que las plataformas utilizadas para la identificación de clientes y la monitorización de transacciones sean seguras y estén disponibles.
• MiCA (Markets in Crypto-Assets): regula la emisión y prestación de servicios relacionados con criptoactivos. DORA se aplica a los proveedores de servicios de criptoactivos cubiertos por MiCA, asegurando que estas nuevas entidades digitales cumplan con los mismos estándares que las finanzas tradicionales.

Reglamento de Resiliencia Operativa Digital (DORA), motor de transformación digital segura y resiliente

El Reglamento de Resiliencia Operativa Digital (DORA) debe ser visto como una oportunidad estratégica y un motor fundamental para la transformación digital del sector financiero europeo, estableciendo las bases para un ecosistema financiero más seguro, innovador y resiliente.

Las empresas que aborden DORA de manera proactiva, no solo garantizarán su cumplimiento, sino que también construirán una ventaja competitiva duradera. Estarán mejor preparadas para innovar, para adoptar nuevas tecnologías y para responder con agilidad a los desafíos del futuro.

Implementación y cumplimiento de DORA: desafíos y oportunidades para los negocios

La adaptación al Reglamento DORA antes del enero 2025 ha presentado tanto desafíos significativos como oportunidades estratégicas para las entidades financieras y sus proveedores.

Desafíos:

• Complejidad y coste: la implementación de DORA puede ser un proceso complejo y costoso. Requiere inversiones en tecnología, reestructuración de procesos internos y la contratación o formación de personal especializado en ciberseguridad.
• Gestión de la cadena de suministro: la gestión del riesgo de terceros es uno de los mayores retos. Las entidades necesitan revisar y renegociar contratos con proveedores TIC para incluir las cláusulas exigidas por DORA, además de implementar un sistema de monitorización.
• Brecha de talento: existe una escasez global de profesionales cualificados en ciberseguridad. Encontrar el talento necesario para implementar y mantener el cumplimiento de DORA es un desafío competitivo.
• Integración cultural: DORA exige que la resiliencia digital sea una responsabilidad compartida, desde el consejo de administración hasta el último empleado.

Oportunidades:

• Mejora de la resiliencia y la confianza: las entidades que abracen el reglamento fortalecen su postura en seguridad, reducen el riesgo de interrupciones costosas y aumentan la confianza de sus clientes.
• Ventaja competitiva: una sólida resiliencia operativa puede convertirse en un diferenciador clave. Las empresas que demuestran ser más seguras y fiables atraen y retienen mejor a los clientes.
• Eficiencia operativa: la revisión y optimización de los procesos y sistemas TIC para cumplir con DORA puede conducir a una mayor eficiencia operativa, una mejor visibilidad de los activos tecnológicos y una toma de decisiones más informada.
• Innovación segura: al establecer un marco de seguridad claro y robusto, DORA puede actuar como un catalizador para la innovación. Las entidades podrán adoptar nuevas tecnologías con mayor confianza, sabiendo que cuentan con los controles adecuados.

Cómo te puede ayudar un Proveedor de Servicios de Confianza a cumplir con DORA

Los Proveedores de Servicios de Confianza Cualificados (QTSP) como Tecalis, regulados por el marco eIDAS, son aliados estratégicos para las entidades financieras para el cumplimiento de DORA. Ofrecen soluciones tecnológicas que incorporan altos niveles de seguridad, integridad y autenticidad, abordando los requisitos del reglamento.

Un QTSP ayuda a cumplir DORA de varias maneras clave:

• Autenticación Fuerte del Cliente (SCA): para proteger el acceso a sistemas y datos, DORA exige mecanismos de autenticación robustos. Los QTSP ofrecen soluciones de identidad digital y certificados cualificados que permiten una autenticación multifactor segura.
• Integridad y confidencialidad de los datos: los sellos y firmas electrónicas cualificadas garantizan que los datos y las comunicaciones no han sido alterados y provienen de una fuente verificada.
• Seguridad en las comunicaciones: la notificación de incidentes y el intercambio de información de amenazas requieren canales de comunicación seguros. Los servicios de entrega electrónica certificada proporcionados por los QTSP aseguran la confidencialidad, integridad y prueba de entrega de estas comunicaciones.
• Trazabilidad y no repudio: las soluciones de los QTSP, como el sellado de tiempo cualificado, proporcionan una traza de auditoría inmutable de las transacciones y operaciones, crucial para la investigación de incidentes y demostrar el cumplimiento ante los reguladores.

Tecalis, como QTSP, ofrece soluciones de identidad digital y firma electrónica diseñadas para ayudar a las empresas del sector financiero a cumplir con DORA.

• Verificación de identidad (Video ID y Foto ID): las soluciones de identificación digital de Tecalis permiten realizar procesos de KYC y onboarding de clientes de forma remota y segura, cumpliendo con los estándares de seguridad y normativas AML. 
• Autenticación biométrica: Tecalis ofrece sistemas de autenticación multifactor que utilizan biometría facial o dactilar. Se pueden integrar en las aplicaciones de banca móvil o plataformas online para proporcionar una capa de seguridad robusta y sin fricciones en el acceso a cuentas y la autorización de operaciones.
• Firma Electrónica Cualificada (QES): la firma electrónica de Tecalis, Tecalis Sign, permite la firma de contratos y documentos con el máximo nivel de seguridad legal y técnica reconocido en la UE. El uso de la QES garantiza la integridad del documento y la autenticidad del firmante.

La implementación de las soluciones de Tecalis permite a las entidades financieras no solo cumplir con requisitos específicos de DORA relacionados con la seguridad del acceso y la integridad de los datos, sino también automatizar y asegurar procesos clave, liberando recursos y mejorando la eficiencia operativa mientras se construye un entorno digital verdaderamente resiliente.

Etiquetas