La digitalización del sector financiero ha traído consigo enormes ventajas, pero también nuevos riesgos. En los últimos años, los ciberataques y los incidentes tecnológicos han puesto en jaque la estabilidad de las entidades financieras y la confianza de los usuarios. Para hacer frente a estos desafíos, la Unión Europea ha aprobado el Reglamento (UE) 2022/2554, DORA (Digital Operational Resilience Act), una normativa que marcará un antes y un después en la gestión de la ciberseguridad financiera.

¿Qué es DORA y a quién afecta?

Se trata de una normativa europea que busca garantizar que todas las entidades financieras (bancos, aseguradoras, gestoras de fondos, proveedores tecnológicos que les prestan servicios esenciales a las anteriores) sean capaz de resistir, responder y recuperarse ante cualquier ciberataque. Desde enero de 2025 es obligatorio que estas organizaciones cumplan con las exigencias de DORA para proteger tanto sus operaciones como los datos de sus clientes.

Principales obligaciones que impone DORA

• Gestión integral de riesgos tecnológicos: las entidades deberán identificar, evaluar y mitigar los riesgos derivados del uso de tecnologías de la información y la comunicación (TIC).
• Pruebas periódicas de resiliencia: se exigirá la realización de simulacros y pruebas de penetración para detectar vulnerabilidades antes de que sean explotadas por actores maliciosos.
• Supervisión de proveedores externos: DORA obliga a las entidades a controlar y gestionar los riesgos asociados a la subcontratación de servicios tecnológicos, especialmente cuando se trata de proveedores en la nube o servicios críticos.
• Notificación de incidentes: las empresas deberán informar rápidamente a las autoridades sobre cualquier incidente significativo que pueda afectar a la operativa o a la seguridad de los datos.

Sinergia de DORA con otras normativas europeas y estatales

Las exigencias de DORA, así como su impacto se conectan de manera directa con otras normativas clave como el RGPD (Reglamento General de Protección de Datos Personales), ISO 27001 y Esquema Nacional de Seguridad.

• DORA y la protección de datos personales: ambas comparten el objetivo de reforzar la seguridad y proteger tanto a organizaciones como a personas físicas en el entorno digital. Ambas normativas exigen la notificación de incidentes y el cumplimiento de ellas refuerza la seguridad de los sistemas y procesos ayudando a evitar brechas de seguridad.
• DORA e ISO 27001: ambas normativas comparten el enfoque en la gestión de riesgos, controles de seguridad, respuesta ante incidentes y protección de la información. Disponer de la certificación en ISO 27001 facilita y acelera la adaptación de DORA, permitiendo a las organizaciones cerrar brechas de seguridad de forma más eficiente y demostrar ante auditores su compromiso con la seguridad.
• DORA y ENS: las organizaciones que ya cumplen con ENS tienen una base sólida para abordar los requisitos de DORA, especialmente en lo relativo a la gestión de riesgos, la protección de datos, la continuidad de negocio y la respuesta ante incidentes.

¿Qué deben hacer las empresas para prepararse?

• Revisar y actualizar sus políticas de ciberseguridad y gestión de riesgos.
• Implementar procedimientos claros para la identificación y notificación de incidentes.
• Realizar auditorías y pruebas de resiliencia de manera periódica.
• Evaluar y monitorizar a los proveedores tecnológicos críticos.

En este contexto, herramientas como HESTIA se convierten en aliadas clave para alcanzar y demostrar el cumplimiento de DORA, pues permite generar reportes automáticos y detallados que sirven como evidencia del cumplimiento de los controles de seguridad en la cadena de suministro de software exigidos por la normativa europea.

¿Tu organización está preparada para cumplir con DORA? En Ciberso te ayudamos a evaluar tu nivel de cumplimiento y a implementar las mejores prácticas para afrontar este nuevo desafío regulatorio.