Cumplimiento normativo
DORA, el reglamento de resiliencia operativa digital, ya es obligatorio para el sector financiero y sus proveedores tecnológicos. Te preparamos para el ciclo completo: gestión del riesgo TIC, reporte de incidentes, pruebas de resiliencia, gestión de terceros y el registro de información que piden los supervisores.
Equipo certificado (CISA, CISSP, CISM) con experiencia en resiliencia operativa y riesgo TIC.
Estado de DORA
A diferencia de otras normas que aún se tramitan, DORA es un reglamento europeo que se aplica directamente desde enero de 2025. No hay margen de transposición: el cumplimiento es exigible ahora.
DORA se aplica desde el 17 de enero de 2025 a todo el sector financiero y a sus proveedores TIC. Las autoridades europeas ya designaron la primera lista de proveedores tecnológicos críticos, sometidos a supervisión directa, y han pasado de revisar documentación a exigir evidencia real de resiliencia. El registro de información de terceros se presenta cada año a los supervisores.
No es una norma futura, es presente. El cumplimiento ya es exigible y los supervisores están revisando de forma activa.
Alcanza a los proveedores TIC. Si das servicio tecnológico al sector financiero, DORA te llega por contrato, aunque no seas una entidad financiera.
Piden pruebas, no papeles. Ya no basta con tener la documentación: hay que demostrar que la resiliencia funciona, con evidencia.
A quién obliga
DORA alcanza a una veintena de tipos de entidades financieras y, de forma muy relevante, a los proveedores de servicios TIC que les dan soporte. El sector financiero depende cada vez más de la tecnología, y la norma lleva esa cadena hasta tus proveedores.
Fintech, plataformas de pago, criptoactivos y muchos otros perfiles entran también. Si tienes dudas sobre tu caso o el de tu servicio, el análisis de aplicabilidad lo aclara.
Los pilares
El corazón de DORA
La "R" de DORA es de resiliencia: la capacidad de seguir operando y recuperarte cuando algo falla. Y la norma no se conforma con que lo digas en un documento, exige que lo pruebes. Ahí confluyen tres cosas que hacemos a diario.
Toda entidad en el ámbito de DORA debe hacer pruebas de seguridad: evaluaciones de vulnerabilidades y pruebas de penetración sobre sus sistemas. Nuestro equipo de pentesting las ejecuta y documenta para que sirvan de evidencia.
Las entidades significativas deben ir más allá con pruebas dirigidas por amenazas, al menos cada tres años, simulando ataques reales sobre sistemas en producción. Es red team de alta exigencia, y los proveedores cualificados escasean: conviene planificarlo con tiempo.
La resiliencia se sostiene sobre planes de continuidad y recuperación que funcionan de verdad. Los alineamos con ISO 22301 y los ponemos a prueba, porque un plan que no se ha probado no es un plan, es una intención.
Las pruebas anuales alimentan el alcance de las avanzadas, y todo se apoya en una continuidad sólida. Por eso unimos en un mismo equipo el cumplimiento, la seguridad ofensiva y la continuidad: las tres patas que DORA pide demostrar juntas.
Servicio
Análisis de brechas frente a los cinco pilares de DORA y sus normas técnicas de desarrollo.
Marco de gestión del riesgo TIC: gobernanza, políticas y responsabilidades del órgano de dirección.
Gestión y reporte de incidentes: clasificación de incidentes graves y los plazos de notificación a la autoridad.
Pruebas de resiliencia operativa: programa de pruebas y, para las entidades que lo requieran, las pruebas avanzadas dirigidas por amenazas.
Registro de información: el inventario de acuerdos con terceros TIC que se entrega cada año a los supervisores.
Gestión de terceros TIC: cláusulas contractuales obligatorias, estrategias de salida y análisis de concentración.
Continuidad y recuperación: planes alineados con la resiliencia operativa que exige la norma.
Cuadro de evidencias: preparado para demostrar resiliencia ante una revisión, que es lo que ahora piden.
Método
Evaluación de brechas frente a los cinco pilares y a las normas técnicas, con foco en funciones críticas o importantes.
Hoja de ruta priorizada por riesgo, aprobada por el órgano de dirección, que la norma responsabiliza de forma expresa.
Marco de riesgo TIC, reporte de incidentes, registro de terceros, pruebas y continuidad.
Cuadro de evidencias, registro anual y soporte para las revisiones de los supervisores.
Sinergias
DORA no nace en el vacío: gran parte de su marco de riesgo TIC y de resiliencia se apoya en prácticas que un SGSI (ISO 27001) o un sistema de continuidad (ISO 22301) ya cubren. Trabajamos con un mapeo entre marcos para aprovechar lo que tienes, aunque DORA añade obligaciones propias del sector financiero: el registro de terceros, las pruebas de resiliencia y la supervisión directa de proveedores críticos. Y como DORA exige pruebas avanzadas de resiliencia, las que se conocen como TLPT, esa capacidad se apoya en nuestro Red Team, que es la base sobre la que se preparan.
Lo que nos diferencia: somos auditores además de implantadores. Y como los supervisores ya piden evidencia, no papeles, preparamos tu cumplimiento pensando en demostrarlo, que es justo nuestra forma de trabajar.
Dudas
DORA es el reglamento europeo de resiliencia operativa digital del sector financiero. Obliga a una veintena de tipos de entidades, banca, seguros, inversión, fintech y más, y de forma muy relevante a los proveedores de servicios TIC que les dan soporte. Su objetivo es que el sistema financiero resista, responda y se recupere de incidentes tecnológicos.
Desde el 17 de enero de 2025. A diferencia de una directiva como NIS2, DORA es un reglamento, así que se aplica directamente en toda la Unión Europea sin necesidad de transposición nacional. El cumplimiento es exigible ahora, y los supervisores ya están haciendo revisiones activas.
Muy probablemente, si das servicio al sector financiero. DORA exige a las entidades trasladar requisitos a sus proveedores por contrato, y los proveedores considerados críticos quedan bajo supervisión directa de las autoridades europeas. Aunque no seas crítico, tus clientes financieros te pedirán cumplir cláusulas DORA para seguir trabajando con ellos.
Es el inventario de todos tus acuerdos con terceros proveedores de servicios TIC, que las entidades deben mantener y entregar a los supervisores cada año. Documenta de quién dependes tecnológicamente y permite a las autoridades vigilar el riesgo de concentración. Su calidad importa: en las pruebas previas, muy pocas entidades pasaron todos los controles de calidad de datos.
DORA exige un programa de pruebas de resiliencia operativa para todas las entidades, y para las más significativas, pruebas avanzadas dirigidas por amenazas, que simulan ataques reales sobre los sistemas en producción. Es donde la seguridad ofensiva y el cumplimiento se encuentran, y donde nuestro equipo de pentesting aporta.
Ayuda, y bastante: el marco de riesgo TIC y la continuidad se apoyan en prácticas que un SGSI ya cubre, y trabajamos con ese mapeo. Pero DORA no equivale a ISO 27001: añade obligaciones propias del sector financiero como el registro de terceros, las pruebas de resiliencia y la supervisión de proveedores críticos, que la ISO no contempla.
¿Hablamos?
El análisis de aplicabilidad resuelve la duda en pocos días: si DORA te alcanza, como entidad o como proveedor, y qué te separa del cumplimiento.
Ponte en contacto