DevOps TDM avanza a través del Hype Cycle de Modelos Operacionales™ de Gartner®. Descubre el informe.
Home / Blog / Normativa DORA: Qué es, a quién afecta y qué herramientas facilitan su cumplimiento
Normativa DORA
28/01/2025

Normativa DORA: Qué es, a quién afecta y qué herramientas facilitan su cumplimiento

El Reglamento DORA (Digital Operational Resilience Act), en vigor desde el 17 de enero de 2025, introduce un marco normativo uniforme para gestionar los riesgos tecnológicos en el sector financiero de la Unión Europea. 

Su objetivo es fortalecer la resiliencia digital de las instituciones financieras frente a amenazas cibernéticas, estableciendo estándares comunes que eliminan las disparidades normativas entre los Estados miembros.

¿Qué es el Reglamento DORA?

La normativa DORA está diseñada para abordar las vulnerabilidades digitales en el sector financiero y proteger tanto a las instituciones como a sus clientes. Se enfoca en cuatro áreas clave: 

  • Gobernanza y gestión de riesgos tecnológicos
  • Respuesta ante incidentes
  • Pruebas de resiliencia operativa
  • Gestión de riesgos de terceros. 

De esta manera, pretende crear un ecosistema financiero más seguro, adaptado a las exigencias de un mundo cada vez más digitalizado.

¿Quiénes están obligados a cumplir con DORA?

El alcance del reglamento es amplio e incluye tanto entidades financieras tradicionales como no tradicionales:

  • Instituciones financieras: Bancos, compañías de seguros, gestores de fondos, plataformas de negociación y sociedades de valores.
  • Proveedores de TIC: Empresas que brindan servicios esenciales como almacenamiento en la nube, centros de datos y análisis de datos.
  • Otros servicios esenciales: Agencias de calificación crediticia y proveedores de compensación y liquidación de valores.

Además, DORA exige que las empresas financieras gestionen activamente los riesgos de sus proveedores y evita la concentración excesiva en un único proveedor de servicios TIC.

resiliencia operativa digital

Requisitos clave del Reglamento DORA

El Reglamento DORA establece un marco detallado que las entidades financieras y sus proveedores deben cumplir para garantizar la resiliencia operativa digital:

Gestión de riesgos tecnológicos

El reglamento exige que las entidades diseñen e implementen estrategias robustas para la gestión de riesgos relacionados con las TIC. Esto incluye:

  • Cartografía de sistemas y recursos: Identificar y clasificar los activos tecnológicos críticos y sus interdependencias, como sistemas, procesos y proveedores.
  • Evaluaciones continuas de riesgos: Monitorizar los sistemas en busca de vulnerabilidades, clasificarlas según su criticidad y desarrollar estrategias para mitigar los riesgos.
  • Planes de continuidad y recuperación: Diseñar y documentar planes para responder a interrupciones graves, como fallos de sistemas TIC, ataques cibernéticos o desastres naturales. Estos deben incluir procedimientos de copia de seguridad y restauración, así como estrategias de comunicación con clientes y reguladores.

Respuesta y notificación de incidentes

DORA introduce protocolos estrictos para la gestión y notificación de incidentes relacionados con las TIC. Las entidades deben:

  • Clasificar los incidentes según su gravedad.
  • Notificar rápidamente a las autoridades competentes sobre los incidentes críticos. Esto incluye la entrega de un informe inicial, informes intermedios sobre los avances en la resolución y un informe final que detalle las causas raíz y las medidas correctivas adoptadas.
  • Coordinarse con clientes y socios afectados para minimizar el impacto operativo y reputacional.

Próximamente, se publicarán estándares técnicos que definirán en detalle los plazos y formatos para los informes de incidentes, lo que facilitará la uniformidad en su cumplimiento.

Pruebas de resiliencia operativa digital

DORA exige la realización periódica de pruebas para evaluar la fortaleza de los sistemas TIC frente a ciberamenazas. Estas pruebas incluyen:

  • Evaluaciones básicas anuales: Identificar vulnerabilidades y evaluar la seguridad de los sistemas.
  • Pruebas avanzadas para entidades críticas: Las instituciones que desempeñen roles clave en el sistema financiero deberán realizar pruebas de penetración basadas en inteligencia de amenazas al menos cada tres años. Estas pruebas incluirán la participación de proveedores de servicios TIC relevantes.

Gestión de riesgos de terceros

La normativa DORA amplía el alcance de la regulación a los proveedores de servicios tecnológicos. Las entidades financieras deben:

  • Supervisar activamente a sus proveedores externos: Esto incluye exigir cláusulas contractuales específicas que detallen objetivos de seguridad, estrategias de salida y auditorías periódicas.
  • Evitar la concentración de riesgos: Garantizar que sus funciones críticas no dependan excesivamente de un único proveedor o un grupo reducido de proveedores.
  • Asegurar la conformidad de los proveedores: Las autoridades tienen el poder de intervenir y suspender contratos si los proveedores no cumplen con los estándares de DORA.

Si quieres saber más acerca del Reglamento, consulta el documento oficial.

¿Cómo ayuda icaria Technology a las empresas a cumplir con el DORA?

Las soluciones de icaria Technology están diseñadas para abordar las exigencias del Reglamento DORA, ofreciendo herramientas que optimizan la gestión de datos, la seguridad y el cumplimiento normativo. A continuación, se detalla cómo cada una de las plataformas de icaria contribuye a este objetivo:

icaria TDM (Test Data Management)

La gestión de datos de prueba es crucial para garantizar que los sistemas TIC sean robustos y cumplan con los estándares del DORA. icaria TDM proporciona:

  • Datos del mundo real anonimizados: Permite realizar pruebas con datos representativos pero seguros, minimizando riesgos de exposición de información sensible.
  • Automatización en pruebas de resiliencia: Facilita la ejecución de pruebas periódicas, como evaluaciones de vulnerabilidad y pruebas de escenarios, cumpliendo con las exigencias de DORA en pruebas operativas digitales.
  • Reducción de riesgos y costes: Al evitar la duplicación innecesaria de datos y garantizar la integridad de las pruebas, icaria TDM ayuda a las empresas a mantener sistemas más seguros y económicos.

icaria GDPR (Data Privacy)

La protección de datos personales es un eje central tanto del DORA como del Reglamento General de Protección de Datos (GDPR). icaria GDPR asegura el cumplimiento con ambos marcos normativos mediante:

  • Automatización de los derechos ARCO y el derecho al olvido: Permite gestionar solicitudes de acceso, rectificación y eliminación de datos de manera eficiente y sin errores.
  • Identificación y anonimización de datos sensibles: Reduce riesgos asociados a brechas de datos y cumple con las exigencias de protección.
  • Gestión centralizada: Integra diversas bases de datos y aplicaciones, asegurando un control unificado de los datos y su trazabilidad, como exige el DORA.

icaria DG (Data Governance)

La gobernanza de datos desempeña un papel fundamental en la gestión de riesgos tecnológicos. icaria DG facilita:

  • Identificación y trazabilidad de datos críticos: Ayuda a mapear la arquitectura de datos de la organización, identificando recursos esenciales y dependencias, en línea con los requisitos de DORA.
  • Unificación de criterios de gestión: Promueve una colaboración efectiva entre departamentos, asegurando que los datos sean tratados de forma uniforme y alineada con las normativas.
  • Optimización de la arquitectura de datos: Reduce los tiempos de respuesta ante incidentes y mejora la eficiencia operativa, aspectos clave en la resiliencia operativa.

Con icaria Technology, las empresas no solo cumplen con la normativa, sino que también aprovechan la oportunidad de mejorar su infraestructura tecnológica y operativa. Si necesitas más información para realizar la adecuación a DORA, contáctanos

Compartir
Financiado por
Certificados y reconocimientos
magnifiercrossmenuchevron-down