El Reglamento sobre la resiliencia operativa digital (DORA) es un reglamento de la UE que garantiza que las entidades financieras puedan resistir, responder y recuperarse frente a las interrupciones que estén relacionadas con las TIC y las amenazas cibernéticas.
El Reglamento sobre resiliencia operativa digital (DORA) es la normativa europea que supervisa las funciones de seguridad de las entidades financieras en toda la UE y que establece un marco normativo unificado que obliga a las empresas a gestionar los riesgos TIC, informar sobre incidentes graves y garantizar la continuidad del negocio. En definitiva, la DORA se aplica a bancos, aseguradoras, empresas de inversión, entidades de crédito y cualquier proveedor esencial que ofrezca servicios TIC como, p. ej., servicios en la nube o de análisis de datos.
Desde su entrada en vigor a partir de enero de 2025, la DORA complementa iniciativas más amplias de la UE, como la Directiva NIS2, y tiene como objetivo armonizar las normas de ciberseguridad y resiliencia en todo el sector financiero.
El Reglamento sobre la resiliencia operativa digital representa un cambio sin precedentes en el modo en que las instituciones financieras abordan la resiliencia operativa y la gestión de los riesgos cibernéticos. De hecho, va más allá del cumplimiento normativo con el objetivo de garantizar que las instituciones puedan continuar operando incluso durante interrupciones severas de las TIC.
El reglamento introduce pruebas obligatorias, clasificación de riesgos y supervisión de terceros con el fin de mejorar la resiliencia en los complejos ecosistemas financieros. También, estandariza la forma en que se notifican y mitigan los incidentes, lo que permite la coordinación y la transparencia a escala de la UE.
Cumplir con la DORA ayuda a que las organizaciones puedan fortalecer su infraestructura digital, reducir los riesgos del tiempo de inactividad y generar confianza entre los reguladores, clientes y socios.
OneTrust ayuda a que las organizaciones puedan prepararse para el cumplimiento del Reglamento sobre la resiliencia operativa digital mediante la centralización de la gestión de riesgos TIC, la monitorización de terceros y la notificación de incidentes. De hecho, la plataforma permite automatizar las evaluaciones, el rastreo de evidencias y la documentación para estar bien preparado frente a auditorías y cualquier obligación regulatoria de carácter transfronterizo.
[Explorar soluciones →]
El Reglamento sobre la resiliencia operativa digital (DORA) se centra concretamente en el sector financiero y su ecosistema TIC, mientras que el NIS2 se aplica a los proveedores de servicios esenciales o digitales de todos los sectores. Ambos marcos promueven la resiliencia y la ciberseguridad, aunque la DORA establece requisitos más estrictos de gobernanza y pruebas.
La DORA se aplica a instituciones financieras como bancos, aseguradoras y empresas de inversión, así como a los proveedores de servicios TIC que resulten críticos para las operaciones financieras, incluidos los proveedores de servicios en la nube y de análisis de datos.
El Reglamento sobre la resiliencia operativa digital (DORA) hace especial hincapié en la gestión de los riesgos TIC por parte de terceros, por lo que exige a las instituciones financieras que identifiquen, evalúen, supervisen y mitiguen los riesgos derivados de su dependencia de proveedores externos de servicios TIC.
Según la DORA, las organizaciones deben garantizar acuerdos contractuales adecuados, realizar una supervisión continua de los proveedores TIC que resulten esenciales y mantener estrategias de salida con el fin de reducir los riesgos que deriven de dependencias. Este reglamento también introduce un marco de supervisión a escala de la UE para los proveedores externos de servicios TIC que sean esenciales, lo que refuerza la resiliencia en toda la cadena de suministro del sector financiero.