¿Qué es DORA? Guía de la nueva Ley de Resiliencia Operativa Digital de la UE

La Ley de Resiliencia Operativa Digital (DORA) de la UE está remodelando la forma en que las organizaciones del sector financiero gestionan el ciberriesgo, los proveedores externos y la resiliencia operativa. La normativa de la UE entró en vigor el 16 de enero de 2023 y, tras un periodo estándar de preparación de dos años, DORA pasó a ser aplicable el 17 de enero de 2025. A partir de esta fecha, todas las entidades financieras, incluidos los bancos, las aseguradoras, las fintech y los proveedores de TIC que las apoyan, deben poder demostrar su cumplimiento a los supervisores.

¿Qué exige realmente DORA, y qué significa para las organizaciones que se enfrentan a obligaciones de nivel empresarial, pero a menudo con muchos menos recursos?

Aquí tienes una guía clara y sencilla sobre a quién afecta y qué se necesita para cumplirla.

¿Qué es DORA?

DORA es una normativa de la UE diseñada para garantizar que el sector financiero pueda resistir, responder y recuperarse de ciberataques y perturbaciones operativas. Va más allá de las normas anteriores que se centraban principalmente en la información y la gobernanza, introduciendo requisitos obligatorios en cinco áreas clave:

• Gestión de riesgos de las TIC
• Notificación de incidentes
• Prueba
• Supervisión de proveedores externos
• Intercambio de información

Si procesas datos financieros, apoyas a clientes financieros o entras dentro de la amplia definición de proveedor de servicios TIC de DORA, es probable que te sea de aplicación la normativa.

¿Quién debe cumplir con DORA?

DORA se aplica a una amplia gama de entidades financieras y a sus proveedores críticos de TIC, incluidos:

• Bancos e instituciones de crédito
• Empresas de seguros y reaseguros
• Empresas de inversión
• Entidades de pago y dinero electrónico
• Proveedores de servicios de criptoactivos
• Empresas declarantes y centros de negociación
• Terceros proveedores de servicios TIC críticos, como proveedores de la nube, proveedores de SaaS y otros proveedores de tecnología

Si apoyas las operaciones de una entidad financiera, el DORA puede exigir que tu organización cumpla unas normas estrictas de gobernanza, documentación y resistencia operativa.

¿Por qué es necesario la regulación DORA?

Los servicios financieros están profundamente interconectados. Un solo incidente, ya sea un fallo del sistema o un ciberataque, puede propagarse rápidamente a través de fronteras y sectores.

Los recientes ataques a la cadena de suministro han puesto de manifiesto lo vulnerables que son las organizaciones a los puntos débiles de su ecosistema de TIC. DORA se introdujo como parte del Paquete de Financiación Digital de la UE para reforzar la resistencia de las instituciones financieras y sus proveedores. DORA pretende crear coherencia en todo el sector y elevar el nivel general de resistencia.

Los cinco pilares básicos de DORA

1. Gestión de riesgos de las TIC

DORA exige que las organizaciones mantengan procesos de gestión de riesgos de TIC documentados, estructurados y comprobados periódicamente. Entre ellos se incluyen:

• Gobernanza y responsabilidades de las TIC
• Evaluaciones de riesgos
• Medidas de seguridad preventivas y detectivas
• Copias de seguridad y recuperación ante desastres
• Procesos de gestión de incidencias

2. Notificación de incidentes

Las entidades financieras deben seguir unas normas claras para clasificar, documentar y notificar los incidentes significativos relacionados con las TIC. Deben identificarse con prontitud, clasificarse y notificarse dentro de unos plazos estrictos. Esto hace que sean esenciales unos flujos de trabajo fiables y una buena documentación.

3. Pruebas de resistencia operativa digital

Las entidades financieras deben comprobar periódicamente la eficacia de sus controles. Esto abarca desde evaluaciones básicas hasta pruebas de penetración avanzadas dirigidas por amenazas, en función del tamaño y el perfil de riesgo de la organización.

4. Gestión de riesgos de terceros

Debes:

• Identificar a todos los proveedores de TIC
• Evaluar y clasificar los riesgos
• Supervisar el rendimiento y el cumplimiento
• Garantizar la alineación contractual con DORA
• Preparar estrategias de contingencia y de salida

Las organizaciones más pequeñas suelen tener dificultades con esto debido a sus recursos limitados y a la dispersión de la documentación, que es exactamente el reto que Trustlinks está diseñado para resolver.

5. Compartir información

DORA anima a las entidades a compartir información sobre ciber-amenazas con sus homólogos y comunidades para ayudar a reforzar la resiliencia colectiva.

¿Cuáles son los riesgos de incumplimiento?

El incumplimiento puede dar lugar a:

• Multas y sanciones reglamentarias
• Mayor escrutinio supervisor
• Restricciones contractuales de los clientes del sector financiero
• Daño a la reputación
• Interrupción operativa durante los incidentes

Muchas organizaciones ya se enfrentan a presiones como la responsabilidad de la dirección, los ajustados plazos de presentación de informes, la limitada capacidad interna y los complejos requisitos normativos. DORA añade otra capa de responsabilidad que requiere una estructura y una planificación claras.

Cómo te ayuda Trustlinks a prepararte para DORA

Para muchas organizaciones, especialmente las más pequeñas, los nuevos requisitos se suman a los retos ya existentes, como la rápida expansión de la normativa, el solapamiento de requisitos, la escalada de las ciberamenazas, la limitada capacidad interna y la documentación fragmentada y difícil de gestionar.

Trustlinks está diseñado para estas organizaciones, para ayudarles a centrarse en la claridad y la estructura sin la complejidad ni el coste de las herramientas empresariales tradicionales.Con Trustlinks, ganas:

✔ Claridad

Los requisitos de DORA se mapean en acciones, controles y tareas sencillas y guiadas que son fáciles de seguir.

✔ Control

Un único espacio de trabajo para riesgos, controles, proveedores, documentos, tareas y pruebas de auditoría.

✔ Confianza

Procesos listos para la auditoría apoyados por comprobaciones automatizadas, plantillas y seguimiento del progreso.

✔ Herramientas integradas que apoyan el cumplimiento de DORA:

• Flujos de trabajo de evaluación de riesgos
• Evaluación y control de proveedores
• Evaluaciones automatizadas de preparación
• Gestión centralizada de políticas
• Listas de tareas y recordatorios de plazos y revisiones
• Versionado de documentos y plantillas de políticas

Trustlinks está pensado para organizaciones con tiempo y recursos limitados, pero que se enfrentan a las mismas expectativas normativas que las grandes empresas. El cumplimiento no tiene por qué ser abrumador. Con la estructura, la orientación y las herramientas adecuadas, cualquier organización puede conseguir una gobernanza sólida, reducir el riesgo, mejorar la resistencia y ganar confianza durante las auditorías.

Trustlinks te proporciona la claridad y el control necesarios para que el cumplimiento con DORA sea manejable y sostenible. Puedes leer más sobre cómo prepararte para DORA aquí.

¡Explora aquí la plataforma de cumplimiento Trustlinks!