REGLAMENTO DORA

 SOLICITAR INFORMACIÓN O PRESUPUESTO

El Digital Operational Resilience Act (DORA) está diseñado para mejorar la resiliencia operativa, reducir las amenazas de TI y aumentar la capacidad de las empresas financieras en la UE para prevenir y manejar incidentes relacionados con las TIC. 

Entra en vigor el 17 de enero de 2025, como parte de los esfuerzos de la UE para regular el sector digital. DORA se aplica a todas las instituciones financieras en la UE y, para algunas empresas, requerirá medidas adicionales de seguridad de TI, incluso si ya cumplen con marcos como ISO 27001 o COBIT.

¿qUÉ ES EL REGLAMENTO DORA?

El Digital Operational Resilience Act o DORA se aplica a instituciones financieras, incluidas (pero no limitadas a) instituciones de crédito y pago, firmas de inversión, compañías de seguros e intermediarios, fondos de pensiones y plataformas de comercio. El Reglamento establece un marco regulatorio sobre resiliencia operativa digital, que abarca la gestión de riesgos de TI, informes obligatorios de incidentes, documentación de planes de prueba, gestión de riesgos de terceros, además de capacitación y gobernanza. El cumplimiento asegurará que las empresas tengan los sistemas correctos para resistir, responder y recuperarse de todo tipo de interrupciones y amenazas relacionadas con las TIC, incluidas aquellas a través de terceros. 

Las obligaciones para las empresas afectadas pueden dividirse aproximadamente en cinco grupos:

  • Gestión de riesgos

  • Pruebas y auditorías

  • Gestión de la seguridad de los proveedores de servicios de TI

  • Gestión de incidentes

  • Intercambio de información

¿Cuales son los objetivos de DORA?

La regulación DORA (Digital Operational Resilience Act) establece un marco normativo para fortalecer la resiliencia digital del sector financiero europeo con los siguientes objetivos clave:

  • Armonizar la normativa de resiliencia digital: Crear un conjunto uniforme de reglas para todas las entidades financieras en la UE, eliminando inconsistencias regulatorias entre Estados miembros.
  • Reforzar la gestión de riesgos tecnológicos: Implementar marcos robustos que permitan identificar, evaluar y mitigar eficazmente las amenazas relacionadas con las TIC.
  • Mejorar la respuesta a incidentes: Establecer requisitos claros para la detección, gestión y notificación de incidentes graves de TIC, fortaleciendo la capacidad de recuperación.
  • Regular la dependencia de proveedores externos: Supervisar a los proveedores críticos de servicios de TIC para gestionar los riesgos asociados a la externalización tecnológica.
  • Promover el intercambio de información: Fomentar la colaboración entre entidades financieras para compartir información sobre amenazas y vulnerabilidades cibernéticas.
  • Proteger la estabilidad financiera europea: Garantizar que el sistema financiero europeo pueda funcionar de manera segura y continua frente a las crecientes amenazas digitales.

¿Cuáles son los requisitos de Dora?

La regulación DORA establece un marco integral de requisitos para fortalecer la resiliencia operativa digital del sector financiero europeo, abordando cinco áreas fundamentales que buscan garantizar que las entidades puedan prevenir, detectar y recuperarse de incidentes tecnológicos mientras protegen la estabilidad del sistema financiero.

Los requisitos principales incluyen:

  • Gestión de riesgos de TIC: Implementación de marcos robustos con evaluaciones periódicas, medidas preventivas y procesos de recuperación.
  • Gestión de incidentes: Establecimiento de procesos de detección, clasificación y notificación con plazos estrictos para reportar eventos graves.
  • Pruebas de resiliencia digital: Realización de evaluaciones periódicas de sistemas, incluyendo tests de penetración avanzados para entidades significativas.
  • Gestión de riesgos de proveedores externos: Evaluación continua de la dependencia tecnológica de terceros y desarrollo de estrategias de salida para servicios críticos.
  • Intercambio de información: Colaboración entre entidades y reguladores para compartir inteligencia sobre amenazas y vulnerabilidades cibernéticas.
DESCARGA NUESTRA GUÍA PRÁCTICA DE DORA

  • Capacitación para directivos sobre regulación DORA

    DORA requiere que los directores se sometan a capacitación para demostrar una gobernanza efectiva en torno a los problemas de ciberseguridad. Hemos desarrollado una capacitación en la sala de juntas sobre DORA en colaboración con De Clercq Lawyers, proporcionando información sobre las medidas de gestión de riesgos que las organizaciones deben tomar como mínimo según DORA. Este curso de un día puede impartirse en el lugar de su elección.

  • Evaluación de brechas de DORA

    Nuestro equipo especializado puede realizar una evaluación de brechas de DORA, proporcionando una visión detallada de su nivel actual de madurez de seguridad y los pasos que necesita tomar para cumplir con DORA. Este servicio se basa en nuestra probada Evaluación de Madurez de Seguridad.

  • Servicios de implementación de DORA

    También ofrecemos una variedad de servicios para ayudar a implementar DORA en su organización. El alcance específico de nuestra solución dependerá del resultado de su análisis de brechas de DORA, pero puede incluir nuestro servicio de seguridad CyberCare, gestión de seguridad, soporte de conciencia y comportamiento, respuesta a incidentes y servicios de seguridad de proveedores.

Nuestros expertos en Secura, una empresa de Bureau Veritas, ofrecen una variedad de servicios para apoyar el cumplimiento de DORA, dondequiera que se encuentre en su viaje de ciberseguridad.

¿Necesitas más información o deseas un presupuesto personalizado?

Pídela

 

LA IMPORTANCIA DEl CUMPLIMIENTO DE DORA PARA LAS ORGANIZACIONES

Aunque DORA es un reglamento de la UE, también afecta a los proveedores de TIC de terceros. DORA solo permite que las empresas celebren contratos con proveedores que cumplan con los requisitos de seguridad de la información establecidos en el marco. Esto incluye servicios en la nube, servicios de red, servicios de hardware y consultoría de TIC. 

DORA es una regulación compleja que aumenta las obligaciones para muchas organizaciones. Un enfoque apresurado o desinformado no solo puede dejar su organización vulnerable, sino también ponerla en riesgo de sanciones legales y financieras. 

Cualquier incumplimiento de los requisitos podría llevar a una multa de hasta el 2% del volumen de negocios anual mundial total, o hasta el 1% del volumen de negocios diario promedio de la empresa a nivel mundial.

PASOS PARA LOGRAR EL CUMPLIMIENTO DE DORA

Si ya sabe que su organización está sujeta a DORA, es importante comenzar a prepararse para el cumplimiento temprano. Hable con nuestros expertos en ciberseguridad para entender más sobre la evaluación y planificación inicial de DORA, así como sobre cómo implementar las estrategias y soluciones que necesita para gestionar el riesgo y lograr el cumplimiento.

¿CUÁLES SON LOS BENEFICIOS DE LA CUMPLIMIENTO DE DORA?

El cumplimiento es obligatorio para algunas organizaciones, pero el cumplimiento de DORA también ofrecerá otros beneficios, incluyendo:

  • Mejorada resiliencia cibernética y mejor planificación para amenazas de TIC
  • Mayor comprensión de los riesgos de TIC en toda la organización
  • Mayor control de las cadenas de suministro de TIC
  • Mejorada información de incidentes y intercambio de información

¿POR QUÉ ELEGIR A BUREAU VERITAS PARA SUS NECESIDADES DE CUMPLIMIENTO DE DORA?

Descarga nuestra Guía de servicios de DORA
  • Equipo experimentado con décadas de experiencia en gobernanza, riesgo y cumplimiento
  • Una variedad de servicios desarrollados específicamente para satisfacer sus necesidades de DORA y ayudarlo a cumplir con DORA
  • Expertos en ciberseguridad en el campo de las personas, procesos y tecnología
  • Un único punto de contacto y un enfoque de asociación comprobado
  • Una hoja de ruta clara para volverse y mantenerse en conformidad con DORA
  • Respaldado por la experiencia global de Bureau Veritas, un líder mundial en servicios de prueba, inspección y certificación

  • ¿CÓMO SE RELACIONA DORA CON LOS MARCOS EXISTENTES COMO ISO 27001?

    Los marcos de riesgo existentes, como NIST e ISO 27001, proporcionan orientación sobre cómo cumplir con varias leyes a través de procesos como la capacitación del personal, la realización de auditorías y pruebas, el uso de gestión de incidentes y la gestión de riesgos en la cadena de suministro. Estos tipos de marcos de riesgo son una buena adición a DORA, pero cumplir con estos estándares no significa que cumpla automáticamente con DORA, que es una regulación por derecho propio.

  • ¿CÓMO CAMBIARÁ DORA LOS REQUISITOS DE RESPUESTA A INCIDENTES?

    La gestión de incidentes es un aspecto crítico para garantizar la seguridad y continuidad de los servicios. Bajo DORA, las empresas deben tener planes en marcha para comunicarse con el personal, las partes interesadas externas, los medios de comunicación y los clientes en caso de un incidente. También deben establecerse procedimientos internos de escalamiento. Además, los incidentes importantes deben ser informados a la alta dirección relevante y al "órgano de gestión", con una explicación del impacto, la respuesta y los controles adicionales que se establecerán como resultado del incidente.

  • ¿CUÁL ES EL CRONOGRAMA DE DORA?

    El primer lote de productos de políticas de DORA se publicó el 17 de enero de 2024 y DORA se aplica a partir del 17 de enero de 2025.

     

¿Quién tiene que cumplir el reglamento DORA?

El reglamento DORA se aplica a un amplio espectro de entidades del sector financiero europeo, estableciendo requisitos obligatorios para garantizar la resiliencia operativa digital. Entre las organizaciones afectadas se encuentran las entidades financieras tradicionales como bancos, aseguradoras, fondos de pensiones y empresas de inversión, así como las infraestructuras de mercado que incluyen mercados regulados, sistemas de negociación y depositarios centrales de valores.

El ámbito de aplicación se extiende también a los nuevos actores digitales como proveedores de servicios de financiación participativa y de criptoactivos, además de los proveedores críticos de servicios de TIC que suministran tecnología esencial a entidades financieras. Las organizaciones de terceros países que operan en el mercado europeo o prestan servicios tecnológicos a entidades financieras europeas también deben cumplir con estas normativas, creando un marco regulatorio integral para todo el ecosistema financiero.

¿Qué plazos tiene el reglamento DORA?

El reglamento DORA sigue un calendario de implementación gradual que comenzó con su aprobación formal por parte de las instituciones europeas y culminará con su plena aplicabilidad. El 27 de diciembre de 2022, DORA fue publicado en el Diario Oficial de la Unión Europea, entrando oficialmente en vigor 20 días después, el 16 de enero de 2023. Este evento marcó el inicio del período de adaptación para las entidades afectadas.

Durante 2023 y 2024, las Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) están desarrollando las normas técnicas regulatorias y de ejecución que complementarán el reglamento principal. Mientras tanto, las entidades financieras y proveedores de servicios de TIC deben prepararse activamente, ya que la fecha clave se aproxima: el 17 de enero de 2025, cuando el reglamento DORA será plenamente aplicable y de cumplimiento obligatorio para todas las entidades incluidas en su ámbito. A partir de esta fecha, los supervisores podrán exigir el cumplimiento de todos los requisitos establecidos y aplicar sanciones en caso de incumplimiento.

|¿Necesitas más información sobre la
 REGULACIÓN DORA?

Seleccione el prefijo de su país.

Le informamos que los datos facilitados en el presente formulario son objeto de tratamiento por BUREAU VERITAS INVERSIONES, S.L. con la finalidad de gestionar las relaciones comerciales de las empresas del Grupo Bureau Veritas en España, para atender su solicitud de contacto e información solicitada. En este sentido, sus datos serán cedidos a la concreta empresa del Grupo que oferta productos y servicios del sector interesado para atender su petición. Además, en el supuesto que Vd. Lo autorice, marcando la casilla habilitada, sus datos serán utilizados para remitirle información publicitaria sobre actividades, productos y servicios en otros sectores que pudieran ser de su interés, de las empresas del Grupo en España identificadas en el enlace.

La legitimidad del tratamiento se ampara en el consentimiento otorgado.

Vd., puede ejercitar sus derechos de acceso, rectificación, supresión, oposición, el derecho a limitar el tratamiento y portabilidad de sus datos personales, dirigiéndose por escrito a BUREAU VERITAS INVERSIONES, S.L. en su sede social: Edificio Bureau Veritas. Camí Can Ametller nº 34. 08195.  Sant Cugat del Vallès (Barcelona), o por correo electrónico a la siguiente dirección: legal@bureauveritas.com. En ambos casos deberá aportar la documentación que le identifique adecuadamente, salvo que se dirija mediante el email registrado. Finalmente, tiene derecho a presentar reclamación ante nuestro Delegado de Protección de Datos: dpo.spain@bureauveritas.com, o ante la Agencia Española de Protección de Datos (AEPD) si considera vulnerados sus derechos en el tratamiento realizado

También, puede consultar la Política de Privacidad corporativa en nuestra página web

Mediante la marcación de la presente casilla, Vd. autoriza que BUREAU VERITAS INVERSIONES, S.L. pueda remitirle publicidad y acciones de marketing de las siguientes empresas: BUREAU VERITAS IBERIA, S.L.; BUREAU VERITAS INSPECCIÓN Y TESTING, S.L.U.; LUBRICATION MANAGEMENT, S.L. y BUREAU VERITAS SOLUTIONS IBERIA, S.L.U. 

¿Necesitas más información o deseas un presupuesto personalizado?

Pídela ya