Guía de cumplimiento de DORA para entidades financieras

¿Qué es DORA?

El Reglamento de Resiliencia Operativa Digital (Reglamento (UE) 2022/2554) es una normativa de la UE que estandariza la forma en que las entidades financieras gestionan los riesgos de las TIC (Tecnologías de la Información y la Comunicación). Publicado el 27 de diciembre de 2022, DORA es aplicable a partir del 17 de enero de 2025.

DORA garantiza que los bancos, las aseguradoras, las empresas de inversión y sus proveedores tecnológicos críticos puedan resistir, responder y recuperarse de las perturbaciones relacionadas con las TIC y las ciberamenazas.

¿Quién debe cumplir con DORA?

Entidades financieras (Artículo 2)

DORA se aplica a una amplia gama de instituciones financieras, que incluyen:

• Entidades de crédito (bancos)

• Entidades de pago y entidades de dinero electrónico

• Empresas de inversión y proveedores de servicios de criptoactivos

• Entidades de seguros y reaseguros

• Fondos de pensiones

• Centros de negociación y entidades de contrapartida central

• Agencias de calificación crediticia

Terceros proveedores de servicios de TIC

Los proveedores críticos de servicios de TIC (plataformas en la nube, centros de datos, servicios de seguridad gestionados) designados por las autoridades de la UE también deben cumplir con el marco de supervisión de DORA (Artículos 28-30).

Los cinco pilares de DORA

1. Gestión de riesgos de las TIC (Artículos 6-16)

Debe establecer un marco integral de gestión de riesgos de las TIC que cubra:

• Gobernanza: Supervisión del consejo y la dirección de los riesgos de las TIC

• Protección: Políticas de seguridad, controles de acceso, cifrado

• Detección: Seguimiento continuo e inteligencia de amenazas

• Respuesta y recuperación: Gestión de incidentes y planes de continuidad del negocio

• Aprendizaje: Revisiones post-incidente y ciclos de mejora

Su marco debe estar documentado, revisarse regularmente y ser proporcionado al tamaño y perfil de riesgo de su organización.

2. Notificación de incidentes (Artículos 17-23)

DORA introduce plazos estrictos para informar sobre incidentes relacionados con las TIC a las autoridades competentes:

• Notificación inicial: En un plazo de 4 horas tras la clasificación como grave

• Informe intermedio: En un plazo de 72 horas con un análisis de la causa raíz

• Informe final: En un plazo de un mes, incluyendo las medidas de recuperación

3. Pruebas de resiliencia operativa digital (Artículos 24-27)

Debe realizar pruebas periódicas de sus sistemas TIC y de sus capacidades de resiliencia:

• Pruebas generales: Evaluaciones de vulnerabilidad, pruebas de penetración, pruebas basadas en escenarios

• Pruebas avanzadas: Pruebas de penetración basadas en amenazas (TLPT) para las entidades identificadas por las autoridades

La frecuencia y el alcance de las pruebas dependen de su perfil de riesgo, exigiéndose las TLPT al menos cada tres años para las entidades designadas.

4. Gestión de riesgos de terceros de TIC (Artículos 28-30)

DORA exige una supervisión integral de los terceros proveedores de TIC, incluyendo:

• Evaluación precontractual: Debida diligencia sobre las capacidades y riesgos del proveedor

• Requisitos contractuales: Niveles de servicio, derechos de auditoría, estrategias de salida, controles de subcontratación

• Seguimiento continuo: Seguimiento del rendimiento, verificación del cumplimiento, gestión del riesgo de concentración

• Estrategias de salida: Planes para la transición de servicios sin interrupciones

5. Intercambio de información (Artículo 45)

Las entidades financieras pueden participar en acuerdos para compartir inteligencia sobre ciberamenazas y mejores prácticas. Estos acuerdos deben proteger la confidencialidad y cumplir con las leyes de protección de datos.

Hoja de ruta para la implementación

Paso 1: Determine su alcance

Confirme si su organización entra en el ámbito de DORA. Revise el Artículo 2 para identificar los tipos de entidades aplicables y consulte a su autoridad nacional competente si no está seguro.

Paso 2: Realice un análisis de brechas (Gap Analysis)

Evalúe sus prácticas actuales de gestión de riesgos de TIC, respuesta a incidentes, pruebas y supervisión de terceros frente a los requisitos de DORA. Identifique deficiencias en políticas, procesos, documentación y controles.

Paso 3: Construya o actualice su marco de gestión de riesgos de las TIC

Desarrolle políticas y procedimientos integrales que cubran los cinco pilares. Asegúrese de que la gobernanza a nivel de dirección y consejo de administración esté establecida, y asigne roles y responsabilidades claros.

Paso 4: Establezca procesos de notificación de incidentes

Defina criterios de clasificación de incidentes, flujos de trabajo de información y rutas de escalada. Intégrelos con sus sistemas de gestión de incidentes existentes y capacite a los equipos sobre los estrictos plazos de DORA.

Paso 5: Planifique su programa de pruebas

Programe pruebas de resiliencia periódicas (escaneos de vulnerabilidades, pruebas de penetración, ejercicios de escenarios). Si se le ha designado para TLPT, contrate a evaluadores cualificados y coordínese con las autoridades.

Paso 6: Revise los acuerdos con terceros

Haga un inventario de todos los terceros proveedores de TIC. Revise los contratos para asegurarse de que incluyan cláusulas conformes a DORA (derechos de auditoría, disposiciones de salida, transparencia en la subcontratación). Evalúe el riesgo de concentración y desarrolle estrategias de mitigación.

Paso 7: Documéntelo todo

DORA requiere una documentación exhaustiva: registros de riesgos, registros de incidentes, informes de pruebas, contratos y actas del consejo. Mantenga registros listos para auditoría para demostrar el cumplimiento.

Paso 8: Capacite a sus equipos

Asegúrese de que los equipos de TI, seguridad, riesgo, cumplimiento y dirección comprendan los requisitos de DORA y sus responsabilidades. Realice formaciones y simulacros periódicos.

DORA y otros marcos

DORA complementa y se solapa con otras regulaciones y estándares:

• Directiva NIS2: DORA aborda la resiliencia de las TIC para las entidades financieras, mientras que NIS2 cubre las infraestructuras críticas en todos los sectores. Las entidades financieras bajo ambos deben coordinar su cumplimiento.

• ISO 27001: El pilar de gestión de riesgos de DORA se alinea con los controles de la norma ISO 27001. Un SGSI certificado en ISO 27001 puede apoyar el cumplimiento de DORA, pero no cubrirá todos los requisitos (por ejemplo, los plazos de notificación de incidentes).

• GDPR: La notificación de incidentes y la supervisión de terceros de DORA deben respetar las reglas de protección de datos y notificación de brechas del GDPR.

Mapee los requisitos de DORA con sus marcos existentes para evitar duplicaciones y aprovechar el trabajo previo.

Desafíos comunes

Plazos estrictos de notificación de incidentes

La ventana de notificación inicial de 4 horas es agresiva. Automatice la detección y clasificación siempre que sea posible, y establezca capacidades de respuesta a incidentes 24/7.

Renegociación de contratos con terceros

Muchos contratos antiguos carecen de cláusulas conformes a DORA. Comience las renegociaciones temprano y priorice a los proveedores críticos.

Coordinación de TLPT

Las pruebas avanzadas requieren coordinación con los reguladores y evaluadores cualificados. Planifique con mucha antelación si se le ha designado para TLPT.

Gestión del riesgo de concentración

Identificar y mitigar la dependencia excesiva de proveedores o tecnologías específicos requiere una visibilidad profunda de la cadena de suministro. Realice un mapeo exhaustivo de las dependencias.

Sanciones por incumplimiento

Las autoridades nacionales competentes aplican DORA con sanciones por infracciones, que incluyen:

• Multas de hasta el 2% del volumen de negocios anual total a nivel mundial

• Advertencias públicas y daño a la reputación

• Suspensión de actividades o retirada de la autorización en casos graves

Las sanciones son proporcionales a la gravedad y duración del incumplimiento.

Acelere el cumplimiento de DORA con ISMS Copilot

ISMS Copilot es un asistente de IA diseñado específicamente para marcos de cumplimiento como DORA. Le ayuda a:

• Realizar análisis de brechas: Suba sus políticas actuales o evaluaciones de riesgos y pida a Copilot que identifique lagunas frente a los cinco pilares de DORA.

• Generar políticas conformes: Utilice prompts predefinidos para crear políticas de gestión de riesgos de TIC, procedimientos de clasificación de incidentes y marcos de riesgo de terceros alineados con los Artículos 6, 17 y 28 de DORA.

• Mapear con otros marcos: Consulte cómo se relacionan los requisitos de DORA con ISO 27001, NIS2 o NIST CSF para agilizar el cumplimiento de múltiples marcos.

• Prepararse para auditorías: Genere listas de verificación, listas de evidencias y mapeos de controles para inspecciones regulatorias.

Ejemplos de consultas para ISMS Copilot:

• «¿Se aplica DORA a mi entidad de pago?»

• «Genera una política de gestión de riesgos de TIC para el Artículo 6 de DORA.»

• «¿Cuáles son los plazos de notificación de incidentes según el Artículo 19 de DORA?»

• «Crea una plantilla de evaluación de riesgos de terceros para el Artículo 30 de DORA.»

ISMS Copilot se basa en la experiencia de consultoría del mundo real y en los textos reglamentarios oficiales para proporcionar una orientación precisa y lista para auditoría, sin las alucinaciones comunes en las herramientas de IA generales.

Explore la biblioteca de prompts de cumplimiento de DORA para obtener plantillas listas para usar, o aprenda cómo ISMS Copilot apoya a los gestores de riesgos con DORA y NIS2.

Recursos adicionales

• Reglamento Oficial DORA (UE) 2022/2554

• Visión general del Reglamento DORA y tabla de contenidos

• Biblioteca de prompts de cumplimiento de DORA

• ISMS Copilot para gestores de riesgos en industrias reguladas (DORA/NIS2)