Prepárate para
DORA
¿Qué es la Ley de Resiliencia Operativa Digital (DORA)?
La Ley de Resiliencia Operativa Digital (DORA) es un reglamento de la UE que refuerza la resiliencia operativa digital en todo el sector financiero. Establece un marco armonizado para la gestión de riesgos de las tecnologías de la información y la comunicación (TIC), la notificación de incidentes, las pruebas de resistencia, la supervisión por terceros y la gobernanza.
DORA entró en vigor con aplicación a partir del 17 de enero de 2025, y las entidades financieras sujetas a la normativa deben ahora cumplir sus requisitos.
¿Quién debe cumplir con DORA?
DORA se aplica a un amplio abanico de entidades financieras que operan en la UE, entre las que se incluyen:
- Bancos e instituciones de crédito
- Empresas de inversión y gestores de activos
- Compañías de seguros y reaseguradoras
- Entidades de pago y criptomonedas
- Infraestructuras de mercado y plataformas de negociación
- Proveedores de servicios de criptoactivos y plataformas de crowdfunding
DORA también afecta a los proveedores de servicios TIC
DORA también afecta a terceros proveedores de servicios de TIC, incluidos los proveedores de software y de la nube, que prestan servicios digitales a entidades financieras, sobre todo cuando apoyan funciones críticas o importantes.
Incluso las organizaciones que no son entidades financieras pueden verse afectadas, ya que las instituciones reguladas están obligadas a gestionar y supervisar la resistencia operativa digital de sus principales proveedores de TIC.
Qué exige DORA
Según DORA, las entidades cubiertas deben aplicar prácticas sólidas y documentadas en varias áreas básicas. Éstas suelen incluir:
Las organizaciones deben crear un marco documentado para identificar, evaluar, mitigar y supervisar el riesgo de las TIC, con una clara supervisión de la gobernanza.
Cumplimiento, claridad y control
La aplicación de DORA es oportuna, ya que la creciente dependencia de las instituciones financieras de las tecnologías digitales y los proveedores externos de TIC ha aumentado las vulnerabilidades operativas, mientras que los incidentes cibernéticos y de TIC notificados se han duplicado aproximadamente en los últimos años.
Entre principios de 2023 y mediados de 2024 se comunicaron y analizaron públicamente incidentes cibernéticos dirigidos al sector financiero europeo, y casi la mitad afectaron a bancos.
Las pérdidas anuales por incidentes cibernéticos en el sector financiero han pasado de unos 300 millones de dólares en 2017 a unos 2.200 millones de dólares en 2021.
Cada día se producen más de 2.200 ciberataques en todo el mundo, aproximadamente un ataque cada 39 segundos.
El reto para las entidades financieras y los proveedores de tecnología
Cumplir los requisitos de DORA puede ser exigente, especialmente para las organizaciones sin equipos dedicados al riesgo operativo o al cumplimiento. Los retos más comunes son:
- No hay un equipo dedicado al cumplimiento o la seguridad
- Tiempo limitado para comprender los requisitos legales detallados
- Documentos dispersos y responsabilidades poco claras
- Supervisar y gestionar el riesgo de terceros proveedores de TIC
- Implantar procesos coherentes de notificación de incidentes
- Mantener una gobernanza y una documentación que satisfagan a los supervisores
- El incumplimiento puede dar lugar a sanciones económicas, intervención reguladora y daños a la reputación
Consigue la preparación para DORA con Trustlinks
Trustlinks traduce la complejidad de los requisitos del DORA en acciones prácticas y guiadas que tu equipo puede seguir:
Empieza con una configuración clara, estructurada e intuitiva, alineada con los requisitos de DORA, que incluya controles predefinidos, plantillas de políticas y orientación sobre documentación.
Esto ayuda a tu empresa a ponerse en marcha rápidamente sin necesidad de profundos conocimientos de cumplimiento. Nada de adivinanzas, todo está dispuesto en un flujo claro y lógico para que tu equipo sepa exactamente por dónde empezar.
Prepárate para DORA
Si tienes preguntas sobre Trustlinks o quieres explorar cómo nuestra plataforma apoya tu trabajo de cumplimiento, ponte en contacto con nosotros y nuestro equipo estará encantado de ayudarte.
Annelie Demred
+46 706 838288
Preguntas frecuentes sobre la preparación para DORA
¿Qué es la Ley de Resiliencia Operativa Digital (DORA)?
La Ley de Resiliencia Operativa Digital (DORA) es una normativa de la UE que refuerza la forma en que las entidades financieras gestionan el riesgo de las TIC, responden a los incidentes y garantizan la resiliencia operativa digital en todo el sector financiero.
¿Quién debe cumplir con DORA?
DORA se aplica a una amplia gama de entidades financieras de la UE, como bancos, aseguradoras, empresas de inversión, entidades de pago y proveedores de servicios de criptoactivos. También afecta a los proveedores de servicios de TIC que apoyan funciones críticas o importantes.
¿Cuándo se aplica DORA?
DORA empezó a aplicarse plenamente el 17 de enero de 2025. A partir de esa fecha, las entidades financieras cubiertas deben cumplir los requisitos del reglamento y ser capaces de demostrar su cumplimiento.
¿Cuáles son los principales requisitos de DORA?
DORA exige que las organizaciones apliquen marcos de gestión de riesgos de las TIC, procesos de notificación de incidentes, pruebas de resistencia operativa digital, gestión de riesgos de las TIC por terceros y una gobernanza y supervisión sólidas.
¿Cómo afecta DORA a los proveedores de servicios TIC?
Aunque no sean entidades financieras, los proveedores de servicios TIC pueden verse afectados porque las instituciones reguladas deben evaluar, supervisar y gestionar la resistencia digital de sus socios tecnológicos clave.
¿Existen sanciones por incumplimiento con DORA?
Sí. El incumplimiento con DORA puede dar lugar a acciones de supervisión, medidas correctoras y sanciones económicas en virtud de los marcos de aplicación nacionales y de la UE.
¿Cómo puede ayudar Trustlinks con el cumplimiento con DORA?
Trustlinks ayuda a las organizaciones a estructurar los requisitos del DORA en flujos de trabajo guiados, gestionar los riesgos de las TIC y la supervisión de terceros, mantener la documentación y generar informes claros y listos para la auditoría.
