DORA (Resiliencia Operativa Digital del Sector Financiero)

Qué es DORA

El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), es directamente aplicable en todos los Estados miembros de la Unión Europea desde el 17 de enero de 2025. A diferencia de una directiva, no requiere transposición nacional: obliga a todas las entidades financieras en la UE sin necesidad de legislación adicional.

DORA nace de la constatación de que el sistema financiero europeo depende de forma crítica de sistemas TIC, y de que la interrupción de esos sistemas —ya sea por ciberataques, fallos técnicos o colapso de proveedores— puede tener consecuencias sistémicas. El reglamento consolida en un único marco los requisitos de resiliencia operativa digital que antes estaban dispersos en múltiples guías y circulares de los supervisores sectoriales (BCE, EBA, EIOPA, ESMA).

Entidades afectadas

El ámbito de aplicación de DORA es muy amplio:

• Entidades de crédito (bancos, cajas, cooperativas de crédito)
• Empresas de servicios de inversión y gestoras de fondos
• Entidades de pago y de dinero electrónico
• Empresas de seguros y reaseguros, y sus intermediarios
• Fondos de pensiones de empleo
• Agencias de calificación crediticia y proveedores de servicios de criptoactivos
• Proveedores terceros de servicios TIC críticos (cloud, software core, centros de datos)

Las entidades pequeñas y no interconectadas pueden acogerse a un régimen simplificado, pero deben acreditar que cumplen con los principios básicos del reglamento.

Los cinco pilares de DORA

1. Gestión del riesgo TIC Las entidades deben disponer de un marco interno sólido de gestión del riesgo tecnológico, con funciones de control claramente definidas, estrategia de resiliencia aprobada por el órgano de dirección y herramientas de detección y respuesta ante amenazas.

2. Gestión, clasificación y notificación de incidentes Se establece una taxonomía armonizada de incidentes TIC. Los incidentes graves deben notificarse a los supervisores en plazos muy estrictos (alerta inicial en 4 horas, notificación intermedia en 72 horas, informe final en 1 mes).

3. Pruebas de resiliencia operativa digital Las entidades deben realizar pruebas periódicas de sus sistemas: desde pruebas básicas (análisis de vulnerabilidades, pruebas de penetración) hasta pruebas avanzadas de Threat-Led Penetration Testing (TLPT) para las entidades consideradas sistémicas.

4. Gestión del riesgo de terceros TIC Este es uno de los aspectos más novedosos y exigentes. Las entidades deben mantener un registro exhaustivo de sus proveedores TIC, clasificar los críticos, realizar evaluaciones de riesgo periódicas y establecer en los contratos cláusulas obligatorias (auditoría, continuidad del servicio, portabilidad de datos, notificación de incidentes).

5. Intercambio de información DORA fomenta el intercambio voluntario de información sobre amenazas e inteligencia de ciberseguridad entre entidades financieras, siempre dentro de los marcos legales aplicables (confidencialidad, RGPD).

Supervisión directa de proveedores TIC críticos

Una innovación de DORA es la supervisión directa por parte de los supervisores europeos (EBA, ESMA, EIOPA) de los proveedores TIC considerados críticos para el sistema financiero (principalmente grandes proveedores de nube). Estos proveedores quedan sujetos a inspecciones y recomendaciones vinculantes, con independencia de dónde estén establecidos.

Sanciones e implicaciones para la alta dirección

Las sanciones por incumplimiento pueden llegar al 1% del volumen de negocio diario medio mundial durante un máximo de seis meses para proveedores TIC críticos. Para entidades financieras, las sanciones se determinan por la normativa sectorial nacional en coordinación con las autoridades europeas. Los órganos de dirección son personalmente responsables del cumplimiento, lo que eleva el riesgo reputacional y personal de los administradores.