El reglamento DORA: gestión del riesgo TIC en el sector financiero
El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), es ya plenamente aplicable desde el 17 de enero de 2025 y marca un hito en la regulación de la resiliencia operativa digital del sector financiero europeo. Su finalidad es reforzar la capacidad de las entidades para prevenir, resistir, responder y recuperarse de incidentes relacionados con las tecnologías de la información y la comunicación.
Para comprender el alcance real de esta norma y sus obligaciones, resulta imprescindible analizar su ámbito subjetivo de aplicación, los elementos que deben prepararse para afrontar una auditoría y las consecuencias jurídicas de un eventual incumplimiento.
¿Quién está obligado a cumplir?
El ámbito de aplicación del reglamento se encuentra recogido en su artículo 2, que incluye a más de veinte categorías de entidades financieras sujetas a supervisión europea. Entre ellas figuran las entidades de crédito, las empresas de servicios de inversión, las entidades de pago y de dinero electrónico, las compañías aseguradoras y reaseguradoras, las sociedades gestoras de fondos y las infraestructuras de mercado, como plataformas de negociación o cámaras de compensación. También entran dentro de DORA las empresas de servicios de criptoactivos y determinados proveedores de servicios de datos financieros. Esta amplitud convierte a DORA en uno de los marcos regulatorios más transversales del derecho financiero europeo.
Aunque el reglamento menciona expresamente a los proveedores externos de servicios TIC, la responsabilidad principal de cumplimiento recae en las entidades financieras, que deben gestionar y supervisar de manera efectiva el riesgo asociado a estos terceros. El artículo 28 y siguientes establecen que las entidades financieras deben gestionar de forma exhaustiva el riesgo derivado del uso de terceros, lo que implica registrar todos los acuerdos TIC, identificar aquellos que soportan funciones críticas y garantizar que los contratos incluyen obligaciones mínimas en materia de seguridad, auditoría, acceso, localización de datos o subcontratación. Cuando un proveedor es designado como “crítico”, queda sometido al régimen de supervisión del Capítulo V, bajo la coordinación de la EBA, ESMA o EIOPA.
En España, esta gestión se articula bajo la vigilancia del Banco de España, la CNMV y la DGSFP, que han publicado criterios específicos sobre el registro y supervisión del riesgo operacional TIC.
Prepara a tu entidad para una auditoría
Preparar una entidad financiera para una auditoría en el marco de DORA implica disponer de un sistema de gestión del riesgo TIC sólido, coherente y trazable. Los artículos 5 a 14 detallan los requisitos mínimos del marco de gestión, incluyendo la identificación de activos esenciales, la evaluación continua de riesgos, el mantenimiento de políticas y controles de seguridad, los planes de continuidad y recuperación y la realización periódica de pruebas de resiliencia, incluidas las pruebas avanzadas de tipo “threat-led” cuando resulten exigibles.
A ello se suma la obligación de gestionar y notificar los incidentes graves conforme a los artículos 17 a 23, asegurando que los flujos de información hacia el supervisor financiero son consistentes con los derivados del RGPD cuando el incidente implica datos personales. En este punto, la AEPD ha recordado que las brechas de seguridad que afectan a datos personales deben notificarse en un máximo de 72 horas, lo que obliga a coordinar internamente los procedimientos de reporte DORA y RGPD.
Incumplimiento DORA
Desde la perspectiva jurídica, las consecuencias del incumplimiento son especialmente relevantes. El artículo 50 del reglamento exige que los Estados miembros establezcan sanciones “eficaces, proporcionadas y disuasorias”. En España, ello se traduce en la aplicación de los regímenes sancionadores sectoriales del Banco de España, CNMV y DGSFP, que pueden imponer multas de elevada cuantía, restricciones de actividad, apercibimientos públicos o incluso sanciones dirigidas directamente contra miembros del órgano de administración cuando se acredite una infracción grave de sus obligaciones.
Si además el incidente implica una vulneración de datos personales, las sanciones de DORA pueden acumularse con las previstas en el RGPD y la LOPDGDD, incrementando de manera significativa el riesgo económico y reputacional.
En definitiva, el cumplimiento del Reglamento DORA exige una transformación organizativa profunda, una gobernanza activa y una documentación alineada con los estándares europeos. Las entidades que aborden este proceso de forma estratégica no solo evitarán sanciones, sino que obtendrán una ventaja competitiva en un entorno digital cada vez más exigente.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.
Artículos Relacionados
Reglamento DORA: requisitos de contratación de terceros proveedores
Emprendiendo con éxito: autocartera y retribución innovadora en startups bajo la Ley de Startups
Reglamento DORA: resiliencia operativa digital en el sector financiero
Novedades en la publicidad de criptoactivos
Datos biométricos y criptomonedas gratis. Medidas cautelares impuestas por la AEPD
X ya tiene licencia para operar con criptomonedas y Dogecoin parece ser la elegida