Legal

Reglamento DORA y su impacto en las empresas

13/02/2025

El Reglamento DORA, o “Digital Operational Resilience Act” es una normativa europea. Busca establecer requerimientos rigurosos para mejorar la seguridad digital y la resiliencia operativa de las entidades financieras y sus proveedores de servicios críticos. Este marco normativo está contenido en el Reglamento (UE) 2022/2554, de 14 de diciembre de 2022. Fue diseñado para fortalecer la resiliencia operacional del sector financiero y la gestión de riesgos tecnológicos en el ámbito digital. Se enmarca dentro de las estrategias más amplias de la Unión Europea para asegurar el sector financiero frente a las crecientes amenazas cibernéticas.

Así, el Reglamento DORA no solo enfatiza la prevención y gestión de riesgos, sino que también establece protocolos claros para la notificación y manejo de incidentes cibernéticos. Con ello, se asegura una respuesta coordinada ante amenazas, protegiendo así la integridad y la eficiencia del mercado interior, a la vez que facilita su correcto funcionamiento. Desde CE Consulting consideramos que este tema es de interés para toda empresa.

Reglamento DORA afecta a empresas

 

¿Cuál es el objeto principal del Reglamento DORA?

Como objeto principal del Reglamento (UE) 2022/2554 nos encontramos con el fin de lograr un elevado nivel común de resiliencia operativa digital, estableciendo una diversidad de requisitos uniformes relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de entidades. Requisitos que se expondrán de forma amplia en los siguientes epígrafes del presente documento, destacando de forma sencilla y preliminar alguno de ellos:

  • Requisitos en relación con los acuerdos contractuales celebrados entre proveedores terceros de servicios de TIC y entidades financieras.
  • Normas para el establecimiento y aplicación del marco de supervisión de los proveedores terceros esenciales de servicios de TIC cuando presten servicios a entidades financieras.
  • Normas sobre cooperación entre autoridades competentes y normas sobre control y ejecución por parte de las autoridades competentes en relación con todos los asuntos cubiertos por el presente Reglamento.

 

¿A qué empresas afecta DORA?

DORA está dirigido principalmente a actores del sector financiero, incluyendo a instituciones de crédito, empresas de inversión o fondos de pensiones de empleo. También registros de titulaciones, sociedades de gestión, proveedores de servicios de suministro de datos. Y administradores de índices de referencia cruciales, proveedores de servicios de financiación participativa, proveedores de servicios de criptoactivos, fintechs, instituciones de pago, agencias de calificación crediticia, proveedores de servicios de crowdfunding, aseguradoras y reaseguradoras. También es aplicable a sus proveedores de servicios TIC (tecnologías de la información y la comunicación), siendo de obligado cumplimiento lo regulado en el presente reglamentos. Todo ello, siempre de acuerdo con el principio de proporcionalidad, el cual tiene en cuenta el tamaño, perfil, la naturaleza, la escala y la complejidad de los servicios, actividades y operaciones desarrollados por las entidades financieras.

El Reglamento DORA responsabiliza a los órganos de dirección de la organización de la gestión de las TIC. Esto significa que les exige que definan marcos adecuados de gestión de riesgos, colaboren en la ejecución y supervisión de estas estrategias y se mantengan al corriente de la evolución del panorama de riesgos.

 

¿Cuándo entra en vigor el Reglamento DORA?

El Reglamento entró en vigor el 16 de enero de 2023. Y estableció un plazo de dos años para que las entidades del sector financiero cumplan los requisitos establecidos en el Reglamento. Es decir, hasta el 16 de enero de 2025. Por tanto, desde el 17 de enero de 2025 el Reglamento DORA es plenamente aplicable.  Y, por ello, las entidades financieras deberán cumplir con los requisitos establecidos. Además, a partir de esta fecha, las autoridades competentes comenzarán las actividades de supervisión.

 

¿Cuáles son los requisitos y obligaciones del Reglamento DORA?

Los requisitos del Reglamento DORA abarcan cinco pilares fundamentales:

Gestión de riesgos TIC

Este pilar pretende transformar la gestión de riesgos de las TIC de un proceso reactivo a uno proactivo. Implica el desarrollo y la aplicación de sistemas de identificación, evaluaciones periódicas de riesgos, prácticas de evaluación, estrategias de mitigación, planes de respuesta a incidentes y procesos de concienciación sobre los riesgos en toda la organización, políticas y procedimientos de respaldo y procedimientos y métodos de restablecimiento y recuperación.

Gestión de riesgos de terceros (proveedores TIC)

Para reforzar la relación entre las instituciones financieras y sus terceros proveedores críticos. Exige que las entidades tengan contratos detallados con sus proveedores de TIC, lleven a cabo una diligencia debida continua y dispongan de un proceso sólido para la desvinculación. También podrán ser designados por las autoridades europeas de supervisión como como proveedores esenciales para las entidades financieras. Además, de la designación de un supervisor principal fuera de la unión, según los criterios establecido por el reglamento. Este pretende garantizar que las relaciones con terceros no comprometan la resistencia operativa.

Notificación de incidentes

Este pilar normaliza y centraliza el proceso de notificación de incidentes graves en las entidades financieras de toda la UE. Exige que las entidades implanten sistemas que controlen, detecten, describan, notifiquen y analicen los incidentes significativos.

Resiliencia operativa digital

Es imprescindible garantizar que las entidades financieras puedan sobrevivir a las ciberamenazas. Para ello, las organizaciones debe llevar a cabo pruebas periódicas para evaluar sus vulnerabilidades y respuestas cibernéticas y, a continuación, mejorar sus prácticas en función de los resultados.

Intercambio de información

Este pilar pretende aumentar la concienciación sobre la resistencia operativa e incrementar el intercambio de prácticas y lecciones aprendidas en todo el sector. Las organizaciones deben compartir información de forma segura para aumentar la colaboración y la resistencia entre las instituciones financieras.

 

Cómo se deben reportar incidentes según el Reglamento DORA

El proceso de notificación de incidentes requiere que las empresas establezcan procedimientos claros para la detección, gestión, clasificación y notificación de los mismos.

Detección. Las entidades deben contar con protocolos internos para la identificación, seguimiento, registro. También categorización y tipificación de todos los incidentes vinculados a las tecnologías de la información y comunicación (TIC).

Evaluación de la gravedad. La entidad debe estimar la magnitud o relevancia del incidente para decidir si procede su notificación. Los incidentes calificados como graves deben ser reportados a la alta dirección y al consejo de administración. Se debe detallar sus consecuencias y las acciones de respuesta emprendidas. Así como los controles adicionales que se planean implementar a raíz de estos incidentes graves de TIC.

Notificación a la Autoridad de Supervisión Competente (ASC). Es obligatorio reportar el incidente a la autoridad supervisora pertinente dentro del plazo estipulado. La autoridad competente puede diferir según el tipo de entidad financiera y su campo de operaciones.

Notificación inicial. El contenido de la notificación debe incluir un aviso inicial. Y un informe intermedio. Esto, si hay cambios significativos en la situación del incidente. Y un informe final, con las conclusiones del análisis de la causa primaria.

 

¿Se podrán imponer sanciones administrativas y medidas correctoras?

De acuerdo como lo establecido en la normativa, las autoridades competentes dispondrán de todas las facultades de supervisión, investigación y sanción necesarias para el cumplimiento adecuado de esta. Entre ellas destacan las siguientes sanciones administrativas y medidas correctoras:

  • Emitir un requerimiento dirigido a la persona física o jurídica que esté infringiendo el presente Reglamento. Esto, para que ponga fin a su conducta y se abstenga de repetirla.
  • Exigir el cese provisional o definitivo de toda práctica o conducta que la autoridad competente considere contraria a las disposiciones del presente Reglamento. E impedir la repetición de dicha práctica o conducta.
  • La adopción de cualquier tipo de medida, también de carácter pecuniario. El objetivo es garantizar que las entidades financieras sigan cumpliendo los requisitos legales.
  • Exigir, en la medida en que lo permita el Derecho nacional, los registros de tráfico de datos existentes que obren en poder de un operador de telecomunicaciones, cuando existan sospechas fundadas de infracción del presente Reglamento. Y cuando tales registros puedan ser pertinentes para una investigación de infracciones del presente Reglamento.
  • La publicación de avisos, incluidas declaraciones públicas, en las que se indique la identidad de la persona física o jurídica y la naturaleza de la infracción.

Todo ello, además, sin perjuicio de que los estados miembros puedan establecer sanciones penales derivadas de la comisión de infracciones por parte de los sujetos obligados por el reglamento.

 

DORA: un Reglamento de interés para todo el empresariado

Si bien DORA se centra en el sector financiero, los principios en los que se basa son relevantes para todo tipo de empresas. Esto, porque los ciberataques son una amenaza común en diversas industrias.

La protección de datos y sistemas no es solo una cuestión de cumplimiento normativo. También es una ventaja competitiva en un mundo cada vez más interconectado.

Empresas de otros sectores podrían beneficiarse al adoptar prácticas similares a las de DORA para mejorar su propia seguridad y resiliencia digital. Además, les ayudaría a prepararse mejor para los retos actuales y futuros de un entorno digital globalizado.

Por tanto, este Reglamento no solo es un mandato regulatorio. Es más una oportunidad para demostrar diligencia y compromiso con la seguridad y protección de la información crítica, tanto de clientes como de la empresa misma. Y posiciona a las organizaciones como líderes confiables en la era digital.

 

En CE Consulting contamos con asesores especializados en este tema y otros que podrían impactar a tu empresa. Si necesitas asesoramiento empresarial, no dudes en proporcionarnos tus datos a través del formulario y un asesor experto se pondrá en contacto contigo lo antes posible.

Nuestros expertos

Javier Milara Muñoz

Javier Milara es director del área mercantil en CE Consulting. Está especializado en operaciones a nivel mercantil societario. En entidades no lucrativas actúa como secretario de patronatos y de juntas directivas. Asesora también a estos órganos de gobierno en diferentes aspectos. Posee un MBA de Dirección y Administración de empresas. Pasa su tiempo libre junto a su familia, su perro y amigos.

Contenido relacionado

Servicios
Grupo CE Consulting
Enlaces
Contacto