Saltar al contenido principal

Digital Operational Resilience Act (DORA)

Introducción

La Digital Operational Resilience Act (DORA) es una regulación establecida por la Unión Europea para garantizar que las entidades financieras puedan resistir, responder y recuperarse de incidentes relacionados con la tecnología de la información y la comunicación (ICT). Este marco legal forma parte de la Estrategia Digital de la UE y busca fortalecer la resiliencia operativa digital en el sector financiero, protegiendo tanto a las organizaciones como a los consumidores frente a riesgos tecnológicos.

DORA fue adoptada oficialmente en diciembre de 2022 y se espera que sea implementada por las organizaciones reguladas para 2025.

Objetivos Clave

  1. Fortalecer la resiliencia operativa digital en las entidades financieras mediante un marco unificado.
  2. Regular los riesgos de terceros al exigir un control más estricto sobre proveedores de servicios críticos, como servicios en la nube.
  3. Promover la cooperación internacional y la respuesta coordinada frente a incidentes de ciberseguridad en el sector financiero.
  4. Fomentar la armonización normativa entre los estados miembros de la UE, simplificando las obligaciones regulatorias para las empresas.

Ámbito de Aplicación

DORA aplica a una amplia variedad de entidades financieras, incluyendo:

  • Bancos.
  • Compañías de seguros.
  • Empresas de inversión.
  • Infraestructuras del mercado financiero (bolsas de valores, cámaras de compensación, etc.).
  • Proveedores de servicios críticos de tecnología (como servicios en la nube).

Principales Componentes

1. Gestión de Riesgos de TIC

Las entidades deben desarrollar un marco de gestión de riesgos de tecnología que contemple:

  • Identificación y evaluación de riesgos tecnológicos.
  • Implementación de controles y medidas para mitigar riesgos.
  • Supervisión continua del panorama de riesgos.

2. Notificación de Incidentes

Las entidades están obligadas a informar a las autoridades competentes sobre incidentes significativos relacionados con TIC en un plazo específico.

3. Pruebas de Resiliencia

Se requiere que las entidades realicen pruebas regulares de su resiliencia operativa, como simulaciones de ciberataques (Red Teaming).

4. Supervisión de Terceros

Las organizaciones deben supervisar y gestionar cuidadosamente los riesgos derivados de proveedores externos de TIC, especialmente aquellos que prestan servicios críticos.

5. Cooperación y Supervisión

DORA fomenta una cooperación estrecha entre los estados miembros de la UE, estableciendo un marco claro de supervisión y comunicación.

Beneficios de DORA

  • Mayor seguridad y resiliencia operativa en el sector financiero.
  • Protección mejorada para los consumidores, garantizando la continuidad de servicios críticos.
  • Reducción de la fragmentación regulatoria, facilitando la gestión del cumplimiento para las empresas que operan en varios países de la UE.
  • Fomento de la confianza en el sistema financiero, minimizando el impacto de ciberincidentes en la economía.

Desafíos en la Implementación

  • Costes adicionales para las entidades financieras, especialmente para las PYMEs.
  • Complejidad técnica en la implementación de pruebas y controles de resiliencia.
  • Supervisión de proveedores críticos, dado que muchos son globales y no están sujetos a la normativa de la UE.

Conclusión

DORA representa un paso crucial hacia un ecosistema financiero más seguro y resiliente en la era digital. Aunque la implementación puede suponer desafíos, los beneficios de un marco unificado para la gestión de riesgos y la cooperación internacional superan con creces las dificultades. Las organizaciones deben comenzar desde ya a evaluar su nivel de preparación para cumplir con esta regulación y garantizar que estén listas para la fecha límite establecida.

Entendiendo la Ciberseguridad en Europa

  1. The NIS 2 Directive
  2. The Digital Operational Resilience Act (DORA)
  3. The Critical Entities Resilience Directive (CER)
  4. The European Data Act
  5. The European Data Governance Act (DGA)
  6. The European Cyber Resilience Act (CRA)
  7. The Digital Services Act (DSA)
  8. The Digital Markets Act (DMA)
  9. The European Chips Act
  10. The Artificial Intelligence Act
  11. The Artificial Intelligence Liability Directive
  12. The Framework for Artificial Intelligence Cybersecurity Practices (FAICP)
  13. The EU Cyber Solidarity Act
  14. The Digital Networks Act (DNA)
  15. The European ePrivacy Regulation
  16. The European Digital Identity Regulation
  17. The European Media Freedom Act (EMFA)
  18. The Corporate Sustainability Due Diligence Directive (CSDDD)
  19. The Systemic Cyber Incident Coordination Framework (EU-SCICF)
  20. The European Health Data Space (EHDS)
  21. The European Financial Data Space (EFDS)
  22. The Financial Data Access (FiDA) Regulation
  23. The Payment Services Directive 3 (PSD3), Payment Services Regulation (PSR)
  24. The Internal Market Emergency and Resilience Act (IMERA)
  25. The Digital Fairness Act
  26. The European Cyber Defence Policy
  27. The Strategic Compass of the European Union
  28. The European Space Law (EUSL)
  29. The EU-US Data Privacy Framework
  30. The EU Cyber Diplomacy Toolbox

Enlaces Relacionados DORA