Cómo cumplir con DORA: guía para servicios financieros españoles

La DORA (Digital Operational Resilience Act) es el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022, cuyo objetivo es garantizar que todas las entidades financieras de la Unión Europea puedan resistir, responder y recuperarse ante incidentes relacionados con las tecnologías de la información y la comunicación (TIC).

A diferencia de otras normativas fragmentadas, DORA establece un enfoque armonizado, directamente aplicable en todos los Estados miembros, incluida España, reforzando la resiliencia operativa digital del sector financiero europeo.

• Reducir la vulnerabilidad operativa frente a fallos tecnológicos y ciberataques: DORA lo consigue estableciendo un marco obligatorio de gestión de riesgos relacionados con las TIC, que exige identificar activos críticos, aplicar controles de ciberseguridad, realizar evaluaciones periódicas y definir planes de respuesta y recuperación ante incidentes tecnológicos y de ciberseguridad.
• Garantizar la continuidad de los servicios financieros críticos: El reglamento obliga a las entidades a implantar planes de continuidad de negocio y recuperación ante desastres, así como a someterlos a pruebas de resiliencia operativa periódicas, asegurando que los servicios esenciales puedan mantenerse o restablecerse en plazos aceptables.
• Mejorar la gestión de riesgos TIC y su supervisión: DORA refuerza la gobernanza al asignar responsabilidades claras a la alta dirección, exigir políticas documentadas, métricas de control y mecanismos de supervisión interna y externa, facilitando una gestión más estructurada y auditable de los riesgos tecnológicos.
• Regular la dependencia de proveedores externos de TIC, especialmente los considerados críticos: Para ello, introduce requisitos específicos de evaluación, contratación y supervisión continua de terceros, impone cláusulas contractuales obligatorias y somete a los proveedores esenciales de TIC a un marco de supervisión directa a nivel europeo.

El ámbito de aplicación del reglamento es amplio y afecta a la práctica totalidad del ecosistema financiero español y europeo.

Entre otras, DORA aplica a:

• Bancos y cajas de ahorro: Incluye tanto entidades tradicionales como digitales, dada su dependencia crítica de sistemas TIC para la prestación continua de servicios financieros.
• Entidades de pago y de dinero electrónico: Afecta a proveedores de pagos digitales y monederos electrónicos, especialmente expuestos a riesgos tecnológicos y de fraude.
• Empresas de servicios de inversión: Comprende sociedades de valores y agencias de inversión que operan mediante plataformas tecnológicas complejas.
• Gestoras de fondos y sociedades de inversión: DORA refuerza la resiliencia de los sistemas que gestionan activos, valoraciones y operaciones de mercado.
• Aseguradoras y reaseguradoras: Incluye entidades que gestionan grandes volúmenes de datos y procesos críticos de contratación y siniestros.
• Fondos de pensiones de empleo: Afecta a los sistemas utilizados para la gestión de aportaciones, prestaciones y datos de partícipes.
• Proveedores de criptoactivos regulados: Se aplica a entidades sujetas a marcos regulatorios europeos por su alto componente tecnológico.
• Plataformas fintech bajo supervisión financiera: Incluye modelos innovadores siempre que estén sometidos a autoridades financieras competentes.
• Infraestructuras de mercado y entidades auxiliares: Como cámaras de compensación o proveedores de servicios esenciales para la operativa financiera.

DORA introduce una novedad clave: la supervisión directa de proveedores terceros esenciales de TIC, como:

• Servicios cloud: Incluye proveedores de infraestructura, plataformas y software en la nube que alojan sistemas críticos o datos sensibles de entidades financieras.
• Plataformas de procesamiento de datos: Abarca servicios que gestionan grandes volúmenes de información financiera, transacciones o análisis en tiempo real.
• Proveedores de software crítico: Comprende aplicaciones esenciales para la operativa financiera, como sistemas core bancarios, gestión de riesgos o cumplimiento normativo.
• Servicios de ciberseguridad externalizados: Incluye empresas que prestan servicios de monitorización, respuesta a incidentes o protección frente a amenazas digitales.

El reglamento entró en vigor el 16 de enero de 2023, pero su aplicación obligatoria comienza el 17 de enero de 2025.

Esto implica que las entidades deben:

• Analizar su situación actual: Las entidades deben realizar un diagnóstico inicial para identificar brechas en la gestión de riesgos TIC, la resiliencia operativa y la dependencia de terceros.
• Diseñar e implementar medidas de cumplimiento: Implica definir planes de acción, reforzar la gobernanza, establecer procedimientos documentados y desplegar controles técnicos y organizativos.
• Ajustar contratos, políticas y controles: Es necesario revisar acuerdos con proveedores TIC, actualizar políticas internas y adaptar los mecanismos de supervisión y auditoría.

La DORA se articula en cinco grandes pilares, que deben abordarse de forma integrada para garantizar la resiliencia operativa digital del sector financiero.

Las entidades deben establecer un marco sólido de gestión de riesgos TIC, alineado con su tamaño, complejidad y perfil de riesgo.

• Identificar y clasificar riesgos relacionados con TIC.
• Definir políticas y procedimientos documentados.
• Garantizar la protección, detección, respuesta y recuperación ante incidentes.
• Asignar responsabilidades claras a la alta dirección.

Esto incluye riesgos derivados de:

• Sistemas internos.
• Infraestructuras tecnológicas.
• Dependencia de terceros.

Uno de los aspectos más operativos de DORA es la notificación de incidentes relacionados con TIC

Se tienen en cuenta criterios como:

• Impacto en la disponibilidad de servicios: Se valora si el incidente ha interrumpido o degradado servicios financieros críticos, afectando a su continuidad operativa.
• Número de clientes afectados: Cuanto mayor sea el volumen de usuarios impactados, mayor será la probabilidad de que el incidente sea calificado como grave.
• Duración del incidente: Se analiza el tiempo durante el cual el servicio ha estado parcial o totalmente indisponible, así como el plazo de recuperación.
• Repercusión económica o reputacional: Incluye pérdidas financieras directas, sanciones potenciales y daños a la confianza y reputación de la entidad.

Las entidades deben:

• Clasificar los incidentes según su gravedad: Aplicando criterios homogéneos y procedimientos internos que permitan una evaluación rápida y consistente.
• Notificar los incidentes graves relacionados con TIC a la autoridad competente: Dentro de los plazos establecidos (notificación inicial en 4 horas, intermedia en 72 horas, final en un mes), proporcionando información clara y actualizada.
• Informar a clientes cuando sea necesario: Cuando el incidente pueda afectar a sus intereses, garantizando transparencia y comunicación oportuna.

DORA exige realizar pruebas de resiliencia operativa periódicas, adaptadas al perfil de riesgo de cada entidad.

Tipos de pruebas exigidas

• Pruebas básicas de continuidad y recuperación.
• Simulaciones de incidentes.
• Pruebas de vulnerabilidad.
• Pruebas de penetración basadas en amenazas (TLPT) para entidades significativas.

Estas pruebas de resiliencia operativa permiten evaluar:

• Capacidad de detección.
• Eficacia de los planes de respuesta.
• Tiempo de recuperación ante incidentes relacionados con las TIC.

Uno de los pilares más complejos es la gestión del riesgo TIC derivado de terceros.

Obligaciones clave

• Inventariar todos los proveedores TIC.
• Identificar proveedores terceros esenciales.
• Evaluar riesgos antes de la contratación.
• Establecer cláusulas contractuales específicas.
• Supervisar de forma continua el desempeño del proveedor.

Los contratos deben incluir aspectos como:

• Niveles de servicio (SLA).
• Derechos de auditoría.
• Obligaciones de notificación de incidentes.
• Planes de salida y reversibilidad.

DORA fomenta el intercambio voluntario de información sobre amenazas, vulnerabilidades e incidentes.

El objetivo es:

• Mejorar la prevención colectiva en el sector financiero.
• Anticipar ataques.
• Reforzar la cooperación sectorial.
• Siempre respetando la confidencialidad y la normativa de protección de datos.

El incumplimiento de DORA puede conllevar:

• Sanciones económicas relevantes impuestas por las autoridades supervisoras (ESMA, EBA, EIOPA).
• Requerimientos correctivos por parte del supervisor.
• Impacto reputacional en el sector financiero.
• Limitaciones operativas.

Además, una gestión deficiente de incidentes TIC puede amplificar daños financieros y legales, afectando la confianza de clientes y supervisores.

Según datos de la Autoridad Bancaria Europea (EBA), los incidentes de ciberseguridad en el sector financiero aumentaron un 238% entre 2020 y 2023, lo que justifica la necesidad de un marco armonizado como DORA en toda la Unión Europea.

• Analizar el estado actual frente a los requisitos DORA.
• Identificar brechas prioritarias en gestión de riesgos TIC.

Consultar la guía práctica de INCIBE sobre el reglamento DORA.

• Implicar a la alta dirección.
• Definir responsables de resiliencia operativa digital.

• Políticas, procedimientos y evidencias actualizadas.
• Control de versiones y accesos

• Revisar contratos con proveedores TIC.
• Incorporar cláusulas DORA-ready.

• Concienciar a equipos técnicos y de negocio.
• Simulacros y ejercicios prácticos de respuesta a incidentes.

• Inventario actualizado de activos TIC.
• Marco formal de gestión de riesgos TIC documentado.
• Procedimiento de notificación de incidentes graves a autoridades.
• Registro de proveedores terceros esenciales.
• Contratos con cláusulas de resiliencia y auditoría.
• Planes de continuidad y recuperación con pruebas de resiliencia operativa realizadas.
• Evidencias documentales firmadas electrónicamente y trazables.

DORA exige trazabilidad, integridad y control documental. Aquí es donde la firma electrónica avanzada se convierte en una aliada estratégica para la resiliencia operativa digital.

En Yousign, ayudamos a las entidades financieras a:

• Firmar electrónicamente políticas y procedimientos DORA.
• Validar contratos con proveedores TIC.
• Garantizar la integridad de evidencias de cumplimiento.
• Acelerar procesos internos sin perder validez legal.

Nuestra solución cumple con el Reglamento eIDAS, ofreciendo firma electrónica con plena validez legal en toda la Unión Europea.

La resiliencia operativa digital ya no es opcional en el sector financiero europeo. DORA obliga a las entidades financieras españolas a elevar su madurez tecnológica, de riesgos y de gobernanza.

Más allá del cumplimiento normativo, las organizaciones que aborden DORA de forma estratégica:

• Reducirán interrupciones operativas y riesgos relacionados con las TIC.
• Mejorarán la confianza del mercado y de las autoridades supervisoras.
• Fortalecerán su relación con supervisores, clientes y proveedores.

En Yousign, creemos que la digitalización segura, apoyada en soluciones de firma electrónica fiable, es un pilar clave para afrontar con éxito este nuevo marco regulatorio de la Unión Europea.