info@redabafi.es
93 380 34 94

Resiliencia operativa digital y el Reglamento DORA

11 Jun 2025
0

La crisis energética ocurrida el 28 de abril de 2025, cuando un apagón masivo dejó sin electricidad a más de cincuenta millones de personas en la Península Ibérica y el sur de Europa, ha puesto de manifiesto lo importante que es fortalecer la resistencia digital en todos los sectores esenciales.

Este apagón, que paralizó infraestructuras clave como las telecomunicaciones, el transporte y los servicios financieros, evidenció lo vulnerable que se vuelve una economía cada vez más digital y dependiente de sistemas interconectados.

En este contexto, la resiliencia operativa digital, que es la capacidad de una organización para resistir, adaptarse y recuperarse ante incidentes que afecten sus sistemas tecnológicos, se vuelve un pilar fundamental. Esto asegura que las operaciones cruciales continúen y se mantenga la integridad, incluso en casos de ciberataques o fallos tecnológicos.

En el sector financiero, esta idea es todavía más importante, dado su creciente dependencia de las tecnologías de la información y la comunicación, y el aumento en la sofisticación de las amenazas digitales.

Las instituciones europeas, sabedoras de esta importancia, han aprobado el Reglamento DORA.

Pero, ¿qué es exactamente el Reglamento DORA -Digital Operational Resilience Act-?

El Reglamento DORA —o Ley de Resiliencia Operativa Digital— es una normativa creada por la Unión Europea que empezó a aplicarse en enero de 2023 y que, desde el 17 de enero de 2025, es de cumplimiento obligatorio.

Su objetivo principal es hacer que las entidades financieras sean más resistentes desde el punto de vista digital y mejorar su ciberseguridad, estableciendo un marco legal único y uniforme para gestionar los riesgos relacionados con las tecnologías de la información y la comunicación.

¿A quiénes afecta esta normativa y están obligados a su cumplimiento? El Reglamento DORA se aplica a entidades financieras, como bancos, aseguradoras, gestoras de fondos, empresas de inversión, proveedores de servicios en criptomonedas y también a los proveedores externos de servicios TIC, como empresas en la nube y centros de datos.

¿Y cuáles son las obligaciones principales que impone? El marco de DORA se basa en cinco pilares principales:

  1. Gestión del riesgo TIC: las organizaciones deben tener un sistema sólido para gestionar los riesgos tecnológicos, incluyendo políticas, procedimientos y herramientas para proteger sus sistemas y datos. Los responsables de esto son los órganos de dirección, quienes pueden ser responsables personalmente en caso de incumplimiento.
  2. Gestión y notificación de incidentes: es obligatorio tener procedimientos para detectar, gestionar y comunicar incidentes de ciberseguridad, informando tanto a las partes interesadas como a las autoridades responsables.
  3. Pruebas de resiliencia operativa: las empresas deben realizar pruebas periódicas para identificar vulnerabilidades, al menos una vez al año, y hacer pruebas de penetración cada tres años, todo basado en las amenazas actuales.
  4. Gestión del riesgo de terceros: la normativa exige que las organizaciones supervisen y controlen los riesgos que puedan derivar de subcontratar servicios TIC, especialmente cuando se trata de proveedores críticos.
  5. Intercambio de información y supervisión: se fomenta la cooperación entre las organizaciones y las autoridades supervisoras, como la Autoridad Bancaria Europea y la Autoridad Europea de Valores y Mercados, promoviendo un intercambio seguro de información sobre amenazas y buenas prácticas.

DORA unifica y actualiza la legislación europea relacionada con la ciber resiliencia, imponiendo obligaciones claras y sanciones en caso de incumplimiento.

La finalidad es que el sector financiero europeo pueda resistir y recuperarse de interrupciones importantes o disrupciones graves, protegiendo así la estabilidad del sistema y la confianza de los usuarios.

El Reglamento DORA también afecta a los usuarios finales de servicios bancarios y financieros por cuanto:

  • Los bancos deben contar con mecanismos mucho más sólidos de defensa y recuperación, reduciendo la posibilidad de que la integridad de las cuentas bancarias se vea comprometidas;
  • Frente a caídas del sistema, las entidades deben poder restaurar el servicio rápidamente, incluso en casos graves;
  • Las frecuentes pruebas de vulnerabilidades de las webs o apps, se traducen en apps bancarias más seguras y estables para los usuarios;
  • Las entidades están más vigiladas y pueden recibir multas si no cumplen con los requisitos de DORA, lo que incentiva a los bancos a invertir más en seguridad digital, redundando en beneficio del usuario final.

En definitiva, la regulación DORA supone un cambio importante en cómo las organizaciones manejan los riesgos digitales, exigiendo un enfoque proactivo, integral y supervisado en materia de resiliencia operativa digital.

 

Autora: Isabel Iglesias Molins

Abogada RED ABAFI País Vasco

 

Comparte
, ,

About Post Author

¿Necesitas asesoramiento o defensa legal? Llámanos al teléfono 93 380 34 94 o, si lo prefieres, rellena el formulario y nosotros nos pondremos en contacto contigo.

    Resumen de privacidad

    Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

     

    Puedes revisar nuestra política de privacidad en la página de privacidad y cookies.