DORA: Obligaciones, ciberseguridad y resiliencia digital en el sector financiero

En un mundo cada vez más digitalizado, la ciberseguridad y la resiliencia operativa se han convertido en prioridades esenciales para una amplia variedad de organizaciones. En este contexto, el Reglamento DORA (Digital Operational Resilience Act) de la Unión Europea surge como una herramienta clave para garantizar la estabilidad y seguridad de las operaciones digitales. 

Este reglamento, que entró en vigor el 16 de enero de 2023 y es de obligado cumplimiento desde el pasado 17 de enero de 2025, establece un marco normativo que aplica no solo a las entidades financieras, sino también a empresas de inversión, proveedores de servicios de pago, gestores de activos, plataformas de crowdfunding y otras organizaciones relacionadas con el sistema financiero. Además, incluye de manera específica a los proveedores de servicios tecnológicos (TIC) que colaboran con estas organizaciones, ya que su rol es fundamental para asegurar la estabilidad y protección de las actividades digitales. 

El objetivo principal de DORA es que todas estas instituciones y sus proveedores puedan resistir, responder y recuperarse de incidentes tecnológicos, minimizando riesgos para el sistema financiero en su conjunto.

Obligaciones clave

Entre los aspectos más destacados de DORA se encuentra la exigencia de gestionar los riesgos relacionados con las tecnologías de la información y la comunicación. Esto implica que las organizaciones deben identificar los activos críticos que soportan sus operaciones digitales, evaluar las amenazas potenciales y adoptar medidas que minimicen los riesgos. Además, se establece la obligación de contar con sistemas de notificación de incidentes tecnológicos, lo cual permite informar rápidamente a las autoridades competentes y a las partes interesadas, mitigando las consecuencias que los incidentes puedan tener.

Otro de los pilares de DORA es la realización de pruebas periódicas de resiliencia operativa. Estas pruebas, que incluyen simulaciones de ciberataques y evaluaciones de vulnerabilidades, son fundamentales para asegurar que los sistemas puedan resistir eventos adversos y mantenerse operativos. Asimismo, se pone especial énfasis en la gestión de riesgos de terceros, exigiendo que las organizaciones supervisen activamente la seguridad de los proveedores TIC con los que trabajan.

Impacto estratégico

El alcance de DORA no se limita únicamente a las organizaciones obligadas por la norma. Los proveedores de servicios tecnológicos tienen un papel clave en el cumplimiento de esta normativa, ya que son responsables de garantizar la continuidad y seguridad de los servicios que ofrecen a las empresas. Por ello, la implementación de DORA representa un desafío estratégico que va más allá del simple cumplimiento normativo. Se trata de una oportunidad para mejorar las capacidades de ciberseguridad y aumentar la confianza de los consumidores y socios comerciales.

Un ecosistema más seguro

DORA constituye un paso significativo hacia la construcción de un sistema financiero más seguro y preparado para los desafíos tecnológicos del futuro. Su impacto abarca tanto a las empresas obligadas como a sus colaboradores tecnológicos, promoviendo prácticas más transparentes y responsables en la gestión de riesgos digitales. En última instancia, establece un estándar elevado en términos de ciberseguridad y resiliencia operativa.

De esta manera, DORA refuerza la necesidad de que todas las organizaciones y sus proveedores tecnológicos adopten una postura proactiva frente a los riesgos digitales y trabajen de manera conjunta para construir un entorno operativo más seguro y resiliente.