Normativa DORA: nuevo acuerdo para la resistencia informática financiera

El sector financiero entra en una nueva era de ciberseguridad y resiliencia operativa con DORA (Digital Operational Resilience Act). Esta normativa europea, aplicable a partir de enero de 2025, impone a bancos, aseguradoras y otros agentes financieros un marco estricto para reforzar su seguridad informática y resistir a los ciberataques.

En este artículo, veremos:
Qué es el DORA y a quién afecta
Las principales obligaciones reglamentarias
Cómo prepararse para el cumplimiento del DORA
El papel de herramientas de automatización como Answer Writer para facilitar la gestión de riesgos y auditorías.

DORA: Definición y ámbito de aplicación

El DORA (Reglamento UE 2022/2554) se adoptó en 2022 y entra en vigor el 17 de enero de 2025. A diferencia de una directiva, el DORA se aplica directamente a las entidades financieras de la Unión Europea.

¿A quién afecta el DORA?

La normativa se aplica a más de 20 categorías de agentes financieros, entre ellos :
Bancos y compañías de seguros
Fondos de inversión y sociedades de gestión
Proveedores de servicios de pago y criptoactivos
Plataformas de negociación y depositarios centrales
Agencias de calificación, fondos de pensiones, etc.

Los proveedores de servicios informáticos críticos (nube, centros de datos, servicios bancarios externalizados) también se ven afectados. Los considerados «críticos» serán supervisados directamente por los reguladores europeos.

Objetivos y retos del DORA

¿Por qué se introdujo el DORA?
El principal objetivo del DORA es garantizar la continuidad de los servicios financieros, incluso en caso de ciberataque, avería informática grave o fallo de un proveedor de servicios informáticos.

Limitar el impacto de las ciberamenazas en la estabilidad financiera.
Crear un marco de resistencia armonizado para toda la UE
Reforzar la gestión del riesgo informático y la supervisión de los proveedores

DORA sustituye a normativas dispersas y proporciona un marco único, vinculante y unificado.

---

Los 5 pilares reglamentarios del DORA

El DORA impone 5 grandes obligaciones a las empresas afectadas:

1️⃣ Un marco reforzado de gestión de los riesgos informáticos

Las empresas deben :
Implantar una gobernanza de los riesgos informáticos validada por la alta dirección
Adoptar normas de ciberseguridad (ISO 27001, NIST, etc.)
Seguir un plan de gestión de vulnerabilidades y amenazas
Realizar auditorías periódicas

Solución: Answer Writer le ayuda a estructurar sus políticas de seguridad y a documentar su marco de gestión de riesgos.

2️⃣ Protección de infraestructuras y redes

Los requisitos incluyen:
Protección de sistemas críticos (cifrado, MFA, control de acceso)
Despliegue de soluciones antimalware avanzadas
Creación de un Centro de Operaciones de Seguridad (SOC) con fines de supervisión
Gestión periódica de parches y pruebas de vulnerabilidad

3️⃣ Detección y respuesta a incidentes

El DORA impone un estricto proceso de gestión de incidentes:
Detección rápida de ciberataques
Plan de respuesta a incidentes
Notificación a las autoridades en un plazo de 24 a 72 horas en caso de incidente grave

Si se produce un retraso en la notificación de un incidente, pueden imponerse multas de hasta 250.000 euros.

4️⃣ Pruebas avanzadas de resistencia (Red Team, PenTest, PRA IT)

Las empresas deben:
✔ Probar regularmente la robustez de sus sistemas informáticos
✔ Organizar simulaciones de ciberataques avanzados
✔ Realizar auditorías de continuidad informática

Las mayores entidades financieras deberán realizar pruebas de penetración avanzadas (TLPT ) inspiradas en el programa TIBER-UE.

5️⃣ Gestión del riesgo de los proveedores informáticos

El DORA impone requisitos estrictos a los proveedores de servicios:
Auditoría precontractual de los proveedores de TI
Supervisión y evaluación continuas de los socios tecnológicos
Planes de salida en caso de fallo del proveedor

Los proveedores de TI críticos serán supervisados directamente por la UE.

---

¿Cómo anticiparse y cumplir con el DORA?

7 pasos clave para prepararse para 2025

1. Realizar un análisis de carencias
Evalúe su nivel de madurez en relación con los requisitos del DORA.

2. Implicar a la dirección y estructurar el gobierno de TI
Designe un responsable de DORA e implique al comité de riesgos.

3. Proteger los sistemas críticos y supervisar las infraestructuras
Reforzar la detección de amenazas, el acceso y la protección de datos.

4. Aplicar una estrategia de gestión de incidentes
Crear un plan de respuesta con procesos de notificación a las autoridades.

5. Ponga en marcha pruebas de resistencia (PenTest, PRA IT, Red Team)
Ponga a prueba la capacidad de su empresa para responder a ciberataques.

6. Audite y controle a sus proveedores de TI
Refuerce la gestión de terceros con contratos adaptados a los requisitos del DORA.

7. Automatice el cumplimiento y la documentación con Answer Writer
Simplifique la redacción de documentos de cumplimiento mediante la automatización.

---

DORA y automatización: el papel del redactor de respuestas

Dada la complejidad de los requisitos del DORA, las herramientas de gestión y automatización serán unos aliados inestimables:

GRC (Gobernanza, Riesgo y Cumplimiento): Supervisión de riesgos, auditorías y controles.
SIEM / SOC / Detección automatizada: Supervisión continua de los sistemas.
Gestión de terceros (TPRM): supervisión y evaluación de proveedores informáticos.
Documentación automatizada con Answer Writer:
Redacción asistida de políticas y procedimientos de ciberseguridad.
Generación automatizada de informes de cumplimiento de DORA.
Listas de comprobación y seguimiento en tiempo real de las obligaciones normativas.

Ahorre tiempo y reduzca el riesgo de errores en su documentación de cumplimiento de DORA con Answer Writer.

Conclusión: DORA, un gran reto para 2025, una oportunidad de refuerzo.

El cumplimiento del DORA no es solo una obligación normativa, es una oportunidad para mejorar la resiliencia digital del sector financiero.

Anticipe ahora su cumplimiento para evitar sanciones y garantizar la continuidad de sus servicios.

Necesita ayuda para estructurar su cumplimiento del DORA?

Descubra Answer Writer y simplifique la gestión de sus documentos normativos.