Puntos clave — Cumplimiento de DORA RTS e ITS
Las Autoridades Europeas de Supervisión (EBA, ESMA, EIOPA) han publicado más de 20 Normas Técnicas de Regulación (RTS) y Normas Técnicas de Ejecución (ITS) en el marco de DORA, creando cientos de requisitos detallados para la gestión de riesgos de TIC, la notificación de incidentes, la supervisión de terceros y las pruebas de penetración guiadas por amenazas. Las entidades financieras que operan en múltiples filiales se enfrentan a una complejidad exponencial al seguir estas obligaciones en hojas de cálculo. Una plataforma GRC centralizada puede mapear cada requisito a medidas, asignar responsables, automatizar la recertificación y generar paquetes de evidencias listos para auditoría, eliminando al mismo tiempo la duplicación con las obligaciones solapadas del RGPD y la ISO 27001.
Definiciones
¿Qué es DORA (Ley de Resiliencia Operativa Digital)?
DORA es el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, que establece un marco integral para la resiliencia operativa digital en el sector financiero. Entró en vigor el 16 de enero de 2023 y se aplica a partir del 17 de enero de 2025. DORA exige que las entidades financieras implementen una sólida gestión de riesgos de TIC, notificación de incidentes, pruebas de resiliencia operativa digital y gestión del riesgo de terceros. Fuente: EUR-Lex — Reglamento (UE) 2022/2554
¿Qué son las Normas Técnicas de Regulación (RTS)?
Las Normas Técnicas de Regulación (RTS) son actos delegados desarrollados por las Autoridades Europeas de Supervisión que especifican los requisitos técnicos detallados para la aplicación de DORA. Abarcan áreas como los marcos de gestión de riesgos de TIC, los criterios de clasificación de incidentes, las políticas de subcontratación de servicios críticos de TIC y las pruebas de penetración guiadas por amenazas (TLPT). Fuente: EUR-Lex — DORA
¿Qué son las Normas Técnicas de Ejecución (ITS)?
Las Normas Técnicas de Ejecución (ITS) son actos de ejecución que prescriben plantillas, formatos y procedimientos uniformes para el cumplimiento de DORA, incluidos el registro de información sobre terceros proveedores de servicios de TIC y las plantillas de notificación de incidentes. Fuente: EUR-Lex — DORA
¿Qué es la gestión de riesgos de TIC en el marco de DORA?
La gestión de riesgos de TIC en el marco de DORA (capítulo II, artículos 5 a 16) exige que las entidades financieras establezcan y mantengan un marco integral de gestión de riesgos de TIC que incluya capacidades de identificación, protección, detección, respuesta y recuperación. Las RTS relacionadas especifican requisitos detallados para las políticas, los procedimientos y las estructuras de gobernanza. Fuente: EUR-Lex — DORA capítulo II
¿Qué es el registro de información de DORA?
El registro de información es obligatorio en virtud del artículo 28, apartado 3, de DORA y se detalla en la ITS sobre los registros de información. Las entidades financieras deben mantener un registro completo de todos los acuerdos contractuales con terceros proveedores de servicios de TIC, incluidas las cadenas de subcontratación, y notificarlo a las autoridades competentes. Fuente: EUR-Lex — DORA artículo 28
Estadísticas y contexto del sector
Según el informe Threat Landscape 2024 de ENISA, el sector financiero sigue estando entre los tres sectores más atacados por incidentes cibernéticos en la UE, lo que subraya la urgencia de los requisitos de resiliencia operativa de DORA. Fuente: ENISA Threat Landscape 2024
La Autoridad Bancaria Europea (EBA) publicó su primer lote de normas técnicas de DORA en enero de 2024 y el segundo lote en julio de 2024, que abarcan la gestión de riesgos de TIC, la notificación de incidentes, la supervisión de terceros y las TLPT. Se finalizaron más de 20 documentos RTS e ITS individuales en ambos lotes. Fuente: EUR-Lex — DORA
Según el informe IAPP-EY 2023 sobre gobernanza de la privacidad, el 60 % de las organizaciones afirman que gestionar obligaciones normativas solapadas (como el RGPD y normativas sectoriales como DORA) es uno de los principales retos de cumplimiento. Fuente: Informe IAPP-EY 2023 sobre gobernanza de la privacidad
Gartner prevé que, para 2026, el 70 % de los consejos de administración de las organizaciones de sectores regulados exigirán plataformas integradas de gestión de riesgos en lugar de herramientas de cumplimiento aisladas. Fuente: Gartner
Preguntas frecuentes
¿Cuántos documentos RTS e ITS de DORA se han publicado?
Las Autoridades Europeas de Supervisión (EBA, ESMA, EIOPA) han publicado más de 20 documentos RTS e ITS en dos lotes: el lote 1 en enero de 2024 y el lote 2 en julio de 2024. Abarcan los marcos de gestión de riesgos de TIC, la clasificación y notificación de incidentes, los registros de terceros proveedores de TIC, las disposiciones contractuales, las pruebas de penetración guiadas por amenazas y el intercambio de información. Fuente: EUR-Lex — DORA
¿Cuándo entró en aplicación DORA?
DORA (Reglamento (UE) 2022/2554) entró en vigor el 16 de enero de 2023 y pasó a ser plenamente aplicable el 17 de enero de 2025. Las entidades financieras y los terceros proveedores de servicios de TIC críticos deben cumplir todos los requisitos, incluidas las RTS e ITS detalladas, a partir de esa fecha. Fuente: EUR-Lex
¿Cómo se solapan los requisitos de DORA con el RGPD?
Muchos requisitos DORA RTS/ITS se solapan directamente con las obligaciones del RGPD. Por ejemplo, el registro de terceros proveedores de TIC de DORA se solapa con la gestión de encargados del tratamiento del artículo 28 del RGPD; los requisitos de gestión de riesgos de TIC de DORA son paralelos a las medidas de seguridad del artículo 32 del RGPD; y la notificación de incidentes de DORA tiene similitudes con la notificación de violaciones del artículo 33 del RGPD. Gestionar todo esto en una plataforma unificada elimina la duplicación y reduce el riesgo en las auditorías. Fuente: GDPR-info.eu — Artículo 28
¿Qué son las pruebas de penetración guiadas por amenazas (TLPT) en el marco de DORA?
El capítulo IV de DORA (artículos 26 y 27) exige que determinadas entidades financieras realicen pruebas de penetración guiadas por amenazas al menos cada tres años. La RTS relacionada especifica la metodología, el alcance y los requisitos de notificación de las TLPT, que deben simular amenazas cibernéticas reales contra las funciones críticas. Fuente: EUR-Lex — DORA artículos 26 y 27
¿Quién debe cumplir con DORA?
DORA se aplica a una amplia gama de entidades financieras, incluidas las entidades de crédito, las empresas de inversión, las empresas de seguros y reaseguros, las entidades de pago, los proveedores de servicios de criptoactivos y los terceros proveedores de servicios de TIC críticos. El reglamento abarca 21 categorías de entidades financieras según se definen en el artículo 2. Fuente: EUR-Lex — DORA artículo 2
¿Cómo ayuda una plataforma centralizada con el cumplimiento multientidad de DORA?
Para los grupos corporativos que operan en múltiples filiales, DORA exige una notificación supervisora consolidada, en particular para el registro de terceros proveedores de TIC. Una plataforma centralizada mapea los requisitos a medidas a nivel de filial, al tiempo que proporciona paneles de grupo y notificación consolidada, eliminando la fragmentación de las hojas de cálculo y las herramientas aisladas.
¿Qué evidencias esperan los reguladores para el cumplimiento de DORA?
Las autoridades supervisoras esperan rastros de evidencias continuos y auditables, no instantáneas puntuales. La RTS sobre los marcos de gestión de riesgos de TIC exige políticas documentadas, revisiones periódicas y pruebas de que las medidas se mantienen activamente. Los flujos de trabajo de recertificación automatizados con rastros de auditoría completos pueden generar paquetes de evidencias en minutos en lugar de semanas.
Comparación: enfoques de cumplimiento de DORA
| Capacidad | Enfoque manual / con hojas de cálculo | Plataforma GRC centralizada |
|---|
| Mapeo de requisitos RTS/ITS | Síntesis manual de PDF en más de 20 documentos | Requisitos premapeados y organizados por pilar de DORA |
| Seguimiento multientidad | Hojas de cálculo separadas por filial | Paneles entre entidades con visión consolidada |
| Gestión del solapamiento RGPD/DORA | Evaluaciones duplicadas en herramientas separadas | Una sola evaluación satisface múltiples obligaciones |
| Recertificación | Recordatorios de calendario, seguimiento manual | Flujos de trabajo automatizados con rastros de auditoría |
| Paquetes de evidencias para los reguladores | Semanas de recopilación manual | Generados en minutos a partir de datos en vivo |
| Escalabilidad para equipos reducidos | Aumento lineal del esfuerzo por entidad | La redacción asistida por IA multiplica la capacidad del equipo |