Desde su doble faceta como responsable del Área Digital en BDO Abogados y docente en IE y CEU, Marina Fontcuberta ofrece en este artículo una visión estratégica y clara sobre el Reglamento DORA, una normativa que redefine los estándares de ciberresiliencia en toda la Unión Europea. Visión que compartió con los asistentes al webinar organizado por EFPA España y titulado: “Examinando a DORA”
Desde enero de 2025, entró en aplicación el Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital, más conocido como DORA por sus siglas en inglés (Digital Operational Resilience Act). Esta nueva normativa representa un paso firme hacia la consolidación de un entorno digital seguro, robusto y homogéneo en toda la Unión Europea, especialmente para el sector financiero y tecnológico.
La ciberresiliencia, hasta ahora una asignatura pendiente para muchas organizaciones, se convierte así en una exigencia legal y estratégica. DORA no es solo una normativa técnica: es una llamada de atención urgente ante el creciente volumen, complejidad y sofisticación de las ciberamenazas que afectan a todos los niveles del ecosistema digital.
¿Por qué nace DORA?
La transformación digital ha revolucionado la forma en que interactuamos, trabajamos, almacenamos información y gestionamos nuestro dinero. Sin embargo, esta hiperconectividad conlleva una vulnerabilidad creciente. Las noticias sobre ataques informáticos, filtraciones de datos o suplantaciones de identidad son ya parte del día a día.
Amenazas como el phishing, los enlaces maliciosos, los ciberataques a infraestructuras críticas o la manipulación de sistemas financieros revelan una realidad preocupante: ninguna organización está exenta del riesgo digital.
DORA surge como respuesta a esta amenaza sistémica. Su objetivo es claro: garantizar que todas las entidades del sistema financiero europeo —desde bancos hasta aseguradoras, pasando por gestores de fondos, fintech y proveedores tecnológicos— cuenten con una infraestructura sólida para prevenir, resistir, responder y recuperarse ante cualquier incidente relacionado con las tecnologías de la información y la comunicación (TIC).
¿Qué implica DORA?
Una de las características más destacadas de este reglamento es su aplicación directa en todos los países de la UE, sin necesidad de transposición a las legislaciones nacionales. Esto permite establecer un marco común que armoniza la ciberseguridad en toda Europa, refuerza la confianza entre entidades y facilita la contratación de proveedores transfronterizos bajo estándares equivalentes.
DORA no se limita a proteger a las grandes instituciones financieras. Su alcance se extiende a toda la cadena tecnológica que sustenta los servicios digitales, abarcando también a los proveedores de servicios en la nube, operadores de plataformas tecnológicas, empresas de pagos y emisores de dinero electrónico.
El cumplimiento de DORA no puede limitarse al departamento legal o de tecnologías de la información. Se trata de un esfuerzo transversal que implica revisar procesos, redefinir relaciones con proveedores y reforzar la cultura organizativa en torno a la ciberseguridad. Estos son los pasos esenciales:
Clasificación de la entidad
El primer paso es identificar el perfil de la empresa: su tamaño, nivel de operaciones, número de empleados y grado de dependencia tecnológica. DORA introduce el principio de proporcionalidad, permitiendo que las obligaciones se ajusten en función del riesgo y la complejidad de cada entidad.
Inventario de proveedores y activos críticos
Es crucial contar con un inventario detallado de los activos TIC y de los proveedores que participan en la operativa digital. A partir de este análisis, se debe clasificar a los proveedores como críticos o no críticos, ya que esto definirá el nivel de supervisión y las medidas contractuales a aplicar.
Marco de gestión del riesgo TIC
Este es el núcleo de DORA. Las entidades deben adoptar un enfoque estructurado de gestión del riesgo, que incluya:
- Protocolos para prevenir, detectar y notificar incidentes de seguridad.
- Asignación clara de responsabilidades y una estructura de gobernanza sólida.
- Identificación de dependencias críticas y estrategias multiproveedor.
- Políticas sobre el uso de TIC en funciones esenciales.
- Registro y evaluación anual de los contratos con proveedores TIC.
- Procedimientos de homologación para terceros, con estándares de ciberseguridad actualizados.
Pruebas periódicas de resiliencia operativa
DORA establece la obligación de realizar simulacros y pruebas para verificar la capacidad de resistencia ante fallos o ataques. Se distinguen dos tipos:
- Pruebas básicas: exigidas para todas las entidades (por ejemplo, escaneos de vulnerabilidades, pruebas de código).
- Pruebas avanzadas: reservadas para entidades consideradas sistémicas, e incluyen ejercicios de penetración complejos con equipos especializados.
Gestión del riesgo con terceros
Otro de los pilares de DORA es la regulación de los riesgos derivados del uso de proveedores TIC externos. Las entidades deberán:
- Revisar y actualizar los contratos, incluyendo cláusulas específicas de seguridad, acceso, auditoría y continuidad.
- Establecer derechos contractuales para inspecciones o auditorías.
- Diseñar planes de salida en caso de interrupción de servicios críticos.
DORA, más que cumplimiento: una oportunidad estratégica
La implementación de DORA supondrá una inversión significativa para muchas organizaciones, tanto en términos de recursos como de formación y adaptación de procesos. Sin embargo, los beneficios van mucho más allá del simple cumplimiento normativo.
Contar con una base sólida de ciberresiliencia permite protegerse mejor ante ataques, reducir el impacto financiero y reputacional de los incidentes, aumentar la confianza de clientes e inversores, y consolidar la transformación digital en un entorno seguro.
En definitiva, DORA marca un antes y un después. Aporta claridad regulatoria, eleva los estándares de seguridad y refuerza uno de los pilares fundamentales para el futuro de la economía digital: la confianza.