DORA: Obligaciones, ciberseguridad y resiliencia digital en el sector financiero

En un entorno cada vez más digital, la ciberseguridad y la resiliencia operativa se han consolidado como prioridades imprescindibles para todo tipo de organizaciones. En este marco, el Reglamento DORA (Digital Operational Resilience Act) de la Unión Europea aparece como un instrumento clave para garantizar la estabilidad y la seguridad de las operaciones digitales.

Este reglamento, que entró en vigor el 16 de enero de 2023 y es de aplicación obligatoria desde el 17 de enero de 2025, establece un marco legal que afecta no solo a las entidades financieras, sino también a empresas de inversión, proveedores de servicios de pago, gestores de activos, plataformas de financiación participativa y otras entidades vinculadas al sistema financiero. Asimismo, incorpora de manera expresa a los proveedores de servicios tecnológicos (TIC) que trabajan con dichas organizaciones, dada la importancia de su papel para asegurar la solidez y la protección de la actividad digital.

El propósito esencial de DORA es que tanto estas instituciones como sus proveedores estén en condiciones de resistir, responder y recuperarse de incidentes tecnológicos, reduciendo al mínimo los riesgos para la estabilidad del sistema financiero en su conjunto.

Obligaciones principales

Entre los puntos más relevantes de DORA destaca la obligación de gestionar los riesgos vinculados a las tecnologías de la información y comunicación. Esto exige a las organizaciones identificar los activos críticos que sustentan sus operaciones digitales, analizar las amenazas potenciales y aplicar medidas que mitiguen los riesgos. Igualmente, se establece la necesidad de disponer de mecanismos de notificación de incidentes tecnológicos, lo que facilita una comunicación rápida con las autoridades competentes y los grupos de interés, limitando así el impacto de los incidentes.

Otro aspecto central de DORA es la realización periódica de pruebas de resiliencia operativa. Estas pruebas, que incluyen simulaciones de ciberataques y revisiones de vulnerabilidades, resultan esenciales para comprobar que los sistemas son capaces de soportar eventos adversos y seguir funcionando. Además, se otorga una importancia especial a la gestión de riesgos derivados de terceros, obligando a las organizaciones a vigilar activamente la seguridad de sus proveedores TIC.

Impacto estratégico

El alcance de DORA no se restringe a las entidades directamente obligadas por la norma. Los proveedores tecnológicos tienen un papel protagonista en el cumplimiento de este marco regulatorio, ya que deben garantizar la continuidad y la seguridad de los servicios ofrecidos a sus clientes. Por este motivo, la aplicación de DORA supone un reto estratégico que trasciende el mero cumplimiento legal, convirtiéndose en una oportunidad para reforzar las capacidades de ciberseguridad y generar mayor confianza entre clientes y socios de negocio.

Hacia un ecosistema más seguro

DORA representa un avance decisivo hacia la creación de un sistema financiero más robusto y preparado frente a los retos tecnológicos que se avecinan. Su impacto se extiende tanto a las organizaciones directamente afectadas como a sus aliados tecnológicos, fomentando prácticas más responsables y transparentes en la gestión de riesgos digitales. En última instancia, fija un estándar elevado en materia de ciberseguridad y resiliencia operativa.

De este modo, DORA subraya la necesidad de que organizaciones y proveedores TIC adopten una actitud proactiva frente a los riesgos digitales y colaboren estrechamente para construir un entorno operativo más seguro y resistente.