{"id":96265,"date":"2025-05-26T09:33:24","date_gmt":"2025-05-26T07:33:24","guid":{"rendered":"https:\/\/www.deepki.com\/?p=96265"},"modified":"2025-05-26T13:13:19","modified_gmt":"2025-05-26T11:13:19","slug":"reglamento-dora-la-estrategia-europea-para-un-sector-financiero-mas-resiliente","status":"publish","type":"post","link":"https:\/\/www.deepki.com\/es\/blog\/reglamento-dora-la-estrategia-europea-para-un-sector-financiero-mas-resiliente\/","title":{"rendered":"Reglamento DORA: La estrategia europea para un sector financiero m\u00e1s resiliente en el \u00e1mbito digital"},"content":{"rendered":"\n

El sector financiero depende m\u00e1s que nunca de la tecnolog\u00eda. Pero esta transformaci\u00f3n digital conlleva una mayor exposici\u00f3n a amenazas cibern\u00e9ticas, fallos de sistema e interrupciones tecnol\u00f3gicas. Un solo ciberataque o una incidencia t\u00e9cnica pueden provocar inestabilidad financiera, afectando a bancos, aseguradoras y empresas de inversi\u00f3n.<\/p>\n\n\n\n

Para hacer frente a estos riesgos, la Uni\u00f3n Europea ha introducido el Reglamento sobre Resiliencia Operativa Digital (DORA<\/strong>), un marco normativo que busca garantizar la estabilidad digital del sector financiero. En vigor a partir del 17 de enero de 2025,<\/strong> DORA establece medidas para gestionar los riesgos tecnol\u00f3gicos y proteger la continuidad operativa del sector, incluso ante interrupciones digitales.<\/p>\n\n\n\n

En Deepki llevamos tiempo trabajando para asegurar la resiliencia de nuestra infraestructura TIC y entendemos lo importante que es tambi\u00e9n para nuestros clientes. A continuaci\u00f3n, analizamos qu\u00e9 implica DORA tanto para nosotros como para ellos.<\/strong><\/p>\n\n\n\n

<\/div>\n\n\n\n

\u00bfQu\u00e9 es el reglamento DORA?<\/h2>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

En septiembre de 2020, la Comisi\u00f3n Europea present\u00f3 una propuesta de reglamento sobre resiliencia operativa digital para el sector financiero, conocida como DORA (Digital Operational Resilience Act)<\/a>, como parte de su estrategia de finanzas digitales. El texto fue adoptado el 10 de noviembre de 2022, entr\u00f3 en vigor el 16 de enero de 2023 y ser\u00e1 de aplicaci\u00f3n obligatoria a partir del 17 de enero de 2025. Este per\u00edodo transitorio de dos a\u00f1os se ha establecido para dar tiempo suficiente a las entidades financieras y a sus proveedores TIC para adaptarse a los nuevos requisitos.<\/p>\n\n\n\n

DORA obliga a las entidades financieras a reforzar su resiliencia operativa digital. El reglamento define esta resiliencia como \u201cla capacidad de una entidad financiera para construir, garantizar y revisar su integridad y fiabilidad operativa, asegurando \u2014de forma directa o a trav\u00e9s de servicios prestados por terceros proveedores TIC\u2014 todas las capacidades relacionadas con las tecnolog\u00edas de la informaci\u00f3n necesarias para proteger la seguridad de las redes y sistemas de informaci\u00f3n que utiliza, y que son esenciales para mantener la prestaci\u00f3n<\/em> continua y de calidad de los servicios financieros, incluso en situaciones de interrupci\u00f3n.\u201d<\/em><\/p>\n\n\n\n

DORA introduce nuevas disposiciones destinadas a reforzar tanto los recursos internos como la gesti\u00f3n eficaz de los partners externos. El reglamento fija nuevos objetivos para las empresas, con el fin de garantizar que sus procesos, infraestructuras y sistemas de gesti\u00f3n del riesgo cumplan con los estrictos requisitos establecidos por la Uni\u00f3n Europea.<\/strong><\/p>\n\n\n\n

Como consecuencia, es probable que nuestros clientes del sector financiero que operan en la UE revisen los acuerdos contractuales actuales con sus proveedores de servicios TIC.<\/strong><\/p>\n\n\n\n

<\/div>\n\n\n\n

<\/p>\n\n\n\n

\u00bfQu\u00e9 exige el DORA?<\/h2>\n\n\n\n

<\/p>\n\n\n\n

El objetivo principal de DORA es garantizar que las instituciones financieras puedan operar con seguridad en un contexto de creciente incertidumbre digital. Para ello, el reglamento establece un marco integral de resiliencia digital basado en cinco pilares clave:<\/p>\n\n\n\n

<\/p>\n\n\n\n

    \n
  1. Gesti\u00f3n del riesgo ICT:<\/strong> Las entidades financieras deben implementar un marco s\u00f3lido para la gesti\u00f3n de riesgos tecnol\u00f3gicos, junto con una estructura de gobernanza y control interno que permita identificar, abordar y mitigar los riesgos digitales. Esto incluye mantener sistemas actualizados, documentaci\u00f3n adecuada y pol\u00edticas de continuidad operativa.<\/li>\n\n\n\n
  2. Gesti\u00f3n, clasificaci\u00f3n y notificaci\u00f3n de incidentes ICT:<\/strong> Las entidades deben contar con procesos definidos para detectar, informar y analizar incidentes tecnol\u00f3gicos, incluyendo la identificaci\u00f3n de sus causas ra\u00edz.<\/li>\n\n\n\n
  3. Pruebas de resiliencia operativa digital:<\/strong> Salvo las microempresas, las entidades financieras deben desarrollar, mantener y revisar un programa de pruebas para evaluar su resiliencia operativa digital. Este programa debe ayudar a identificar vulnerabilidades, medir la preparaci\u00f3n y aplicar medidas correctoras.<\/li>\n\n\n\n
  4. Gesti\u00f3n del riesgo ICT de terceros:<\/strong> Las entidades deben evaluar y controlar los riesgos derivados de sus proveedores tecnol\u00f3gicos externos, manteniendo siempre la responsabilidad sobre el cumplimiento del reglamento, incluso en caso de externalizaci\u00f3n. Deben valorar a los proveedores seg\u00fan su criticidad e impacto potencial en sus operaciones, mantener un registro actualizado de los contratos ICT y presentar informes anuales sobre estas relaciones.<\/li>\n\n\n\n
  5. Acuerdos de intercambio de informaci\u00f3n:<\/strong> Se anima a las entidades financieras a compartir informaci\u00f3n sobre amenazas cibern\u00e9ticas, como indicadores de compromiso o alertas de seguridad, con el fin de reforzar la resiliencia del conjunto del sector. La participaci\u00f3n en estos acuerdos debe notificarse a las autoridades competentes.<\/li>\n<\/ol>\n\n\n\n

    <\/p>\n\n\n\n

    Los puntos 1 y 4 son especialmente relevantes para nuestros clientes en el marco de su colaboraci\u00f3n con Deepki.<\/strong><\/p>\n\n\n\n

    <\/div>\n\n\n\n

    \u00bfQui\u00e9n debe cumplir con el reglamento DORA?<\/strong><\/h2>\n\n\n\n

    DORA se aplica directamente<\/strong> a instituciones financieras como bancos, sociedades de inversi\u00f3n, agencias de calificaci\u00f3n crediticia y proveedores de servicios de pago.<\/p>\n\n\n\n

    Seg\u00fan PwC, m\u00e1s de 22.200 entidades financieras y proveedores de servicios tecnol\u00f3gicos est\u00e1n sujetos a esta normativa.<\/a> Si su organizaci\u00f3n tiene cualquier tipo de implicaci\u00f3n en el sector financiero, el cumplimiento de DORA no es opcional, es obligatorio.<\/p>\n\n\n\n

    El reglamento exige que estas entidades establezcan acuerdos espec\u00edficos con sus proveedores tecnol\u00f3gicos,<\/strong> con requisitos m\u00e1s estrictos para aquellos considerados como cr\u00edticos<\/strong> para las operaciones.<\/p>\n\n\n\n

    En este contexto, Deepki se considera un \u201cproveedor externo de servicios TIC\u201d seg\u00fan la definici\u00f3n del reglamento.<\/p>\n\n\n\n

    <\/div>\n\n\n\n

    \u00bfQu\u00e9 ocurre si no se cumple con la normativa?<\/h2>\n\n\n\n

    DORA no es simplemente una nueva regulaci\u00f3n m\u00e1s en la larga lista de obligaciones del sector financiero: su incumplimiento conlleva consecuencias reales.<\/p>\n\n\n\n

    Un informe de McKinsey publicado en enero de 2025<\/a> se\u00f1ala que muchas instituciones financieras a\u00fan tienen dificultades para cumplir con los requisitos del reglamento DORA<\/strong>, especialmente en lo que respecta a la gesti\u00f3n de la conformidad de terceros.<\/p>\n\n\n\n

    Los proveedores TIC m\u00e1s peque\u00f1os, a menudo carecen de los recursos <\/strong>necesarios para aplicar las medidas de seguridad exigidas, lo que genera brechas de cumplimiento que podr\u00edan ralentizar la adaptaci\u00f3n de las entidades financieras.<\/p>\n\n\n\n

    Adem\u00e1s, muchas instituciones financieras afrontan una doble exigencia:<\/strong> deben cumplir con el reglamento DORA tanto en calidad de receptoras de servicios como en su papel de proveedoras de servicios para otras entidades del sector. Esta doble condici\u00f3n incrementa el nivel de supervisi\u00f3n y obliga a las empresas a asegurarse de que sus socios cumplen con la normativa, al tiempo que deben garantizar su propio cumplimiento en las relaciones con terceros.<\/p>\n\n\n\n

    En Deepki entendemos que nuestros clientes deben analizar cuidadosamente su nivel de exposici\u00f3n y revisar los contratos que mantienen con sus proveedores tecnol\u00f3gicos. Por nuestra parte, estamos plenamente comprometidos a acompa\u00f1arles en cada fase del proceso para asegurar que nuestra colaboraci\u00f3n se mantenga dentro del marco regulatorio establecido por DORA.<\/strong><\/p>\n\n\n\n

    <\/div>\n\n\n\n

    <\/p>\n\n\n\n

    El impacto global de DORA: qu\u00e9 significa para las empresas y multinacionales<\/h2>\n\n\n\n

    Aunque DORA es una normativa de la Uni\u00f3n Europea, su alcance va mucho m\u00e1s all\u00e1 de sus fronteras.<\/p>\n\n\n\n

    Si su empresa opera con los mercados financieros de la UE, cumplir con DORA es clave para mantener la confianza y evitar obst\u00e1culos regulatorios. Esto es especialmente relevante para aquellas compa\u00f1\u00edas que prestan servicios transfronterizos o forman parte de cadenas de suministro vinculadas a la UE, incluso si no tienen presencia f\u00edsica en territorio europeo.<\/p>\n\n\n\n

    Para las multinacionales, gestionar distintos marcos normativos a\u00f1ade un nivel extra de complejidad. Estas empresas deben alinear sus estrategias de gesti\u00f3n del riesgo TIC con los requisitos de DORA, sin dejar de cumplir otras normativas internacionales. Esto puede implicar:<\/p>\n\n\n\n