Reglamento DORA: La estrategia europea para un sector financiero más resiliente en el ámbito digital

El sector financiero depende más que nunca de la tecnología. Pero esta transformación digital conlleva una mayor exposición a amenazas cibernéticas, fallos de sistema e interrupciones tecnológicas. Un solo ciberataque o una incidencia técnica pueden provocar inestabilidad financiera, afectando a bancos, aseguradoras y empresas de inversión.

Para hacer frente a estos riesgos, la Unión Europea ha introducido el Reglamento sobre Resiliencia Operativa Digital (DORA), un marco normativo que busca garantizar la estabilidad digital del sector financiero. En vigor a partir del 17 de enero de 2025, DORA establece medidas para gestionar los riesgos tecnológicos y proteger la continuidad operativa del sector, incluso ante interrupciones digitales.

En Deepki llevamos tiempo trabajando para asegurar la resiliencia de nuestra infraestructura TIC y entendemos lo importante que es también para nuestros clientes. A continuación, analizamos qué implica DORA tanto para nosotros como para ellos.

¿Qué es el reglamento DORA?

En septiembre de 2020, la Comisión Europea presentó una propuesta de reglamento sobre resiliencia operativa digital para el sector financiero, conocida como DORA (Digital Operational Resilience Act), como parte de su estrategia de finanzas digitales. El texto fue adoptado el 10 de noviembre de 2022, entró en vigor el 16 de enero de 2023 y será de aplicación obligatoria a partir del 17 de enero de 2025. Este período transitorio de dos años se ha establecido para dar tiempo suficiente a las entidades financieras y a sus proveedores TIC para adaptarse a los nuevos requisitos.

DORA obliga a las entidades financieras a reforzar su resiliencia operativa digital. El reglamento define esta resiliencia como “la capacidad de una entidad financiera para construir, garantizar y revisar su integridad y fiabilidad operativa, asegurando —de forma directa o a través de servicios prestados por terceros proveedores TIC— todas las capacidades relacionadas con las tecnologías de la información necesarias para proteger la seguridad de las redes y sistemas de información que utiliza, y que son esenciales para mantener la prestación continua y de calidad de los servicios financieros, incluso en situaciones de interrupción.”

DORA introduce nuevas disposiciones destinadas a reforzar tanto los recursos internos como la gestión eficaz de los partners externos. El reglamento fija nuevos objetivos para las empresas, con el fin de garantizar que sus procesos, infraestructuras y sistemas de gestión del riesgo cumplan con los estrictos requisitos establecidos por la Unión Europea.

Como consecuencia, es probable que nuestros clientes del sector financiero que operan en la UE revisen los acuerdos contractuales actuales con sus proveedores de servicios TIC.

¿Qué exige el DORA?

El objetivo principal de DORA es garantizar que las instituciones financieras puedan operar con seguridad en un contexto de creciente incertidumbre digital. Para ello, el reglamento establece un marco integral de resiliencia digital basado en cinco pilares clave:

1. Gestión del riesgo ICT: Las entidades financieras deben implementar un marco sólido para la gestión de riesgos tecnológicos, junto con una estructura de gobernanza y control interno que permita identificar, abordar y mitigar los riesgos digitales. Esto incluye mantener sistemas actualizados, documentación adecuada y políticas de continuidad operativa.
2. Gestión, clasificación y notificación de incidentes ICT: Las entidades deben contar con procesos definidos para detectar, informar y analizar incidentes tecnológicos, incluyendo la identificación de sus causas raíz.
3. Pruebas de resiliencia operativa digital: Salvo las microempresas, las entidades financieras deben desarrollar, mantener y revisar un programa de pruebas para evaluar su resiliencia operativa digital. Este programa debe ayudar a identificar vulnerabilidades, medir la preparación y aplicar medidas correctoras.
4. Gestión del riesgo ICT de terceros: Las entidades deben evaluar y controlar los riesgos derivados de sus proveedores tecnológicos externos, manteniendo siempre la responsabilidad sobre el cumplimiento del reglamento, incluso en caso de externalización. Deben valorar a los proveedores según su criticidad e impacto potencial en sus operaciones, mantener un registro actualizado de los contratos ICT y presentar informes anuales sobre estas relaciones.
5. Acuerdos de intercambio de información: Se anima a las entidades financieras a compartir información sobre amenazas cibernéticas, como indicadores de compromiso o alertas de seguridad, con el fin de reforzar la resiliencia del conjunto del sector. La participación en estos acuerdos debe notificarse a las autoridades competentes.

Los puntos 1 y 4 son especialmente relevantes para nuestros clientes en el marco de su colaboración con Deepki.

¿Quién debe cumplir con el reglamento DORA?

DORA se aplica directamente a instituciones financieras como bancos, sociedades de inversión, agencias de calificación crediticia y proveedores de servicios de pago.

Según PwC, más de 22.200 entidades financieras y proveedores de servicios tecnológicos están sujetos a esta normativa. Si su organización tiene cualquier tipo de implicación en el sector financiero, el cumplimiento de DORA no es opcional, es obligatorio.

El reglamento exige que estas entidades establezcan acuerdos específicos con sus proveedores tecnológicos, con requisitos más estrictos para aquellos considerados como críticos para las operaciones.

En este contexto, Deepki se considera un “proveedor externo de servicios TIC” según la definición del reglamento.

¿Qué ocurre si no se cumple con la normativa?

DORA no es simplemente una nueva regulación más en la larga lista de obligaciones del sector financiero: su incumplimiento conlleva consecuencias reales.

Un informe de McKinsey publicado en enero de 2025 señala que muchas instituciones financieras aún tienen dificultades para cumplir con los requisitos del reglamento DORA, especialmente en lo que respecta a la gestión de la conformidad de terceros.

Los proveedores TIC más pequeños, a menudo carecen de los recursos necesarios para aplicar las medidas de seguridad exigidas, lo que genera brechas de cumplimiento que podrían ralentizar la adaptación de las entidades financieras.

Además, muchas instituciones financieras afrontan una doble exigencia: deben cumplir con el reglamento DORA tanto en calidad de receptoras de servicios como en su papel de proveedoras de servicios para otras entidades del sector. Esta doble condición incrementa el nivel de supervisión y obliga a las empresas a asegurarse de que sus socios cumplen con la normativa, al tiempo que deben garantizar su propio cumplimiento en las relaciones con terceros.

En Deepki entendemos que nuestros clientes deben analizar cuidadosamente su nivel de exposición y revisar los contratos que mantienen con sus proveedores tecnológicos. Por nuestra parte, estamos plenamente comprometidos a acompañarles en cada fase del proceso para asegurar que nuestra colaboración se mantenga dentro del marco regulatorio establecido por DORA.

El impacto global de DORA: qué significa para las empresas y multinacionales

Aunque DORA es una normativa de la Unión Europea, su alcance va mucho más allá de sus fronteras.

Si su empresa opera con los mercados financieros de la UE, cumplir con DORA es clave para mantener la confianza y evitar obstáculos regulatorios. Esto es especialmente relevante para aquellas compañías que prestan servicios transfronterizos o forman parte de cadenas de suministro vinculadas a la UE, incluso si no tienen presencia física en territorio europeo.

Para las multinacionales, gestionar distintos marcos normativos añade un nivel extra de complejidad. Estas empresas deben alinear sus estrategias de gestión del riesgo TIC con los requisitos de DORA, sin dejar de cumplir otras normativas internacionales. Esto puede implicar:

• Actualizar los contratos con proveedores TIC externos para alinearse con las exigencias del reglamento DORA, especialmente en lo relativo a gestión del riesgo y notificación de incidentes.
• Ajustes operativos: adaptar los sistemas y procesos tecnológicos para cumplir con los requisitos del reglamento, lo que puede requerir planificación estratégica e inversión.
• Revisar infraestructuras IT y procesos de gestión del riesgo para asegurar que responden a las exigencias cambiantes de la normativa.
• Seguir de cerca la evolución regulatoria en distintas jurisdicciones, con el fin de no incumplir plazos clave.

¿Está preparado para el reglamento DORA? Dónde centrar la atención desde hoy

DORA ya está en vigor, por lo que, tanto las entidades financieras como los proveedores de servicios TIC deben tomárselo con seriedad en toda Europa.

Las organizaciones que aborden DORA de forma proactiva estarán mejor preparadas para enfrentar riesgos digitales, reforzar la confianza de sus clientes y mantener la estabilidad operativa.

Más que una obligación, las empresas con visión hacia el futuro pueden ver en DORA una oportunidad para fortalecer su ciberseguridad, optimizar la gestión del riesgo y ganar una ventaja competitiva en el mercado.

Con la evolución de la regulación en el sector financiero, en Deepki hemos analizado en profundidad los requisitos del reglamento DORA y evaluado su impacto, con el objetivo de promover el cumplimiento normativo y reforzar nuestro compromiso previo con la resiliencia digital.