Cumplimiento DORA, totalmente automatizado
El Reglamento de Resiliencia Operativa Digital es ahora obligatorio para las entidades financieras de la UE. Matproof cubre los cinco pilares de DORA — desde la gestión de riesgos ICT hasta el registro de proveedores Art. 28.
Solicitar una demoQue es la Ley de Resiliencia Operativa Digital (DORA)?
La Ley de Resiliencia Operativa Digital (DORA), formalmente conocida como Reglamento UE 2022/2554, es un marco regulatorio integral disenado para fortalecer la resiliencia operativa digital del sector financiero europeo. Adoptada por el Parlamento Europeo en noviembre de 2022 y obligatoria desde el 17 de enero de 2025, DORA establece requisitos uniformes para garantizar que las entidades financieras puedan resistir, responder y recuperarse de interrupciones y amenazas relacionadas con las TIC.
DORA fue introducida en respuesta a la creciente dependencia de las instituciones financieras de las tecnologias de la informacion y la comunicacion (TIC). A medida que los servicios financieros se digitalizan cada vez mas, el impacto potencial de los ciberincidentes, fallos del sistema e interrupciones tecnologicas sobre la estabilidad financiera ha crecido significativamente. El reglamento aborda el enfoque fragmentado de la gestion de riesgos TIC que existia anteriormente entre los Estados miembros de la UE, creando un marco unico y armonizado.
A diferencia de muchas directivas de la UE que requieren transposicion nacional, DORA es un reglamento que se aplica directa y uniformemente en todos los Estados miembros de la UE. Esto significa que las entidades financieras en Alemania, Francia, los Paises Bajos y cualquier otro pais de la UE deben cumplir exactamente los mismos requisitos. El reglamento se complementa con una serie de Normas Tecnicas de Regulacion (RTS) y Normas Tecnicas de Ejecucion (ITS) desarrolladas por las Autoridades Europeas de Supervision (ESAs) - EBA, EIOPA y ESMA.
DORA se estructura en torno a cinco pilares fundamentales que juntos crean un enfoque integral de la resiliencia operativa digital: gestion de riesgos TIC, gestion y notificacion de incidentes relacionados con las TIC, pruebas de resiliencia operativa digital, gestion de riesgos de terceros proveedores TIC, e intercambio de informacion e inteligencia. Cada pilar contiene obligaciones especificas que las entidades financieras deben implementar, con proporcionalidad aplicada segun el tamano de la entidad, su perfil de riesgo y la complejidad de sus servicios TIC.
Quien necesita cumplir con DORA?
DORA se aplica a aproximadamente 22.000 entidades financieras en toda la Union Europea. El alcance es deliberadamente amplio para garantizar una cobertura integral del ecosistema financiero y sus dependencias TIC. Los siguientes tipos de entidades estan dentro del ambito de DORA:
Entidades financieras
- Entidades de credito (bancos)
- Instituciones de pago e instituciones de dinero electronico
- Empresas de inversion y gestoras de fondos
- Empresas de seguros y reaseguros
- Proveedores de servicios de criptoactivos
- Depositarios centrales de valores
Proveedores de servicios TIC
- Proveedores de servicios de computacion en la nube
- Proveedores de Software como Servicio (SaaS)
- Proveedores de analitica de datos y centros de datos
- Proveedores criticos de servicios TIC a terceros (CTPPs)
- Proveedores de servicios de seguridad gestionada
- Proveedores de infraestructura TI y redes
En Alemania, la Autoridad Federal de Supervision Financiera (BaFin) es la principal autoridad nacional competente responsable de supervisar el cumplimiento de DORA. BaFin trabaja dentro del marco de supervision europeo mas amplio junto con el BCE/MUS para instituciones significativas y las ESAs para las normas tecnicas de regulacion. Las entidades financieras alemanas ya sujetas a los requisitos de BaFin como BAIT, VAIT y KAIT encontraran una superposicion significativa con DORA, aunque el reglamento de la UE introduce requisitos adicionales, particularmente en torno a las pruebas de resiliencia y la supervision de riesgos de terceros.
Not sure if you're compliant?
Take the free DORA readiness assessment — 10 questions, 3 minutes.
Requisitos clave de DORA: Los 5 pilares en detalle
1. Marco de gestion de riesgos TIC (Art. 5-16)
Las entidades financieras deben establecer y mantener un marco integral de gestion de riesgos TIC como parte de su sistema general de gestion de riesgos. Esto incluye la identificacion de todas las funciones empresariales soportadas por TIC, la clasificacion de activos de informacion, evaluaciones de riesgo continuas e implementacion de medidas de proteccion, deteccion y respuesta. El organo de direccion asume la responsabilidad ultima y debe aprobar y revisar periodicamente el marco de gestion de riesgos TIC, asignar presupuesto adecuado y mantenerse informado sobre los riesgos TIC.
2. Gestion y notificacion de incidentes relacionados con las TIC (Art. 17-23)
DORA introduce un marco estandarizado para clasificar, gestionar y notificar incidentes relacionados con las TIC. Las entidades financieras deben implementar procesos para detectar, gestionar y registrar incidentes utilizando criterios como el numero de clientes afectados, la duracion, la extension geografica y la criticidad de los servicios afectados. Los incidentes graves deben notificarse a la autoridad competente mediante plantillas prescritas - una notificacion inicial dentro de las 4 horas posteriores a la clasificacion, un informe intermedio dentro de las 72 horas y un informe final dentro de un mes.
3. Pruebas de resiliencia operativa digital (Art. 24-27)
Todas las entidades financieras dentro del ambito deben realizar pruebas periodicas de sus sistemas y herramientas TIC. Las pruebas basicas (evaluaciones de vulnerabilidad, revisiones de seguridad de red, analisis de brechas) deben realizarse al menos anualmente. Las entidades financieras significativas tambien deben someterse a pruebas avanzadas mediante Pruebas de Penetracion Basadas en Amenazas (TLPT) al menos cada tres anos, realizadas por probadores externos cualificados siguiendo el marco TIBER-EU. Las pruebas TLPT deben cubrir funciones y servicios criticos, y los resultados deben compartirse con la autoridad competente.
4. Gestion de riesgos de terceros proveedores TIC (Art. 28-44)
DORA impone obligaciones extensas para la gestion de riesgos derivados de proveedores de servicios TIC a terceros. Las entidades financieras deben mantener un registro de todos los acuerdos contractuales con proveedores TIC (el Registro de Informacion segun el Art. 28(3)), realizar una diligencia debida exhaustiva antes de la contratacion e incluir disposiciones contractuales especificas que cubran seguridad, derechos de auditoria, ubicacion de datos y estrategias de salida. Los Proveedores Criticos de Servicios TIC a Terceros (CTPPs) seran supervisados directamente por las ESAs a traves de un marco de supervision dedicado.
5. Intercambio de informacion e inteligencia (Art. 45)
DORA alienta a las entidades financieras a intercambiar voluntariamente informacion e inteligencia sobre ciberamenazas entre si. Esto incluye indicadores de compromiso (IoCs), tacticas, tecnicas y procedimientos (TTPs), y alertas de ciberseguridad. El intercambio de informacion debe cumplir con las regulaciones de proteccion de datos y realizarse a traves de comunidades de confianza. Aunque es voluntario, la participacion en acuerdos de intercambio de informacion se considera una buena practica y puede ser vista favorablemente por los supervisores.
6. Gestion de la continuidad del negocio TIC
Las entidades financieras deben desarrollar y mantener una politica integral de continuidad del negocio TIC y planes de recuperacion ante desastres relacionados. Estos deben probarse al menos anualmente y cubrir todas las funciones criticas y los sistemas TIC de soporte. Los planes deben incluir Objetivos de Tiempo de Recuperacion (RTO) y Objetivos de Punto de Recuperacion (RPO), y las entidades deben garantizar que puedan cambiar a sistemas de respaldo y restaurar las operaciones dentro de los plazos definidos. Se requieren ejercicios periodicos basados en escenarios.
7. Gobernanza y responsabilidades del organo de direccion
DORA asigna responsabilidad explicita al organo de direccion (consejo de administracion o equivalente) en la gestion de riesgos TIC. Los miembros deben poseer conocimientos adecuados sobre riesgos TIC, participar activamente en el establecimiento del marco de gestion de riesgos TIC y recibir formacion especifica. El organo de direccion debe definir, aprobar y supervisar la implementacion de la estrategia de riesgos TIC, incluyendo los niveles de tolerancia al riesgo. El incumplimiento de estas obligaciones puede resultar en responsabilidad personal.
Sanciones por incumplimiento de DORA
DORA establece un regimen de aplicacion robusto con consecuencias financieras y personales significativas por incumplimiento. Las autoridades nacionales competentes - como BaFin en Alemania - tienen amplios poderes de supervision e investigacion, incluyendo la capacidad de realizar inspecciones in situ, solicitar informacion y emitir ordenes vinculantes.
o el 5% de la facturacion anual total para entidades financieras (la cantidad que sea mayor)
para personas en cargos directivos que no garanticen el cumplimiento
Los CTPPs enfrentan sanciones diarias de hasta el 1% de la facturacion media diaria mundial hasta que se restablezca el cumplimiento
Los miembros del consejo enfrentan responsabilidad individual por fallos de cumplimiento, incluyendo la posible inhabilitacion
Mas alla de las sanciones financieras, el incumplimiento de DORA puede conllevar dano reputacional, perdida de licencias de operacion, mayor escrutinio supervisor y restricciones en las actividades comerciales. Las autoridades competentes tambien pueden publicar las conclusiones de incumplimiento, generando consecuencias significativas en el mercado.
Como comenzar con el cumplimiento de DORA
Dado que DORA es obligatoria desde el 17 de enero de 2025, las entidades financieras deberian estar trabajando activamente hacia el cumplimiento total. A continuacion se presenta un enfoque estructurado para lograr y mantener el cumplimiento de DORA:
- 1
Analisis de brechas y alcance
Evalue sus practicas actuales de gestion de riesgos TIC frente a todos los requisitos de DORA. Identifique brechas en los cinco pilares y priorice los esfuerzos de remediacion segun el riesgo y las expectativas regulatorias. Mapee los controles existentes de BAIT, ISO 27001 u otros marcos a los requisitos de DORA.
- 2
Marco de gestion de riesgos TIC
Establezca o actualice su marco de gestion de riesgos TIC con politicas, procedimientos y controles documentados. Defina el apetito de riesgo, los criterios de clasificacion y asigne roles y responsabilidades claros. Asegurese de que existan mecanismos de aprobacion y supervision por parte del organo de direccion.
- 3
Registro de terceros y gestion de proveedores
Construya y mantenga el Registro de Informacion (RoI) para todos los acuerdos con terceros proveedores TIC. Revise y actualice los contratos para incluir las disposiciones requeridas por DORA. Implemente procesos de monitoreo continuo y diligencia debida para proveedores TIC criticos e importantes.
- 4
Gestion y notificacion de incidentes
Implemente procedimientos de clasificacion, escalado y notificacion de incidentes alineados con los requisitos de DORA. Establezca canales de comunicacion con las autoridades competentes y pruebe los flujos de trabajo de notificacion. Asegurese de poder cumplir con el plazo de notificacion inicial de 4 horas para incidentes graves.
- 5
Programa de pruebas de resiliencia
Disene e implemente un programa de pruebas que cubra las pruebas basicas anuales y - para entidades significativas - TLPT cada tres anos. Seleccione proveedores de pruebas cualificados y defina escenarios de prueba que cubran funciones criticas. Documente los resultados y realice seguimiento de la remediacion de las vulnerabilidades identificadas.
- 6
Monitoreo y mejora continua
Implemente un monitoreo continuo de los riesgos TIC, controles y proveedores terceros. Revise y actualice periodicamente su marco de gestion de riesgos TIC basandose en los cambios del panorama de amenazas, las lecciones aprendidas de los incidentes y las actualizaciones de la orientacion regulatoria. Preparese para el compromiso supervisor continuo y las obligaciones de informes.
Preguntas frecuentes sobre DORA
Que es la Ley de Resiliencia Operativa Digital (DORA)?
DORA (Reglamento UE 2022/2554) es un reglamento vinculante de la UE que establece requisitos uniformes para la seguridad de los sistemas de redes e informacion en el sector financiero. Cubre la gestion de riesgos TIC, la notificacion de incidentes, las pruebas de resiliencia operativa digital, la gestion de riesgos de terceros proveedores TIC y el intercambio de informacion. DORA es obligatoria desde el 17 de enero de 2025.
Quien debe cumplir con DORA?
DORA se aplica a aproximadamente 22.000 entidades financieras en toda la UE, incluyendo bancos, companias de seguros, empresas de inversion, instituciones de pago, proveedores de servicios de criptoactivos y proveedores criticos de servicios TIC a terceros. Tambien cubre proveedores de servicios en la nube, empresas de analitica de datos y proveedores de software que prestan servicio a estas entidades financieras.
Cuales son las sanciones por incumplimiento de DORA?
Las entidades financieras enfrentan multas administrativas de hasta EUR 10 millones o el 5% de la facturacion anual total, la cantidad que sea mayor. Para personas fisicas, las multas pueden alcanzar EUR 5 millones. Los proveedores criticos de servicios TIC a terceros pueden ser multados con hasta EUR 5 millones, o EUR 500.000 para personas fisicas. Ademas, los miembros del consejo enfrentan responsabilidad personal por fallos de cumplimiento.
Cual es la diferencia entre DORA y NIS2?
Aunque tanto DORA como NIS2 abordan la ciberseguridad, DORA es especifica del sector financiero y proporciona requisitos mas detallados para la gestion de riesgos TIC, las pruebas de resiliencia y la gestion de riesgos de terceros. NIS2 es mas amplia y cubre 18 sectores. Para las entidades financieras, DORA tiene prioridad como regulacion sectorial especifica (lex specialis).
Cuanto tiempo se necesita para cumplir con DORA?
El plazo varia segun el nivel de madurez de su organizacion. Con un SGSI existente y un marco de cumplimiento, la preparacion para DORA puede lograrse en 3-6 meses. Para organizaciones que parten de cero, espere de 6 a 12 meses. La plataforma de automatizacion de Matproof puede reducir estos plazos en un 50-70% mediante el mapeo automatizado de controles, la recopilacion de evidencias y el analisis de brechas.
Cuales son los 5 pilares de DORA?
DORA se construye sobre cinco pilares: (1) Gestion de riesgos TIC - establecimiento de un marco integral para identificar y mitigar riesgos TIC; (2) Notificacion de incidentes relacionados con las TIC - clasificacion y notificacion estandarizada a los reguladores; (3) Pruebas de resiliencia operativa digital - incluyendo pruebas de penetracion basadas en amenazas (TLPT); (4) Gestion de riesgos de terceros proveedores TIC - supervision de todos los proveedores de servicios TIC; y (5) Intercambio de informacion - intercambio voluntario de inteligencia sobre ciberamenazas entre entidades financieras.
DORA Readiness Assessment
Check your digital operational resilience in 3 minutes
Funcionalidades clave
Gestión de riesgos ICT (Art. 5-16)
Registros de riesgos automatizados con puntuación de probabilidad e impacto. Monitoreo continuo y seguimiento de mitigación alineados con los requisitos de DORA.
Notificación de incidentes (Art. 17-23)
Registre, clasifique y notifique incidentes ICT a BaFin en el formato requerido. Genere automáticamente evaluaciones de gravedad e informes cronológicos.
Pruebas de resiliencia (Art. 24-27)
Realice seguimiento de los programas de TLPT y pruebas de resiliencia. Gestione calendarios de pruebas, hallazgos y planes de remediación en un solo lugar.
Riesgo de terceros (Art. 28-44)
Mantenga el registro Art. 28 de todos los proveedores ICT. Evaluaciones de proveedores con IA, seguimiento de contratos y estrategias de salida.
Intercambio de información (Art. 45)
Documente los acuerdos de intercambio de inteligencia sobre amenazas y cumpla con los requisitos de intercambio de información entre entidades financieras.
Informes listos para BaFin
Genere informes regulatorios en el formato exacto que BaFin espera. Un clic, sin formato manual.
¿Por qué Matproof?
Cumplimiento cumplimiento en toda Alemania
Encuentre guías de cumplimiento específicas por ciudad para su institución financiera.
DORA Readiness Assessment
Check your digital operational resilience in 3 minutes
Historias de clientes
Equipos que dejaron de temer la temporada de auditorías.
Matproof nos ahorró meses de preparación de auditoría. Conectamos nuestras herramientas el lunes y el viernes ya teníamos evidencias mapeadas a DORA. Nuestro auditor quedó impresionado por la profundidad de la pista de auditoría.
Head of Compliance
Series B Fintech, Germany
* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.