Capítulos 10 Vigente desde: 17 de enero de 2025

DORA

Ley de Resiliencia Operativa Digital

Resumen

La Ley de Resiliencia Operativa Digital (DORA) establece requisitos uniformes para la seguridad y resiliencia de los sistemas de red e información que apoyan los procesos comerciales de las entidades financieras. También crea un marco para la supervisión de los proveedores críticos de servicios TIC de terceros.[1]

DORA es un reglamento, lo que significa que se aplica directamente en todos los Estados miembros de la UE sin necesidad de transposición.

Entidades en el Ámbito de Aplicación

Entidades Financieras[2]

  • Instituciones de crédito (bancos)
  • Instituciones de pago
  • Instituciones de dinero electrónico
  • Empresas de inversión
  • Entidades aseguradoras y reaseguradoras
  • Depósitos centrales de valores
  • Repositorios de operaciones
  • Agencias de calificación crediticia
  • Proveedores de servicios de criptoactivos
  • Proveedores de servicios de financiación colectiva
  • Proveedores de servicios de reporte de datos

Proveedores Críticos de TIC de Terceros

Las Autoridades Europeas de Supervisión designan a los proveedores críticos de servicios TIC basándose en:

  • Impacto sistémico si el proveedor falla
  • Grado de sustituibilidad
  • Número de entidades financieras que dependen del proveedor

Los proveedores designados están sujetos al marco de supervisión de la UE.

Cinco Pilares de DORA

1. Gestión de Riesgos TIC (Capítulo II)

Las entidades financieras deben establecer y mantener:

  • Gobernanza: Responsabilidad del consejo para la estrategia de riesgos TIC
  • Marco de riesgos: Identificación, protección, detección, respuesta, recuperación
  • Documentación: Políticas, procedimientos y protocolos para la seguridad TIC
  • Pruebas: Evaluación regular de sistemas y herramientas TIC

2. Reporte de Incidentes TIC (Capítulo III)[3]

RequisitoDetalles
ClasificaciónCriterios armonizados para la gravedad del incidente
Notificación inicialA la autoridad competente dentro de las 4 horas posteriores a la clasificación
Informe intermedioDentro de las 72 horas con actualizaciones
Informe finalDentro de 1 mes tras la resolución
Reporte voluntarioSe pueden reportar amenazas cibernéticas significativas

Los incidentes importantes relacionados con TIC deben ser reportados usando plantillas estandarizadas.

3. Pruebas de Resiliencia Operativa Digital (Capítulo IV)

Tipo de EntidadRequisito de Pruebas
Todas las entidadesPrograma anual de pruebas TIC
Entidades significativasPruebas de penetración dirigidas por amenazas (TLPT) cada 3 años
Proveedores críticos de TICPueden participar en TLPT agrupadas

Las pruebas deben cubrir: evaluaciones de vulnerabilidades, evaluaciones de seguridad de red, revisiones de seguridad de software, revisiones de código fuente (cuando sea factible), pruebas basadas en escenarios y pruebas de compatibilidad.

4. Gestión de Riesgos de Terceros (Capítulo V)[4]

Las entidades financieras deben:

  • Mantener un registro de todos los acuerdos TIC con terceros
  • Realizar la debida diligencia antes de contratar
  • Evaluar riesgos de concentración
  • Incluir cláusulas contractuales obligatorias
  • Definir estrategias de salida
  • Reportar los acuerdos a las autoridades competentes

Las cláusulas contractuales obligatorias incluyen descripciones de niveles de servicio, obligaciones de protección de datos, derechos de acceso y auditoría, requisitos de reporte de incidentes y derechos de terminación con apoyo en la transición.

5. Intercambio de Información (Capítulo VI)

Las entidades financieras pueden intercambiar información sobre amenazas cibernéticas dentro de comunidades de confianza, sujetas a reglas de confidencialidad, para mejorar la defensa colectiva.

Proporcionalidad

DORA aplica la proporcionalidad basada en el tamaño y perfil de riesgo de la entidad, la naturaleza, escala y complejidad de los servicios, y la importancia sistémica.

Se aplican requisitos simplificados a empresas de inversión pequeñas y no interconectadas, instituciones de pago y dinero electrónico por debajo de ciertos umbrales, y ciertos intermediarios de seguros.

Sanciones

Las autoridades competentes pueden imponer:[5]

  • Multas administrativas
  • Pagos periódicos de sanciones
  • Declaraciones públicas
  • Retiro de autorización
  • Prohibiciones temporales en funciones de gestión

Los montos específicos son determinados por la legislación del Estado miembro.

Implicaciones para Desarrolladores y Proveedores TIC

Si usted provee servicios TIC al sector financiero:

  1. Revisión de contratos: Asegúrese de que los contratos cumplan con los requisitos de DORA
  2. Reporte de incidentes: Establezca canales de reporte para los clientes
  3. Apoyo en pruebas: Facilite las pruebas de penetración de los clientes
  4. Planificación de salida: Permita una transición ordenada si los contratos terminan
  5. Conciencia de concentración: Monitoree las dependencias en sus servicios
  6. Designación crítica: Prepárese para una posible supervisión de la UE

Fuentes y Referencias

[1]
Reglamento (UE) 2022/2554 sobre resiliencia operativa digital para el sector financiero. EUR-Lex: Texto Oficial de DORA
[2]
Artículo 2 de DORA: Ámbito de aplicación. Portal DORA: Artículo 2
[3]
Artículos 17-23 de DORA: Reporte de incidentes relacionados con TIC. Portal DORA: Reporte de Incidentes
[4]
Artículos 28-44 de DORA: Gestión de riesgos de terceros. Portal DORA: Riesgo de Terceros
[5]
Artículo 50 de DORA: Sanciones administrativas y medidas correctivas. Portal DORA: Sanciones