TL;DR

DORA (Ley de Resiliencia Operativa Digital) se dirige a la resiliencia digital del sector financiero. Si eres un banco, aseguradora, fintech o proveedor tecnológico que les presta servicios, esto te afecta.

Cubre la gestión de riesgos TIC, pruebas de amenazas obligatorias (como TLPT), supervisión de riesgos de terceros y una estricta notificación de incidentes.

Operativo desde el 17 de enero de 2025, con severas sanciones para quienes sean pillados desprevenidos.

Resumen del Cuadro de Mando DORA:

• Esfuerzo del desarrollador: Moderado a Alto (Requiere la implementación de prácticas de codificación seguras y resilientes, el apoyo a una gestión robusta del riesgo TIC, la habilitación de un registro/informe detallado de incidentes y la participación en pruebas avanzadas de resiliencia).
• Coste de Herramientas: Alto (Requiere inversión en herramientas de gestión de riesgos TIC, herramientas avanzadas de pruebas de seguridad (pentesting, TLPT), monitorización/SIEM robusta, plataformas de gestión de riesgos de terceros, soluciones de continuidad de negocio/recuperación ante desastres).
• Impacto en el Mercado: Crítico (Obligatorio para prácticamente todas las entidades financieras de la UE y sus proveedores críticos de TIC; establece un alto estándar de resiliencia operativa).
• Flexibilidad: Moderada (La regulación especifica requisitos en pilares clave, pero permite la proporcionalidad basada en el tamaño, el perfil de riesgo y la naturaleza/complejidad de los servicios).
• Intensidad de la auditoría: Alta (Cumplimiento supervisado por autoridades nacionales competentes y Autoridades Europeas de Supervisión (ESAs); implica demostrar marcos robustos, resultados de pruebas y capacidades de gestión de incidentes).

¿Qué es DORA?

La Ley de Resiliencia Operativa Digital (Reglamento (UE) 2022/2554), o DORA, es una pieza clave de la legislación de la UE que establece requisitos uniformes en relación con la seguridad de los sistemas de red y de información que respaldan los procesos de negocio de las entidades financieras. Crea un marco vinculante y completo diseñado específicamente para fortalecer la seguridad de TI y la resiliencia operativa del sector financiero de la UE.

A diferencia de NIS2, que se aplica de forma generalizada, DORA se centra exclusivamente en entidades financieras (bancos, aseguradoras, empresas de inversión, instituciones de pago, proveedores de criptoactivos, etc.) y en los proveedores de servicios TIC críticos de terceros (como plataformas en la nube, proveedores de software, proveedores de análisis de datos) que les prestan servicio.

DORA se basa en cinco pilares fundamentales:

1. Gestión de Riesgos TIC: Exige a las entidades disponer de un marco de gestión de riesgos TIC exhaustivo y bien documentado, que incluya estrategias, políticas, procedimientos, protocolos y herramientas para identificar, proteger, detectar, responder y recuperarse de los riesgos TIC. Los órganos de gestión tienen la máxima responsabilidad.
2. Gestión y Notificación de Incidentes Relacionados con las TIC: Establece procesos para detectar, gestionar, registrar, clasificar y notificar incidentes importantes relacionados con las TIC a las autoridades competentes utilizando plantillas y plazos estandarizados.
3. Pruebas de Resiliencia Operativa Digital: Requiere que las entidades establezcan un programa de pruebas de resiliencia operativa digital proporcional y basado en riesgos, incluyendo evaluaciones de vulnerabilidades, evaluaciones de seguridad de red, pruebas basadas en escenarios y, para entidades significativas, pruebas de penetración avanzadas dirigidas por amenazas (Threat-Led Penetration Testing, TLPT) al menos cada tres años.
4. Gestión de Riesgos de Terceros TIC: Impone normas estrictas para la gestión de los riesgos asociados a la dependencia de proveedores de servicios TIC de terceros. Esto incluye la debida diligencia precontractual, disposiciones contractuales específicas (que cubren el acceso, la auditoría, la seguridad, las estrategias de salida), la evaluación del riesgo de concentración y el seguimiento continuo.
5. Intercambio de Información: Fomenta el intercambio voluntario de información e inteligencia sobre ciberamenazas entre entidades financieras para mejorar la conciencia y la resiliencia colectivas.

DORA tiene como objetivo asegurar que el sistema financiero pueda permanecer resiliente incluso a través de graves interrupciones operativas derivadas de problemas de TIC o ciberataques. Entró en vigor en enero de 2023, y las entidades financieras deben cumplir antes del 17 de enero de 2025.

¿Por qué es importante?

DORA es de vital importancia para el sector financiero de la UE y su ecosistema:

• Armonización: Crea un conjunto único y consistente de reglas para la resiliencia operativa digital en todos los Estados miembros de la UE, reemplazando los enfoques nacionales fragmentados.
• Estabilidad financiera: Su objetivo es evitar que los incidentes de TIC desestabilicen a las empresas financieras individuales o al sistema financiero en general.
• Aborda el riesgo sistémico: Reconoce la creciente dependencia de las TIC y los posibles riesgos sistémicos que plantean los fallos, especialmente en lo que respecta a los proveedores críticos de terceros.
• Supervisión Directa de Proveedores Críticos: Otorga de forma única a las Autoridades Europeas de Supervisión (AES como EBA, ESMA, EIOPA) poderes de supervisión directa sobre los proveedores críticos de servicios TIC de terceros (CTPPs) designados.
• Cumplimiento obligatorio: A diferencia de algunos marcos, DORA es una regulación, directamente aplicable y legalmente vinculante para todas las entidades dentro de su ámbito.
• Requisitos de resiliencia mejorados: Va más allá de la ciberseguridad básica, exigiendo pruebas robustas (incluido TLPT), una gestión de incidentes detallada y una gestión de riesgos de terceros rigurosa.
• Responsabilidad de la dirección: Similar a NIS2, establece una clara responsabilidad en el órgano de dirección para la supervisión del riesgo TIC.

Para las entidades financieras y sus principales proveedores tecnológicos, el cumplimiento de DORA es esencial para la aprobación regulatoria, el acceso al mercado y el mantenimiento de la estabilidad operativa en la UE.

Qué y cómo implementar (Técnico y de Políticas)

Implementar DORA requiere un esfuerzo significativo en sus cinco pilares, que implican medidas técnicas y de política:

1. Marco de Gestión de Riesgos TIC (Art. 5-16):
   
   • Política/Estrategia: Desarrollar y mantener un marco sólido y completo de gestión de riesgos TIC, aprobado por la dirección.
   • Controles Técnicos: Implementar medidas de seguridad basadas en la evaluación de riesgos – identificación, protección (configuraciones seguras, parches, seguridad de red, seguridad física), detección (sistemas de monitorización, detección de anomalías), respuesta y recuperación (copias de seguridad, planes de recuperación ante desastres). Esto implica herramientas como firewalls, SIEM, EDR, gestión de vulnerabilidades, IAM.
   • Documentación: Mantener una documentación exhaustiva del marco, las evaluaciones de riesgos, las implementaciones de controles y las pruebas de eficacia.
2. Gestión y notificación de incidentes (Art. 17-23):
   
   • Procesos: Establecer procesos para la monitorización, detección, clasificación (basada en criterios definidos en los Estándares Técnicos Regulatorios - RTS), gestión, registro y notificación de incidentes TIC graves.
   • Soporte Técnico: Implementar herramientas de registro y monitorización (SIEM) capaces de detectar incidentes y recopilar los datos necesarios para la elaboración de informes. Desarrollar flujos de trabajo de informes.
3. Pruebas de Resiliencia Operacional Digital (Art. 24-27):
   
   • Programa de Pruebas: Establecer un programa basado en riesgos que incluya evaluaciones de vulnerabilidades, análisis de código abierto, evaluaciones de seguridad de red, revisiones de seguridad física, pruebas basadas en escenarios y pruebas de compatibilidad.
   • Herramientas: Utilizar escáneres de vulnerabilidades, escáneres de configuración, herramientas DAST, SAST, SCA.
   • Pruebas de Penetración Dirigidas por Amenazas (TLPT): Para entidades significativas, realizar TLPT avanzadas (como TIBER-EU) basadas en RTS específicos, involucrando a probadores externos certificados que simulan atacantes reales. Requiere capacidades maduras de detección y respuesta para ser efectivo.
4. Gestión de Riesgos de Terceros TIC (Art. 28-44):
   
   • Estrategia y política: Desarrolle una estrategia y una política para gestionar los riesgos asociados con los proveedores externos de TIC.
   • Registro de información: Mantener un registro detallado de todos los contratos de servicios de terceros de TIC.
   • Due Diligence: Realice evaluaciones rigurosas de seguridad y resiliencia antes de contratar con proveedores de TIC.
   • Requisitos Contractuales (Art. 30): Asegurar que los contratos incluyan cláusulas obligatorias que cubran estándares de seguridad, derechos de auditoría, cooperación en la notificación de incidentes, descripciones claras de servicios, ubicaciones de procesamiento de datos y estrategias de salida.
   • Supervisión de Proveedores Críticos (CTPPs): Cooperar con las ESAs durante las actividades de supervisión directa de los CTPPs designados.
   • Riesgo de Concentración: Evaluar y gestionar los riesgos asociados a la dependencia excesiva de uno o pocos proveedores.
5. Intercambio de información (Art. 45):
   
   • Participar (voluntariamente) en acuerdos para compartir inteligencia de amenazas e información sobre ciberamenazas, garantizando el cumplimiento del RGPD.

La implementación requiere una gobernanza sólida, recursos dedicados, colaboración interdepartamental (TI, Seguridad, Riesgos, Legal, Adquisiciones) y a menudo una inversión significativa en tecnología y experiencia.

Errores comunes a evitar

Las entidades que implementan DORA deberían evitar estos errores comunes:

1. Retrasar la implementación: Esperar demasiado para iniciar el extenso trabajo necesario para el análisis de brechas, el desarrollo de marcos, la implementación de pruebas y la remediación de contratos con terceros antes de la fecha límite de enero de 2025.
2. Subestimar el alcance/el esfuerzo: No comprender la amplitud de los requisitos de DORA en sus cinco pilares y la falta de recursos para el esfuerzo de cumplimiento.
3. Tratarlo solo como TI/Seguridad: No involucrar suficientemente a Riesgos, Legal, Compras y la alta dirección, especialmente en lo que respecta al marco de riesgo TIC y la gestión de riesgos de terceros.
4. Gestión de Riesgos de Terceros Insuficiente: No realizar una debida diligencia adecuada, actualizar los contratos con cláusulas obligatorias o gestionar el riesgo de concentración relacionado con los proveedores de TIC.
5. Pruebas de resiliencia inadecuadas: Realizar solo escaneos básicos de vulnerabilidades en lugar de las pruebas exhaustivas basadas en riesgos (incluido TLPT cuando sea necesario) exigidas por DORA.
6. Mala preparación para la notificación de incidentes: Carecer de la monitorización técnica o de los procesos internos para clasificar y notificar incidentes graves de forma precisa y dentro de los plazos requeridos.
7. Asumir que Otros Marcos de Trabajo son Suficientes: Confiar únicamente en la ISO 27001 existente u otro cumplimiento sin realizar un análisis de brechas específico contra los requisitos detallados de DORA, especialmente en lo que respecta al riesgo de terceros y las pruebas de resiliencia.

¿Qué podrían preguntar los auditores/reguladores (Enfoque en desarrolladores)?

Las autoridades de supervisión que verifiquen el cumplimiento de DORA tendrán amplios poderes. Las preguntas que afecten a los equipos de desarrollo podrían centrarse en la resiliencia, la seguridad por diseño, las pruebas y el soporte de incidentes:

• (Gestión de Riesgos TIC) "¿Cómo se incorporan los requisitos de seguridad y resiliencia en el ciclo de vida de desarrollo de software?"
• (Gestión de Riesgos TIC) "Mostrar evidencia de prácticas de codificación segura y gestión de vulnerabilidades en el desarrollo."
• (Gestión de Incidentes) "¿Cómo facilita el registro de la aplicación la detección, análisis y notificación de incidentes relacionados con las TIC?"
• (Resilience Testing) "¿Qué pruebas de seguridad (estáticas, dinámicas, de componentes) se realizan en la aplicación? Proporcionen resultados recientes."
• (Resilience Testing) "¿Cómo está diseñada la aplicación para soportar fallos o cargas elevadas (p. ej., redundancia, escalabilidad, mecanismos de conmutación por error)?"
• (Resilience Testing) "¿Pueden demostrar el proceso para restaurar la aplicación y sus datos a partir de copias de seguridad?"
• (Riesgo de Terceros) "¿Cómo se gestionan los riesgos de seguridad relacionados con los componentes de software de terceros o las API integradas en la aplicación?"

Los reguladores esperarán marcos documentados, políticas, procedimientos, resultados de pruebas, registros de incidentes y evidencia de que la resiliencia está integrada en los sistemas y procesos.

Victorias rápidas para equipos de desarrollo

Aunque el cumplimiento total de DORA es complejo, los equipos de desarrollo pueden contribuir a través de prácticas fundamentales:

1. Mejorar el registro de aplicaciones: Mejore los registros de aplicaciones para capturar eventos y errores relevantes para la seguridad, útiles para el análisis de incidentes. Asegure que los registros estén centralizados.
2. Integrar SAST/SCA: Integrar el escaneo de seguridad automatizado para código y dependencias en las primeras etapas del pipeline CI/CD.
3. Enfoque en Patrones de Resiliencia: Enfatice las prácticas de codificación que mejoran la resiliencia (p. ej., manejo adecuado de errores, tiempos de espera, reintentos, ausencia de estado cuando sea posible).
4. Documentar Dependencias: Mantener una lista de materiales de software (SBOM) precisa para las aplicaciones.
5. Escenarios de Pruebas de Fallo: Incluir pruebas sobre cómo se comporta la aplicación en condiciones de fallo (por ejemplo, dependencia no disponible, alta carga).
6. Configuración Segura: Asegurar que las aplicaciones tengan configuraciones predeterminadas seguras y externalizar la configuración de forma adecuada.

Ignora esto y... (Consecuencias del incumplimiento)

DORA otorga a las autoridades competentes importantes poderes de supervisión y aplicación. El incumplimiento puede resultar en:

• Sanciones administrativas/Multas: Aunque DORA en sí mismo no establece importes de multa específicos de forma generalizada (dejando parte de la implementación a los Estados miembros), el incumplimiento de las directivas/reglamentos subyacentes que refuerza, o la falta de seguimiento de las órdenes de la autoridad competente, puede dar lugar a multas sustanciales (potencialmente hasta el 1-2% de la facturación global o cantidades específicas como 10 millones de euros, dependiendo de la implementación nacional y las infracciones específicas). Corrección: Algunas fuentes mencionan pagos de multas coercitivas de hasta el 1% de la facturación diaria mundial promedio para los proveedores críticos de terceros supervisados directamente por las AEV. Las sanciones nacionales para las propias entidades financieras variarán, pero se espera que sean significativas.
• Medidas Correctivas: Las autoridades pueden ordenar a las entidades que cesen una conducta, que implementen medidas de remediación específicas o que proporcionen información específica.
• Avisos públicos: Las autoridades pueden emitir avisos públicos identificando a la entidad no conforme y la naturaleza de la infracción.
• Retirada de Autorización: En casos graves, la autorización de la entidad financiera podría ser retirada.
• Sanciones a la dirección: Posibles sanciones administrativas o prohibiciones temporales para los miembros del órgano de dirección responsables de las infracciones.
• Daño reputacional: La divulgación pública del incumplimiento o de los incidentes derivados de este daña gravemente la confianza en el sector financiero.
• Restricciones operativas: Las autoridades pueden imponer limitaciones a las operaciones hasta que se restablezca el cumplimiento.

Preguntas frecuentes

¿Quién necesita cumplir con DORA?

DORA se aplica a una amplia gama de entidades financieras de la UE, incluyendo bancos, entidades de crédito, entidades de pago, empresas de inversión, empresas de seguros/reaseguros, proveedores de servicios de criptoactivos, plataformas de crowdfunding, contrapartes centrales (CCPs), registros de operaciones, gestores de fondos de inversión alternativos (AIFMs), sociedades gestoras de UCITS, y también a los proveedores críticos de servicios TIC de terceros designados por las Autoridades Europeas de Supervisión.

¿Cuál es el plazo para el cumplimiento de DORA?

Las entidades financieras deben cumplir plenamente con DORA antes del 17 de enero de 2025.

¿Cómo se relaciona DORA con NIS2?

DORA constituye lex specialis para el sector financiero. Esto significa que las entidades financieras cubiertas tanto por DORA como por NIS2 siguen principalmente los requisitos más específicos de DORA en cuanto a la gestión de riesgos TIC, la notificación de incidentes, las pruebas de resiliencia y el riesgo de terceros. NIS2 sigue aplicándose para los aspectos no cubiertos por DORA.

¿Qué es la Prueba de Penetración Dirigida por Amenazas (TLPT) bajo DORA?

TLPT es una forma avanzada de pruebas de resiliencia obligatoria para entidades financieras significativas según DORA (Artículo 26). Implica simular las tácticas, técnicas y procedimientos (TTPs) de actores de amenazas reales que atacan las funciones críticas y los sistemas subyacentes de la entidad. Se basa en marcos como TIBER-EU y requiere probadores externos certificados.

¿DORA se aplica a los proveedores de la nube?

Sí, significativamente. Los proveedores de servicios en la nube se consideran proveedores de servicios de terceros de TIC según DORA. Las entidades financieras que utilizan servicios en la nube deben aplicar requisitos estrictos de gestión de riesgos de terceros (Art. 28-30). Además, los proveedores de la nube considerados «críticos» por las Autoridades Europeas de Supervisión estarán sujetos a supervisión directa y posibles sanciones (Art. 31-44).

¿Cuáles son los pilares principales de DORA?

Los cinco pilares fundamentales son:

1. Gestión de Riesgos TIC
2. Gestión y Notificación de Incidentes Relacionados con las TIC
3. Pruebas de Resiliencia Operacional Digital
4. Gestión de Riesgos de Terceros TIC
5. Acuerdos de intercambio de información

¿Existe una certificación para DORA?

No, la propia DORA no establece un esquema de certificación. El cumplimiento es supervisado y aplicado por las autoridades nacionales competentes y las Autoridades Europeas de Supervisión (para proveedores críticos de TIC de terceros). Las entidades demuestran el cumplimiento a través de sus marcos implementados, políticas, resultados de pruebas, informes de incidentes y cooperación con los supervisores.