Who does DORA apply to?

DORA applies to virtually all EU financial entities: banks, insurance companies, investment firms, payment providers, crypto-asset service providers, and critically, their ICT third-party service providers.

What is the DORA incident reporting deadline?

DORA has the tightest reporting deadline of any EU regulation: an initial report within 4 hours, an intermediate report within 72 hours, and a final report within 1 month.

Does DORA apply to ICT service providers?

Yes, ICT third-party service providers that serve financial entities must comply with DORA contractual requirements (Article 30). Critical ICT providers are subject to direct oversight by European Supervisory Authorities.

DORA

Ley de Resiliencia Operativa Digital

Cuando se produce una avería en los sistemas informáticos de tu banco, no solo es un inconveniente, sino que supone un riesgo sistémico

La Ley de Resiliencia Operativa Digital (DORA) es la respuesta de la UE a una pregunta sencilla: ¿qué ocurre cuando fallan los sistemas informáticos del sector financiero? La DORA establece un marco unificado para la gestión de riesgos de las TIC, la notificación de incidentes, las pruebas de resiliencia y la gestión de riesgos de terceros para todo el sector financiero de la UE. Porque cuando un banco, una aseguradora o un proveedor de pagos deja de estar operativo, no se trata solo de un problema informático, sino de un riesgo sistémico.

Ámbito de aplicación

Prácticamente todas las entidades financieras de la UE: bancos, compañías de seguros, empresas de inversión, proveedores de servicios de pago, proveedores de servicios de criptoactivos y —lo que es más importante— sus proveedores externos de servicios de TIC. Si prestas servicios de nube, software o datos al sector financiero, la DORA también se aplica a ti.

Alcance geográfico

Normativa de ámbito comunitario con efecto directo. Se aplica a todas las entidades financieras autorizadas en la UE y a sus proveedores de servicios de TIC esenciales, independientemente de dónde tengan su sede dichos proveedores.

En vigor desde

17 de enero de 2025

Objetivo

Para garantizar que el sector financiero pueda resistir, responder y recuperarse de las perturbaciones relacionadas con las TIC. Piensa en ello como una prueba de aptitud física para la infraestructura informática de tu banco, y el entrenador es la Autoridad Europea de Supervisión, así que más vale que te lo tomes en serio.

Ir a tu función:

Entidad financiera

Eres una entidad financiera regulada: banco, compañía de seguros, empresa de inversión, entidad de pago, entidad de dinero electrónico, depositario central de valores, agencia de calificación crediticia o proveedor de servicios de criptoactivos. Si tienes una licencia financiera en la UE, la DORA te es de aplicación.

Tus obligaciones

Establecer y mantener un marco integral de gestión de riesgos de las TIC (artículos 5 a 16)
Clasificar y notificar los incidentes graves relacionados con las TIC: informe inicial en un plazo de 4 horas, informe intermedio en un plazo de 72 horas e informe final en un plazo de 1 mes (artículos 17 a 23)
Realizar pruebas periódicas de resiliencia operativa digital, incluidas pruebas de penetración basadas en amenazas (TLPT) para las entidades de importancia significativa (artículos 24 a 27)
Gestionar el riesgo asociado a terceros en el ámbito de las TIC mediante una diligencia debida estructurada, requisitos contractuales y un seguimiento continuo (artículos 28 a 44)
Participar en los mecanismos de intercambio de información sobre amenazas cibernéticas (art. 45)
Asegurarse de que el órgano de dirección asuma la responsabilidad última en materia de riesgos relacionados con las TIC, incluida la formación (art. 5.2)
Llevar un registro de todos los acuerdos con terceros en materia de TIC (art. 28.3)
Identificar los activos, los sistemas y las dependencias de las TIC, incluso entre las distintas estructuras del grupo (art. 8)

Artículos destacados

Art. 5–16 — Marco de gestión de riesgos de las TICArt. 17–23 — Clasificación y notificación de incidentesArt. 24–27 — Pruebas de resiliencia digitalArt. 28–44 — Gestión del riesgo de responsabilidad civilArt. 45 — Intercambio de información

Consejo de experto

El plazo de cuatro horas para presentar el informe inicial es el más estricto de toda la normativa de la UE. Implemente un sistema automatizado de detección de incidentes y tenga preparadas plantillas preelaboradas. Además, identifique ahora mismo sus dependencias en materia de TIC: cuando se produzca un incidente, necesitará saber qué proveedor se ve afectado y qué establecen los contratos en cuanto a sus obligaciones.

Proveedor externo de servicios de TIC

Presta servicios de TIC a entidades financieras: infraestructura en la nube, software bancario básico, procesamiento de pagos, análisis de datos, servicios de ciberseguridad o externalización de TI. Si el sector financiero depende de sus sistemas, el Reglamento DORA tiene algo que decirle, especialmente si las autoridades supervisoras europeas le han designado como proveedor de TIC «crítico».

Tus obligaciones

Apoyar a las entidades financieras en el cumplimiento de sus obligaciones, proporcionándoles la información y las garantías adecuadas (artículos 28 a 30)
Aceptar las cláusulas contractuales relativas a: descripciones de los servicios, ubicaciones de los datos, medidas de seguridad, asistencia en caso de incidentes, derechos de auditoría y estrategias de salida (art. 30)
Notificar sin demora los incidentes que afecten a los clientes de las entidades financieras (art. 30.2 e)
Si se designa como entidad crítica: someterse a la supervisión directa de las autoridades supervisoras europeas (artículos 31 a 44)
En caso de que sea crítico: mantener unos niveles de seguridad adecuados, someterse a evaluaciones y facilitar información sobre los riesgos a las autoridades (artículos 33 a 36)
Asegurarse de que los acuerdos de subcontratación no menoscaben la capacidad de la entidad financiera para cumplir con sus obligaciones (art. 30.2 a)

Artículos destacados

Art. 28 — Principios generales sobre el riesgo de terceros en materia de TICArt. 30 — Disposiciones contractuales fundamentalesArt. 31–44 — Marco de supervisión para los proveedores críticos

Consejo de experto

Si prestas servicios al sector financiero, empieza ya a revisar tus contratos para verificar que cumplen los requisitos del artículo 30 del DORA. Las entidades financieras te exigirán que cumplas estos requisitos; por lo tanto, es mejor actuar de forma proactiva que reactiva. Contar con plantillas de contratos adaptadas al DORA demuestra madurez y ahorra tiempo en las negociaciones.

Cómo puede ayudarte Euregas

Herramientas disponibles

Evaluaciones de riesgos de las TIC: evaluaciones estructuradas que se ajustan a los requisitos de los artículos 5 a 16 de la DORA
Gestión de incidencias: seguimiento de incidencias de TIC con recordatorios automáticos de plazos de 4 y 72 horas
Gestión de riesgos de terceros (artículos 28 a 44): evaluar y supervisar a los proveedores de servicios de TIC

Funciones asistidas por IA

Búsqueda semántica en los artículos y considerandos de DORA
Pasos del proceso preconfigurados mediante IA para casos de cumplimiento relacionados con DORA

Nota

El módulo DORA ofrece flujos de trabajo estructurados manuales. Para futuras versiones está prevista la incorporación de funciones asistidas por IA (por ejemplo, la clasificación de la gravedad de los incidentes o la determinación automática del alcance según el modelo TLPT).

Todos los ejemplos son ficticios y tienen únicamente fines ilustrativos.