Skip to content.

Secondary navigation

Obtener una demo
white woman with glasses and cropped dark hair crossing arms and staring out a glass window with the reflection of green tree branches

Requisitos de cumplimiento normativo de la DORA 

La Ley de Resiliencia Operativa Digital (DORA) de la UE entró en vigor el 16 de enero de 2023 y se aplicará a las empresas a partir del 17 de enero de 2025. Esta ley redefine la forma en que las entidades financieras deben abordar la resiliencia operativa.   

Comprender estos requisitos cruciales y desarrollar un plan para lograr el cumplimiento normativo de la DORA es fundamental para garantizar que su organización siga siendo segura, resiliente y conforme con la normativa en un panorama digital cada vez más regulado.

Comencemos

¿Qué es el Reglamento DORA de la UE? 

La Ley de Resiliencia Operativa Digital (DORA) es una normativa de la UE cuyo objetivo es garantizar que las entidades financieras puedan resistir y recuperarse de las perturbaciones y las amenazas relacionadas con las Tecnologías de la Información y la Comunicación (TIC).  

La DORA exige a las instituciones financieras y a los proveedores de servicios de TIC que identifiquen, monitoricen y mitiguen los riesgos de las TIC que puedan afectar a sus operaciones y cadenas de suministro. El reglamento garantiza la continuidad y la resiliencia incluso en condiciones adversas.  

Su ámbito de aplicación abarca un amplio abanico de entidades financieras y sus proveedores de TIC, y obliga a desarrollar marcos de gestión de riesgos para prevenir, detectar y responder a los incidentes. Los proveedores de servicios críticos de TIC también están sujetos a supervisión, lo que garantiza el cumplimiento de las normas de resiliencia operativa en todas las operaciones financieras.

Cómo prepararse para el Reglamento DORA de la UE 

Para no naufragar en el panorama del cumplimiento normativo de la Ley de Resiliencia Operativa Digital de la UE hay que plantearse muchas preguntas importantes. Estas son algunas de ellas:  

  • ¿Cómo podemos abordar sistemáticamente los posibles riesgos operativos y de TIC en nuestros sistemas?  
  • ¿Qué medidas debemos adoptar para integrar la ciberseguridad y la resiliencia operativa en nuestros programas de formación de personal?  
  • ¿Cómo podemos adaptar nuestras estructuras, políticas y procedimientos de gobernanza corporativa para reflejar los requisitos normativos que establece la DORA?  
  • ¿De qué forma podemos aprovechar la tecnología para mantenernos informados sobre las actualizaciones de la DORA u otras normativas relacionadas, como la Directiva sobre Redes y Sistemas de Información (NIS2)?
Descubra cómo NAVEX puede ayudarle

¿Cuáles son los cinco pilares del Reglamento DORA y qué implican?

La Ley de Resiliencia Operativa Digital (DORA) es un marco normativo que garantiza que las instituciones financieras de la UE puedan resistir y responder a las perturbaciones relacionadas con las TIC. La DORA esboza cinco pilares fundamentales para reforzar la resiliencia operativa de las empresas.

  • Gestión eficaz de los riesgos de las TIC

    Las entidades financieras deben adoptar marcos sólidos de gestión del riesgo de las TIC para mitigar y prevenir las amenazas que puedan perjudicar la resiliencia operativa.  

    • Evaluaciones periódicas de los riesgos para identificar vulnerabilidades  
    • Aplicación de medidas de seguridad para prevenir fallos de las TIC  
    • Monitorización y gestión de riesgos en tiempo real  
    • Notificación rápida de los problemas relacionados con las TIC

Gestión eficaz de los riesgos de las TIC

Las entidades financieras deben adoptar marcos sólidos de gestión del riesgo de las TIC para mitigar y prevenir las amenazas que puedan perjudicar la resiliencia operativa.  

  • Evaluaciones periódicas de los riesgos para identificar vulnerabilidades  
  • Aplicación de medidas de seguridad para prevenir fallos de las TIC  
  • Monitorización y gestión de riesgos en tiempo real  
  • Notificación rápida de los problemas relacionados con las TIC

Cómo cumplir los requisitos de cumplimiento normativo de la DORA en su organización

La DORA tiene como objetivo garantizar que las instituciones financieras de la UE puedan resistir todo tipo de perturbaciones y amenazas a sus sistemas digitales. Para lograr el cumplimiento normativo de la DORA, su organización debe seguir estos pasos:

  • Formación de los empleados y las partes interesadas en el cumplimiento normativo de la DORA

    Empiece por informar a todas las partes interesadas sobre las disposiciones e implicaciones de la Ley de Resiliencia Operativa Digital. Implemente programas de formación que cubran el marco normativo y que hagan hincapié en la importancia de la resiliencia digital y las posibles consecuencias del incumplimiento normativo de la DORA.

Formación de los empleados y las partes interesadas en el cumplimiento normativo de la DORA

Empiece por informar a todas las partes interesadas sobre las disposiciones e implicaciones de la Ley de Resiliencia Operativa Digital. Implemente programas de formación que cubran el marco normativo y que hagan hincapié en la importancia de la resiliencia digital y las posibles consecuencias del incumplimiento normativo de la DORA.

Cómo puede ayudarle NAVEX a cumplir los requisitos normativos de la DORA  

Su equipo merece sentirse orgulloso de trabajar en una empresa que prioriza las prácticas legales y éticas. Con NAVEX One, puede asegurarse de que tanto su organización como sus empleados disponen de las herramientas necesarias para mantener el cumplimiento normativo y estar a la altura de estos estándares.

Respuestas a sus principales preguntas sobre el cumplimiento normativo de la DORA 

  • ¿Qué es la DORA en términos de cumplimiento normativo y regulación? 

    DORA es un acrónimo de «Digital Operational Resilience Act» (Ley de resiliencia operativa digital), y se trata de una nueva normativa de la Unión Europea dirigida al sector de los servicios financieros. Su objetivo es garantizar que las instituciones financieras de la UE sean capaces de resistir, responder y recuperarse de todo tipo de riesgos relacionados con las Tecnologías de la Información y la Comunicación (TIC), en particular de los de ciberseguridad.

  • ¿Quién debe cumplir la DORA? 

    La DORA se aplica a todas las entidades financieras que operan en la Unión Europea, incluidos bancos, compañías de seguros, empresas de inversión, entidades de pago y otras entidades pertinentes. Esto se extiende a los terceros proveedores de servicios de TIC que trabajan con dichas entidades financieras.

  • ¿Cuál es el plazo de cumplimiento de la DORA? 

    Los requisitos de cumplimiento normativo de la DORA entrarán en vigor el 17 de enero de 2025, de modo que las instituciones financieras tendrán tiempo de ajustar sus procesos y sistemas internos a fin de garantizar el cumplimiento normativo del reglamento.

  • ¿Cuáles son los principales requisitos normativos de la DORA? 

    Los requisitos normativos de la DORA se organizan en cinco pilares fundamentales:  

    1. Gestión de riesgos de las TIC: las organizaciones deben establecer y mantener marcos sólidos de gestión de riesgos de las TIC para identificar y mitigar los riesgos.  
    2. Notificación de incidentes: las instituciones financieras deben notificar a las autoridades los incidentes significativos relacionados con las TIC.  
    3. Pruebas de resiliencia operativa digital: se requieren pruebas periódicas de resiliencia operativa digital, incluidas pruebas de penetración.  
    4. Gestión de riesgos de terceros en el ámbito de las TIC: las organizaciones deben gestionar y monitorizar los riesgos de terceros proveedores de servicios.  
    5. Intercambio de información: se insta a las instituciones financieras a compartir información sobre ciberamenazas para mejorar la resiliencia en general.

  • ¿Cuáles son los puntos clave de la DORA? 

    Los cinco pilares representan un enfoque integral para garantizar que las instituciones financieras mantengan su resiliencia frente a los riesgos digitales.  

    Estos pilares se basan en los siguientes principios: 

    • Reforzar los marcos de gestión de riesgos  
    • Promover la transparencia y la capacidad de respuesta ante incidentes  
    • Garantizar que todo el ecosistema financiero, incluidos los terceros proveedores de servicios, esté preparado para las perturbaciones operativas  
    • Fomentar la colaboración para hacer frente a las nuevas amenazas contra la ciberseguridad

  • ¿Por qué es tan importante la DORA? 

    La DORA es fundamental porque el sector financiero depende cada vez más de la infraestructura digital, lo que hace que sea vulnerable a ciberataques y fallos de las TIC. El reglamento garantiza la estabilidad financiera al imponer prácticas de ciberseguridad sólidas en todo el sector.

  • ¿Cuál es la sanción por incumplimiento normativo de la DORA? 

    El incumplimiento normativo de la DORA puede acarrear graves sanciones, incluidas multas y daños a la reputación. Las autoridades nacionales competentes de los Estados miembros de la UE son responsables de aplicar estas sanciones, que pueden variar en función de la infracción.