Ley de Resiliencia Operativa Digital (DORA)

Lo que las entidades financieras ahora deben observar

Armonización de la seguridad en todo el sector financiero de la UE

La Ley de Resiliencia Operativa Digital es el esfuerzo de la Comisión Europea para establecer un marco uniforme para una gestión efectiva y completa de los riesgos de ciberseguridad y TIC en los mercados financieros. El énfasis se ha desplazado de centrarse previamente en garantizar la resiliencia financiera de las firmas financieras, a también asegurar el mantenimiento de operaciones resilientes en caso de una interrupción severa del negocio que pudiera amenazar la seguridad de la red y los sistemas de información.

Con el creciente número de ciberataques, es más importante que nunca prepararse para incidentes y tomar medidas para fortalecer la ciber-resiliencia. Se esperan ajustes y gastos adicionales. Sin embargo, al mismo tiempo, también vemos a DORA como una gran oportunidad para que las firmas financieras logren un nivel de seguridad significativamente más alto al volverse más resilientes y alcanzar un nivel consistente de madurez en lo que respecta a la ciberseguridad.

Datos clave sobre DORA

¿Por qué DORA?
¿Qué comprende DORA?
¿Quiénes se ven afectados?
¿Para cuándo deben las empresas implementar los requisitos introducidos en DORA?

¿Por qué DORA?

Al introducir un enfoque de supervisión uniforme y coherente para todos los sectores relevantes, DORA garantiza la armonización de las prácticas de seguridad y resiliencia en la UE. El énfasis se ha desplazado de centrarse previamente en garantizar la resiliencia financiera de las firmas financieras a también asegurar el mantenimiento de operaciones resilientes en caso de una interrupción severa del negocio que pudiera amenazar la seguridad de la red y los sistemas de información.

¿Qué comprende DORA?

DORA introduce un marco holístico para la gestión efectiva de riesgos, funciones de TIC y ciberseguridad, el tratamiento y reporte de errores, y para la gestión de proveedores externos, garantizando así la provisión consistente de servicios a lo largo de toda la cadena de valor. Cinco temas centrales juegan un papel particular: gestión de riesgos de TIC, gestión de incidentes de TIC, pruebas de resiliencia operativa digital, gestión de terceros e intercambio de información.

¿Quiénes se ven afectados?

Básicamente, todos los participantes del mercado financiero se ven afectados por DORA, tales como bancos, firmas de inversión, compañías de gestión, proveedores de activos criptográficos, compañías de seguros, trading venues y más. DORA introduce nuevas obligaciones de cumplimiento, por lo que es importante estar preparado para los paquetes de finanzas digitales y comenzar con antelación suficiente con una evaluación de impacto, ya que DORA entró en vigor el 16 de enero de 2023 cuando se publicó en el diario.

¿Para cuándo deben las empresas implementar los requisitos introducidos en DORA?

Se ha establecido un período de dos años para la implementación de DORA y de los RTS e ITS que los desarrollan, que entraron en vigor el 16 de enero de 2023. A pesar del período de implementación hasta enero de 2025, ya estamos viendo una fuerte presión sobre las entidades financieras para identificar e implementar las acciones requeridas derivadas de los requisitos de DORA.

Actualmente, estamos viendo un enfoque particular en la introducción de un sistema integral de gestión de riesgos de TIC.

Primer semestre de 2024: Publicación del primer lote de RTS/ITS, contemplando el marco de gestión de riesgos de TIC, medidas para la gestión de seguridad operativa, criterios para la clasificación de incidentes de TIC y los principios para la gestión de riesgos en proveedores de servicios TIC.

Segunda mitad de 2024: Publicación de la segunda serie de RTS/ITS, entre otros ámbitos, se detallan los criterios para reportar incidentes graves de TIC, metodología de realización de pruebas avanzadas de penetración (TLPTs) y requisitos para diseñar acuerdos de subcontratación.

2025: Los requisitos de DORA deben ser implementados 24 meses después de la entrada oficial de DORA en el diario de la UE. Por lo tanto, se espera que las entidades financieras cumplan con los requisitos de DORA para enero de 2025.

DORA pondrá su énfasis regulatorio en cinco pilares clave

Resiliencia operativa y gestión de riesgos

Las entidades financieras están obligadas a implementar un sistema integral de gestión de riesgos de TIC, que incluya:

Establecimiento y mantenimiento de sistemas y herramientas de TIC robustos que minimicen los efectos de los riesgos de TIC.
Elementos clave como la identificación, clasificación y documentación de funciones críticas.
Monitorización continua de todas las fuentes de riesgos de TIC, con el fin de implementar medidas de protección y prevención.
Identificación inmediata de actividades anómalas o sospechosas.
Implantación de continuidad del negocio y planes de contingencia y recuperación, incluyendo pruebas anuales de esos planes y cómo dan cobertura a todas las funciones de negocio
Establecimiento de un proceso de mejora continua, basado en aprender tanto de eventos externos como de incidentes internos TIC.

Gestión de incidentes de TIC y ciberseguridad

Las firmas financieras están obligadas a:

Desarrollar un procedimiento para registrar/clasificar todos los incidentes de TIC y determinar los incidentes graves conforme a los criterios descritos en la regulación y especificados por las autoridades supervisoras europeas financieras (ESAs, es decir, EBA, EIOPA y ESMA).
Presentar un informe inicial, intermedio y final sobre los incidentes relacionados con TIC.
Armonizar los informes sobre incidentes relacionados con TIC basándose en las plantillas estándar desarrolladas por las ESAs.

Pruebas de Resiliencia Operativa Digital

La regulación obliga a todas las entidades a:

Realizar pruebas (al menos anual) sobre los sistemas TIC.
Identificar, mitigar y eliminar sin demora cualquier punto débil, brecha o deficiencia, mediante la adopción de contramedidas según los aspectos identificados.
Llevar a cabo regularmente pruebas avanzadas de penetración dirigidas por amenazas (TLPT) para los servicios de TIC que impactan funciones críticas. Los proveedores externos de servicios de TIC están obligados a participar en las pruebas y a cooperar plenamente.

Gobernanza y gestión de terceros

Las entidades financieras están obligadas a:

Asegurar la supervisión sólida de los riesgos derivados del empleo de proveedores de servicios de TIC de terceros.
Proporcionar un registro completo de las actividades contratadas, incluyendo los servicios intra-grupo y todos los cambios en la contratación de servicios críticos a proveedores de servicios de TIC.
Considerar el riesgo de concentración de TIC y los riesgos derivados de la subcontratación.
Armonizar los elementos clave del servicio y la relación con los proveedores de servicios de TIC para lograr una supervisión "completa".
Asegurarse de que los acuerdos contractuales con proveedores de servicios de TIC contengan todos los detalles necesarios para la supervisión y accesibilidad por parte de las entidades, como por ejemplo una descripción completa del alcance de los servicios, las ubicaciones donde se procesan los datos, etc.
Los proveedores críticos de servicios de TIC estarán sujetos a un marco de supervisión de la UE por parte de las autoridades de Supervisión Financiera (EBA, EIOPA & ESMA) que pueden emitir recomendaciones para mitigar los riesgos de TIC que se hayan establecido. Las entidades financieras deben tener en cuenta los riesgos derivados del uso de sus proveedores de servicios de TIC si estos no observan las recomendaciones establecidas.

Intercambio de información

La regulación permite que las entidades financieras lleguen a acuerdos entre ellas sobre el intercambio de información y conocimientos en relación con las amenazas ciber.
El Supervisor proporcionará a las entidades financieras información relevante y conocimientos en relación con las amenazas ciber de forma anonimizada. Por lo tanto, las empresas deben establecer mecanismos para examinar la información proporcionada por las autoridades y tomar medidas en consecuencia.

¿Cómo podemos ayudarle?

PwC puede apoyar a su entidad en el camino en la adaptación a DORA, desde la evaluación de su estado actual hasta el apoyo en la implementación de medidas para cumplir con los requisitos legales e integrarlas en su sistema de gestión de riesgos, de seguridad, de resiliencia y de cumplimiento.

Entidades Financieras

Las entidades financieras deben planificar de forma concienzuda la implementación de la regulación DORA

Proveedores de servicios TIC

La digitalización ha profundizado los vínculos y las dependencias dentro del sector financiero con los proveedores de infraestructuras y servicios.

Contacta con nosotros

Jesús Romero

Socio responsable de Business Security Solutions de PwC España

Síguenos en

Revistas digitales y RRSS Oficinas Contacta

© 2016 - 2025 PwC. Todos los derechos reservados. No se permite la distribución adicional sin autorización de PwC. “PwC” hace referencia a la red de firmas miembros de PricewaterhouseCoopers International Limited (PwCIL) o, según cada caso concreto, a firmas miembros individuales de la red PwC. Cada firma miembro es una entidad jurídica independiente y no actúa como agente de PwCIL ni de ninguna otra firma miembro. PwCIL no presta servicios a clientes. PwCIL no se responsabiliza ni responde de los actos u omisiones de ninguna de sus firmas miembros, ni del contenido profesional de sus trabajos ni puede vincularlas u obligarlas en forma alguna. De igual manera, ninguna de las firmas miembro son responsables por los actos u omisiones del resto de las firmas miembros ni del contenido profesional de sus trabajos, ni pueden vincular u obligar ni a dichas firmas miembros ni a PwCIL en forma alguna.