Reglamento DORA
Breve resumen inspirado en documentos de INCIBE y de la empresa S2 grupo.
DORA 1 (Digital Operational Resilience Act): regulación de la Unión Europea que tiene como
objetivo mejorar la resiliencia operativa y la ciberseguridad en el sector financiero,
específicamente en relación con los riesgos relacionados con las tecnologías de la información
y la comunicación (TIC). El reglamento reconoce que los incidentes de ciberseguridad y la falta
de resiliencia operativa tienen la posibilidad de poner en peligro la solidez de todo el sistema
financiero. Con su aprobación, la UE trata de instar a las compañías financieras a identificar y
gestionar los posibles riesgos digitales a los que se enfrentan. Así, pone el foco en un sector
clave y particularmente sensible a ciberataques, estipulando las obligaciones y procedimientos
que deben respetarse. Supone un marco normativo unificado que viene a unir y actualizar
diferentes normas ya existentes (EBA, PSD, EIOPA, eIDAS…). con medidas fragmentarias en
cada país, buscando aunar y armonizar esfuerzos en torno a la ciberresiliencia 2.
Afecta a entidades financieras incluyendo bancos, compañías de seguros y empresas de
inversión. También se refiere también a los terceros esenciales que presten servicios a las
entidades financieras (p.e., plataformas en la nube o servicios de análisis de datos).
proteger
incidentes de ciberseguridad
requisitos para la gestión de
detectar
contener
recuperar
reparar
incidentes
Ilustración 1 Requisitos para las entidades financieras
1
https://www.boe.es/buscar/doc.php?id=DOUE-L-2022-81962
2
https://s2grupo.es/que-es-la-ciberresiliencia-y-por-que-es-importante-para-las-empresas/
1
� gestión del riesgo de las TIC
requisitos y obligaciones
notificación de incidentes
específicos
realización de pruebas de
resiliencia operativa
el establecimiento
de acuerdos de intercambio
de ciberamenazas
monitorización del riesgo de
la cadena de suministro
Ilustración 2 requisitos y obligaciones específicos
Requisitos de DORA para las entidades financieras
DORA establece requisitos específicos en cuatro dominios principales:
1. Gestión y gobernanza del riesgo de TIC: las entidades financieras deben desarrollar
marcos integrales de gestión del riesgo de las TIC, identificando y clasificando activos
críticos, realizando evaluaciones continuas de riesgos y estableciendo medidas de
ciberseguridad adecuadas. El órgano de dirección de las entidades financieras será el
responsable de definir las estrategias de gestión del riesgo y podrá ser responsable
personalmente por el incumplimiento de la regulación.
2. Notificación de incidentes: las entidades financieras deben establecer sistemas para
monitorear, administrar, registrar, clasificar e informar incidentes relacionados con las
TIC. Deben presentar informes a las autoridades competentes y a los clientes y socios
afectados sobre incidentes graves, proporcionando informes iniciales, intermedios y
finales, y, con carácter voluntario, incidentes importantes.
3. Pruebas de resiliencia operativa digital, e intercambio de amenazas: las instituciones
financieras deben probar regularmente sus sistemas de TIC para evaluar su fortaleza y
detectar vulnerabilidades. Las pruebas incluyen evaluaciones de vulnerabilidades y
pruebas basadas en escenarios, así como pruebas de penetración con amenazas
especificas dirigías a entidades financieras. Igualmente, se deben establecer acuerdos
de intercambio de información e inteligencia en relación con las ciberamenazas y las
vulnerabilidades de ciberseguridad entre las entidades financieras.
2
� 4. Gestión de riesgos de terceros: las instituciones financieras deben asumir un papel
activo en la gestión del riesgo de terceros de TIC, estableciendo acuerdos
contractuales específicos y mapeando dependencias de la cadena de suministro. Los
proveedores de servicios de TIC críticos también estarán sujetos a supervisión directa y
deberán cumplir con los requisitos de DORA.
Entidades financieras afectadas
1. Bancos: tanto bancos comerciales como bancos de inversión.
2. Compañías de seguros: compañías que ofrecen servicios de seguros de diferentes
tipos.
3. Gestores de fondos: entidades que administran y gestionan fondos de inversión.
4. Sociedades de valores: empresas que ofrecen servicios de intermediación y
negociación de valores.
5. Plataformas de negociación: plataformas electrónicas que facilitan la compra y venta
de instrumentos financieros.
6. Proveedores de servicios de compensación y liquidación de valores: entidades
encargadas de la compensación y liquidación de transacciones de valores.
7. Agencias de calificación crediticia: entidades que emiten evaluaciones y calificaciones
sobre la solvencia crediticia de entidades financieras y emisores de valores.
8. Otros
Notificación de incidentes
Pasos a seguir por las entidades financieras para notificar un incidente:
1. Identificación del incidente: la entidad financiera debe tener procedimientos internos
establecidos para identificar, rastrear, registrar, categorizar y clasificar todos los
incidentes relacionados con las TIC. Es importante disponer de mecanismos adecuados
para detectar y evaluar los incidentes de manera efectiva, así como realizar un
seguimiento, tratamiento y respuesta coherentes. Además, es fundamental
documentar y abordar las causas subyacentes de los incidentes para prevenir su
recurrencia.
2. Evaluación de la gravedad: la entidad financiera debe realizar una evaluación de la
gravedad o importancia del incidente para determinar si es necesario realizar la
notificación. Los incidentes considerados graves deben ser comunicados a los altos
directivos pertinentes y al órgano de dirección, explicando sus repercusiones, las
medidas adoptadas como respuesta y los controles adicionales que se prevé implantar
como resultado de estos incidentes graves relacionados con las TIC.
Los criterios de evaluación pueden incluir umbrales para determinar el impacto en los
servicios financieros, como el número de clientes afectados, transacciones
3
� involucradas, alcance geográfico, y duración de la interrupción de las operaciones.
Además, se debe considerar la taxonomía 3 del incidente, el riesgo para los clientes y el
impacto en la seguridad de la información en relación con la confidencialidad,
integridad o disponibilidad de los datos.
3. Notificación a la Autoridad de Supervisión Competente (ASC): la entidad financiera
está obligada a informar sobre el incidente a la autoridad de supervisión competente
correspondiente dentro el plazo establecido por DORA. La autoridad competente
puede variar dependiendo del tipo de entidad financiera y su ámbito de actividad. En
España, el Banco de España actúa como autoridad supervisora de las entidades de
crédito. Además, INCIBE-CERT es uno de los equipos de respuesta ante incidentes de
referencia que se coordina con otros equipos nacionales e internacionales.
4. Contenido de la notificación: se requerirá una notificación Inicial, un informe
intermedio, cuando la situación del incidente haya cambiado significativamente y un
informe final con las conclusiones del análisis de la causa subyacente. La notificación
debe incluir información relevante sobre la naturaleza del incidente, su impacto
esperado o actual, las medidas adoptadas o previstas, y cualquier otra información
solicitada por la autoridad de supervisión competente.
Evaluación de Informes Contenido de
Identificación Notificación
la gravedad requeridos la notificación
Ilustración 3 Notificación de incidentes. Pasos.
3
https://www.incibe.es/incibe-cert/incidentes/taxonomia
4
�Plazos
17 de enero 2025
17 de enero 2023 a 16 de
Las entidades financieras
enero 2025
tienen que estar cumpliendo
Las entidades financieras
16 de enero de 2023 los requisitos establecidos
tienen un plazo de dos años
Entrada en vigor de DORA. en el reglamento DORA.
para cumplir los requisitos
Inicio de las actividades de
establecidos en el
supervisión por las
reglamento DORA.
autoridades competentes.
Ilustración 4 Cronología DORA
Obligaciones de DORA
contar con un
marco de Realizar Monitorear la
gestión de pruebas Garantizar la cadena de
riesgos periódicas transparencia valor
regular qué a los sistemas y informar a las deberán
procedimientos protocolos de partes garantizar el
internos y las entidades. A implicadas en seguimiento de
protocolos de través de estos caso de tener cualquier
actuación se tests, se busca lugar un función
van a poner en comprobar su incidente. tecnológica
marcha en robustez y que
relación con los desvelar subcontrate o
riesgos potenciales delegue a
tecnológicos vulnerabilidade terceros.
concretos a los s. El monitoreo y
que se enfrente control
cada entidad. exhaustivo de
inventario de los
riesgos y de las proveedores
herramientas deberá ser
con que se revisado
cuenta para periódicamente
evitarlos y .
mitigarlos.
