TL;DR

DORA (Digital Operational Resilience Act) se centra en la resistencia digital del sector financiero. Si eres un banco, una aseguradora, una empresa de tecnología financiera o un proveedor de tecnología a su servicio, esto te afecta.

Abarca la gestión de riesgos de las TIC, las pruebas obligatorias de amenazas (como TLPT), la supervisión de riesgos por terceros y la estricta notificación de incidentes.

En vigor desde el 17 de enero de 2025, con fuertes penalizaciones en caso de ser sorprendidos.

Resumen del cuadro de mando del DORA:

• Esfuerzo del desarrollador: Moderado a alto (Requiere aplicar prácticas de codificación seguras y resistentes, apoyar una sólida gestión de riesgos de las TIC, permitir el registro/informe detallado de incidentes, participar en pruebas avanzadas de resistencia).
• Coste de las herramientas: Elevado (es necesario invertir en herramientas de gestión de riesgos de TIC, herramientas avanzadas de pruebas de seguridad (pentesting, TLPT), una sólida supervisión/SIEM, plataformas de gestión de riesgos de terceros, soluciones de continuidad de negocio/recuperación en caso de catástrofe).
• Impacto en el mercado: Crítico (Obligatorio para prácticamente todas las entidades financieras de la UE y sus proveedores TIC críticos; establece un listón muy alto para la resistencia operativa).
• Flexibilidad: Moderada (el Reglamento especifica requisitos en todos los pilares clave, pero permite la proporcionalidad en función del tamaño, el perfil de riesgo y la naturaleza/complejidad de los servicios).
• Intensidad de auditoría: Alta (Cumplimiento supervisado por las autoridades nacionales competentes y las Autoridades Europeas de Supervisión (AES); implica demostrar marcos sólidos, resultados de pruebas y capacidades de gestión de incidentes).

¿Qué es DORA?

La Ley de Resiliencia Operativa Digital (Reglamento (UE) 2022/2554), o DORA, es una pieza clave de la legislación de la UE que establece requisitos uniformes relativos a la seguridad de las redes y los sistemas de información que soportan los procesos empresariales de las entidades financieras. Crea un marco global y vinculante diseñado específicamente para reforzar la seguridad informática y la resistencia operativa del sector financiero de la UE.

A diferencia de NIS2, que se aplica de forma amplia, DORA se centra exclusivamente en las entidades financieras (bancos, aseguradoras, empresas de inversión, entidades de pago, proveedores de criptoactivos, etc.) y en los terceros proveedores de TIC críticas (como plataformas en la nube, proveedores de software, proveedores de análisis de datos) que les prestan servicios.

DORA se basa en cinco pilares fundamentales:

1. Gestión de riesgos de las TIC: Exige que las entidades dispongan de un marco de gestión de riesgos de TIC completo y bien documentado, que incluya estrategias, políticas, procedimientos, protocolos y herramientas para identificar, proteger, detectar, responder y recuperarse de los riesgos de TIC. La responsabilidad última recae en los órganos de dirección.
2. Gestión y notificación de incidentes relacionados con las TIC: Ordena procesos para detectar, gestionar, registrar, clasificar y notificar incidentes importantes relacionados con las TIC a las autoridades competentes utilizando plantillas y plazos normalizados.
3. Pruebas de resistencia operativa digital: Requiere que las entidades establezcan un programa de pruebas de resistencia operativa digital proporcional y basado en el riesgo, que incluya evaluaciones de vulnerabilidad, evaluaciones de seguridad de la red, pruebas basadas en escenarios y, para entidades significativas, pruebas avanzadas de penetración dirigidas por amenazas (TLPT) al menos cada tres años.
4. Gestión de riesgos de terceros en el ámbito de las TIC: Impone normas estrictas para gestionar los riesgos asociados a la dependencia de terceros proveedores de servicios de TIC. Incluye la diligencia debida precontractual, disposiciones contractuales específicas (acceso, auditoría, seguridad, estrategias de salida), evaluación del riesgo de concentración y supervisión continua.
5. Intercambio de información: Fomenta el intercambio voluntario de información e inteligencia sobre ciberamenazas entre entidades financieras para mejorar la concienciación colectiva y la resistencia.

El DORA pretende garantizar que el sistema financiero pueda seguir siendo resistente incluso en caso de graves perturbaciones operativas derivadas de problemas de TIC o ciberataques. Entró en vigor en enero de 2023, y las entidades financieras deben cumplirla antes del 17 de enero de 2025.

¿Por qué es importante?

El DORA es de vital importancia para el sector financiero de la UE y su ecosistema:

• Armonización: Crea un conjunto único y coherente de normas para la resistencia operativa digital en todos los Estados miembros de la UE, sustituyendo a los enfoques nacionales fragmentados.
• Estabilidad financiera: Pretende evitar que los incidentes relacionados con las TIC desestabilicen empresas financieras concretas o el sistema financiero en general.
• Aborda el riesgo sistémico: Reconoce la creciente dependencia de las TIC y los posibles riesgos sistémicos que plantean los fallos, especialmente en lo que respecta a terceros proveedores críticos.
• Supervisión directa de los proveedores críticos: Concede de forma exclusiva a las Autoridades Europeas de Supervisión (AES, como la ABE, la AEVM o la AESPJ) competencias de supervisión directa sobre los terceros proveedores de TIC críticos designados.
• Cumplimiento obligatorio: A diferencia de algunos marcos, el DORA es un reglamento, directamente aplicable y jurídicamente vinculante para todas las entidades incluidas en su ámbito de aplicación.
• Requisitos de resistencia mejorados: Va más allá de la ciberseguridad básica, exigiendo pruebas sólidas (incluido TLPT), gestión detallada de incidentes y una estricta gestión de riesgos de terceros.
• Responsabilidad de la dirección: Similar a la NIS2, asigna una responsabilidad clara al órgano de dirección para supervisar el riesgo de las TIC.

Para las entidades financieras y sus principales proveedores de tecnología, el cumplimiento del DORA es esencial para la aprobación reglamentaria, el acceso al mercado y el mantenimiento de la estabilidad operativa en la UE.

Qué y cómo aplicar (técnica y política)

La aplicación del DORA requiere un esfuerzo considerable en sus cinco pilares, con medidas técnicas y políticas:

1. Marco de gestión de riesgos de las TIC (Art. 5-16):
   
   • Política/estrategia: Desarrollar y mantener un marco sólido y completo de gestión de riesgos de TIC, aprobado por la dirección.
   • Controles técnicos: Aplicar medidas de seguridad basadas en la evaluación de riesgos: identificación, protección (configuraciones seguras, parches, seguridad de la red, seguridad física), detección (sistemas de supervisión, detección de anomalías), respuesta y recuperación (copias de seguridad, planes de recuperación en caso de catástrofe). Esto implica herramientas como cortafuegos, SIEM, EDR, gestión de vulnerabilidades, IAM.
   • Documentación: Mantener una documentación exhaustiva del marco, las evaluaciones de riesgos, la implantación de controles y las pruebas de eficacia.
2. Gestión y notificación de incidentes (Art. 17-23):
   
   • Procesos: Establecer procesos para supervisar, detectar, clasificar (basándose en criterios definidos en las Normas Técnicas de Regulación - NTR), gestionar, registrar y notificar incidentes importantes de TIC.
   • Soporte técnico: Implantar herramientas de registro y supervisión (SIEM) capaces de detectar incidentes y recopilar los datos necesarios para la elaboración de informes. Desarrollar flujos de trabajo de elaboración de informes.
3. Pruebas de resistencia operativa digital (Art. 24-27):
   
   • Programa de pruebas: Establezca un programa basado en riesgos que incluya evaluaciones de vulnerabilidades, análisis de fuentes abiertas, evaluaciones de seguridad de redes, revisiones de seguridad física, pruebas basadas en escenarios y pruebas de compatibilidad.
   • Herramientas: Utilizar escáneres de vulnerabilidad, escáneres de configuración, herramientas DAST, SAST, SCA.
   • Pruebas de penetración dirigidas por amenazas (TLPT): Para entidades significativas, llevar a cabo TLPT avanzadas (como TIBER-EU) basadas en RTS específicas, con la participación de probadores externos y certificados que simulen atacantes del mundo real. Requiere capacidades maduras de detección y respuesta para ser eficaz.
4. Gestión de riesgos de las TIC frente a terceros (Art. 28-44):
   
   • Estrategia y política: Desarrollar una estrategia y una política para gestionar los riesgos asociados a los proveedores externos de TIC.
   • Registro de información: Mantener un registro detallado de todos los contratos de servicios de terceros de TIC.
   • Diligencia debida: Realice rigurosas evaluaciones de seguridad y resistencia antes de contratar a proveedores de TIC.
   • Requisitos contractuales (art. 30): Garantizar que los contratos incluyan cláusulas obligatorias sobre normas de seguridad, derechos de auditoría, cooperación en la notificación de incidentes, descripciones claras de los servicios, ubicaciones del tratamiento de datos y estrategias de salida.
   • Supervisión de proveedores críticos (CTPP): Cooperar con las AES durante las actividades de supervisión directa de los CTPP designados.
   • Riesgo de concentración: Evaluar y gestionar los riesgos asociados a una fuerte dependencia de uno o pocos proveedores.
5. Intercambio de información (art. 45):
   
   • Participar (voluntariamente) en acuerdos para compartir inteligencia e información sobre ciberamenazas, garantizando el cumplimiento del GDPR.

La implantación requiere una sólida gobernanza, recursos dedicados, colaboración entre departamentos (TI, Seguridad, Riesgos, Legal, Compras) y, a menudo, una inversión significativa en tecnología y experiencia.

Errores comunes que hay que evitar

Las entidades que aplican el DORA deben evitar estos errores comunes:

1. Retraso en la aplicación: Esperar demasiado para iniciar el extenso trabajo necesario para el análisis de deficiencias, el desarrollo del marco, la aplicación de pruebas y la corrección de contratos de terceros antes de la fecha límite de enero de 2025.
2. Subestimación del alcance/esfuerzo: No se comprende la amplitud de los requisitos del DORA en los cinco pilares y no se asignan recursos suficientes a la labor de cumplimiento.
3. Tratarlo sólo como TI/Seguridad: No implicar suficientemente a los departamentos de Riesgos, Jurídico, Compras y a la alta dirección, especialmente en lo relativo al marco de riesgos de las TIC y la gestión de riesgos de terceros.
4. Gestión insuficiente del riesgo de terceros: No realizar la diligencia debida adecuada, actualizar los contratos con cláusulas obligatorias o gestionar el riesgo de concentración relacionado con los proveedores de TIC.
5. Pruebas de resistencia inadecuadas: Realización de un escaneado básico de vulnerabilidades en lugar de las pruebas exhaustivas basadas en riesgos (incluido TLPT cuando sea necesario) exigidas por DORA.
6. Escasa preparación para la notificación de incidentes: Carecer de la supervisión técnica o los procesos internos para clasificar y notificar incidentes importantes con precisión y dentro de los plazos requeridos.
7. Asumir que otros marcos son suficientes: Basarse únicamente en el cumplimiento de la norma ISO 27001 u otras normas sin realizar un análisis específico de las deficiencias en relación con los requisitos detallados del DORA, especialmente en lo que respecta a las pruebas de riesgos y resistencia de terceros.

Lo que podrían preguntar los auditores/reguladores (Enfoque en el desarrollador)

Las autoridades supervisoras que comprueben el cumplimiento del DORA tendrán amplios poderes. Las cuestiones que afectan a los equipos de desarrollo podrían centrarse en la resiliencia, la seguridad por diseño, las pruebas y la asistencia en caso de incidente:

• (ICT Risk Mgmt) "¿Cómo se incorporan los requisitos de seguridad y resistencia al ciclo de vida del desarrollo de software?"
• (ICT Risk Mgmt) "Mostrar evidencia de prácticas de codificación segura y gestión de vulnerabilidades dentro del desarrollo."
• (Gestión de incidentes) "¿Cómo facilita el registro de la aplicación la detección, el análisis y la notificación de incidentes relacionados con las TIC?"
• (Pruebas de resistencia) "¿Qué pruebas de seguridad (estáticas, dinámicas, de componentes) se realizan en la aplicación? Proporcione resultados recientes".
• (Pruebas de resistencia) "¿Cómo está diseñada la aplicación para resistir fallos o cargas elevadas (por ejemplo, redundancia, escalabilidad, mecanismos de conmutación por error)?"
• (Pruebas de resistencia) "¿Puede demostrar el proceso de restauración de la aplicación y sus datos a partir de copias de seguridad?"
• (Riesgo de terceros) "¿Cómo se gestionan los riesgos de seguridad relacionados con los componentes de software de terceros o las API integradas en la aplicación?"

Los reguladores esperan marcos documentados, políticas, procedimientos, resultados de pruebas, registros de incidentes y pruebas de que la resistencia está integrada en los sistemas y procesos.

Ganancias rápidas para los equipos de desarrollo

Aunque el pleno cumplimiento de la DORA es complejo, los equipos de desarrollo pueden contribuir mediante prácticas fundamentales:

1. Mejore el registro de aplicaciones: Mejore los registros de aplicaciones para capturar eventos y errores relevantes para la seguridad, útiles para el análisis de incidentes. Asegúrese de que los registros están centralizados.
2. Integre SAST/SCA: incorpore análisis de seguridad automatizados para el código y las dependencias en una fase temprana del proceso CI/CD.
3. Centrarse en patrones de resistencia: Haga hincapié en las prácticas de codificación que mejoran la capacidad de recuperación (por ejemplo, gestión adecuada de errores, tiempos de espera, reintentos, ausencia de estado cuando sea posible).
4. Documentación de dependencias: Mantenga una lista de materiales de software (SBOM) precisa para las aplicaciones.
5. Prueba de escenarios de fallo: Incluya pruebas sobre cómo se comporta la aplicación en condiciones de fallo (por ejemplo, dependencia no disponible, carga elevada).
6. Configuración segura: Asegúrese de que las aplicaciones tienen configuraciones seguras por defecto y externalice los ajustes de configuración adecuadamente.

Ignore esto y... (Consecuencias del incumplimiento)

El DORA otorga a las autoridades competentes importantes facultades de supervisión y ejecución. El incumplimiento puede dar lugar a:

• Sanciones administrativas/multas: Aunque el propio DORA no establece importes de multa específicos en general (dejando parte de su aplicación a los Estados miembros), el incumplimiento de las directivas/reglamentos subyacentes que refuerza, o el incumplimiento de las órdenes de las autoridades competentes, puede dar lugar a multas sustanciales (potencialmente hasta el 1-2% del volumen de negocios global o importes específicos como 10 millones de euros, dependiendo de la aplicación nacional y de las infracciones específicas). Corrección: Algunas fuentes mencionan multas coercitivas de hasta el 1% del volumen de negocios medio diario a escala mundial para terceros proveedores críticos supervisados directamente por las AES. Las sanciones nacionales para las propias entidades financieras variarán, pero se espera que sean significativas.
• Medidas correctoras: Las autoridades pueden ordenar a las entidades que cesen en su conducta, apliquen medidas correctoras específicas o faciliten información concreta.
• Notificaciones públicas: Las autoridades pueden emitir avisos públicos identificando a la entidad incumplidora y la naturaleza de la infracción.
• Retirada de la autorización: En casos graves, podría retirarse la autorización a la entidad financiera.
• Sanciones de la dirección: Posibles sanciones administrativas o prohibiciones temporales para los miembros del órgano de gestión responsables de infracciones.
• Daños a la reputación: La divulgación pública de incumplimientos o de incidentes derivados de ellos daña gravemente la confianza en el sector financiero.
• Restricciones operativas: Las autoridades pueden imponer limitaciones a las operaciones hasta que se restablezca el cumplimiento.

PREGUNTAS FRECUENTES

¿Quién tiene que cumplir el DORA?

La DORA se aplica a una amplia gama de entidades financieras de la UE, incluidos bancos, entidades de crédito, entidades de pago, empresas de inversión, empresas de seguros/reaseguros, proveedores de servicios de criptoactivos, plataformas de crowdfunding, entidades de contrapartida central (ECC), registros de operaciones, gestores de fondos de inversión alternativos (GFIA), sociedades gestoras de OICVM y también proveedores de servicios críticos de TIC a terceros designados por las Autoridades Europeas de Supervisión.

¿Cuál es el plazo para cumplir el DORA?

Las entidades financieras deben cumplir plenamente el DORA antes del 17 de enero de 2025.

¿Qué relación tiene DORA con NIS2?

El DORA constituye lex specialis para el sector financiero. Esto significa que las entidades financieras cubiertas tanto por el DORA como por el NIS2 siguen principalmente los requisitos más específicos del DORA en lo que respecta a la gestión del riesgo de las TIC, la notificación de incidentes, las pruebas de resistencia y el riesgo de terceros. La NIS2 sigue siendo aplicable a los aspectos no cubiertos por el DORA.

¿Qué son las pruebas de penetración basadas en amenazas (TLPT) según DORA?

El TLPT es una forma avanzada de prueba de resistencia obligatoria para las entidades financieras significativas en virtud del DORA (artículo 26). Consiste en simular las tácticas, técnicas y procedimientos (TTP) de los actores de amenazas del mundo real que atacan las funciones críticas de la entidad y los sistemas subyacentes. Se basa en marcos como TIBER-UE y requiere probadores externos certificados.

¿Se aplica el DORA a los proveedores de servicios en nube?

Sí, significativamente. Los proveedores de servicios en la nube se consideran proveedores de servicios TIC a terceros en virtud de la DORA. Las entidades financieras que utilicen servicios en la nube deben aplicar estrictos requisitos de gestión de riesgos de terceros (art. 28-30). Además, los proveedores en nube considerados "críticos" por las Autoridades Europeas de Supervisión estarán sujetos a supervisión directa y a posibles sanciones (art. 31-44).

¿Cuáles son los principales pilares de DORA?

Los cinco pilares básicos son:

1. Gestión de riesgos de las TIC
2. Gestión y notificación de incidentes relacionados con las TIC
3. Pruebas de resistencia operativa digital
4. Gestión de riesgos de las TIC frente a terceros
5. Acuerdos de intercambio de información

¿Existe una certificación para el DORA?

No, el propio DORA no establece un sistema de certificación. Las autoridades nacionales competentes y las Autoridades Europeas de Supervisión (para terceros proveedores de TIC críticas) supervisan e imponen el cumplimiento. Las entidades demuestran el cumplimiento a través de sus marcos implementados, políticas, resultados de pruebas, informes de incidentes y cooperación con los supervisores.