Prepara tu empresa para DORA

El pasado 17 de enero de 2025 entró en vigor el Reglamento Europeo de Resiliencia Operativa Digital (DORA, por sus siglas en inglés). Esta normativa, largamente anticipada por el sector financiero europeo, establece un marco legal obligatorio para reforzar la capacidad de las organizaciones de resistir, responder y recuperarse ante incidentes tecnológicos y ciberataques.

DORA no es una guía ni una recomendación técnica. Es un reglamento de aplicación directa que ya exige a bancos, aseguradoras, gestoras, plataformas de crowdfunding, empresas de inversión y proveedores tecnológicos críticos implementar medidas específicas de ciberresiliencia. El objetivo: blindar la estabilidad del ecosistema financiero europeo frente a interrupciones operativas graves.

¿Qué exige DORA?

El Reglamento DORA se estructura en torno a cinco grandes bloques de obligaciones, todos ellos vinculados con la gobernanza y la gestión técnica del riesgo digital:

1. Gestión de riesgos TIC

Las organizaciones deben contar con un marco robusto de gestión de riesgos tecnológicos, que contemple amenazas internas, externas y especialmente la cadena de suministro TIC. Es necesario identificar activos críticos, establecer controles de seguridad y mantener una evaluación continua de la exposición al riesgo.

2. Notificación de incidentes

Una de las exigencias más operativas de DORA es la obligación de notificar incidentes graves a las autoridades supervisoras nacionales (Banco de España, CNMV, DGSFP) en plazos muy reducidos. Esta obligación requiere sistemas de monitorización continua, registros precisos y procedimientos internos de reporte bien definidos.

3. Pruebas de resiliencia operativa

DORA introduce la necesidad de realizar simulaciones y pruebas periódicas para validar la capacidad de las organizaciones de afrontar incidentes tecnológicos. Estas pruebas, que deben estar documentadas y ser auditables, abarcan desde ejercicios de continuidad de negocio hasta test de penetración avanzada.

4. Supervisión de terceros

El reglamento exige un control activo de los proveedores TIC, especialmente aquellos que prestan servicios críticos. Las entidades deben mantener un inventario actualizado de relaciones contractuales, evaluar la resiliencia digital de sus proveedores y establecer cláusulas contractuales que garanticen el cumplimiento de las obligaciones regulatorias.

5. Gobernanza y supervisión

El cumplimiento de DORA recae directamente en el órgano de dirección de la entidad. La normativa requiere que los roles y responsabilidades en ciberresiliencia estén claramente definidos y que se integren en la estrategia corporativa. Las autoridades podrán solicitar documentación, realizar auditorías y aplicar sanciones ante incumplimientos.

¿A quién aplica?

DORA es de aplicación directa en todos los Estados miembros de la UE y afecta a una amplia gama de actores, desde entidades financieras hasta proveedores TIC.

Entidades financieras tradicionales (bancos, aseguradoras, fondos de pensiones, etc.)

Plataformas de crowdfunding y servicios de inversión.

Proveedores TIC considerados críticos para la operativa financiera (cloud, software, telecomunicaciones, ciberseguridad...).

Importante: el criterio de inclusión no es solo jurídico, sino funcional. Cualquier organización que preste servicios esenciales al ecosistema financiero debe evaluar su grado de cumplimiento.

Pasos clave para adaptar tu organización

A pesar de estar ya en vigor, muchas organizaciones aún se encuentran en proceso de adecuación.

Desde SGS proponemos abordar esta transformación desde una perspectiva sistemática y basada en evidencia:

1. Evaluar el punto de partida: diagnóstico integral del nivel de madurez en ciberresiliencia y gestión de riesgos TIC.

2. Identificar activos y procesos críticos: priorizar los elementos del sistema que deben ser reforzados.

3. Revisar la gestión de terceros: asegurarse de que los contratos con proveedores contemplan obligaciones de seguridad y trazabilidad.

4. Desplegar controles técnicos adecuados: reforzar medidas de detección, respuesta y recuperación ante incidentes.

5. Planificar y ejecutar simulacros: validar la eficacia operativa y ajustar los planes de continuidad.

6. Formar al personal clave: capacitar tanto a equipos técnicos como a la alta dirección en las nuevas obligaciones regulatorias.

7. Centralizar documentación y evidencias: estar preparado para auditorías y requerimientos de información de las autoridades.

Un marco para anticipar

La entrada en vigor de DORA marca un punto de inflexión en la gestión del riesgo digital en Europa. Ya no basta con disponer de sistemas seguros: ahora es obligatorio demostrar resiliencia estructural, capacidad de respuesta validada y gobernanza activa del riesgo tecnológico.

Más allá del cumplimiento normativo, DORA ofrece a las organizaciones la oportunidad de reforzar su solidez operativa y su credibilidad en el mercado. En un entorno donde la tecnología es crítica para la continuidad del negocio, construir una arquitectura de resiliencia digital se convierte en un valor diferenciador.

Desde SGS acompañamos a empresas del sector financiero y tecnológico en el diagnóstico, auditoría y adecuación a este nuevo marco. Nuestro enfoque combina conocimiento normativo, capacidad técnica y visión estratégica, para transformar la obligación en oportunidad.