DORA: ¿Qué es el Reglamento de Resiliencia Operativa Digital?
Contenido del artículo
DORA (Digital Operational Resilience Act o Reglamento de Resiliencia Operativa Digital) es un reglamento de la UE que entró en vigor el 17 de enero de 2025. Exige a las entidades financieras y a sus proveedores críticos de servicios TIC demostrar resiliencia operativa digital: la capacidad de resistir, responder y recuperarse de las perturbaciones y amenazas relacionadas con las TIC.
¿Qué es DORA?
El Reglamento de Resiliencia Operativa Digital (UE 2022/2554) fue desarrollado para abordar una brecha crítica en la regulación del sector financiero: si bien las entidades financieras estaban sujetas a extensos requisitos de capital y operativos, no existía un marco único y armonizado a nivel de la UE para la gestión del riesgo TIC y la resiliencia digital.
DORA cambia esta situación. Crea un marco integral y vinculante que abarca cómo las entidades financieras gestionan los riesgos TIC, notifican incidentes, prueban su resiliencia, supervisan a los proveedores externos de TIC y comparten inteligencia de amenazas. El reglamento es directamente aplicable en todos los estados miembros, sin necesidad de transposición al derecho nacional.
En España, la supervisión de DORA recae principalmente en el Banco de España (entidades de crédito), la CNMV (entidades de valores) y la DGSFP (seguros), en coordinación con las Autoridades Europeas de Supervisión (AES).
¿A quién se aplica DORA?
DORA se aplica a una amplia gama de entidades financieras y sus proveedores críticos de TIC, incluyendo:
- Entidades de crédito (bancos)
- Entidades de pago e instituciones de dinero electrónico
- Empresas de servicios de inversión y gestores de fondos (UCITS, GFIA)
- Empresas de seguros y reaseguros
- Proveedores de servicios de criptoactivos (PSCA)
- Entidades de contrapartida central (ECC) y centros de negociación
- Repositorios de operaciones y agencias de calificación crediticia
- Proveedores externos críticos de servicios TIC (PECT) para entidades financieras, incluidos los principales proveedores cloud
El principio de proporcionalidad se aplica: las entidades financieras más pequeñas (microempresas) están sujetas a un régimen simplificado. Sin embargo, las obligaciones básicas de gestión del riesgo TIC y notificación de incidentes se aplican a todas.
Los 5 pilares de DORA
Pilar 1: Gestión del riesgo TIC
Las entidades financieras deben disponer de un marco integral y documentado de gestión del riesgo TIC. Esto incluye identificar y clasificar los activos TIC, realizar evaluaciones de riesgos, definir medidas de protección y disponer de una estrategia de continuidad del negocio TIC y recuperación ante desastres. El órgano de dirección es directamente responsable de aprobar y supervisar la estrategia de riesgo TIC.
Pilar 2: Notificación de incidentes TIC
DORA introduce un régimen armonizado de clasificación y notificación de incidentes. Los incidentes TIC graves deben notificarse a la autoridad competente en un plazo de 4 horas desde la clasificación (notificación inicial), con un informe intermedio en 72 horas y un informe final en un mes. Esto sustituye a la patchwork de obligaciones de notificación nacionales que existía anteriormente.
Pilar 3: Pruebas de resiliencia operativa digital
Todas las entidades en el ámbito deben realizar pruebas periódicas de sus sistemas TIC. Esto incluye pruebas básicas (evaluaciones de vulnerabilidades, evaluaciones de seguridad de redes, pruebas de penetración) al menos una vez al año. Las entidades significativas deben realizar Pruebas de Penetración Basadas en Amenazas (TLPT) cada tres años.
Pilar 4: Gestión del riesgo TIC de terceros
Las entidades financieras deben implementar un marco sólido para gestionar los riesgos derivados de los proveedores externos de servicios TIC. Esto incluye mantener un registro de todos los proveedores TIC, realizar la diligencia debida antes de la contratación, incluir las cláusulas contractuales exigidas por DORA, y supervisar el rendimiento y el riesgo de los proveedores de forma continua. Las AES pueden supervisar directamente a los proveedores críticos designados como sistémicos.
Pilar 5: Intercambio de información e inteligencia
DORA fomenta (y en algunos casos exige) que las entidades financieras compartan inteligencia de amenazas cibernéticas e información sobre vulnerabilidades, tácticas, técnicas y procedimientos (TTP) utilizados por los actores de amenazas. La participación en acuerdos de intercambio de información se promueve explícitamente como mecanismo para reforzar la resiliencia colectiva del sector financiero.
TLPT: Pruebas de Penetración Basadas en Amenazas
El TLPT (Threat-Led Penetration Testing) es el requisito de pruebas más riguroso bajo DORA, aplicable a las entidades financieras significativas. El TLPT se basa en el marco TIBER-EU desarrollado por el Banco Central Europeo y es realizado por proveedores de red team acreditados.
Características clave del TLPT:
- Basado en inteligencia de amenazas real específica de la entidad objetivo
- Realizado por proveedores externos de red team certificados
- Prueba la kill chain completa a través de personas, procesos y tecnología
- Se ejecuta en sistemas de producción en vivo (no en entornos de prueba)
- Los resultados son revisados por la autoridad supervisora competente
- Obligatorio cada 3 años para entidades significativas
Comparativa: DORA vs NIS2
Muchas entidades financieras están sujetas tanto a DORA como a NIS2. Comprender la relación entre ambas es importante:
| DORA | NIS2 | |
|---|---|---|
| Sector | Solo sector financiero | Multisectorial |
| Base jurídica | Reglamento UE (directamente aplicable) | Directiva UE (transposición al derecho nacional) |
| Aplicable desde | 17 de enero de 2025 | Varía por estado miembro (2024-2025) |
| Requisito de pruebas | TLPT para entidades significativas (cada 3 años) | Pruebas de seguridad periódicas (sin formato específico) |
| Supervisión de terceros | Extensa, incluyendo supervisión directa de AES sobre proveedores críticos | Gestión de riesgos de cadena de suministro |
| Relación | DORA es lex specialis: las entidades financieras que cumplen DORA se consideran conformes con NIS2 para los requisitos que se solapan | |
Lista de verificación para el cumplimiento de DORA
- Marco de gestión del riesgo TIC documentado y aprobado por el órgano de dirección
- Inventario de activos TIC mantenido y clasificado
- Procedimientos de clasificación y notificación de incidentes TIC implantados (plazos 4h / 72h / 30 días)
- Evaluaciones de vulnerabilidades y pruebas de seguridad de red realizadas anualmente
- Programa TLPT establecido (para entidades significativas)
- Registro de todos los proveedores externos de TIC mantenido
- Cláusulas contractuales conformes a DORA en los contratos con proveedores TIC
- Planes de continuidad del negocio y recuperación ante desastres probados
- Programa de formación y concienciación del personal implantado
- Acuerdos de intercambio de inteligencia de amenazas evaluados
Preguntas frecuentes sobre DORA
¿Se aplica DORA a los proveedores TIC fuera de la UE?
Sí. DORA se aplica a los proveedores externos de servicios TIC que prestan servicios a entidades financieras de la UE en el ámbito de aplicación, independientemente de dónde tenga su sede el proveedor. Si proporcionas servicios cloud, SaaS u otros servicios TIC a bancos o aseguradoras de la UE, los requisitos de DORA te alcanzan a través de las obligaciones contractuales.
¿Cuáles son las sanciones por incumplimiento de DORA?
DORA delega en los estados miembros el establecimiento de sanciones para la mayoría de las entidades, pero las sanciones para los proveedores externos críticos se definen a nivel de la UE: hasta el 1% del volumen de negocio medio diario mundial por cada día de incumplimiento, durante un máximo de 6 meses. Las sanciones para entidades financieras varían según la implementación nacional.
¿Cómo afecta DORA a los contratos con AWS, Azure o Google?
DORA exige cláusulas contractuales específicas en los acuerdos con proveedores externos de TIC, incluidos los proveedores cloud. Estas cubren derechos de auditoría, estrategias de salida, garantías de nivel de servicio, obligaciones de seguridad y requisitos de notificación de incidentes. Los principales proveedores cloud han actualizado sus condiciones para clientes del sector financiero para reflejar los requisitos de DORA.
¿Es una evaluación de preparación DORA diferente de una evaluación NIS2?
Sí. Una evaluación de preparación DORA se centra específicamente en los cinco pilares de DORA: marco de gestión del riesgo TIC, capacidades de notificación de incidentes, programa de pruebas de resiliencia, gestión del riesgo de terceros e intercambio de información. También evalúa el cumplimiento de los estándares técnicos detallados (RTS/ITS) publicados por las AES bajo DORA.
¿Puede nuestro programa de pentesting existente satisfacer los requisitos de DORA?
Los pentests anuales básicos satisfacen los requisitos de pruebas estándar. Sin embargo, si eres una entidad significativa sujeta a TLPT, tu programa de pentesting existente no cumple el requisito de TLPT. El TLPT requiere preparación específica de inteligencia de amenazas, proveedores de red team acreditados, supervisión regulatoria y pruebas de sistemas de producción en vivo. El red team con capacidad TLPT de DEFION puede guiarte a través de todo el proceso.
¿DORA exige designar un responsable específico de riesgo TIC?
DORA exige que el órgano de dirección sea directamente responsable de la gestión del riesgo TIC y de aprobar las estrategias y políticas relacionadas. Si bien no impone un título específico de cargo, muchas entidades están designando o reforzando el rol de CIO, CTO o CISO para liderar el cumplimiento de DORA, con reporte directo al consejo.
¿Tu entidad financiera cumple con DORA?
Nuestro DORA Readiness Assessment analiza tu situación actual frente a los cinco pilares de DORA y entrega una hoja de ruta de remediación priorizada. Comienza con una consulta sin compromiso.